孙卓雅（河南大学，河南开封，475000）



浅谈云计算安全风险因素挖掘及应对策略

孙卓雅
（河南大学，河南开封，475000）

云计算是一种新型的服务模式，比常规的网络信息安全面临着的更多的安全风险，并且成为影响云计算进一步发展的核心因素。本文简要介绍云计算面临的安全风险因素，并在此基础上探讨应对的策略。

云计算；安全；风险因素；应对策略；管理

云计算背景下，人们能够避免存储空间取法带来的问题，无需担心硬盘损坏而导致丢失数据，能够像使用水利以及电力等资源那样应用云资源。不过随着云计算应用的逐渐深入，安全风险问题也不断暴露出来，需要引起人们的重视。

1　云计算概述

云计算是通过网络的形式共享计算资源，这些资源包括服务器、网络、应用、存储以及服务等。云计算的业务资源需要借助于简便的交互以及管理过程来完成迅速的部署以及释放。云计算的特点体现在以下几个方面。第一，随着需求而改变的自助服务。第二，遍布各地的网络访问。第三，同位置无关的资源服务。第四，灵活快速。第五，根据使用状况付费。根据云计算资源利用的对象能够进一步划分成私有云、公共云以及混合云。云计算的服务主要包括三个不同的层次，也就是IaaS设施服务、PAAS平台服务以及SAAS软件服务。同常规IT基施环境比较而言，云计算条件下用户不要采购专门的设备并且开发系统，可以选择借助于购买云计算服务来获得需要的资源。云计算有着规模巨大计算能力，同时扩展性良好，运行成本也比较低廉。同常规IT设施类似的是，云计算条件下也需要确保数据信息的完整与安全，要求保网络、计算以及存储资源可靠安全，应当综合采用各方面的安全措施，例如授权、认证以及加密等。

2　云计算安全风险因素

第一，法律法规方面的问题。云计算往往是规模惊人的服务器集群，这些服务器在很多时候处于不同的国家或者是地区。用户把自己的信息数据上传到云服务器当中，为了确保用户数据的完整与安全，这部分数据往往被存储在数个不同的服务器当中。用户并不了解自己的数据具体存储在什么位置，因为当前的云计算还缺乏统一的法规，不同国家的法律往往有着很大的区别，这就使得不同国家在判断数据是否合法方面有一定的出入。部分数据在某个国家能够得到保护，但是在其他的国家可能无法得到法律保护。万一发生用户数据的丢失、泄露以及服务不可用等方面的问题，用户难以借助于法律途径捍卫自身的合法利益。没有法律法规约束运营商以及用户的行为，同样会加大安全风险。

第二，物理设备管理方面的问题。物理设备正常使用以及安全管理，可以有效确保云计算服务顺利开展，也是云计算平台可靠安全最为关键的基础以及保障。服务器、电源、网络、电线以及网线等都是物理设备。如果云服务的供应商缺乏完善的物理设备管理规范或者是说明手册，没有定期检查从而排除物理设备存在的安全隐患，其中任何设备出现故障，都会导致云服务出现中断，从而酿成难以估量的严重损失。

第三，用户管理方面的问题。云计算服务通常是免费或者是按需收费的，同时这些服务有着非常明显的弹性，几乎可以无限制进行扩展。云计算的提供商对注册用户的背景以及具体身份缺乏足够的监管以及审查，任何企业以及个人都能够随便选择使用云服务，从而导致恶意份子利用云计算的特点来开展非法的活动。比如云计算有着比较理想的计算性能以及能力，能够通过云计算平台来攻击别的平台，甚至实现密码的暴力破解，这会使得云计算平台面临着严重的安全隐患。

第四，内部工作人员管理方面的问题。用户在把数据传输到云计算平台之后，就意味着云服务的供应商在管理用户数据方面拥有掌控权，同时这些企业数据往往有着比较高的商业价值。在巨大的经济利益面前，要是云服务供应商在工作人员的管理方面不够严格，工作人员身份的审核不够完善，容易导致工作人员恶意破坏或者是窃取用户的数据。除此之外，要是云计算供应商的工作流程以及工作人员的权限分配不够合理，导致工作人员的职责比较混乱，同时安全意识比较差，容易因为工作人员的误操作而出现云计算服务的中。例如Vefizon公司在年度数据泄露方面的调查结果显示，一半以上的安全事故都是内部工作人员的操作失误，同时一半的数据泄露问题也是内部的工作人员导致的。

