云计算下的数据安全，一直是广泛受关注的热点话题之一，其实在信息安全防泄密方面，除了技术本身的支持以外，关键还需要相关人员有防泄密的安全意识，内部人员应该保持一种安全防范的紧迫感，只有这样，才能对企业信息化安全建设有良好的促进作用。

放眼整个云计算项目，一个信息安全漏洞就足以使一整个项目流产，在现阶段，用户本身就对数据存放于云端不够信任，我们正在努力培养云服务的意识。所以说，安全问题，绝对是一个值得大家认真思考，不容易忽视的重要话题。弘软科技旗下数据安全防泄密方案，有特别针对大数据下信息安全防范的一个方案，有需求者可以咨询。以下是引用互联网上关于云计算安全的一些理论探讨，仅供参考。

企业在一中理论的环境中对云安全进行评估时，大多数的问题都会出现。少数业务会着眼于在云端运行一个完全新的应用;他们期望迁移现有的应用。这也意味着他们不应该将安全看作是应用的全部，而是他们目前的数据中心托管相对的云安全。

听过这种视角，关注云数据安全意味着确定一种可接受的风险。安全管理和所有形式的风险管理一样，是一种和成本比较的风险权衡。这对于衡量目前运行在当下数据中心的应用相关的风险而言很重要，而且担心云风险要比已经接受的风险大多了。这样做将确保云安全成本不会破坏云端业务用例，有时候这些事情很容易发生。

传统上应用在三个层级上是安全的：网络拦截、应用访问和物理数据安全。研究每一个项目，关注云可能会改变目前的哪些现有流程。

网络拦截。网络拦截是一种未授权人通过监控网络流量查看机密数据的风险。拦截风险在应用通过无线、3G或者4G进行无线访问应用时是风险最高的，但是在大多数情况下，将云转移到云端并不会改变无线的使用。如果企业期望基于云的应用更多地通过共有Wifi热点访问，SSL加密应该能够保护整个信息流。对于通过浏览器访问的应用，提供一种安全的HTTP URL，但是要记住应用使用自定制客户端软件可能必须修改接受SSL加密连接。

秘钥管理是确保云端应用安全的最大问题。大多数通用实践是在应用镜像中存储一个应用的安全密钥。如果在云应用中使用，这个密钥就会成为存储在云提供商中的机器镜像的一部分，可能会被某些访问机器镜像存储的人窃取。使用公共密钥存储服务或者技术，要确保密钥永远不会用应用代码或者数据存储在云端。

应用访问。云端访问安全是一个关注重点，但是通常并不是增量的风险。如果用互联网访问应用，通过互联网访问云端同样的应用不会增加风险，当然假定可以管理SSL和加密密钥。如果试图用虚拟私有网络访问替代内部互联网访问，可能会出现问题，尤其是创建互联网VPN。

互联网VPN通常使用IPsec加密系统，不同于SSL，它创建了一个用户社区，这些流量通过软件或者硬件在用户和网络之间加密或者解密。企业在自己的内部 VPN使用IPsec时，对于云端并不会有额外的风险;然而，云提供商通常不支持增加安全设备到其云数据中心中，因此软件设备可能需要支持IPsec VPN连接到每一个云应用上。典型的，这将会成为每一个应用的机器镜像的一部分，一种中间件。检查目前的IPsec提供商，确保有一个和云兼容的IPsec代理可用。

物理数据安全。物理数据安全是大多数用户最关心的，也是计划者最难解决的一个问题。如果机密信息存储在云端，验证云提供商的安全认证就很关键。有很多云安全法规框架，最着名的的云安全联盟(CSA)开放认证框架(OCF);然而，并没有发展成熟。如果你计划将机密信息存储在云端，确保你的提供商提供的是哪一种框架，以及是否很好的符合你的需求。对于计划者最大的问题是确定是否云提供商的矿建支持你的法规遵从指南和治理规则，这些应该有企业的内部审计员或者法规部门完成复核。

减少云项目中的物理安全问题很有必要，主要通过排除将机密数据存储在云端。如果应用使用结构化数据(DBMS/RDBMS查询流程)，而不是块级I/O，就有可能将应用转移到云端，同时数据在内部存储。

对于云计划者而言，独立审计是另一个需要考虑的内容，也是研究云数据安全的一个选项。企业服从于严格的法规需求可能需要一个独立资源的云战略认证。如果企业内部IT有一个法规遵从审计公司，这个公司很能是最安全的云法规和安全审计公司。如果你没有，就要做一个云提供商和安全法规遵从审计公司要求的矩阵。找出最佳的三个，并向其寻求竞价。

弘软信息安全咨询师林超先生强调，其实，不论是大数据下，还是云计算，或者仅仅是几十号人的小企业内部服务器上的数据安全。都是不容忽视的。企业在做信息化规划时，必须充分考虑到信息资产存在的潜在安全威胁，做好数据防泄密工作。目前，除了防止来自网络层面的攻击以外，对于内部人员，做好层级权限管理、部署文档加密软件也是迫切需要解决的事情。