1 ISACA 期刊 2011 年第 3 期

随着经济和监管环境的不断变化，企业需求如同

天气变化迅速。所有组织都必须灵活应对，以适

应这个环境中的狂风暴雨。预算限制及合规性措

施增加迫使所有组织为日常需要寻找替代性解决

方案。

其中之一便是：云计算。

然而，“云”如何影响企业？企业如何使用 “云”来避免高度敏感的商业和客户信息的流

失，及可能导致的罚款、制裁和诉讼呢？

很多人最近都碰到过“云计算”这个术语，

而且必定感到困惑。“云”是 IT 组织在 20 世纪 90 年代借自电信行业的术语。与其说它是一门精 密科学，倒不如说它是一个广义的概念。从广义

和理论上讲，云计算是计算资源的大规模集中。

通过这种集中，利用远程独立控制的“云”，使

得信息、数据处理和软件能为众多企业、用户和

服务所用。需要额外资源的组织能够通过新技术

（包括虚拟化）的快速应用而提供新的计算资

源。

有趣的是，原始的计算模式就是集中式计

算—位于中心位置的电脑主机提供处理功能，而

低功能"哑终端"则远程连接至主机。随着时间推

移，由于处理功能耗费不再昂贵，计算逐渐转换

为客户端服务器模式，即本地服务器执行基本功

能如文件存储、打印队列管理等，在网络边沿的

大部分计算功能移至手提电脑和台式电脑中。而

如今，因特网普及，前所未有的数据传输速度及

带宽承载能力的提高促使数据和处理需求转向相

对便宜且功能强大的云供应商，实现了更加集中

的计算模式。

尽管云计算目前仍处于起步阶段，但一些云概

念已得到广泛运用。数据处理业务已逐渐应用云

计算术语及概念，如应用托管，包括软件即服务

（SaaS）和应用服务供应商（ASP）；存储虚拟

化，包括云存储和在线备份；IT 外包（ITO）； 以及业务流程外包（BPO)，包括客户服务部门、

虚拟数据中心和托管（平台）数据中心。然而，

集中共享资源的潜在危害也发展到一定水平，能

迅速超过云计算的业务实例。所以每个组织在考

虑使用云解决方案时必须了解风险的存在，以通

过努力实现成功乃至兴盛。

银云—资本节省一目了然

使用云计算能带来众多益处。1 云供应商的共享

本质和巨大规模能让客户快速轻松地扩展或缩小

系统，以满足不断变化的需求。这能减少传统客

户服务器部署带来的不便。在传统客户服务器部

署中，设计人员通常超标准设计容量以保证峰值

需求时的合格性能。另外，很多“云”基础系统

能让用户从任何浏览器访问信息，甚至是最新的

智能手机和平板电脑平台。同时能监测每个用户

的资源消耗以最大限度地提高系统效率。

部署“云”基础系统的企业可以减少硬件和

资本化软件上的资本支出。小企业也能从云供应

商的规模经济中获利，充分利用昂贵资源如系统 管理员、备份基础设施和网络基础设施于多个客

户端。所有这些领域进入门槛明显降低，因为基

础设施通常由第三方提供，无需为一次性或偶尔

的集中计算任务而购买。

“云”的弊端

虽然优点众多，却也无法掩盖云计算可能给组织

带来的无法控制无法预见的信息风险和威胁。因

此企业向“云”输送数据前必须全面评估、了解

并缓和一切风险。

企业运行所需的信息是有价值的资产—或有

形，或无形。对于一个企业来说，哪些数据和

信息是有价值的？它们对于网络罪犯又有多少价

值？黑客用这些信息能做些什么？如果其他公司

意外访问或更改数据会给企业带来哪些损失？如

果由于云供应商的问题而不幸流失或无法访问信

息，企业能做些什么？企业如何知道自己的数据

被更改？如果数据泄漏，在法律规定下企业又能

采取什么行动？

Carl Cadregari，CISA，

Bonadio 集团企业风险管理

部负责人及领导，同时在

纽约州北部（美国）最大

的保险公司之一担任执行

信息安全总监。Cadregari

在 IT 及 IS 安全架构、部

署、项目管理、设计及管

治安全领域有超过 28 年

的从业经验。

Alfonzo Cutaia, Esq.，

Hodgson Russ LLP 信息技

术及互联网法律实践集团

