云計算安全風(fēng)險因素挖掘及應(yīng)對策略

姜茸　馬自飛　李彤　張秋瑾

[摘要]云計算作為一種全新的服務(wù)模式，其特點決定了它面臨著比傳統(tǒng)網(wǎng)絡(luò)和信息安全更多的安全風(fēng)險問題，且該問題已成為制約云計算發(fā)展的重要因素。介紹了云計算體系結(jié)構(gòu)及特征，分析了云計算安全風(fēng)險研究現(xiàn)狀，重點剖析了云計算技術(shù)和管理的安全風(fēng)險因素，并給出應(yīng)對策略，可供云服務(wù)商、云用戶和云監(jiān)管機構(gòu)參考或借鑒，對云計算的進一步發(fā)展具有一定的指導(dǎo)意義。

[關(guān)鍵詞]云計算；云安全；技術(shù)風(fēng)險；管理風(fēng)險

DOI：10.3969/i.issn.1008-0821.2015.01.016

[中圖分類號]TP393.08 [文獻標識碼]A [文章編號]1008-0821（2015）01-0085-06

云計算（Cloud Computing）是由網(wǎng)格計算（Grid computing）、網(wǎng)絡(luò)存儲（Network Storage Technologies）、虛擬化（Virtualization）、負載均衡（Load Balante）等傳統(tǒng)計算機和網(wǎng)絡(luò)技術(shù)發(fā)展融合的產(chǎn)物。云服務(wù)提供商（Cloud Service Provider）將計算、存儲、硬件、軟件等資源聚集在“云中”，構(gòu)成一個龐大的資源池為用戶提供各類服務(wù)，與傳統(tǒng)的網(wǎng)絡(luò)服務(wù)相比，云計算體現(xiàn)出了眾多的優(yōu)勢：（1）計算和存儲能力強。云計算是一個龐大的服務(wù)器集群，賦予了用戶強大的計算和存儲能力。（2）按需服務(wù)。用戶只需根據(jù)自身的業(yè)務(wù)需求，選擇相應(yīng)的服務(wù)，付費即可使用所需資源。（3）云計算降低了企業(yè)成本的投入。企業(yè)無需購霞硬件、軟件等資源，通過購買云服務(wù)即可使用資源，大大的降低了成本的投入。

然而，云計算擁有很多優(yōu)勢的同時也存在許多安全隱患和風(fēng)險問題，而且較為突出。2009-2011年，谷歌APPEngine、亞馬遜云服務(wù)每年均出現(xiàn)服務(wù)中斷故障。2012年，微軟的Windows Azure部分服務(wù)由于設(shè)置問題導(dǎo)致所有集群的服務(wù)管理功能不可用。2013年，蘋果iCloud、Dropbox、CenturyLink、Telstxa等云服務(wù)均出現(xiàn)故障。普遍認為安全和風(fēng)險問題是制約云計算發(fā)展的首要因素。鑒于此，本文在分析云計算體系結(jié)構(gòu)和特征及其安全風(fēng)險研究現(xiàn)狀的基礎(chǔ)上，系統(tǒng)深入地剖析了云計算技術(shù)和管理兩方面的安全風(fēng)險，并給出應(yīng)對策略。

1.云計算體系結(jié)構(gòu)及特征

云計算為用戶提供各種各樣的服務(wù)，按照服務(wù)類型可以劃分為3個層次：（1）基礎(chǔ)設(shè)施即服務(wù)（Infrastructure as aService，Iaas），運營商將計算、存儲等資源作為服務(wù)提供給用戶，用戶通過Interact即可獲得完善的服務(wù)資源。（2）平臺即服務(wù)（Platform as a Service，Paas），將完整或部分應(yīng)用程序軟件研發(fā)平臺作為服務(wù)提供給用戶。（3）軟件即服務(wù)（Software as a Service，SaaS），運營商將軟件安裝分布在云端，并以服務(wù)的方式提供給用戶，用戶只需通過Intemet訪問即可使用。云計算體系結(jié)構(gòu)如圖1所示。

