在《云安全框架：目前狀態(tài)》的文章中，討論了系統(tǒng)工程和管理的原則，這種原則的前提是很簡(jiǎn)單的：

-任何系統(tǒng)的邊界都是由參與其中的各方的集體觀念而定義的，雖然有時(shí)候是錯(cuò)誤的。

-相關(guān)工作越復(fù)雜，就需要更多的交互，和更復(fù)雜的解決方案

-如果你試圖專注于系統(tǒng)的單個(gè)技術(shù)或者業(yè)務(wù)部分，而排出其他部分，那么，相關(guān)工作的成功和有效性將會(huì)受到影響

將這個(gè)原則應(yīng)用到安全投資，你會(huì)發(fā)現(xiàn)，如果企業(yè)想成功地解決云安全的各種挑戰(zhàn)，它必須保持整個(gè)生態(tài)系統(tǒng)的一致性。不協(xié)調(diào)的單個(gè)組件可能造成更大的損失，這也是現(xiàn)在大多數(shù)企業(yè)安全戰(zhàn)略面臨的問題。考慮到這一點(diǎn)，讓我們看看圖1，并想一想安全成本應(yīng)該如何計(jì)算。

在一個(gè)典型的企業(yè)，你所看到的安全成本是直接安全成本，這些可以量化的費(fèi)用包括人員、設(shè)備和軟件。

另一個(gè)成本是間接安全成本，雖然仍然可見，但卻很難量化，這包括培訓(xùn)、生命周期成本（例如設(shè)備和軟件）以及管理費(fèi)用。事實(shí)上，安全生命周期成本是進(jìn)行智能投資的最大障礙之一。

低效成本通常不容易識(shí)別，很難被量化，即使是在封閉式系統(tǒng)（例如，典型的非基于云的框架），這包括從使用和維護(hù)過時(shí)的硬件和軟件到過度保護(hù)資源抵御不存在的威脅等。這個(gè)成本對(duì)于云安全以及安全策略的有效性非常重要，我們將在第二部分進(jìn)行討論，現(xiàn)在讓我們將重點(diǎn)放在你的企業(yè)如何決定如何保護(hù)數(shù)據(jù)上。

在根水平，數(shù)據(jù)安全主要是關(guān)于兩件事情：風(fēng)險(xiǎn)和信任。

風(fēng)險(xiǎn)

風(fēng)險(xiǎn)由兩部分組成，接受和管理：

-接受：平衡威脅和可接受風(fēng)險(xiǎn)水平

-管理：保護(hù)真正需要保護(hù)的數(shù)據(jù)

如果你看一下現(xiàn)在很多企業(yè)使用的模型，你會(huì)發(fā)現(xiàn)，接受比有針對(duì)性的數(shù)據(jù)管理更加重要。為什么是這樣？安全成本是沉沒成本，由幾種成本組成。管理有效性成本從來(lái)沒有被質(zhì)疑過，至少在數(shù)據(jù)泄露發(fā)生前，這種情況否定了企業(yè)積極管理特定數(shù)據(jù)安全水平以及相關(guān)成本的必要性。而在一個(gè)成熟的云社區(qū)，情況可能并不是這樣。將數(shù)據(jù)分為重安全需求和輕安全需求意味著你需要弄清楚你要為這些需求支付多少成本。

現(xiàn)在，很多企業(yè)均勻的部署安全策略，而不管數(shù)據(jù)的真正價(jià)值。這意味著面對(duì)真正的威脅，將很難計(jì)算數(shù)據(jù)真正成本。

信任

如果你從純技術(shù)的角度來(lái)考慮信任（安全）作為補(bǔ)救措施和基礎(chǔ)設(shè)施的一個(gè)因素，你將永遠(yuǎn)無(wú)法與你的業(yè)務(wù)建立信任關(guān)系。這對(duì)于封閉安全系統(tǒng)可能行得通，但在一個(gè)成熟的云社區(qū)就行不通了。這不可避免的向我們提出了一個(gè)問題：如果無(wú)法贏得信任或者信任被破壞，信任是否可以購(gòu)買。在短期內(nèi)你可能無(wú)法購(gòu)買信任，你需要意識(shí)到你可能需要為其支付高昂的費(fèi)用，你更應(yīng)該使用更傳統(tǒng)的方法通過更廣泛的生態(tài)系統(tǒng)來(lái)建立信任。