合伙人，专注专利业务。

加入 Hodgson Russ 前，

Cutaia 曾担任美国布法罗

州大学的科学、技术转移

和经济扩展办公室知识产

权助理。

万“云”皆有险：云计算、监管及数据安全风险初解

特写

您对本文是否还有其他不同看法？

请访问 ISACA 网站期刊页 （www.isaca.org/journal），找到本篇文章，并在评论栏分享您的看法。

2ISACA 期刊 2011 年第 3 期

安全漏洞和数据丢失时有发生。2010 年，根据 DataBreaches.net 资料，美国联邦调查局（FBI），2 计算机

安全协会（CSI）3 和其他多个组织跟踪报道了数百件重大事

故，4 涵盖数亿项记录—而这些仅仅是报道的数字。现实情况

是，所有人阅读报纸或在线文章时都清楚知道网络犯罪和网

络罪犯无处不在—问问阿尔迪、5 T.J.Maxx、6 Heartland 支付

系统、7 美国退伍军人管理局、8 Ben & Jerry's 9 和 PETCO，10 便能知晓一些。底线是云供应商的使用可能大大增加安全事

故风险，并由此扩大成本、法律补偿和其他损失。然而，除

了增加事件风险外，确定发生的事件并得到恢复的代价也因

云计算本身的抽象本质而变得更大。

数据及数据访问对一个企业的持续运营意义重大，尤其对

企业所服务的客户而言。有时，更确切地说，数据对想要偷 窃、操纵或损害信息的某些人、某些企业甚至某些国家来说

更有价值。数据对网络罪犯的价值多少直接决定了对企业的

威胁程度。攻击者通常会衡量窃取信息的所得和风险。于是

运用“云”时，问题就变成：与几十个甚至几百个其他企业

共享的集中数据对企业的威胁是什么？简单的事实是在“

云”中储存数据的企业无疑不能直接控制那些数据。此外，

标准服务等级协议（SLAs）的帮助也不大—云供应商无法对

客户保证安全性、可用性或反应时间。大部分标准服务等级

协议多数时候只是空谈或尽力而为，无法为企业提供实质性

保证，特别是无法承担法律法规责任。因此任何时候使用云

计算，都需要对数据进行审查，并至少就以下六个核心问题

得到云安全联盟的11 回复并确认：

1. 如果信息大范围公开并传播，企业会蒙受怎样的损失？

2. 如果云供应商的员工访问该信息，企业会蒙受怎样的损失？

3. 如果流程或功能为外人操控，企业会蒙受怎样的损失？

4. 如果流程或功能无法实现预期效果，企业会蒙受怎样的

损失？

5. 如果信息/数据被意外更改，企业会蒙受怎样的损失？

6. 如果信息一段时间不可用，企业会蒙受怎样的损失？

“云”的法规遵从

为遵从美国联邦信息安全管理法案（FISMA）、美国健康

保险流通与责任法案（HIPAA）、美国经济与临床健康医

疗信息技术法案（HITECH）、美国金融服务现代化法案

（GLBA）、支付卡行业数据安全标准（PCI DSS）、美国

家庭教育权和隐私权法案（FERPA）、美国儿童网络保护法 案（CIPA）、美国萨班斯·奥克斯利法案、201 马萨诸塞州 法规（CMR）17.00（USA）、加州参议院（SB）第 1386 号法案（USA）、纽约信息安全漏洞通知法案（NYISBNA）

（USA）、美国联邦法规，标题 21，第 11 部分（21CFR11）以及其他数据安全规定，企业必须制定审计要求和行动。因

此，企业需要深入了解云计算的运用如何影响其职责和遵从

行动。一般来说，大多法律法规要求企业能证明其云供应商

（或应用服务供应商、软件即服务供应商和/或外包主机）至

少拥有与企业内部主系统相同或类似的控制来保护数据遵守

法律法规来影响企业。那么对于依赖云基础第三方付费处理

器（这些处理器负责收集并接收企业个人可识别资讯（PII）的上市公司，云供应商必须为其做些什么？企业又需要做些

什么？当数据丢失、不当访问或损害时会发生什么？

• 阅读 ISACA 发行物“云计算”：Business Benefits With Security, Governance and Assurance Perspectives.