云計算最明顯的特征就是將資源虛擬化和服務(wù)化。（1）虛擬化是指資源的抽象化，其中虛擬技術(shù)是云計算的關(guān)鍵技術(shù)，將所有的服務(wù)器等基礎(chǔ)設(shè)施以及網(wǎng)絡(luò)整合到統(tǒng)一的平臺上，系統(tǒng)根據(jù)用戶選擇的服務(wù)類型動態(tài)的分配資源，提供強大的計算和存儲能力。（2）服務(wù)化是指云計算以服務(wù)為核心，其將數(shù)據(jù)、軟件、存儲等資源都整合到“云端”，用戶使用簡單的終端設(shè)備，通過網(wǎng)絡(luò)即可獲得云端的服務(wù)，并由云服務(wù)商進行維護和管理。

由云計算體系結(jié)構(gòu)及特征可以看出，用戶在使用云服務(wù)時，數(shù)據(jù)、存儲、應(yīng)用等一切均在云端，即在用戶掌控范圍之外的云服務(wù)商手中，云服務(wù)商對用戶數(shù)據(jù)具有優(yōu)先訪問權(quán)，故風(fēng)險問題油然而生，它除了存在網(wǎng)絡(luò)和信息安全的傳統(tǒng)風(fēng)險之外，還有云計算特有的風(fēng)險。

2.云計算安全風(fēng)險研究現(xiàn)狀

2008年，美國研究機構(gòu)Garm～3j發(fā)布了《云計算安全風(fēng)險評估》研究報告，提出了云計算存在的七大風(fēng)險。Zissis等人從安全的角度介紹了許多的信息安全風(fēng)險和挑戰(zhàn)。Richard Blandford等人簡單分析了云計算環(huán)境下用戶的信息安全和解決措施。

張偉匡等人從網(wǎng)絡(luò)、員工、法律和政策四個方面來探究云時代企業(yè)競爭情報面臨的安全問題，并在此基礎(chǔ)上提出一系列對策及建議。聶元銘等人對云計算的信息安全現(xiàn)狀進行了簡要分析，提出了相應(yīng)的安全建議。房晶等人重點介紹了云計算的安全技術(shù)。海然簡要分析了云計算的安全需求，重點識別了云資產(chǎn)，并提出云特定的脆弱性和云計算環(huán)境面臨的風(fēng)險。蔣潔介紹了云數(shù)據(jù)隱私侵權(quán)風(fēng)險的動因，并提出矯正策略。王婷等人對2008-2011年（截止2011年10月18日）4年來有關(guān)云安全方面的期刊論文共計103篇進行簡單的閱讀與整理，統(tǒng)計到10個集中的研究主題，如表1所示。

縱觀國內(nèi)外研究報導(dǎo)，可見，雖然近幾年人們對云計算安全風(fēng)險有所研究，但是研究成果較少。其中，對云計算數(shù)據(jù)存儲等技術(shù)方面的探討較多，但研究技術(shù)和管理安全風(fēng)險方面的文獻很匱乏。對于云服務(wù)提供商而言，成熟的技術(shù)固然重要，這是毋庸置疑的，它能降低云計算安全風(fēng)險，然而，即使運用成熟的技術(shù)開發(fā)出規(guī)模龐大的云計算平臺，但是缺乏嚴格的管理和監(jiān)督，同樣會帶來安全風(fēng)險，要降低云計算安全風(fēng)險，就必須正確認識云計算環(huán)境下技術(shù)風(fēng)險的主要因素和管理風(fēng)險的主要因素，將嚴密的技術(shù)與嚴格的管理緊密結(jié)合，從而達到降低安全風(fēng)險的目的。因此，本文將重點剖析云計算技術(shù)和管理兩方面存在的主要安全風(fēng)險因素。

