云存储和在线文档的安全使用规范——企业数据上云的正确姿势
越来越多的企业把数据搬到了云端。云存储方便、协作高效、成本低,但数据不在自己的物理服务器上之后,很多人心里其实没底——数据真的安全吗?会不会被云服务商看到?被黑客攻破了怎么办?这些问题不搞清楚,数据上云就是一个巨大的风险敞口。关于企业云存储的安全使用,有几个要点需要明确。
选择云服务商的几个标准。不是所有的云服务都一样安全。选择云服务商时,建议关注以下几个指标。第一,数据中心的位置。如果数据存储在境外,需要考虑数据出境的合规要求。建议企业优先选择数据中心在中国境内的云服务商。第二,加密方式。服务商是否提供数据加密存储、传输加密、密钥管理服务?数据加密是云存储安全的基础,没有加密的云存储等同于公开存放。第三,访问审计。服务商是否提供详细的访问日志?能否记录谁在什么时间从哪个IP访问了什么文件?没有访问审计的云存储,出了事你根本查不到是谁的问题。
文件的上传和分享管理。企业使用云存储时,最容易出问题的环节是文件分享功能。很多员工把公司文件上传到云盘后,生成一个公开分享链接就发给别人了。如果这个链接没有设置密码和有效期,文件就等于长期暴露在互联网上。建议企业制定云盘分享规范:外部分享必须设置提取密码,必须设置分享有效期,不允许创建"所有人可访问"的公开文件夹。
团队协作文档的权限管理。在线协作文档平台(飞书文档、腾讯文档、金山文档、语雀等)已经成为很多企业的标配。这些平台的权限管理有一个常见的误区:创建文档后默认"团队内所有人可编辑"。如果创建者在文档中写入了敏感信息,全团队的人都能看到,包括不应该接触到该信息的人。建议养成习惯:创建涉密文档时第一时间修改权限为"仅指定人员可访问"。定期清理文档的共享权限列表。
账号安全。账号被盗是云存储数据泄露的最常见原因。建议采取以下措施:所有员工开启两步验证,使用强密码且定期更换(建议每九十天更换一次),离职员工的账号在离职当天停用并转移数据。一个不好的习惯是多人共用一个云存储账号——这等于给所有人开了一扇通往所有数据的门。如果发现有人共享账号,应该立即制止。
数据备份和恢复。云存储服务商通常会对数据进行备份,但备份的机制和周期各家不同。建议企业了解云服务商的备份策略:备份频率是多少、备份数据是否加密、备份数据是否存在不同地域的数据中心、能否做自助恢复。如果云服务商提供的备份服务不满足企业的需求,建议企业自己做一份额外的离线备份。
云存储中的"影子IT"问题。所谓影子IT,是指员工未经IT部门批准自行使用的云服务。比如员工个人注册的百度云账号、个人开通的iCloud、个人使用的微信传输文件。这些"影子IT"服务的公司数据不受企业管控,一旦账号被盗或者服务商出现问题,企业无从追查。建议企业在内部明确规定:公司文件只能使用经批准的云存储服务,禁止使用个人云盘同步工作文件。同时,在技术上对个人云盘的域名做访问限制。
最后一个建议:数据上云不是终点,只是起点。数据上云之后,加密、权限管理、访问审计、账号安全、备份恢复,每一项都需要持续管理。把数据搬上云只花了几天时间,但管好云端的数据需要一直投入精力。
北京企密安信息安全技术有限公司 企业信息安全咨询:010-63711822 / jess@baomiwang.com
