程慧平，彭 琦

（湖北工業(yè)大學(xué)經(jīng)濟與管理學(xué)院）

1 引言

隨著互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、社交媒體技術(shù)的快速發(fā)展，云存儲成為海量個人信息存儲的必然選擇。面向個人用戶的云存儲服務(wù)主要采取會員制，以免費的服務(wù)方式吸引用戶，然后通過多種綜合手段盈利，如增加收費會員的存儲空間、提升其上傳下載速度；用戶綁定，為云存儲服務(wù)商提供其他產(chǎn)品儲備潛在用戶等。用戶將個人信息存儲在云端使得個人信息所有權(quán)和控制權(quán)分離，個人信息的經(jīng)濟價值日趨高漲，利益相關(guān)者對個人信息覬覦的情況愈加嚴(yán)重。［1］因此，當(dāng)前形勢下，個人云存儲服務(wù)存在諸多安全風(fēng)險，已經(jīng)成為云存儲市場發(fā)展的瓶頸。如何降低云存儲服務(wù)安全風(fēng)險，是云存儲行業(yè)面臨的難題，也是個人云存儲服務(wù)持續(xù)性發(fā)展需要迫切解決的問題。

自云存儲技術(shù)走向市場以來，云存儲服務(wù)安全風(fēng)險治理就成為學(xué)者關(guān)注和研究的焦點，并已出現(xiàn)了許多研究成果，如云治理生命周期模型［2-6］、基于過程的云計算治理參考模型［7］、基于COBIT的云治理框架［8］、云安全治理框架［9］、云治理技術(shù)框架［10］、企業(yè)云治理框架［11］等。已有研究對云服務(wù)風(fēng)險治理進行了有益探討，但針對應(yīng)用于個人云存儲服務(wù)安全風(fēng)險治理的研究較為鮮見。為了豐富云服務(wù)安全風(fēng)險治理研究成果，本文從個人用戶視角分析云存儲服務(wù)主要面臨的風(fēng)險，然后針對個人云存儲風(fēng)險形成原因進行分析，最后提出相應(yīng)的安全風(fēng)險治理策略，為個人云存儲服務(wù)市場發(fā)展提供決策支持。

2 個人云存儲服務(wù)安全風(fēng)險識別

用戶在使用個人云存儲服務(wù)過程中主要面臨的安全風(fēng)險包括隱私泄露風(fēng)險、知識產(chǎn)權(quán)風(fēng)險、數(shù)據(jù)安全風(fēng)險、服務(wù)遷移風(fēng)險、服務(wù)履約風(fēng)險、服務(wù)補償風(fēng)險等。

2.1 隱私泄露風(fēng)險

根據(jù)《2016中國網(wǎng)民權(quán)益保護調(diào)查》結(jié)果顯示，54%的網(wǎng)民認(rèn)為自己個人信息泄露嚴(yán)重，21%的網(wǎng)民認(rèn)為信息泄露情況非常嚴(yán)重，84%的網(wǎng)民受到過信息泄露的不良影響，［12］這里所指的信息主要是個人隱私信息。云存儲中個人隱私信息主要由個人基本信息和個人活動信息兩部分組成，［13,14］個人基本信息包括：身份證信息、聯(lián)系方式（電話號碼、郵箱）、照片、工作情況、家庭背景等；個人活動信息包括：個人消費習(xí)慣（增值服務(wù)的購買情況）、社交偏好（多用戶之間分享服務(wù)）、云存儲訪問記錄（時間、頻率、結(jié)果）、帳號與密碼和IP位置信息等（見圖1）。

