呂俊杰　榮聚嶺

【摘要】隨著云計算技術的快速發(fā)展，越來也多的企業(yè)應用云服務。企業(yè)云服務在提升企業(yè)信息化建設的效益和降低企業(yè)運作成本的同時，也帶來了新的風險。本文根據(jù)企業(yè)云服務的運作過程，分析識別出影響企業(yè)云服務安全的五大因素，即平臺設施安全、數(shù)據(jù)安全、云計算技術安全、運營管理安全、政策法規(guī)安全，可供企業(yè)云服務參與者參考，對企業(yè)云服務的進一步發(fā)展具有一定的指導意義。

【關鍵詞】企業(yè)云服務 云計算 運作流程 風險識別

一、企業(yè)云服務概述

自2006年Google公司的CEO埃立克.施密特首次提出云計算以來，云計算技術快速發(fā)展。各行各業(yè)、國家和組織都根據(jù)各自的理解和宣傳方式給出了云計算的定義。被普遍認可的是由NIST提出的，云計算是一種能夠通過網(wǎng)絡便利的、按需訪問可配置的共享資源池服務，這些資源包括網(wǎng)絡、服務器、存儲、應用和服務。其核心理念就是通過“云”端的巨大計算處理能力，減少用戶終端的處理負擔，最終用戶只需要一個廉價的可以上網(wǎng)的終端，就可以按需享受 “云”的強大計算處理能力和各種計算資源[1]。

對于企業(yè)云服務的解釋還沒有統(tǒng)一定論。百度百科定義企業(yè)云服務是專門應用于商業(yè)領域的商業(yè)云系統(tǒng)；詹國輝、劉邦凡認為“企業(yè)云服務”就是指以云計算為載體，通過智能化手段來達到獲取、存儲、整合企業(yè)信息并使之能信息共享達成企業(yè)目標的一種服務[7]。云服務面向終端個人用戶和企業(yè)用戶提供不同的服務內容。在前人的研究基礎上，本文認為企業(yè)云服務是專門為企業(yè)用戶提供的一類依托于云計算平臺實現(xiàn)的具有超大規(guī)模、按需即取、上網(wǎng)即用等特點的任意互聯(lián)網(wǎng)、應用軟件、系統(tǒng)平臺和計算資源，來達到獲取、存儲、整合企業(yè)信息并使之能信息共享達成企業(yè)目標的一種服務。

二、企業(yè)云服務安全風險識別

企業(yè)云服務的應用模式多樣，基本運作流程都是企業(yè)用戶從移動終端通過Internet訪問云端的服務。整個企業(yè)云服務運作從服務請求開始，企業(yè)用戶通過服務合作伙伴（第三方）或者直接向云服務提供商提出服務需求。云服務提供商對需求和自身能力進行綜合評估設計云服務解決方案，制定云服務供應計劃。解決方案的實現(xiàn)需要各級供應商的相應支持，云服務提供商將供應商、用戶與自身資源、技術和服務進行集成并傳遞給用戶，通過企業(yè)用戶對云服務的評價了解企業(yè)云服務的服務質量。在整個云服務運作過程中，由第三方監(jiān)管機構對整個云服務提供商的所提供的服務進行安全審計監(jiān)管。整體企業(yè)云服務運作流程如圖1所示。

企業(yè)云服務的安全風險問題遍布于整個運作流程，體現(xiàn)在企業(yè)云服務的各個層級之間，包括企業(yè)實施云服務的安全技術挑戰(zhàn)，企業(yè)云服務供應鏈參與主體之間相互協(xié)調管理挑戰(zhàn)，以及企業(yè)云服務特性帶來的司法監(jiān)管、隱私保護等安全挑戰(zhàn)。具體來說，分為以下五個方面。

（一）云平臺設施安全

企業(yè)云服務依托于云平臺進行實施，平臺設施安全是云服務的安全保障基石，一旦平臺設施遭受大公雞或破壞，云服務運作將整體癱瘓。平臺設施安全包括服務器安全、網(wǎng)絡安全、操作系統(tǒng)安全、軟件程序安全、軟環(huán)境安全、用戶身份認證安全以及終端安全等。