3.技術(shù)安全風(fēng)險因素

在深入分析云計算體系結(jié)構(gòu)及特征和大量文獻的基礎(chǔ)上，我們認為云計算存在如下（如表2所示）技術(shù)安全風(fēng)險因素。

3.1虛擬化技術(shù)

云計算最關(guān)鍵的技術(shù)在于虛擬化技術(shù)的實現(xiàn)，云計算最主要的功能也實現(xiàn)于資源的虛擬化和服務(wù)化，云計算的虛擬化是構(gòu)成數(shù)據(jù)共享中心的核心，也是促使網(wǎng)絡(luò)異構(gòu)資源實現(xiàn)共享化、標準化、平臺化的核心。云計算的順利實施離不開虛擬技術(shù)的支持，虛擬技術(shù)使得云計算具有實時擴展性并且有效提升了服務(wù)器的利用率。然而，不安全的虛擬化軟件能夠造成用戶的非法操作和非法訪問，如果底層應(yīng)用程序存在安全漏洞，不法份子利用這些存在的漏洞入侵，入侵成功之后，能夠竊取用戶的數(shù)據(jù)，如：2009年5月，Vmware虛擬軟件的Mac版被曝光存在一個嚴重的安全漏洞，惡意人員可以利用該漏洞通過Windows虛擬機在Mac主機上執(zhí)行惡意代碼，從而竊取用戶的數(shù)據(jù)，嚴重的威脅了用戶的數(shù)據(jù)安全。endprint

3.2數(shù)據(jù)加密技術(shù)

對數(shù)據(jù)進行加密處理，主要是保證數(shù)據(jù)在存儲、傳輸、遷移過程中的安全性。數(shù)據(jù)加密可以采用對稱加密、公鑰加密等這些傳統(tǒng)的技術(shù)，這些加密技術(shù)相對較成熟。對數(shù)據(jù)進行實時加密，即使其他人獲取到數(shù)據(jù)，也無法使用，能夠降低數(shù)據(jù)泄露等風(fēng)險。但是，如果云服務(wù)商的加密算法脆弱，被黑客等不法份子破解，將直接導(dǎo)致用戶的數(shù)據(jù)泄露。其次，如果云服務(wù)商已采取成熟的加密技術(shù)，但是由于某些原因造成密鑰丟失，將導(dǎo)致用戶無法對自己的數(shù)據(jù)進行解密，造成數(shù)據(jù)毀壞或無法使用。

3.3身份驗證及訪問控制技術(shù)

身份認證和訪問管理（identity and Access Management，簡稱：IAM）是用來管理數(shù)字身份、資源訪問、審計的技術(shù)。云計算運營商必須引入嚴格的身份認證和訪問控制技術(shù)，確保系統(tǒng)的資源被合法用戶安全訪問和使用。如果云計算服務(wù)商的身份驗證技術(shù)及訪問控制技術(shù)存在缺陷或者安全漏洞，則用戶的登陸賬號、密碼可能被仿冒或者用戶越權(quán)訪問，從而造成用戶的數(shù)據(jù)或隱私泄露，這是數(shù)據(jù)泄露不可忽略的因素。

3.4數(shù)據(jù)銷毀技術(shù)

數(shù)據(jù)殘留是數(shù)據(jù)在被以某種形式擦除后所殘留的物理表現(xiàn)，存儲介質(zhì)被擦除后可能留有一些物理特性使數(shù)據(jù)能夠被重建。因此，云平臺中的數(shù)據(jù)銷毀技術(shù)如果無法徹底的銷毀用戶數(shù)據(jù)，意味著數(shù)據(jù)能夠被惡意恢復(fù)，一日，恢復(fù)將造成用戶數(shù)據(jù)泄露。其次，用戶將重要數(shù)據(jù)存儲在云中，運營商為了保證數(shù)據(jù)的安全性和完整性，必然對用廣I的數(shù)據(jù)進行一次或多次容災(zāi)備份操作，將備份數(shù)據(jù)存放在不同的服務(wù)器上，以便狀況發(fā)生時能夠及時恢復(fù)用戶數(shù)據(jù)，但是，當(dāng)用戶服務(wù)到期或由于某些原因和運營商終止合作時，如果備份的數(shù)據(jù)不能被徹底銷毀，在對服務(wù)器檢修或者更換時，未被銷毀的數(shù)據(jù)同樣面臨泄露等風(fēng)險。