圖1 云存儲中的個人隱私信息構(gòu)成

云存儲服務(wù)商通過免費或低收費的方式吸引用戶將個人信息存儲在云端，隨后服務(wù)商利用存儲信息的便利，分析個人信息，進行個性化廣告推薦，甚至將個人信息出售給其他信息利用者，為其創(chuàng)造價值。由于控制權(quán)脫離了所有權(quán)人，云存儲服務(wù)商在對用戶個人信息進行收集和利用時，大多是在用戶不知情的情況下發(fā)生的，嚴(yán)重侵犯了用戶的信息保密權(quán)、支配權(quán)與信息知情權(quán)。［15］云存儲作為網(wǎng)絡(luò)中存儲個人信息的主要陣地，其信息泄露主要有兩種形式，一種是云存儲服務(wù)商在未經(jīng)用戶同意或知曉的前提下主動將用戶信息泄露給他人，另一種是由于黑客攻擊或者是物理設(shè)備等因素發(fā)生的個人信息被授權(quán)使用。與眾多網(wǎng)絡(luò)服務(wù)一樣，用戶也是云存儲服務(wù)的重要資源，是其直接或間接的利益來源，若不經(jīng)過用戶同意就對用戶隱私數(shù)據(jù)進行采集，不僅會面臨用戶的起訴，而且會失去用戶對云存儲行業(yè)的信任。

2.2 知識產(chǎn)權(quán)風(fēng)險

根據(jù)《中國法院知識產(chǎn)權(quán)司法保護狀況（2015年）》白皮書顯示，2015年法院接收各類知識產(chǎn)權(quán)案件149,238件，比上一年增長1.49%，其中知識產(chǎn)權(quán)民事案件比2014年增長14.51%。［16］用戶存儲在云服務(wù)器上的信息可能涉及重要文件（如著作、專利等），而云存儲數(shù)據(jù)所有權(quán)和控制權(quán)的分離，使用戶無法完全地行使數(shù)據(jù)權(quán)利，如占有權(quán)、使用權(quán)、支配權(quán)和知情權(quán)等。［17］云存儲服務(wù)商可以在用戶不知情的情況下對用戶知識產(chǎn)權(quán)類文件進行利用，從而對用戶的著作權(quán)、專利權(quán)、商標(biāo)權(quán)和商業(yè)秘密權(quán)等產(chǎn)生侵權(quán)風(fēng)險。［18］此外，云存儲服務(wù)商提供了文件分享功能，這些功能常被用于違法行為。如，一個本來受版權(quán)保護的資源通過云存儲平臺的分享功能，可以在很短時間內(nèi)以分享的名義被很多用戶下載，不知不覺中侵犯了文件所有者的知識產(chǎn)權(quán)；一個非法文件，如包含涉黃或涉恐信息，也能通過這種途徑迅速傳播出去。由于云存儲數(shù)據(jù)文件量巨大，使得服務(wù)商的管理難度增加，同時，也存在服務(wù)商為了保持用戶而默許的情況。盡管服務(wù)商有管理措施，但通常比較滯后，一旦發(fā)生大量傳播某一侵權(quán)作品的侵權(quán)行為，即使對云服務(wù)器上數(shù)據(jù)進行刪除，仍有大量已經(jīng)下載的用戶通過改名、改格式等方式再次上傳進行分享傳播，使得知識產(chǎn)權(quán)保護的難度加大。

2.3 數(shù)據(jù)安全風(fēng)險

數(shù)據(jù)安全風(fēng)險對用戶來說也是云存儲服務(wù)的主要風(fēng)險，包括數(shù)據(jù)存儲位置風(fēng)險、數(shù)據(jù)恢復(fù)能力風(fēng)險、數(shù)據(jù)加密與隔離風(fēng)險、數(shù)據(jù)的可用性與可持續(xù)利用性風(fēng)險等。［19,20］① 數(shù)據(jù)存儲位置風(fēng)險指云服務(wù)器存放用戶數(shù)據(jù)的位置存在隨機性，用戶通常只知道其文件被存放在某個服務(wù)器上，而不清楚存放的具體位置，削弱了用戶對信息的控制權(quán)。② 數(shù)據(jù)恢復(fù)能力風(fēng)險，我國用戶習(xí)慣使用免費的網(wǎng)絡(luò)服務(wù)，也大都以免費使用云存儲服務(wù)方式介入，而免費的云存儲服務(wù)在數(shù)據(jù)恢復(fù)服務(wù)上有限，一旦個人數(shù)據(jù)丟失，將無法找回，大大降低用戶持續(xù)使用的信心。③ 數(shù)據(jù)加密與隔離風(fēng)險指用戶之間的數(shù)據(jù)是否進行加密保護與有效隔離，［21］云存儲服務(wù)將眾多用戶的信息分割和重新組織后放置，難以對用戶的重要數(shù)據(jù)進行有效的加密保護和隔離。④ 數(shù)據(jù)的可用性與可持續(xù)利用性風(fēng)險，主要反映云服務(wù)提供商是否能隨時提供服務(wù)，提供的服務(wù)是否具有穩(wěn)定性和長期性。