www.isaca.org/cloudcomputingresources

• 欢迎参加 2011 年 5 月 15 日至 19 日在美国内华达州拉斯维加斯举办的 ISACA 北美 CACS，含六个会期及一次会后研讨，在这里您会了解“云”这个重要主题。

www.isaca.org/nacacs

• 了解更多并运用云计算，请访问

www.isaca.org/knowledgecenter

3 ISACA 期刊 2011 年第 3 期

数据破坏的费用

在当今世界，数据盗用、实物资产被盗遗失、以及无意和有

意的破坏以惊人的规律发生于各种类型和规模的企业中。波

耐蒙研究所针对网络犯罪的费用及发生频率进行的最新研究 显示，受访公司都每周至少经历一次得逞的网络犯罪，而管

理这些网络攻击每年的费用超过 380 万美元。12 该项研究具

体描述了最受影响业务领域的费用，包括网络犯罪侦查、

规避、事故管理和资产损失，但不包含违规罚款、制裁和

诉讼等实际费用极可能翻倍的领域。最近的一些罚款征收

案例有：

• 来爱德®—违反美国健康保险流通与责任法案罚款一百万

美元。 13

• TJX Companies Inc.（T.J.Maxx 是其子公司）—因遗失信

用卡数据罚款 4090 万美元 14

• Health Net of NE—遗失硬盘驱动器罚款 25 万美元 15

• 美国加利福尼亚州 6 所医院—因隐私数据泄漏被加州公共卫

生部罚款 79 万美元 16

随着云计算的增长，其风险的暴露和在犯罪活动的使用以

及云取证的需求也在增长。这在最近的数据破坏要闻或网站

上明显可见。例如，开放安全基金会创立的 Cloutage.org 声称，在 2010 年报道的 322 起事件中，54 起确认数据丢失事

件的发生是由于云供应商被黑客袭击或发现云漏洞。 17

给“云”的保证

使用云资源能给多数企业带来高效益—但是每个人都应该一

直保持风险意识，要利用来自审计和法定群体的恰当资源及

专家，并随时做好准备回答以下问题：

• 安全性：

– 如何对静止状态和传输过程中的数据进行加密？

– 如何通过未经授权不得访问的方法来保护数据？

– 如何销毁数据？

– 如何处理云供应商的内部安全？

. 管理控制

. 物理控制

. 逻辑控制

– 出现漏洞情况时企业有哪些权利和能力（如审计的权利、

进行取证调查的能力）？

– 通知用户安全漏洞时云供应商有哪些报告义务？（例如 对损坏进行赔偿）

– 云供应商采取哪些措施来预防攻击？

– 云供应商要求企业进行哪些防护动作？

– 云供应商如何向其客户确切演示并传达其安全程序？

– 云供应商给予用户多少权利来执行他们自己的保证程序，

如安全扫描或审计？

– 云供应商如何处理数据隐私的重叠操作或相互矛盾的州际

法规？

• 服从：

– 云供应商应达到哪些服从标准？

– 移动“云”之前、之间及之后如何保证服从标准？

– 有哪些第三方保证文件（如 SAS 70、 WebTrust、 SysTrust 等）可用来保证遵从性？

– 企业如何跟踪其数据的物理位置来实现服从标准（如，某

些法律防止数据存储于某些国家）？

– 除了数据安全之外，向企业提供哪些文件保证其遵守法规

如美国萨班斯·奥克斯利法案的要求？ – 维持所需的内部控制及服从以符合数据要求的水平，企业

做好准备了吗？

– 企业提供的内部控制及程序相关信息过多从而危及业务的

临界点是什么？

• 可用性：

– 正常运行时间能保证多长？

– 是否有保证的服务水平？由谁进行监督？如果未实现保证

的服务水平将进行哪些赔偿？

– 现在可以通过网络获得所有服务，企业是否能为其员工

提供足够的带宽，而且/或者云供应商是否有足够的能力

和带宽来满足企业需求？

– 服务会受非相关云用户（如硬盘驱动器命令）的活动干 扰吗？

– 如何隔离客户之间的信息？

– 云供应商如何保证可用性？

– 因服务中断或服务问题导致的业务损失达到何种程度时云

供应商须承担经济、法律或其他责任？

– 一旦具备云基础设施，企业需制定哪些进行灾难恢复和保

持业务连续性的计划？

4ISACA 期刊 2011 年第 3 期

• 操作：

– 企业如何监控“云”的负载和性能？

– 云供应商如何向企业保证”云“使用的公正性？

– 允许使用哪些工具来监测”云“的安全性？

• 整个项目：

– 由谁来担任先前所述领域的独立审计师？

– 多久进行一次审计？

这些是考虑使用云供应商时应该询问的最基本问题，企业

应做好准备逐一进行深入的技术、法律及商业谈话。就一切

而论，云计算供应商任何不确定或否定的回答都可以构成交

易失败的因素，因为一个小小的控制缺失都可能毁掉一个企

业的所有数据。

结论

随着云计算继续推进信息处理、数据存储和跨境沟通的主流，

不断审查数据风险并保持确定的威胁与数据价值的水平相当是

至关重要的。云计算基础设施价值巨大：通过数据可用、客户

关系管理及降低的硬件开支和基础设施支持大大节省了费用，

但是漏洞或丢失数据产生的费用及潜在的监管机构罚款、民事

诉讼和名誉损失轻易就超过了所有节省的费用。请记住，企业

永远有责任保密数据、维护数据完整、保证数据可用、履行法

律法规规定的义务，不要迷失在“云”中。

5 ISACA 期刊 2011 年第 3 期

尾注

