物理安全威脅云服務(wù) 五個(gè)步驟減少風(fēng)險(xiǎn)

　　正如一家銀行作為錢的倉庫，天然是強(qiáng)盜有吸引力的目標(biāo)，云服務(wù)提供商的數(shù)據(jù)中心，貯存了寶貴的數(shù)據(jù)資源，因而也對惡意的黑客富于吸引力。所以，有必要審核云服務(wù)提供商的數(shù)據(jù)中心的物理安全。下面是一些關(guān)鍵問題可以進(jìn)行調(diào)查：

　　安全策略。通常一個(gè)詳細(xì)到位的政策，應(yīng)當(dāng)包括諸如防止安全漏洞的機(jī)制、事故響應(yīng)計(jì)劃、破壞發(fā)生時(shí)供應(yīng)商將采取的詳細(xì)步驟。如果供應(yīng)商有這樣的文件，仔細(xì)審查。如果沒有，那是一個(gè)大紅的警示標(biāo)志。

　　訪問控制。云服務(wù)提供商是否有物理訪問控制，以確保只有得到授權(quán)的人員能夠訪問您的存儲(chǔ)數(shù)據(jù)和處理IT基礎(chǔ)設(shè)施呢？提出下列問題：

　　·這些數(shù)據(jù)中心在不起眼的場所？

　　·這些場所是否有保安員、大門和檢查站？

　　·他們有視頻監(jiān)控系統(tǒng)嗎？

　　·供應(yīng)商是否使用入侵檢測技術(shù)？

　　·是否使用多因素身份驗(yàn)證？

　　·是否有基于真實(shí)需要的訪問策略，如果用戶需求變更而撤銷訪問？

　　背景檢查。云服務(wù)提供商是否對可能訪問其基礎(chǔ)設(shè)施和您的數(shù)據(jù)的每個(gè)人進(jìn)行背景調(diào)查？這可以防止惡意的內(nèi)部人員靠近一線。

　　此外，您應(yīng)該確定云服務(wù)提供商是否要求所有工作人員接受包括數(shù)據(jù)的安全性和供應(yīng)商自己的安全政策的培訓(xùn)。

　　職責(zé)分工。云服務(wù)提供商是否將關(guān)鍵任務(wù)分配給多個(gè)雇員？這可以確保沒有一個(gè)人能夠執(zhí)行未經(jīng)授權(quán)的或不準(zhǔn)確的端對端事務(wù)而不被發(fā)現(xiàn)。如果存在惡意的內(nèi)部人員，對不同的人之間分配任務(wù)的做法，會(huì)令他們更難得到任何收獲。

　　第三方原則。如果云服務(wù)提供商與第三方合作，它是否要求第三方的員工完全了解和遵守相同的安全政策？此外，供應(yīng)商是否有到位的過程監(jiān)控確保第三方的活動(dòng)符合安全準(zhǔn)則？這些可以防止一個(gè)惡意的第三方變成一個(gè)惡意的內(nèi)部人員。

　　您需要在合同中設(shè)法解決這些問題。如果云服務(wù)提供商的安全政策和事故應(yīng)急預(yù)案過關(guān)，可以簡單地將這些條款作為合同附件，并指定為云供應(yīng)商的最低安全要求。如果其政策和計(jì)劃缺失，您可以在合同中附加矯正條款以解決任何缺點(diǎn)。

　　遵守這些流程并將其編入云服務(wù)合同的要求，是在云中有效地減少風(fēng)險(xiǎn)的最佳方法。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]