2.4 服務(wù)遷移風(fēng)險

服務(wù)遷移指從一個云存儲服務(wù)商到另一個服務(wù)商的過程。通常云存儲服務(wù)商不提供個人數(shù)據(jù)遷移服務(wù)，即用戶從一個云存儲服務(wù)商轉(zhuǎn)移到另一個云存儲服務(wù)商存在困難，一旦用戶選擇將數(shù)據(jù)存儲在一個服務(wù)商那里，就存在云存儲服務(wù)商鎖定風(fēng)險。由于云存儲服務(wù)仍處于發(fā)展階段，目前在可移植性、互操作性方面還缺乏統(tǒng)一相關(guān)標(biāo)準(zhǔn)，云存儲服務(wù)商之間缺乏保證數(shù)據(jù)與業(yè)務(wù)可移植的工具、過程或標(biāo)準(zhǔn)的數(shù)據(jù)格式和服務(wù)接口。因此，不同云存儲平臺上的用戶數(shù)據(jù)和業(yè)務(wù)難以相互遷移。另外，云存儲服務(wù)商出于自身利益考慮，往往不愿意為用戶的數(shù)據(jù)和業(yè)務(wù)提供可遷移能力。［22］而云存儲服務(wù)商對這些數(shù)據(jù)進行遷移時，如果借助中間方，即使他們相信云存儲服務(wù)商對用戶數(shù)據(jù)的保護權(quán)，用戶數(shù)據(jù)也很有可能在轉(zhuǎn)移過程中發(fā)生泄露，從而給用戶帶來更大的風(fēng)險。

2.5 服務(wù)履約風(fēng)險

服務(wù)履約是提升用戶感知服務(wù)質(zhì)量、降低感知風(fēng)險的重要手段。用戶在使用云存儲服務(wù)前，都會與云存儲服務(wù)商簽署協(xié)議，但服務(wù)商有協(xié)議的解釋權(quán)和修改權(quán)，在服務(wù)過程中云存儲服務(wù)商能否履行服務(wù)協(xié)議，保障用戶利益，對用戶來說存在風(fēng)險。服務(wù)履約風(fēng)險體現(xiàn)在云存儲服務(wù)商在事先約定好的服務(wù)條款上不履行條款，即違約，或者通過“最終解釋權(quán)歸XX公司所有”的條款來變相違約。同時，在服務(wù)條款中有一些不利于個人用戶的條款，如，在云存儲服務(wù)商的服務(wù)條款上通常會說明云存儲平臺并不直接參與相關(guān)內(nèi)容的上傳、整理，并且會說明自身僅提供網(wǎng)絡(luò)服務(wù)，其他原因產(chǎn)生的費用和損失由用戶自行負(fù)擔(dān)。服務(wù)協(xié)議和條約等都是為了在發(fā)生糾紛時，通過一定限定條件將風(fēng)險轉(zhuǎn)移給用戶，如，個人行為不符合協(xié)議、使用方法不當(dāng)?shù)炔荒苓M行賠償之類的條款。此外，當(dāng)云存儲服務(wù)提供商未按約定履行義務(wù)時，用戶可能也無法監(jiān)測。