（二）數(shù)據(jù)安全

企業(yè)應用云服務，將企業(yè)的各種經(jīng)營數(shù)據(jù)信息存儲在云端數(shù)據(jù)中心，這些數(shù)據(jù)可能包含企業(yè)用戶的隱私信息和商業(yè)機密等，因此數(shù)據(jù)安全是企業(yè)應用企業(yè)云服務關心的首要問題。數(shù)據(jù)安全包括數(shù)據(jù)隔離安全、數(shù)據(jù)共享安全、容災備份安全、數(shù)據(jù)刪除風險、數(shù)據(jù)殘留風險、數(shù)據(jù)位置安全等。

（三）云計算技術安全

云計算技術是企業(yè)云服務正常運作的支撐，成就了企業(yè)云服務按需滿足多租戶、個性化的需求的服務模式，同時也帶來了企業(yè)云服務特有的安全風險問題。云計算技術安全包括虛擬化安全、動態(tài)資源調度安全、資源隔離安全、遠程訪問安全等。

（四）運營管理安全

企業(yè)云服務特定的服務模式，決定了需要加強云服務供應鏈參與者之間的相互協(xié)作。由于人員、管理的不確定性加強了企業(yè)云服務的安全風險。在企業(yè)云服務運營過程中，人員因素、服務商、供應商是否具有長期運作能力以及服務商的可審查性都對企業(yè)云服務安全造成影響。運營管理安全包括人員安全、權限管理安全、服務提供商的持久運作、審計管理安全、兼容性安全等。

（五）政策法規(guī)安全風險

企業(yè)云服務使得企業(yè)遵守政策法規(guī)的過程更加復雜。企業(yè)應用云服務，將企業(yè)數(shù)據(jù)遷移存儲在云端服務器中，而云端服務器可能分布于不同國家或地區(qū)，由于不同國家或地區(qū)的政策法規(guī)不同，給企業(yè)的數(shù)據(jù)隱私保護和審查取證帶來安全風險。政策法規(guī)安全包括政策法規(guī)變更、不同國家或地區(qū)政策不同、司法取證困難等。

三、總結與展望

隨著企業(yè)云服務實際應用的普遍發(fā)展，云服務的安全問題越來越受到企業(yè)的關注。針對企業(yè)云服務安全風險問題，本文從企業(yè)應用企業(yè)云服務的角度，通過分析企業(yè)云服務運作過程，分析影響企業(yè)云服務安全的影響因素，識別企業(yè)云服務安全風險，構建風險評估指標體系。上述工作比較系統(tǒng)地分析識別了企業(yè)云服務的安全風險因素，為進一步的研究工作奠定了基礎。但還存在若干問題需要進一步解決。

參考文獻

[1]汪兆成.基于云計算模式的信息安全風險評估研究[C].第26次全國計算機安全學術交流會，2011（9）：56-59.

[2]馮登國，張敏，張妍，徐霞.云計算安全研究[J].軟件學報，2011，22（1）：71-83.

[3]林闖，蘇文博，孟坤，劉渠，劉衛(wèi)東.云計算安全：架構、機制與模型評價[J].計算機學報，2013，36（9）：1765-1784.

[4]姜政偉，劉寶旭.云計算安全威脅與風險分析[J].信息安全與技術，2012，3（11）：36-38，47.

[5]海然.云計算風險分析[C].第27次全國計算機安全學術交流會，2012（8）：94-96.

[6]程玉珍.云服務信息安全風險評估指標與方法研究[D].北京交通大學，2013.

[7]詹國輝，劉邦凡.構建我國企業(yè)云服務的標準體系[J].經(jīng)管空間，2013.

[8]趙瑤月.云服務供應鏈運作模型構建及績效評價研究[D].南京大學，2013.

基金項目：國家自然科學基金青年項目（61402022）；北京市哲學社科規(guī)劃項目（14JGB033）。

作者簡介：呂俊杰（1979-），女，河北滄州人，北京工商大學商學院副教授，研究方向：決策理論、風險管理；榮聚嶺（1988-），女，河北邯鄲人，北京工商大學商學院研究生，研究方向：風險管理。