云计算，SAAS安全吗？从Twitter泄密事件说起

独家分析：Twitter泄密事件十大教训
Twitter泄密事件回顾：黑客侵入某Twitter员工的Google账号，而Twitter公司主要使用Google Docs来创建和共享信息，这名黑客获取了Twitter的内部文档并将文档发送给了TechCrunch，TechCrunch决定公开这些信息。整个事件让Web世界陷入疯狂。Twitter怎么会依赖于Google应用程序来办公呢?当攻击者通过Google获取企业机密时Google如何能建立企业与企业间的信任呢?当TechCrunch决定公开这些被盗取的文件时我们该如何定义新闻业?
　　Twitter/TechCrunch事故也让很多企业负责人和信息技术人员学到不少教训，以下就是总结的10个教训：
　　1. 不要认为云环境是安全锁定的环境 云计算可谓是赤手可热，云计算能够轻松满足应用程序和设计的灵活需求，并且让信息资源的访问范围变得十分广泛，但是这种方便大家在任何地点访问的属性也可能被攻击者所利用。
　　2. 云计算机更加严格的安全程序，而不是简单的安全程序 在企业网络中，你会仅仅使用用户名和相对应的密码来保护企业最重要的机密信息吗?我不这么认为。
　　3. 当未受到攻击时应该确保安全程序的部署 安全应该是分级别的保护，相比于重要信息(如企业的五年计划、财务或者薪金等)而言，非重要信息需要较少的安全保障。如果你不提前考虑这些问题，必将造成数据泄漏事故。
　　4. 不要依赖于他人的程序来保障企业安全性 企业应该采取主动行动，虽然Google的应用程序很方便很快捷，但是在没有对这些程序进行关于权限、程序和职责方面进行讨论前，不要将这些程序纳入企业的安全框架中。
　　5. 听取有经验的前辈的建议 Web2.0世界确实很酷，同时也存在很多安全漏洞，那些在服务器机房成日与程序打交道的长辈们的想法可能会很陈旧，但是他们的目的是想保护企业的重要资产。
　　6.考虑合规问题 不管你准备将信息资源放在本地服务器还是放置在安全平台或者云计算平台都需要考虑合规问题。
　　7. 该信任谁? 你必须严格控制企业的关键信息，如果企业决定采用云计算供应商的解决方案，对于该供应商的IT基础设施你可以施加多少程度的控制?这可以根据企业规格来调整吗?或者只能遵守供应商的调配?
　　8. 选择正确的工具 Google应用程序非常适合分享时间表或者吃饭地点列表等，这些应用程序不应该用于共享企业的财务计划，应该选择其他更好的工具。
　　9. 总结他人的失败教训 你的公司并不是Twitter，但是这并不意味着你不是黑客攻击的目标。企业最重要的信息可能正在基于web的服务上共享，你有没有问过企业的员工是否在使用Google或者其他共享云程序呢?
　　10. 使用强度较高的密码并且定期更换 也许你不能阻止企业信息被泄漏到云中，但是至少可以建议同事们使用难以破解的强度高的密码。Google有些很好的工具可以帮助设置强度高的密码，并能够合理限制在关闭前的访问数量。

UP