2.6 服務(wù)補償風(fēng)險

處在發(fā)展期的云存儲技術(shù)，云存儲服務(wù)提供商的服務(wù)失敗、長時間服務(wù)中斷、累積中斷時間過久是用戶使用云存儲中遇到較多的風(fēng)險。云計算模式下服務(wù)等級協(xié)議（SLA）中風(fēng)險補償機制的缺失，導(dǎo)致云服務(wù)風(fēng)險概率不斷上升。［23］云服務(wù)供應(yīng)商倘若能提供恰當(dāng)?shù)难a償策略，在一定程度上彌補用戶損失，勢必會提升用戶對云服務(wù)的信心和滿意度，繼而能有效避免客戶流失。然而，這些補償策略大多還是以云存儲服務(wù)商利益為中心，很有可能在用戶真正需要補償時由于操作復(fù)雜，流程繁瑣等原因，用戶被迫自動放棄補償權(quán)。而那些看起來對用戶有利的補償策略，也有可能使用戶去做一些風(fēng)險更大的決定，如，把重要的私密文件放在存儲平臺上，這無疑加重了用戶在補償策略不公情況下的損失。

3 個人云存儲服務(wù)安全風(fēng)險形成原因分析

云存儲是一種典型的人機交互產(chǎn)品，造成個人云存儲風(fēng)險的原因來自云存儲的技術(shù)、服務(wù)提供商、終端用戶以及監(jiān)管與評估層面四個方面。

（1）云存儲技術(shù)層面。任何技術(shù)都有可能存在安全漏洞，云存儲技術(shù)也不例外。云存儲服務(wù)用戶數(shù)據(jù)所有權(quán)與管理權(quán)分離，數(shù)據(jù)遷移到云端存儲，海量數(shù)據(jù)與安全漏洞成為黑客爭相攻擊的目標(biāo)。如，云安全服務(wù)商Cloudflare在2017年2月24日被暴出已經(jīng)泄露用戶HTTPS網(wǎng)絡(luò)會話中的加密數(shù)據(jù)長達數(shù)月，預(yù)計200萬多家網(wǎng)站將會受到影響，包括Uber、Password等知名互聯(lián)網(wǎng)公司的服務(wù)。［24］在云存儲提供商的服務(wù)格式條款中，提供商是密鑰的分配者，而終端用戶對提供商采用的具體加密技術(shù)往往不清楚或不關(guān)心。這就說明了目前云存儲服務(wù)采取的是單方安全協(xié)議，［14］即只會盡量避免非授權(quán)用戶的訪問，并不會對云服務(wù)商本身進行加密，以使服務(wù)商能夠輕易進入用戶文件庫，導(dǎo)致云服務(wù)商的侵權(quán)行為屢見不鮮。［25］

（2）云存儲服務(wù)商層面。利益驅(qū)使是大多數(shù)新技術(shù)發(fā)展的主要推動力。個人云存儲平臺，如百度云、微云等為了吸引用戶，通過免費服務(wù)的形式提供基本的云存儲服務(wù)，其主要利潤來源并不是自身提供的云存儲服務(wù)，而是來源于用戶在使用服務(wù)時產(chǎn)生的有價值信息。如，瀏覽器從很早就開始被免費使用，但在用戶使用過程中它會根據(jù)用戶瀏覽過的網(wǎng)頁進行網(wǎng)絡(luò)日志分析，繼而獲得用戶的網(wǎng)絡(luò)生活特征，從而向用戶進行精準(zhǔn)廣告投放。云存儲服務(wù)也不例外，因為云存儲平臺不僅可以記錄下用戶的網(wǎng)絡(luò)生活方式，還可以直接獲取用戶的文件信息，云存儲服務(wù)商通過將信息直接或間接地提供給其他信息利用者，從中獲取自身利益。

