影子IT扩大安全风险

　　目前，云计算所遭受的质疑声中，最受关注与最大的挑战便是安全。众多研究报告指出安全是阻碍企业迈向云计算的首要因素。同时对于众多中国企业，出于长期自建自用IT资源的思维所致，当前对云计算服务模式接受度并不高，对数据安全性、泄露风险等顾虑重重。这在李刚看来，其实可以转化为企业如何衡量企业IT部门与业务部门的价值比重问题。

　　“企业决策者需要考虑IT系统本身的价值和首要价值是什么，其次，明确企业自身提供的核心价值输出是什么。”李刚表示，当IT部门是企业竞争力的重要体现时，可以通过云的方式将非核心价值部分交付给云服务供应商，从而可以集中更多资源集中在竞争价值上。

　　企业通过云计算服务模式使其不用担心自建IT设施所花费成本，并提升信息化水平，对于厂商、供应商而言，也能创造更多的市场机会，是一个双赢的选择。但鉴于云计算仍处于发展初期阶段，还需要一段时间进行企业思维模式转换及市场培育。

　　同时对于即将或已将进入云的企业而言，企业需要意识到云进入到企业内部后为企业带来的安全管控变化。目前随着企业可以选择的云服务逐渐增多，并且比传统IT系统使用起来更为方便，并有利于公司业务的快速响应，一些企业部门、个人便放弃了需要长时间开发的传统IT服务，转投立即使用的外部云端服务。源于此，也出现了许多不受IT部门管控的影子IT服务（ShadowIT）。这在李刚看来，这些影子IT并没有融入企业IT治理的合规流程，在将企业数据托管在云端服务器的过程中，合规评估、风险评估将变得十分困难。

　　在上述情况下，企业既不能不允许采用影子IT服务，因为很可能竞争对手也正在采用此类云服务以提高生产效率，但采用后，又存在许多潜在隐患。“这便需要一种折中的方案，使得企业内部有能力将自身的IT管理、遵从方法扩张到云上去。”李刚表示，目前赛门铁克针对这样的需求已有相应解决方案，其实质是一种云安全网关。企业内部员工在使用云服务，通过企业网络连向外部时，其就能够识别出使用的云服务，然后对云服务进行管控，并查看部门和员工使用云服务的过程中，是否符合公司的安全的策略，是否有信息未经审批透露出去等。

　　法规缺失制肘云服务普及

　　另外，企业对云服务模式采用的增加还有赖于法律、法规环境的进一步加强。对于企业而言，将非核心业务交付给云供应商后，需要法律、法规对于服务水平、安全性、可靠性以及服务中断等问题及责任进行界定，但目前区别于美国等地，对信息服务有明确的规章制度，目前我国相关法律、法规建设还在摸索阶段。