多得艾力兄在《內審看雲端》一文中的留言提醒,當講IT安全性時,主要是講三個範疇,即是保密性(confidentiality),可用性(availability),和完整性(integrity)。詳情就不在此累贅了,有興趣的可到維基去看。延續上一篇文章,這篇我想在雲端保密性及可用性這方面,補充一下我的看法。
雲端其中一個好處是減少用戶終端的負擔,例如現在的網上銀行服務,用戶只要使用一部流動設備例如手機,就可以隨時隨地處理日常的理財事項。但這個好處也是壞處,因為流動設備體積細小,而且保密性也沒有其他機器如電腦般高,一旦遺失了,機密資料就相對容易外洩。
另外,目前很多地方都設有WiFi免費上網服務,但是這些免費WiFi大多沒有加密,若果通過它來連接雲端,傳輸內容就很容易被有心人截取。
另一個問題是電量。流動設備的電池容量雖然已上升了不少,但仍然不能滿足數據傳輸的需求。就以手機為例,如果數據傳輸功能全開的話,半日左右手機就要充電了。
至於可用性,流動設備可以通過2G及3G等的網絡來做數據傳輸,可是與固網相比,傳輸速度相對較慢。
所以,當企業要走雲端這個方向時,內審至少應留意以上幾個方面的風險。
--------
相關文章:內審看雲端
&&&&&&&&
4 則留言:
題外話,據說外國好多地方,都要有CISA資格才可以做Information Security Audit,不知香港何時也要這樣行呢?
CISA都已經來港好多年囉噃!
以我所知,雖然無明文規定,但香港好多公司特別係美資,佢地都prefer做security audit既人要有CISA甚至更高既quali.
小小補充 : 如企業的應用是支援 HTTPS 的 , 那就算 WiFi 有沒有加密 , 亦有另一層防護了 ;)
發佈留言