（3）云存儲終端用戶層面。大多數(shù)用戶都認(rèn)為云存儲服務(wù)商的服務(wù)條款內(nèi)容太多或?qū)ζ洳粔蛑匾?，沒有仔細去閱讀和了解云存儲服務(wù)存在的風(fēng)險。［13］被侵權(quán)時，由于用戶對個人信息商業(yè)價值意識的不足，更因為使用的是免費服務(wù)，用戶對自己的權(quán)利難以主張和索賠。在信息不對稱的條件下，服務(wù)條款成為了云存儲服務(wù)商的保護傘，更有甚者將自身的侵權(quán)行為合法化。同時，服務(wù)條款內(nèi)容本身也較具模糊性，即使用戶查閱了服務(wù)條款，也不一定能發(fā)覺問題所在，畢竟解釋權(quán)在服務(wù)商。如，百度網(wǎng)盤服務(wù)協(xié)議中第四條和第五條分別是知識產(chǎn)權(quán)保護和隱私保護，如果用戶不仔細看，就會以為是對用戶個人信息的保護，但這個知識產(chǎn)權(quán)指的是用戶不得侵犯他人知識產(chǎn)權(quán)，而且百度有權(quán)對用戶做出處理；在隱私保護中提到“當(dāng)用戶公開分享信息時，包括百度在內(nèi)的各種搜索引擎可能會抓取這些信息”，也提到在一些“例外情況”，百度會公開或者提供信息給第三方。［26］此外，多數(shù)云服務(wù)條款還會補充一個免責(zé)說明和最終解釋權(quán)歸服務(wù)商所有，有了這些條款，云服務(wù)商基本可以不用對用戶信息風(fēng)險擔(dān)負(fù)任何責(zé)任。

（4）監(jiān)管與評估層面。監(jiān)管與評估是一種保障云存儲服務(wù)安全的有效機制，用戶擁有存放云存儲平臺中數(shù)據(jù)的所有權(quán)，但是其控制權(quán)實則由云存儲服務(wù)商享有，用戶并不能直接控制云存儲系統(tǒng)，這不同于本地存儲，云存儲服務(wù)中用戶數(shù)據(jù)的所有權(quán)與控制權(quán)的分離使得云存儲服務(wù)提供商無法直接對數(shù)據(jù)本身進行查看和處理。［27］另外，云計算安全標(biāo)準(zhǔn)的缺失、政策與法律的滯后性、數(shù)據(jù)流動帶來的法律法規(guī)適用性等，對元存儲平臺的監(jiān)管受到了極大的限制。云存儲服務(wù)提供商與終端用戶之間雖然有服務(wù)等級協(xié)議SLA，但SLA并未提供明確的承諾，同時云存儲服務(wù)商不允許用戶對其服務(wù)遵從進行合規(guī)審計，這些均會給評估帶來困難，繼而造成云存儲服務(wù)安全失效。［28］云存儲服務(wù)器的任何過失都有可能使用戶面臨數(shù)據(jù)損壞與丟失的風(fēng)險，云存儲服務(wù)商對云存儲平臺風(fēng)險評估的缺位，均會帶來云存儲平臺的可接受風(fēng)險水平的喪失。［29］

4 個人云存儲服務(wù)安全風(fēng)險治理策略

歐洲網(wǎng)絡(luò)與信息安全局（ENISA）指出，云計算特有的風(fēng)險種類包括政策和組織風(fēng)險、技術(shù)風(fēng)險和法律風(fēng)險三大類。［30］中國工程院沈昌祥院士提出，云計算安全問題的解決需要從技術(shù)保護、運營管理、法規(guī)保障這三個方面入手。［31］可見，云計算安全面臨的風(fēng)險是復(fù)雜系統(tǒng)性風(fēng)險。Karkosková指出云計算風(fēng)險治理生命周期（PDIM）包括計劃、界定、實施、監(jiān)控四個階段；［2］Ahmad從用戶角度提出公有云安全治理生命周期包括建立云治理委員會、風(fēng)險管理、資產(chǎn)管理等九個階段；［3］He則指出云安全治理包括愿景、界定、建立、處置、操作五個階段；［4］Rebollo將云計算信息安全治理框架劃為計劃、分析、設(shè)計、實施或遷移、操作五個階段。［5］可見，云存儲風(fēng)險治理必然是不斷根據(jù)現(xiàn)實情況進行判斷、調(diào)整、改進的動態(tài)循環(huán)過程。Marston從商業(yè)角度出發(fā)，指出云計算涉及的利益相關(guān)者包括消費者、提供商、推動者與管理者。［32］可見，云計算安全風(fēng)險治理的實施需要多元主體協(xié)同工作的有力支撐。

