第 3 章 云计算细节
109
所获得的数据,以确保飞机不会偏离既定航道。
在这方面,通过经业界认可,且可靠的认证中心来认证和审计,应是
最有效的方式。这些中心代表用户,依据合同载明的内容,对云提供商
IT
服务的可靠性,执行强制及重复性的审计,并授予有效期的认证证书,以
区分云提供商的优劣。
安全事件侦查
安全事件侦查对云用户来说并不容易。通常在具有组织内部部署数据
处理的
IT
环境中,可利用内部安全等工作事故管理程序进行监控、记录文
件分析、入侵检测,及资料外泄防护(
Data Loss Prevention
,
DLP
)。
云外
包时,不只是云服务的部分,还包括相当大部分的安全事件的管理,因此
必须将安全事件管理纳入与云提供商所签的合同中。
在决定迁移到云环境前,云用户应该考虑云服务提供商的安全侦查能
力。在选择云服务时的一个条件是,确认云服务提供商是否具有安全监控
中心(
Security Operation Center
,
SOC
)
及合适的安全事件管理制度。云用
户及云服务提供商应该对安全事件的定义有共识。事实上,对于跨境提供
云服务来说,云安全事件管理是强制性的。云用户及云服务提供商可能来
自于不同的法律管辖区,如果遇到泄露个人资料的案例,则该事故的影响
可能因所在地而有不同的认知含义。泄露个人资料,对于美国服务商而言,
可能无关紧要,但对于欧洲云用户来说,其后果可能非同小可。通信安全
