安全公 司Sophos的2013年威胁报告警告称，企业在部署云服务时，将面临新的数据安全风险。企业应该在合同谈判阶段就解决这些风险，也就是在数据转移到服 务供应商的大规模数据中心之前。该安全公司高级安全顾问Chester Wisniewski表示，在某些情况下，云服务增加了企业的攻击面，并且，削弱了已有的安全控制和政策。

    Wisniewski表示：“企业应该多花时间与律师沟通，以确保企业的所有需求都得到满足，同时，确保合同中明确列出企业的所有要求，这样，当发生事故时，双方都知道自己的责任所在。”他表示，企业在部署云服务时需要考虑三个问题。

    1.如何防止信息泄露？

    Dropbox等服务使员工能够轻松地存储和 共享包含企业数据的文档。最初企业试图“镇压”第三方服务（例如Dropbox），但现在企业开始接受这些服务，同时添加了控制（例如加密）以确保敏感数 据不会落入坏人手中。Wisniewski表示，企业应该正确部署数据保护安全技术，并使用户的操作简单，他表示，“你需要确保数据在上传到云端前是安全 的。”

    Wisniewski认为，基于云计算的服务能够增强企业原本“支离破碎的”数据安全办法。企业可以通过多种方法部署安全控制，确保员工能安全地使用移动 设备访问数据或者远程进入云中系统。一款苹果iPad应用可以提供加密和解密功能以多一层保护，通过这种应用，他表示：“财务、销售和营销人员不必具备高 超的加密技术就可以保护数据。”

    2.在合同要求中，是否规定云供应商需要接受适当的审查，是否明确了安全标准？

    有针对性的攻击者已经了解到，业务合作伙伴（通常是服务于大型企业的小企业）是进入大型企业网络的“突破口”。 Wisniewski表示，航空航天和国防行业的零部件制造商、运输商和供应商都可能被攻击者利用。“网络罪犯已经意识到，大型企业的业务合作伙伴通常都 是小公司，他们的安全防线松懈，但仍然是大型企业受信任的实体，这已经成为一个真正的问题。”

    合同中应该明确企业可以检查第三方的系统是否已经经过审查，以及是否具有适当的安全控制。云供应商应该提供证据证明他们符合安全标准，并提供一种机制允许企业进行独立测试。Wisniewski表示：“有些企业在信用卡泄露事故的数月内才进行PCI评估，最后的结果显示合规性没有得到应有的重视。”

    数据保留、故障转移、事件响应程序、系统监控和维护都应该在合同协议中进行明确地规定，以确保当企业与云服务供应商的关系有变化时，企业有办法取出数据，并转移到另一个供应商处。