ISO/IEC 27018標(biāo)準(zhǔn)是第一部針對公有云中個人數(shù)據(jù)保護的國際標(biāo)準(zhǔn)。個人云存儲服務(wù)安全風(fēng)險治理可以在參照ISO/IEC 27018標(biāo)準(zhǔn)的基礎(chǔ)上，引入PDCA（規(guī)劃、實施、控制、改進）循環(huán)管理思想進行全過程風(fēng)險治理，［33,34］建立融合全員（多元利益主體）、全過程（PDCA）、全方位（技術(shù)、管理、法律法規(guī)）的動態(tài)安全治理機制（見圖2），形成一個政府、云服務(wù)提供商、用戶多元主體之間利益協(xié)調(diào)互動的IT治理模式，構(gòu)建以技術(shù)保護為依托，以運營管理、標(biāo)準(zhǔn)與法律法規(guī)保障為支撐的個人云存儲風(fēng)險治理框架。［35］

圖2 個人云存儲安全風(fēng)險治理框架

4.1 構(gòu)建基于PDCA的動態(tài)云存儲風(fēng)險治理模式

通過構(gòu)建云存儲安全風(fēng)險動態(tài)治理模式，促進政府的行政機制協(xié)調(diào)、制度保障，加強用戶自治和供應(yīng)商自律來協(xié)調(diào)好云存儲服務(wù)商、終端用戶、云計算管理者之間利益，從而形成良性循環(huán)。為了更有效地度量和評價云安全風(fēng)險治理，有必要從基于過程的IT治理框架的角度改進云安全風(fēng)險治理流程。［36］個人云存儲安全風(fēng)險的計劃階段（Plan）主要包括：建立云計算治理愿景與策略、明確云安全風(fēng)險治理范圍、建立云安全風(fēng)險治理指導(dǎo)原則與治理路線圖、分析云安全風(fēng)險治理模型和過程；實施階段（Do）：實施不可接受風(fēng)險處置計劃；控制階段（Control）：云計算風(fēng)險的動態(tài)性必須進行持續(xù)監(jiān)控并評估風(fēng)險，保障云計算風(fēng)險處于可接受狀態(tài)；改進階段（Action）：負(fù)責(zé)保持和改進風(fēng)險管理過程。［33,34］

4.2 加強法規(guī)建設(shè)與監(jiān)督評估

我國現(xiàn)有法規(guī)中涉及個人信息安全的有：《全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》《移動互聯(lián)網(wǎng)惡意程序監(jiān)測與處置機制》《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》等。在云存儲領(lǐng)域，為了保護個人信息隱私權(quán)和知識產(chǎn)權(quán)，對不法分子的計算機犯罪行為進行處罰，亟需針對我國云服務(wù)中的隱私與數(shù)據(jù)保護方面制訂相應(yīng)的法律，如《公有云數(shù)據(jù)安全要求》 《公有云中隱私保護措施》等均尚在制訂中。［37］在云存儲環(huán)境下，國家需要通過立法對云服務(wù)商和非法人員兩大主體的侵權(quán)行為進行規(guī)范。同時，應(yīng)該嚴(yán)格規(guī)定云存儲服務(wù)條款中相關(guān)內(nèi)容，并要求在出現(xiàn)侵權(quán)行為后提供補償措施，從而保證用戶的信息權(quán)益。除了法律方面外，還要建立起完善的監(jiān)督與評估機制。具體而言，可以從信息通訊技術(shù)或者第三方權(quán)威機構(gòu)兩個方向出發(fā)：一方面，利用計算機技術(shù)來實現(xiàn)實時網(wǎng)上監(jiān)測，通過新媒體和廣大網(wǎng)民來實施舉報機制，充分發(fā)揮出科技引導(dǎo)與群眾監(jiān)督的力量維護網(wǎng)絡(luò)用戶自身的信息安全；另一方面，通過第三方權(quán)威機構(gòu)對云存儲平臺進行監(jiān)督和評估。只有當(dāng)人們認(rèn)為云服務(wù)商完全是公開透明的，用戶是處于法律保護下，人們才會放心地使用云存儲平臺，所以云平臺應(yīng)該去爭取擁有第三方公信力。［38］最后，還可以引入第三方管理，加強個人云存儲服務(wù)商在事件管理、服務(wù)質(zhì)量管理等方面的策略、流程和規(guī)程。［39］