1 见微软发布的案例研究 (www.microsoft.com/en-us/cloud/tools-resources.aspx?CR_CC=200010704&WT.srch=1&WT.mc_id=A8A7CD18-DA39-4EEE-81FC-BA7440F28341&CR_SCC=200010704#casestudy) 及 VMware 提供的信息 (www.vmware.com/solutions/cloud-computing)。

2 联邦调查局，“Internet Crime Trends—The Latest Report”，美国，www.fbi.gov/news/stories/2011/february/internet_022411/internet_022411。

3 计算机安全协会，http://gocsi.com/sites/default/files/uploads/Surveyand%20webinar%20PR%202010.pdf

4 见 www.bankinfosecurity.com、www.ftc.gov、www.first.org、www.cloudsecurityalliance.org 及 www.cloutage.org。

5 阿尔迪，“ALDI Notifies Customers of Tampered Payment Card Terminals，”新闻报道，2010年10月1日， www.aldifoods.com/us/media/company/company/Press_Release.pdf

6 Jewell, Mark；“TJX, Visa Reach $40.9M Settlement for Data Breach,” 今日美国，2007年11月30日，

www.usatoday.com/money/industries/retail/2007-11-30-tjx-visa-breach-settlement_N.htm

7 McGlasson, Linda；“Heartland Payment Systems，Forcht Bank Discover Data Breaches，”BankInfoSecurity.com，2009年1月21日，www.bankinfosecurity.com/articles.php?art_id=1168

8 Yen，Hope；“VA Agrees to Pay $20 Million to Veterans in 2006 Data Breach，”Boston.com，2009年1月28日，

www.boston.com/news/nation/washington/articles/2009/01/28/va_agrees_to_pay_20_million_to_veterans_in_2006_data_breach

9 见开放安全基金会，http://datalossdb.org/incidents/3062-2-500-customers-names-and-addresses-exposed-on-the-web。

10 见开放安全基金会，http://datalossdb.org/incidents/30-up-to-500-000-credit-card-numbers-exposed。

11 云安全联盟，“Security Guidance for Critical Areas of Focus in Cloud Computing V2.1，”美国，2009， www.cloudsecurityalliance.org/guidance/csaguide.v2.1.pdf

12 Ponemon, Dr. Larry; “Five Countries:Cost of Data Breach,” Ponemon Institute LLC，2010 年 4 月 19 日修订版， www.ponemon.org/local/upload/fckjail/generalcontent/18/file/2010%20Global%20CODB.pdf

13 Masters，Greg：“Rite Aid to Pay $1 Million Fine for HIPAA Violation，”SC 杂志，2010 年 7 月 28 日，

www.scmagazineus.com/rite-aid-to-pay-1-million-fine-for-hipaa-violation/article/175729

14 Op cit，Jewell，Mark 15 Santalesa，Richard L.：“Health Net Agrees to $250,000

Fine and ‘Corrective Action Plan’ to Settle Loss of PHI，”信息法律集团，2010年7月21日， www.infolawgroup.com/2010/07/articles/hitech-1/ health-net-agrees-to-250000-fine-and-corrective-action- plan-to-settle-loss-of-phi

16 Hennessy-Fiske，Molly：“Six California Hospitals Fined for Medical Record Security Breaches，”洛杉矶

时报，2010年11月19日 http://latimesblogs.latimes.com/lanow/2010/11/hospital-fines.html

17 见开放安全基金会，http://cloutage.org/incidents?reported_year=2010.