3.5數(shù)據(jù)移植及接口

云計算將資源整合到“云中”，并通過API接口將服務(wù)提供給用戶，并且云服務(wù)的管理、配置和監(jiān)控都是通過接口實施的，這些API接口的安全性決定了云平臺的安傘性和可用性。不安全的接口和API暴露了云平臺存在的安令風(fēng)險，而通過不安全的接口和API惡意攻擊云平臺，成功幾率會大幅提高，威脅到云計算平臺的安全。其次，}1前接口、數(shù)據(jù)輸入輸出等方面的技術(shù)未形成一個統(tǒng)一的標準，運營商的云平臺所使用的操作方式和采用的接口技術(shù)往往是不同的，這就造成用戶將數(shù)據(jù)從一家云服務(wù)商遷移到另一家是不可行的，使得數(shù)據(jù)移植難以實施，在移植過程中甚至造成數(shù)據(jù)泄露或損壞的風(fēng)險。

3.6數(shù)據(jù)隔離技術(shù)

用戶眾多、數(shù)據(jù)繁雜多樣是云計算系統(tǒng)的一個特點，不同的用戶享有不同的數(shù)據(jù)，他們的數(shù)據(jù)可能存放于同一一存儲介質(zhì)上，不同用戶的數(shù)據(jù)之間應(yīng)該完全隔離，這樣能夠保證用戶數(shù)據(jù)的獨立性和安全性。但是，如果隔離機制脆弱或者隔離失敗，用戶數(shù)據(jù)的界限被打破，將會導(dǎo)致用戶非法訪問非自己的數(shù)據(jù)，造成其他用戶數(shù)據(jù)被窺探、盜取等安全風(fēng)險。

3.7數(shù)據(jù)切分技術(shù)

用戶將自己的數(shù)據(jù)加密之后上傳至云端，理論上可以保障數(shù)據(jù)的安全性和完整性，但是，如果不法份子獲取到用戶完整的加密數(shù)據(jù)，可以采用暴力破解的方法，可能會解密成功，從而獲取到有用的數(shù)據(jù)。所以，運營商通常會將用戶的數(shù)據(jù)進行切分，然后存儲在不同的服務(wù)器上，這樣做即使別人獲取到了數(shù)據(jù)，也無法得到完整的內(nèi)容。但是采用這種技術(shù)措施，如果設(shè)備出現(xiàn)故障或其他故障，可能會造成部分數(shù)據(jù)丟失，導(dǎo)致用戶的數(shù)據(jù)不完整。

3.8反病毒和入侵檢測技術(shù)

入侵檢測以及病毒、木馬的防護一直以來都是網(wǎng)絡(luò)安全的重要內(nèi)容，由于云計算平臺變得越來越龐大、病毒種類日益復(fù)雜、安全漏洞日益涌現(xiàn)，使得云計算平臺安全防護難度也隨之增大。由于云平臺存放著大量的用戶重要數(shù)據(jù)，對攻擊者來說具有較大的誘惑力，如果云平臺入侵檢測系統(tǒng)存在疏漏或者無法及時發(fā)現(xiàn)并隔離病毒，一旦攻擊者通過某種方式成功攻擊云系統(tǒng)或者遭到病毒感染，將會給運營商和用戶帶來毀滅性的災(zāi)難，嚴重的威脅云計算平臺的安全。美國Verizon 2013年度數(shù)據(jù)泄露調(diào)查報告（The Data Breach Investigations Report）顯示，2013年全球網(wǎng)絡(luò)入侵事件發(fā)生次數(shù)創(chuàng)下史上新高，數(shù)量同比猛增3倍，其次，2009年，Amazon的簡單存儲服務(wù)（簡稱S3）先后多次遭到黑客和木馬攻擊，造成服務(wù)中斷。由此可見，網(wǎng)絡(luò)入侵和病毒感染是一個日益重要的風(fēng)險因素。

