SafeNet致力保护广泛云应用安全

ZDNET安全频道分析报道（文/灵烜）继SOA，SaaS之后，云计算概念自2008年被抛出之后，迅速成为炙手可热的焦点。这一看似能大幅降低企业成本，具有快速弹性特征，并按需服务的能力的概念，却因安全隐忧、成功案例寥寥、概念落地无期，而使其在企业和CIO心中的认可程度与业界的热度形成强烈的发差。近日，SafeNet中国区销售总监江星就云时代的信息安全发展趋势接受了ZDNET安全频道的采访。

江星表示，“SafeNet会持续关注云计算未来的发展趋势，并会致力于保护基于广泛云计算应用的安全问题。云计算基于安全的考虑势必要关注云计算的应用，针对使用其应用背后的广大客户群体，并为其提供安全保护才会有意义。所以SafeNet所推出的云计算安全解决方案，也是针对目前已经有一定应用基础的云计算案例。”

随着云计算的普及，以及威胁的不断增加，将使得传统的物理控制和管理方法不再有效！江星指出，“日益增多的移动设备，企业工作方式、员工之间的互相协作、企业与合作伙伴协作方式的变革，以及不断涌现的如SaaS、Web 2.0等应用模式，使得外部网络攻击，非授权用户的访问等给企业日益增多的敏感数据所带来的安全威胁问题，面对更多的挑战。”

与此同时，安全威胁的层级也在不断提升。江星强调，“从黑客的外部侵害，到有组织的网络犯罪；从外来者到企业内部人员；从数据损失和盗窃到身份盗窃。企业所面临的信息安全威胁随着企业技术层级提升，更广泛应用的普及，相关规范的健全，强度也在不断提升。”

通过上面的表格，让我们简单回顾一下数据攻击的数量。

而且威胁的目标也更为明确，根据相关报告，钓鱼软件的目标主要的企业用户。而金融服务业是最容易被网络欺诈盯上的行业，在2008年93%的被盗记录是金融性记录。江星表示，“犯罪组织和黑客选择有针对性的威胁对象后，通过复杂的攻击技术，系统的结构化工具，利用最新的系统漏洞，迅速发起攻击，盗取数据，身份，知识产权等等敏感信息。而企业还存在着低效数据保护，信息泄露途径多样等种种弊端。”

显然如果企业想要在攻击来临之前，守好自家大门，势必要首先了解企业自身敏感数据的有什么？保护这些数据目前的方法是怎样的？这样的方法和模式是否适合企业，是否能够保护数据的安全？

面对这些，SafeNet有清晰的认识，近30年的基于安全技术的执着探索。江星指出，“目前企业的数据类型主要包括三类：个人身份，支付数字和交易，知识产权。而存储这些数据设备的孤岛化，也使得传统的安全措施面临诸多挑战，如安全措施各自为战，安全政策制定和执行脱节，审计和报告合规性，来自虚拟化和云计算等应用的挑战等。这就需要企业面对安全威胁的变化，提供更合适的数据保护方法。”

企业不妨参考SafeNet所提供的数据保护方法：
1.持久的以数据为中心的保护措施-在整个数据生命周期内能提供强有力的保护。
2.细粒的、选择性地对非结构化的或结构化的数据子集（文件、域和数据列）加以保护。
3.对授权用户提供细粒的数据保护，确保保护的差异化。
4.业务、合规、数据治理不安全问题的集中管理式解决方案。
5.访问服务不数据时的多参数高级认证。

对于云计算面临的安全问题，根据SafeNet的调查报告显示，88.5%的企业对云计算安全担忧，占首位。江星表示，“云计算安全问题主要在技术层面和控制层面，比如程序计算问题，分布式存储问题，合规性问题，审计和法律，可见性等等。”

SafeNet应对云计算安全挑战的数据保护方案，贯穿于整个信息生命周期各个环节。包括：保护用户身份、应用程序和服务器，确保交易的安全执行，在数据建立、访问、共享、存储和传输整个过程中，确保数据的安全，确保关键数据通讯路径的安全。江星强调，“针对这些环节SafeNet将通过四大整合数据保护方案保护数据的安全。”

如图：SafeNet 整合的数据保护方案

她还强调，“目前SafeNet的SAM 8.0 Cloud Authentication解决方案，已经在salesforce.com和Google apps平台应用，为用户身份和数据提供安全保护。”