4.3 引入先進安全技術(shù)

云存儲是云計算技術(shù)在網(wǎng)絡(luò)存儲領(lǐng)域的延伸，是在線存儲與分布式計算的一個重要突破。其中，單方加密技術(shù)就有待被雙方加密取代，從而確保云存儲服務(wù)商無法獲取用戶信息。如，混合加密機制能在法律和監(jiān)管都失效的情況下保護用戶個人隱私和知識產(chǎn)權(quán)相關(guān)的文件不會被云存儲服務(wù)商占有。［40］除了服務(wù)商方面，還應(yīng)研究對第三方網(wǎng)絡(luò)攻擊的加密設(shè)計。作為云存儲服務(wù)發(fā)展的技術(shù)基礎(chǔ)之一，復(fù)雜的算法和冗長的密鑰都需要投入研究，通過建立起具有安全保障的密鑰管理系統(tǒng)和相應(yīng)的備份系統(tǒng)，從而保障整個加密程度穩(wěn)定運行。［41］在網(wǎng)絡(luò)服務(wù)領(lǐng)域，軟實力背后需要強大的硬件支持，再可靠的算法沒有強大的硬件支撐也無法實現(xiàn)。物理設(shè)施是相關(guān)技術(shù)發(fā)展的基礎(chǔ)，云存儲服務(wù)也不例外，而技術(shù)的發(fā)展又會對硬件的存儲和運算能力提出新的要求。一些軟技術(shù)一旦形成固定模式，就可能會被寫入硬件，從而提高執(zhí)行效率。云存儲作為一個已經(jīng)展現(xiàn)出巨大潛力的技術(shù)，未來對其形成標(biāo)準(zhǔn)并生產(chǎn)出對應(yīng)的硬件產(chǎn)品是必然趨勢。目前應(yīng)加入密鑰管理設(shè)施和特權(quán)管理設(shè)施，密鑰管理是云存儲安全的核心，而特權(quán)管理是實現(xiàn)不同安全等級的保障。［42］此外，云存儲技術(shù)和硬件自身也需要不斷發(fā)展，以解決目前服務(wù)宕機、失敗等問題。

4.4 引導(dǎo)用戶自治和服務(wù)商自律

用戶應(yīng)該提升自身信息安全素養(yǎng)，養(yǎng)成在使用任何云平臺前都仔細閱讀服務(wù)條款的習(xí)慣，明確云存儲平臺是否會收集個人隱私信息和知識產(chǎn)權(quán)文件。倘若明確云存儲平臺會收集這些信息或者協(xié)議有對此含糊不清條款，那么用戶在使用時就應(yīng)該盡量避免上傳個人私密信息和重要文件，或者進行加密，以防止發(fā)生信息泄露事件。一旦發(fā)生侵權(quán)事件，用戶應(yīng)當(dāng)及時與云存儲服務(wù)商聯(lián)系，要求其停止不當(dāng)行為，并進行必要的索賠。云存儲服務(wù)商要自覺遵守法律和堅守道德底線，從持續(xù)發(fā)展的眼光看待利益，尊重用戶的隱私權(quán)和知識產(chǎn)權(quán)，避免法律糾紛，提升自身的品牌形象。此外，對于已經(jīng)出現(xiàn)損失的用戶，服務(wù)商應(yīng)當(dāng)主動按事先約定好的方案對用戶進行合理的補償，繼而挽留用戶。

5 結(jié)語

爭取用戶的信任是云存儲服務(wù)商獲得利潤的基石，否則云存儲服務(wù)難以持續(xù)穩(wěn)定的發(fā)展。云存儲服務(wù)利益相關(guān)主體應(yīng)盡快建立起系統(tǒng)的法律規(guī)范和監(jiān)督評估機制，規(guī)范云存儲服務(wù)行業(yè)，營造動態(tài)循環(huán)的治理模式；云存儲服務(wù)技術(shù)部門也應(yīng)該加快采用先進技術(shù)的進度，提升用戶使用體驗和增強品牌可信度；個人用戶應(yīng)當(dāng)加強自我信息安全保護意識，對自身信息安全進行防護。