4.管理安全風(fēng)險

除了技術(shù)安全風(fēng)險，云服務(wù)商的內(nèi)部管理也會存在許多安全風(fēng)險問題，造成泄密、服務(wù)器宕機等事故屢見不鮮。筆者凝練了如表3所示的若干管理安全風(fēng)險因素。

4.1物理設(shè)備管理

物理設(shè)備的正常使用和安全管理，能夠有效的保證云計算服務(wù)的正常進行，是云計算系統(tǒng)平臺安全最有力的保障和基礎(chǔ)。服務(wù)器、網(wǎng)絡(luò)、電源、網(wǎng)線、電線等均屬于物理設(shè)備，若云服務(wù)商缺乏嚴格的物理設(shè)備管理條列或者手冊說明，無法做到定期檢查并排除物理設(shè)備安全隱患，那么其中任何一個設(shè)備發(fā)生故障都將導(dǎo)致云服務(wù)中斷，造成無法估量的損失。表4列舉了部分運營商由于物理設(shè)備及其管理問題造成的安全事故。

4.2法律法規(guī)問題

云計算是一個龐大的服務(wù)器集群，這些服務(wù)器可能處于不同的地區(qū)或者國家，用戶將自己的數(shù)據(jù)上傳到“云中”之后，為了保證用戶的數(shù)據(jù)安全，這些數(shù)據(jù)可能被存儲在不同的服務(wù)器中，用戶完全不知道自己數(shù)據(jù)到底存儲在什么地方，由于目前云計算還沒有統(tǒng)一的法律法規(guī)標準，而眾多國家的法律是不同的，就導(dǎo)致不同的國家對數(shù)據(jù)的合法性判別不同，有些數(shù)據(jù)可能在一些國家會受到保護，在其他國家就無法受到法律的保護，一旦出現(xiàn)用戶數(shù)據(jù)泄露、丟失、服務(wù)不可用等糾紛時，很難運用法律來保障用戶的利益，缺乏法律法規(guī)對用戶和運營商進行監(jiān)管和約束，同樣會帶來安全風(fēng)險。

4.3運營商內(nèi)部員工管理endprint

用戶將數(shù)據(jù)上傳到云計算平臺，就相當(dāng)于云服務(wù)提供商對用戶的數(shù)據(jù)具有優(yōu)先掌控權(quán)，而且這些企業(yè)數(shù)據(jù)是相當(dāng)有價值的，在巨大的利益面前，如果云服務(wù)提供商存在員工管理措施不到位、員工身份審核不嚴密等問題，將會導(dǎo)致惡意的內(nèi)部員工竊取和破壞用戶數(shù)據(jù)。其次，如果運營商工作流程、員工權(quán)限等級分配不當(dāng)，致使工作人員安全意識差、職責(zé)混亂，將會造成員工由于錯誤的操作而導(dǎo)致云服務(wù)中斷等問題。美國Verizon公司2010年度數(shù)據(jù)泄露調(diào)查報告（Data Breach Investigation Report）顯示，超過半數(shù)的安全事件源于內(nèi)部人員，49%的數(shù)據(jù)泄露事件是由內(nèi)部員工造成的。表5列舉了部分運營商由于內(nèi)部管理疏漏而造成的安全事件。由此可見，惡意的內(nèi)部員工也是造成數(shù)據(jù)泄漏不可忽略的因素。

