想用好云？先看看这10条安全建议

　　公司企业必须进化自身安全实践，方可跟上不断变化的技术和相关安全威胁的发展。如果停滞不前，数据泄露的损失有可能是毁灭性的。

　　某研究所《2016数据泄露损失研究》报告指出，每起数据泄露的总损失是400万美元，每一条包含有敏感或个人身份识别信息（PII）的被盗记录带来的损失是158美元。想象一下，数百万条记录失窃时，是多么令人崩溃。

　　这些损失便是公司企业必须选择最佳安全实践的原因，通常，这种实践指的是云的利用。下列十条安全建议，可供公司企业使用基于云的技术时优先考虑。

　　一、为敏感文件列个清单

　　连自己有些什么都不知道，何谈找出缺失了哪些东西?保证文件的安全，意味着要做好标记：哪些信息存储在哪儿，存储方式是什么，访问方式有哪些等等。

　　二、最小化非必要数据存储

　　存储非必要信息的唯一用处，就是给网络小偷更多的东西可偷。只需要存储仅够公司正常运营所需的数据即可。老客户的账单信息和前雇员的社会安全号与你的现有业务运营无关，只会成为网络小偷的潜在目标。把文件筛一遍，清除掉系统中的过时或非运营关键信息。

　　三、确保主机托管有物理防护

　　信息是数字存储的并不意味着就没必要使用物理防护。服务器应被保管在上锁的安全的地点。如果文件存储在远程数据中心，该中心应具备《鉴证业务准则公告第16号》(SSAE16)II类认证和全天候的物理安全。所有数据应在其他地方的额外服务器上有备份。

　　四、使用高级加密协议

　　为最大化数据的安全性，采取所有必要的电子安全预防措施是十分紧迫的。这包括在传输时和平时都利用防火墙和SSL/TLS协议对文件进行高级加密。

　　五、用多因子身份验证保证口令安全

　　一大批数据泄露都是口令使用疏忽的结果。口令应是定制的，且包含有宽泛的配置选择。建议采用多因子身份验证结合多次尝试不成功便锁定账户的方式。

　　六、配置行为跟踪以记录访问历史日志

　　团队成员、同事、客户、承包商，大量人员有可能对特定文件具有访问权。如果每个访问者都赋予编辑权限，那么非正确修改的风险是避免不了的了。其他风险还包括恶意清除、蓄意破坏和共享机密信息。

　　行为跟踪功能可留下每个用户访问文件的相关信息，比如用户身份、访问时间、所做修改等。此类文件行为的总结可通过电子邮件或短信即时通报给管理员。

　　七、保证最小外部访问授权

　　云的最佳益处之一(任何时候、任何地方都可进行访问)，同时也是其最大风险之一。考虑一下被赋予访问文件权限的所有人，其中就可能有你连见都没见过却手握你最敏感数据访问权的人。

　　无论何时对文件赋予外部访问权，管理员都应该根据赋权角色对权限和控制进行定制。也就是说，每个人都应基于该项目的位置和责任被赋予打开、浏览或编辑信息的权限。就像网站设计顾问无权访问财务信息一样，某个客户也不应该看到你正在为别的客户做所的工作。

　　八、限制公共WiFi的无线应用

　　智能手机、平板和笔记本电脑让在外办公变得容易，同时也为安全疏忽开启了方便之门。这些个人设备经常被用于个人事务，意味着可能会带来交叉影响，比如从一个设备向其他设备感染病毒或恶意软件。

　　另外，如果无线设备被盗或遗失，公司信息就有可能落入他人之手，通信也有可能通过公共WiFi网络被窃听。

　　使用虚拟数据室可以抵消公私混用设备相关的大多数威胁。

　　九、培训并认证员工

　　未经合适的用户培训就授予云访问权这种事绝对不能发生。应该花时间对新员工进行云安全最佳实践培训，甚至可以考虑为所有员工安排安全教育日。

　　十、使用《健康保险流通与责任法案》(HIPAA)作为指南

　　即使没有身处医疗保健行业，遵循HIPAA设置的隐私指南也不失为保护信息安全和机密的有效方法。使用HIPAA友好的项目管理软件能帮助确保你的数据收到一流安全协议的保护。

（摘选自：安全牛）