第五，软件管理方面的问题。用户在应用云计算服务的过程当中，往往会根据自身需要选择针对性的软件服务，第三方服务商也可以在云平台提供针对性的软件服务供用户选择。用户在很多时候难以准确判断软件的合法性以及安全性，同时第三方服务商在软件发布的过程当中，云服务的供应商往往不会审核第三方服务商的身份，也不会检测软件安全性，缺乏完善的管理监督，导致云平台当中的软件非常混乱。这些不够安全的软件被用户应用之后，容易导致用户的数据出现泄露或者是遭到攻击。

3　云计算安全风险的应对策略

第一，建立健全云计算安全管理机制。云计算是从传统技术逐渐发展得到的，因此云计算自身并不缺乏技术支持，身份认证及时、备份技术、访问管理技术、虚拟技术、数据加密技术、入侵检测技术以及攻击防范技术等，都得到人们的重视。这些技术在常规应用当中已经可以保障应用安全。不过云计算有着独有的复杂性以及开放性，如何把这些技术应用到云计算当中，确保其高效安全提供服务，是一项严峻挑战。这就需要云计算供应商提供能够支撑云计算安全的技术标准，从而在技术层面控制风险。

第二，完善云计算相关标准。标准化包括服务以及资源在不同云计算供应商之间操作、迁移或者是协作时涉及的接口协议、标准以及格式等。权威机构或者是政府需要及时完善这方面的标准，确保应用程序以及数据可以在不同的云计算供应商之间移植，组冬奥协同工作，从而为用户提供优质的服务。

第三，重视第三方机构的管理评估。当前情况下，企业在选择云计算供应商的时候，云计算供应商往往不会提供细节方面的说明，比如服务器的位置、使用的技术以及运营方式等等，这就导致用户不得不盲目选择。云服务供应商缺乏一个特定的标准让用户进行参考，只是依靠用户以及运营商之间的磋商，导致用户比较被动。一旦发生问题，用户也是受害者。通过第三方机构的评估，可以有效确保云计算正常推广。因此政府需要鼓励构建第三方云计算机构，实时评估云计算供应商的服务风险，给用户提供作为参考，控制供应商方面的风险。

第四，完善相关法律法规。云计算一方面刺激全球经济的发展，不过不完善的法规影响到云计算的进一步发展。所以需要归纳云计算的相关法律法规，深入分析其中存在的问题，从而在此基础上制定数据保护、隐私保护、网络犯罪、信息安全以及知识产权保护等环节的法律法规，确定个人行为以及数据安全方面都在准确。从法律意义上规范用户的行为，确保违法犯罪可以得到相应的惩罚，最大限度确保用户、政府以及运营商的权益。因此政府需要不断完善云计算相关法律法规，推动云计算的顺利发展。

第五，加强管理监督工作。针对云计算当中的设备管理以及工作人员管理问题，云服务供应商需要制定监督管理制度以及身份审核机制，定期对工作人员进行教育，提高他们的安全意识。同时需要制定工作业务流程，在不同的业务环节执行安全控制，确定各个工作人员的责任。除此之外，还应当出台网络安全方面的条款以及惩罚措施，安排工作人员对物理设备实施安全检查，从而及时排除潜在的安全风险。

综上所述，云计算在飞速发展的过程当中，安全问题也不断增多，这就需要云服务商以及用户联合努力，分析当前云计算环境存在的安全风险，并从法律、政策、技术以及管理等不同的角度采取应对策略，提高云计算的安全水平。

［1］ 姜茸，马自飞，李彤，张秋瑾. 云计算安全风险因素挖掘及应对策略［J］. 现代情报，2015，01：85-90.

［2］ 何海燕. 云计算安全风险因素挖掘及应对策略［J］. 电子技术与软件工程，2016，11：235.

On the cloud computing security risk factors and coping strategies

Sun Zhuoya
（Henan University Henan，475000）

Cloud computing is a new type of service model，which is facing more security risks than conventional network information security，and become the core factor that affect the further development of cloud computing.This paper briefly introduces the security risk factors faced by cloud computing，and on this basis to explore the strategy to deal with.

cloud computing； security；risk factors；coping strategies；management