4.4用戶管理

云計算服務(wù)是按需收費或者免費的，并且這些服務(wù)可以彈性的、幾乎無限制的擴展，云計算服務(wù)提供商對登記注冊用戶的身份和背景缺乏嚴格的審查和監(jiān)管，任何個人和企業(yè)都可以隨便使用云服務(wù)，就導(dǎo)致許多的惡意份子利用云計算本身的特點從事一些非法的活動，如：因為云計算具有超強的計算能力和性能，可以利用云計算平臺去攻擊其它的平臺，或者暴力破解密碼等，這會給云計算平臺帶來極大的安全隱患。2011年4月，黑客租用亞馬遜EC2云計算服務(wù)，攻擊了索尼公司的PlayStafion網(wǎng)站，并造成用戶數(shù)據(jù)泄露。

4.5軟件使用管理

用戶在使用云計算平臺的過程中，會根據(jù)自己的需要使用相應(yīng)的軟件服務(wù)，第三方也會在云平臺為用戶提供不同的軟件供用戶使用，而用戶是無法判別這些軟件的安全性與合法性，同樣，第三方在發(fā)布軟件的過程中，云服務(wù)提供商未對第三方身份進行審核，并且未對軟件的安全性進行檢測，缺乏相關(guān)的管理工作，使得云平臺中的軟件雜亂不堪，這些不安全的軟件一旦被用戶使用，會導(dǎo)致用戶數(shù)據(jù)遭到竊取或者云平臺遭到攻擊。如：2009年3月，谷歌GoogleDocs在線文檔服務(wù)存在一個漏洞，通過這個漏洞，可以訪問其他用戶的私人文檔，并且能夠在用戶不知情的情況下暴露用戶的文件。

5.應(yīng)對策略

針對上述技術(shù)和管理的安全風(fēng)險，提出了如圖2所示的應(yīng)對策略。

5.1構(gòu)建標準的云計算安全技術(shù)體系

云計算是由傳統(tǒng)的技術(shù)發(fā)展而來的，故云計算本身并不缺乏應(yīng)用技術(shù)的支撐，容災(zāi)與備份技術(shù)、身份認證與訪問管理技術(shù)、數(shù)據(jù)加密技術(shù)、數(shù)據(jù)銷毀技術(shù)、虛擬技術(shù)、入侵檢測、攻擊防范等成熟的技術(shù)一直以來備受關(guān)注，這些技術(shù)在傳統(tǒng)的應(yīng)用中已經(jīng)能夠保障應(yīng)用的安全。但是，由于云計算具有前所未有的開放性、規(guī)模性和復(fù)雜性，如何將這些技術(shù)相結(jié)合并運用于云計算環(huán)境中，并保障其安全、高效的服務(wù)，是一項挑戰(zhàn)。構(gòu)建一個嚴密的可以支撐云計算安全的標準技術(shù)體系，能夠從技術(shù)的角度降低風(fēng)險。

5.2制定相關(guān)標準

標準化的制定包括資源和服務(wù)在不同的云間遷移、互操作或協(xié)作共享時所涉及到的數(shù)據(jù)或接口標準、協(xié)議和格式等。政府或者權(quán)威機構(gòu)應(yīng)該盡快制定相關(guān)的標準，使得應(yīng)用程序和數(shù)據(jù)能夠在不同的運營商之間移植，實現(xiàn)協(xié)同工作，為用戶提供一個優(yōu)越的服務(wù)過程。

