云服务商在安全方面需做的三件事

大约一个星期前，一个安全测试发现有云服务提供商在共享硬盘中无法安全地分离虚拟服务器。而这个漏洞可能会导致攻击者窃取客户资料或控制其他服务器。

此外，2012年的信息安全违反调查（ISBS）发现，许多企业仅仅将数据简单地放到第三方处且很少或者没有审查的现象十分普遍。调查结果表明，34%的小型企业都允许个人的移动设备连接到网络，但没有建立相关的设备管理政策。

此外，普华永道会计师事务在欧洲信息安全部的支持下进行了一份调查，调查中发现73%的机构在互联网上至少拥有一个外包服务，但只有38%能够保证数据是经由外部供应商进行加密的。

云产业论坛（CIF），一家总部设在英国的组织，成立于2009年，主要成员是一些欧洲企业，但也有如微软公司和戴尔这样的美国公司。论坛提出，仅加密仍是不够的。或者说这并不是彻底解决问题的办法。在某些情况下，访问控制、防火墙、虚拟专用网，可能更为有效且成本低于加密。CIF的主席安迪伯顿认为云服务提供商最少需要做三件事：

1、要明确客户前景，并让客户在安全条件下选择最为合适的安全处理方法。

2、通过让采购商对不同的供应商进行比较，进而规避沟通中由于规范语言而带来的安全风险问题。这样，采购商也更容易做出购买的决定。

3、要教会最终用户寻找技术上、商业上和立法的支持，确保数据能够安全迁移到云计算当中。

同时，CIF发言人理查德梅林表示，CIF是一个以“帮助终端用户识别重要的信息，选择云服务的提供者”为目标的组织。在某种意义上讲，它旨在理清混乱的市场。此外，梅林还表示，对于一个特定的应用程序，一家公司能够运用顺畅，并不意味着所有公司都适用。在市场上能够取得长期成功的供应商，正是源于他们能够充分认识和接受这一理念，才能提供给客户更好的应用前景。