IT的演化已经从60年代的计算机处理和数据处理发展到如今的的数码时代。IT所提供的服务也从传统的收集和定义需求、运行IT基础设施发展到现今可以支持多服务的一个战略武器和业务发展平台。

今天，随着业务和技术演变得越来越复杂，出现了更多对CIO们的挑战，而CIO们要如何将职业道路走的完美，便成为诸多CIO们很难攻克的难题。DOIT特别专题将就CIO们如何应对云计算在企业应用中遇到的安全问题以及CIO如何应对自己角色改变等问题深入讨论。

云起云落云安全

云计算的日益兴起对企业自然带来了诸多显著的变化，然而企业也承担着大部分的云安全责任。Google Gmail邮箱爆发全球性故障;微软的云计算平台Azure停止运行;Rackspace云服务中断。一系列的云安全时间也在考验着CIO们的职场能力。因此给CIO们一些建议，希望企业在更好的利用云计算带来效益的同时也不会被云狠狠的算计一次。

1、从现有企业内部私有云计算及围绕云计算构建的安全系统和程序中学习

在过去十年中，大中型企业就已经建立了内部云计算，虽然他们并没有称其为云计算，而是称为共享服务，例如认证服务、供应服务、数据库服务或者企业数据中心(构建在相对规范的硬件和操作系统中。)

2、对很多IT业务流程的风险和重要性进行评估

迁移到云计算所节省的成本可能会比较容易计算，但是在计算机风险和成本的算术前，我们要先弄清楚风险究竟有多少。云供应商不会为企业做这方面的分析，因为这完全取决于业务流程的业务范围。成本相对较高的低服务水平协议(SLA)应用程序毫无疑问是云计算风险评估首先要评估的对象，另外，潜在的合规影响也需要考虑，因为监管机构规定有些数据和服务不能转移到公司外部或者国家外。

3、学习不同类型的云计算模型和类别

企业需要研究不同类型的云模型(公共、私有、混合)以及不同类别(SAAS、PAAS、IAAS)，因为这些不同类型的云模型的差异性与安全控制和责任有直接关联。

所以企业必须对这些云模型有自己的见解，从企业自身和企业风险评估的角度来分析。

另外，法律组织在这方面也发挥着重要的作用，因为保修和责任也将是重要的组成部分。

4、将企业的面向服务架构(SOA)设计和安全原则运用到云计算中

大多数企业近年来都在他们的应用开发部门运用了面向服务原则，云计算不就是面向服务么?云计算只是逻辑化的面向服务。高度分布安全实施的SOA安全原则，与集中安全原则管理和抉择，可以直接应用到云计算中。在云计算中使用SOA的原则不需要重新制定原则，而只要做些许转换。

5、把自己当作云供应商

虽然大多数企业从开始就会将自己当作云消费者，但是不要忘记企业也是服务供应商：企业向客户和合作伙伴提供服务。把自己当作云供应商来思考问题，能够帮助企业更好的了解云计算供应商。

6、从现在开始熟悉并开始使用web安全标准

web安全行业长期以来都致力于对保护和管理跨域系统方面的研究，从而也产生了很多有用的安全标准来确保云服务的安全性。只有运用这些标准，安全系统在云世界中才能有效运用。这些标准包括安全断言标记语言(SAML)，服务供应标记语言(SPML)，可扩展访问控制标记语言(XACML)以及web服务安全(WS-Security)。