最新的一項(xiàng)調(diào)查發(fā)現(xiàn)，有些管理企業(yè)內(nèi)部云計(jì)算項(xiàng)目的IT職業(yè)人員對(duì)云計(jì)算表現(xiàn)出了持續(xù)的焦慮情緒。

    超過1800名美國(guó)IT職業(yè)人員接受了此次調(diào)查，其中48%的人表示軟件即服務(wù)(SaaS)以及云計(jì)算的風(fēng)險(xiǎn)大于其收益。相比之下，55%的人則表示風(fēng)險(xiǎn)與收益相當(dāng)，或者收益大過風(fēng)險(xiǎn)。此項(xiàng)調(diào)查是由位于美國(guó)伊里諾斯州Rolling Meadows市的信息系統(tǒng)審計(jì)與控制協(xié)會(huì)(ISACA)開展進(jìn)行的，此機(jī)構(gòu)是負(fù)責(zé)管理安全認(rèn)證的IT安全管理組織。

    企業(yè)中負(fù)責(zé)業(yè)務(wù)的高管們紛紛轉(zhuǎn)向云計(jì)算，并通過對(duì)IT基礎(chǔ)設(shè)施管理進(jìn)行外包來削減成本。經(jīng)濟(jì)衰退已經(jīng)迫使許多公司開始考慮基于云的服務(wù)，如Amazon的EC2應(yīng)用服務(wù)以及微軟的Azure云計(jì)算平臺(tái)。云安全聯(lián)盟和惠普公司最近的一份報(bào)告指出了云計(jì)算存在的七大風(fēng)險(xiǎn)，其中包括黑客滲透到云計(jì)算平臺(tái)并使用云基礎(chǔ)設(shè)施來攻擊其他機(jī)器、不安全應(yīng)用程序接口(API)導(dǎo)致漏洞出現(xiàn)和數(shù)據(jù)泄漏等。

    ISACA的副總裁Robert Stroud表示，IT職業(yè)人員(尤其是ISACA的成員)不應(yīng)該對(duì)這個(gè)調(diào)查結(jié)果感到驚奇，而是應(yīng)該采取謹(jǐn)慎的態(tài)度來對(duì)待云計(jì)算這項(xiàng)新技術(shù)，并仔細(xì)評(píng)估它的風(fēng)險(xiǎn)。

    CA Inc.公司IT服務(wù)管理策略部門的副經(jīng)理Stroud表示，“一個(gè)良好的培訓(xùn)制度以及過程自動(dòng)化使得風(fēng)險(xiǎn)成為一件值得考慮的事情，你甚至也可以讓風(fēng)險(xiǎn)變得可以接受”，他說，“如果你極其反對(duì)風(fēng)險(xiǎn)的話，那么你的業(yè)務(wù)也永遠(yuǎn)不可能得到發(fā)展�！�

    受訪者沒有被問及哪些云服務(wù)是他們最擔(dān)心的。調(diào)查發(fā)現(xiàn)，大多數(shù)任務(wù)優(yōu)先(mission-critical)的IT服務(wù)還繼續(xù)被保留在企業(yè)中。只有10%的受訪者所在公司打算把任務(wù)優(yōu)先服務(wù)轉(zhuǎn)向云計(jì)算，而近四分之一(26%)的企業(yè)根本就沒有打算把云計(jì)算應(yīng)用到IT服務(wù)中去。

    Stroud 表示，“對(duì)于任務(wù)優(yōu)先數(shù)據(jù)來說，這只不過是萬里長(zhǎng)征的第一步。從一個(gè)公司高層管理人員的角度來看，云是非常有效的，所以不管IT部門想不想要云，企業(yè)最終都會(huì)轉(zhuǎn)向云�！�

    監(jiān)管規(guī)則和標(biāo)準(zhǔn)阻礙了云的應(yīng)用

    云安全聯(lián)盟的共同創(chuàng)始人兼執(zhí)行董事Jim Reavis表示，規(guī)則遵從是主要的障礙之一，它導(dǎo)致企業(yè)放慢了向許多云項(xiàng)目轉(zhuǎn)移的速度。近30%的受訪者表示，對(duì)于與IT風(fēng)險(xiǎn)相關(guān)的項(xiàng)目來說，規(guī)則遵從項(xiàng)目是最大的驅(qū)動(dòng)力。大約有半數(shù)的受訪者表示，在2010年與IT風(fēng)險(xiǎn)以及規(guī)則遵從相關(guān)的項(xiàng)目，其投資額跟2009年的變化不大。

    Reavis表示，在任何公共云里實(shí)現(xiàn)規(guī)則遵從都不是一件簡(jiǎn)單的事情。

    Reavis 指出，“人們知道，任何類型的電腦連接都會(huì)有風(fēng)險(xiǎn)，但是規(guī)則遵從正好成為人們?yōu)樾枰�監(jiān)管的服務(wù)采用更多云服務(wù)的主要障礙。如果你被黑客攻擊了，你可以讓審計(jì)人員負(fù)責(zé);但是，如果你在云計(jì)算中被黑客攻擊了，你沒法再讓審計(jì)人員當(dāng)替罪羊了，那么你自己可能會(huì)被炒魷魚�！�

    Reavis認(rèn)為，ISACA的此次調(diào)查是一個(gè)令人鼓舞的跡象，因?yàn)檫@顯示出從事風(fēng)險(xiǎn)策略的IT職業(yè)人員正在努力找尋解決問題的方法，而不是去逃避這些風(fēng)險(xiǎn)。他們的許多顧慮也會(huì)隨著時(shí)間的推移而煙消云散。但他也表示，就目前來看，人們還是缺少對(duì)云計(jì)算的理解，有備案的使用案例也很缺乏。

    云安全聯(lián)盟的標(biāo)準(zhǔn)工作組正在把跟云有關(guān)的風(fēng)險(xiǎn)與各種各樣的標(biāo)準(zhǔn)和監(jiān)管規(guī)則聯(lián)系起來。比如，工作組已經(jīng)跟PCI安全標(biāo)準(zhǔn)委員會(huì)合作，并開發(fā)了一個(gè)框架 —— 一個(gè)云控制矩陣—— 以便根據(jù)企業(yè)必須遵守的控制標(biāo)準(zhǔn)制定出一套對(duì)應(yīng)的云服務(wù)提供商控制標(biāo)準(zhǔn)。

    “這是一個(gè)共同的責(zé)任，”Reavis指出，“你不能把所有管理責(zé)任都外包給別人�！