云计算以其灵活可扩展、更短的部署周期、按需付费节省成本等优势吸引着各类行业企业的关注和采用，与此同时，云也吸引着网络罪犯的注意，成为网络攻击者眼中的潜在金矿。据安全公司赛门铁克近日发布的一项针对企业数据安全现状的调研报告显示，云安全是中国首席信息安全官（CISO）最担忧的问题。

该调研由赛门铁克发起，由韦克菲尔德研究中心对员工超过250名的公司的1100名首席信息安全官进行调研，主要关注大中型企业的安全优先级，结果显示中国首席信息安全官更关注自身企业是否具备快速应对网络攻击的能力。赛门铁克首席运营官罗少辉为我们进一步解读了该调研报告。

赛门铁克首席运营官罗少辉

92%受访CISO：确保云应用合规是最大工作挑战

调查显示，绝大数的CISO(92%)认为，确保云应用符合合规要求是他们所面临的最大的工作压力之一。在行业合规性方面，中国CISO最担心自身企业是否能够充分跟踪已批准的云应用中的活动(29%)，以及公司员工是否使用未被批准的云应用(23%)。

此外，中国CISO针对云安全的担忧还包括：在云应用中广泛分享合规所管控的敏感数据 (21%)，对企业所属移动设备的管理(16%) 以及遵守国家和地区特定的数据保留和管理条例(11%)。

随着云应用的广泛部署，以及企业缺乏对高风险用户行为的深入了解，进一步导致了更大范围的面向云的网络攻击。根据赛门铁克调研显示，中国CISO预计，自身企业所使用的基于云的应用中，平均30%为未经批准的应用，或者为“影子应用”。不仅如此，70%的受访CISO认为，无论是有意还是无意，企业CEO在某些情况下可能破坏了企业的内部安全协议。

中国CISO在2017年最关注的企业外部威胁主要包括：数据泄露(30%)、系统漏洞利用(23%)、身份认证及证书破坏(20%)。除此之外，CISO最关注的内部威胁包括：员工违反安全合规要求(26%)、不安全的企业应用(22%)、数据丢失(21%)。

如何应对？部署端到端安全方案

尽管企业采取不同的安全保护措施，但安全挑战依然存在，企业愈发难以对敏感数据进行跟踪，并应对来自监管要求的巨大压力。调研显示，为了加强信息安全，所有受访的中国CISO均表示计划在今年增加IT人员安全培训的支出，确保企业数据在本地系统、移动应用和云服务之间传输的安全性。值得一提的是，中国CISO所计划的支出高于所有其他受调研的国家。

对数据安全、满足合规性和数据保留等方面的需求，促使中国CISO寻找加密和/或标记化方案。调查显示，80%的受访者表示使用标记化方法；77%的受访者则使用加密技术来保护云中数据；60%的受访者表示自身企业同时使用加密技术和标记化方法。且与其他受访国家相比，中国CISO采用标记化方法的比例更高。

网络攻击者随时准备发动网络攻击，并利用合法的操作系统、工具和云服务中的漏洞来破坏企业网络。在此情况下，企业应致力消除潜在漏洞、提高可见性与管控能力，对用户通过云上传、存储和共享的敏感内容进行管理、减少对一次性修复与被动打补丁的依赖，并积极部署端到端安全解决方案，以消除可被利用的潜在漏洞和威胁。

为保企业借助云计算进行数字化转型成果不被网络攻击者破坏，企业在部署云服务之初就需要将云安全问题考虑在内，并通过部署整合的安全方案为企业的数据资产护航。