第 6 章 两岸市场云服务环境特色与展望
317
对于风险管理层面而言,应评估信息服务生命周期,分析各阶段可能
造成的风险,以彻底了解整体风险;也须特别注意当资料或环境转移时,
云服务环境的互操作性及可移植性可能造成机密数据遭受有意人士的窃取。
对于法律合规性层面而言,由于云服务环境可能横跨不同国家或地区,
须检查该服务可能触及的各个国家或地区相关规定,以避免无意的触犯相
关规定造成的商誉损失。
2.
维运、基础设施及虚拟化(Operation, Infrastructure, and Virtualiz-
ation)
对于维运层面而言,云服务供应链中的参与角色多元化,必须强化安全、
运营持续以及灾难恢复相关机制,将各云服务中各角色发生运营中断的状
况纳入灾难恢复的一环。例如当用
Snapshot
进行数据备份时,容易被攻击,
故在实际作业时,最好将
Snapshot
功能关掉等,即维运期间应注意的环节。
对于基础设施层面而言,不论是数据中心的维运、应用程序安全性、
加密及密钥机制,还是身份与存取管理,皆必须深入评估。以身份与存取管
理为例,云服务环境中各角色间应建立明确的访问机制,可避免内部有意人
士盗取机密资料的状况。应注意的是,使用公有云服务的企业或组织,必须
建立内外部的网络链接时,应考虑使用电子商务认证授权机构(
Certificate
Authority
,
CA
)
认证服务专业公司所提供的服务,或确认云服务商可提供
高信赖度的
CA
服务。
