云计算安全风险因素挖掘及应对策略[摘要]云计算作为一种全新的服务模式，其特点决定了它面临着比传统网络和信息安全更多的安全风险问题，且该问题已成为制约云计算发展的重要因素。介绍了云计算体系结构及特征，分析了云计算安全风险研究现状，重点剖析了云计算技术和管理的安全风险因素，并给出应对策略，可供云服务商、云用户和云监管机构参考或借鉴，对云计算的进一步发展具有一定的指导意义。[关键词]云计算；云安全；技术风险；管理风险DOI：10.3969/i.issn.1008-0821.2015.01.016[]TP393.08[文献标识码]A[]1008-0821（2015）01-0085-06云计算（CloudComputing）是由网格计算（Gridcomputing）、网络存储（NetworkStorageTechnologies）、虚拟化（Virtualization）、负载均衡（LoadBalante）等传统计算机和网络技术发展融合的产物。云服务提供商（CloudServiceProvider）将计算、存储、硬件、软件等资源聚集在“云中”，构成一个庞大的资源池为用户提供各类服务，与传统的网络服务相比，云计算体现出了众多的优势：（1）计算和存储能力强。云计算是一个庞大的服务器集群，赋予了用户强大的计算和存储能力。（2）按需服务。用户只需根据自身的业务需求，选择相应的服务，付费即可使用所需资源。（3）云计算降低了企业成本的投入。企业无需购霞硬件、软件等资源，通过购买云服务即可使用资源，大大的降低了成本的投入。然而，云计算拥有很多优势的同时也存在许多安全隐患和风险问题，而且较为突出。2009-2011年，谷歌APPEngine、亚马逊云服务每年均出现服务中断故障。2012年，微软的WindowsAzure部分服务由于设置问题导致所有集群的服务管理功能不可用。2013年，苹果iCloud、Dropbox、CenturyLink、Telstxa等云服务均出现故障。普遍认为安全和风险问题是制约云计算发展的首要因素。鉴于此，本文在分析云计算体系结构和特征及其安全风险研究现状的基础上，系统深入地剖析了云计算技术和管理两方面的安全风险，并给出应对策略。1.云计算体系结构及特征云计算为用户提供各种各样的服务，按照服务类型可以划分为3个层次：（1）基础设施即服务（InfrastructureasaService，Iaas），运营商将计算、存储等资源作为服务提供给用户，用户通过Interact即可获得完善的服务资源。（2）平台即服务（PlatformasaService，Paas），将完整或部分应用程序软件研发平台作为服务提供给用户。（3）软件即服务（SoftwareasaService，SaaS），运营商将软件安装分布在云端，并以服务的方式提供给用户，用户只需通过Intemet访问即可使用。云计算体系结构如图1所示。云计算最明显的特征就是将资源虚拟化和服务化。（1）虚拟化是指资源的抽象化，其中虚拟技术是云计算的关键技术，将所有的服务器等基础设施以及网络整合到统一的平台上，系统根据用户选择的服务类型动态的分配资源，提供强大的计算和存储能力。（2）服务化是指云计算以服务为核心，其将数据、软件、存储等资源都整合到“云端”，用户使用简单的终端设备，通过网络即可获得云端的服务，并由云服务商进行维护和管理。由云计算体系结构及特征可以看出，用户在使用云服务时，数据、存储、应用等一切均在云端，即在用户掌控范围之外的云服务商手中，云服务商对用户数据具有优先访问权，故风险问题油然而生，它除了存在网络和信息安全的传统风险之外，还有云计算特有的风险。2.云计算安全风险研究现状2008年，美国研究机构Garm～3j发布了《云计算安全风险评估》研究报告，提出了云计算存在的七大风险。Zissis等人从安全的角度介绍了许多的信息安全风险和挑战。RichardBlandford等人简单分析了云计算环境下用户的信息安全和解决措施。张伟匡等人从网络、员工、法律和政策四个方面来探究云时代企业竞争情报面临的安全问题，并在此基础上提出一系列对策及建议。聂元铭等人对云计算的信息安全现状进行了简要分析，提出了相应的安全建议。房晶等人重点介绍了云计算的安全技术。海然简要分析了云计算的安全需求，重点识别了云资产，并提出云特定的脆弱性和云计算环境面临的风险。蒋洁介绍了云数据隐私侵权风险的动因，并提出矫正策略。王婷等人对2008-20...