近几年，随着虚拟化技术的日益成熟，云计算技术呈爆发式增长。它不仅帮助企业提高了运营效率，并通过系统资源的整合，有效降低了硬件投资成本及能源消耗。但目前的现况却是：来自网络的攻击导致系统资源被恶意占用，这不仅给企业带来了极大隐患，也加大了系统能耗成本。面对严峻的形式，企业IT管理者必须采取有效的安全管控措施，打好这场云计算时代的“安全保卫战”。

外部威胁：减少网络攻击对系统资源的恶意消耗

根据研究报告，有63%的机构存在“僵尸计算机”。CNCERT(国家计算机网络应急技术处理协调中心)监测数据显示，2013年我国境内感染木马僵尸网络的主机为1,135万个，这些服务器均在未被察觉中与控制主机联系并消耗资源，甚至被用来发动网络攻击。2013年度僵尸流量激增了21%，并占所有互联网流量的61.5%；而ARP攻击、不恰当配置或病毒导致的网络风暴也造成大量的网络资源浪费。

此外，惠普在多个电商类客户的服务案例数据显示，电商网站的访问流量中，超过50%为恶意流量，包括爬虫流量、Web攻击流量等，这还不包括超大规模的DDOS攻击流量。网络设备、应用服务器、数据库服务器都需要消耗资源，处理这些非正常流量和请求。

IT系统总是竭尽所能地处理所有请求，而这其中大多数却是非正常业务所需，没有必要，甚至带来威胁。这些非正常的业务请求源自两个方面：其一为恶意攻击；其二为资源滥用，而本质上都是安全问题。无论是主机计算资源、网络带宽资源、应用处理资源、还是终端资源，减少这些非正常业务的处理请求，不仅可以保证IT对业务支撑的安全可靠性，更可以确保资源的合理利用，节省能耗。

内部管控：技术和管理双管齐下，强化企业安全防范能力

不管是恶意攻击还是资源滥用，强化信息安全工作都是有效的应对手段。我们建议通过技术和管理双管齐下，强化企业安全防范能力，降低由此带来的资源浪费和能耗成本：

• 首先，需要构建信息安全体系，应基于层次化和纵深防御思想，构建技术保障体系，通过涵盖物理环境、网络、系统、应用、终端、人员、数据安全等多个层面的信息安全技术手段，建设分级化的信息安全技术保障能力。从当前来看，应用安全和数据安全是多数企业的短板，而这两方面的问题往往造成较严重的安全隐患和大量非必要能耗，通过基于HP Fortify等应用安全评估产品，支持构建安全开发生命周期体系，综合使用数据加密、数据防泄漏、数据管理等数据安全解决方案，可以有效将其补强。传统安全领域的网络安全也应持续重视，尤其是互联网边界安全与异常流量分析管控，是必须重点关注的领域。

• 其次，应实施基于安全风险管理和持续改进的信息安全管理体系，其目标是实现信息安全策略、组织、运营体系的标准化、制度化和常态化运行。要针对IT环境实行安全节流，最重要的一点是全面实施可接受的使用准则，针对所有企业IT资源的使用，均应在明确定义的范围和原则下基于业务需求有序进行。

• 最后，应建设安全统一的管理平台，实现安全工作集中化运维、集中化管理、实现集中支持和集中响应，在日常安全运维、安全应急响应、日常安全合规方面明确工作内容和方法，实现安全运维与安全技术、安全管理的有机整合。基于此，可最大化地提升安全工作效率，减少安全工作本身资源消耗的同时，强化安全节流能力。

循序渐进，持续改进

非业务必要的IT处理，带来大量的资源浪费与能耗，强化信息安全工作可以极大地确保业务连续性并降低不必要的能耗。为了构建一个安全技术保障体系、实施信息安全管理体系和建设安全统一的管理平台，需要企业以安全促节流的三大关键要素为前提，基于业务发展和风险状态的变化不断演进。

无论是IT实践，还是信息安全的建设，都不是一朝一夕之功，在资源允许的前提下，循序渐进地改进是我们必须秉持的态度。未来，企业必须采取创新有效的信息安全管控手段，来减少成本和对环境的压力。提效不易，节流更难，这场云计算时代的“安全保卫战”，我们还有很长的路要走。