5.3建立第三方機構(gòu)進行評估和管理

目前，企業(yè)在選擇一個云計算服務(wù)商的過程中，云計算服務(wù)商并沒有給出許多細節(jié)的具體說明，如服務(wù)器所在地、所采用的技術(shù)、運營方式等等，用戶只能盲目的選擇服務(wù)。云服務(wù)商沒有一個標準供用戶做參考，僅靠運營商和用戶之間的磋商，用戶只能被動受控于服務(wù)商，一旦出現(xiàn)問題，用戶往往是受害者。無第三方中立機構(gòu)的監(jiān)管和評估、，難以有效保障云計算的順利推廣和運行。所以，政府應(yīng)該盡快建立云計算第三方機構(gòu)，實時對提供商的服務(wù)和風(fēng)險做評估，并提供給用戶做參考，從而降低提供商給用戶帶來的風(fēng)險。

5.4完善法律法規(guī)

云計算在不斷推動全球經(jīng)濟增長，但是，不健全的法律法規(guī)制約著云計算的發(fā)展。因此，應(yīng)該歸納整理關(guān)于云計算法律法規(guī)的現(xiàn)狀，充分的分析其不完善之處，盡快制定關(guān)于隱私保護、數(shù)據(jù)保護、信息安全、網(wǎng)絡(luò)犯罪、知識產(chǎn)權(quán)保護、執(zhí)法取證等方面的法律法規(guī)，明確個人行為、數(shù)據(jù)安全等方面的界定和要求，從法律層面上強制規(guī)范和監(jiān)督人們的行為，使得相關(guān)的違法犯罪能夠得到懲罰，全方位的保障用戶、運營商以及政府的合法權(quán)益。所以，國家必須盡快完善有關(guān)云計算的法律法規(guī)，保障云計算健康蓬勃的發(fā)展。

5.5強化管理和監(jiān)督

面對云計算中物理設(shè)備管理、內(nèi)部員工管理等安全風(fēng)險，首先，云服務(wù)提供商應(yīng)該制定嚴格的監(jiān)督管理制度和員工身份審核方案，定期對內(nèi)部員工進行安全教育，增強其安全意識。其次，制定嚴格的工作業(yè)務(wù)流程，并在各個業(yè)務(wù)流程上落實相關(guān)的安全控制，明確每個員工的法律責(zé)任。除了這些，還必須對網(wǎng)絡(luò)安全有專門的條款和明確的核查及懲罰措施，并安排工作人員定期對所有的物理設(shè)備進行安全檢查，及時排除存在的安全隱患。云服務(wù)商必須從每一個細節(jié)著手做好安全和管理工作，提高自己核心競爭力的同時，為用戶創(chuàng)造一個安全的云計算環(huán)境。

5.6選擇合適的云服務(wù)提供商

雖然云計算廠商們屢次信誓旦旦地宣稱，能夠保證高達99.99%的可靠性與安全，但用戶要相信，那0.01%微小的可能萬一降臨到自己的頭上，帶來的損失也是不可估量的。所以，用戶在選擇服務(wù)商的過程中，應(yīng)從多方面考察運營商的業(yè)務(wù)水平和服務(wù)質(zhì)量，然后根據(jù)自己的業(yè)務(wù)需求選擇選擇信譽高、名氣大的服務(wù)商，從而規(guī)避由于服務(wù)商變動（兼并或破產(chǎn)）、商業(yè)策略變動等問題引發(fā)的安全風(fēng)險。

6.結(jié)語

云計算推動著科技發(fā)展和社會進步，受到廣泛關(guān)注，其安全風(fēng)險是一個不容忽視的重要問題。云計算要健康發(fā)展，技術(shù)進步和管理監(jiān)督都是必不可少的，正確認識云計算技術(shù)和管理安全風(fēng)險，是降低云計算安全風(fēng)險必須做的一個關(guān)鍵環(huán)節(jié)。本文介紹了云計算體系結(jié)構(gòu)及特征，分析了云計算安全風(fēng)險研究現(xiàn)狀，重點剖析了云計算技術(shù)和管理兩個方面的安全風(fēng)險因素，并給出應(yīng)對策略，可供云服務(wù)商、云用戶和云監(jiān)管機構(gòu)參考或借鑒。endprint