在國內(nèi)眾多個人云存儲服務(wù)商紛紛關(guān)閉服務(wù)、供用戶選擇的可替代性云存儲產(chǎn)品越來越少的形勢下，有關(guān)部門也需要考慮用戶的體驗，出臺必要的監(jiān)管措施，不僅要探討如何規(guī)范云存儲服務(wù)商的行為以解個人信息安全風(fēng)險的燃眉之急，也要深入分析如何讓云服務(wù)商能合理獲得利益，以保證云存儲服務(wù)的持續(xù)穩(wěn)定發(fā)展。

［1］于威.云計算背景下個人信息保護的立法研究［D］.大連：大連理工大學(xué)，2015：I.

［2］ Karkosková S，F(xiàn)euerlicht G.Cloud computing governance lifecycle ［J］.Acta Informatica Pragensia，2016,5（1）：56－71.

［3］ AhmadR，JanczewskiL.Governancelifecycleframework for managing security in public cloud:From user perspective［C］//Cloud Computing（CLOUD），2011 IEEE International Conference on.IEEE，2011：372－379.

［4］ He Y.The lifecycle process model for cloud governance［D］.Enschede：University of Twente，2011：27－38.

［5］ Rebollo O，et al.Empirical evaluation of a cloud computing information security governance framework ［J］.Information&SoftwareTechnology，2015（58）：44－57.

［6］ Rebollo O，et al.ISGcloud：A security governance frameworkforcloudcomputing ［J］.ComputerJournal,2015，58（10）：2234－2254.

［7］ Karkosková S，F(xiàn)euerlicht G.Cloud computing governancereferencemodel［C］//InternationalConferenceon Business Informatics Research.Springer Intermation Publishing，2016：193－203.

［8］ Bounagui Y，et al.COBIT evaluation as a framework for cloud computing governance ［J］.International Journal of Cloud Applications&Computing，2016，6（4）：65－82.

［9］ Hsu W L.Conceptual framework of cloud computing governance model an education perspective ［J］.IEEE Technology&Engineering Education，2012，7（2）:12－16.

［10］李鳴.重大公共事件網(wǎng)絡(luò)輿情云治理研究［J］.中國行政管理，2015（7）：126－131.

［11］于秀艷，程鈞鏌.企業(yè)云治理框架研究［J］.科技管理研究，2013，33（10）：175－178.

［12］中國互聯(lián)網(wǎng)協(xié)會.中國網(wǎng)民權(quán)益保護調(diào)查報告2016［EB/OL］.［2016－02－23］.http://www.isc.org.cn/zxzx/xhdt/listinfo-33759.html.

［13］羅力.我國移動互聯(lián)網(wǎng)用戶個人信息安全風(fēng)險和治理研究［J］.圖書館學(xué)研究，2016（13）:37－41.

［14］胡昌平，黃書書.公有云存儲服務(wù)中的用戶權(quán)益保障［J］.情報理論與實踐，2016，39（11）：17－21.

［15］蔣潔.云環(huán)境中隱私數(shù)據(jù)侵權(quán)風(fēng)險與控制策略［J］.情報科學(xué)，2012，30（10）：118－123.

［16］最高法發(fā)布2015中國法院知識產(chǎn)權(quán)司法保護白皮書 ［EB/OL］.［2017－02－23］.http://www.sipo.gov.cn/ztzl/ndcs/qgzscqxcz/xwfb/201604/t20160422_1 264240.html.

［17］安寶洋.大數(shù)據(jù)時代的網(wǎng)絡(luò)信息倫理治理研究［J］.科學(xué)學(xué)研究，2015，33（5）：641－646.

［18］王鑫.云計算的知識產(chǎn)權(quán)侵權(quán)風(fēng)險與應(yīng)對［J］.科技管理研究，2014（9）：148－151.

［19］程玉珍.云服務(wù)信息安全風(fēng)險評估指標(biāo)與方法研究［D］.北京：北京交通大學(xué)，2013：23－26.

［20］宗平，周明.云計算中的數(shù)據(jù)安全存儲和加密模型的設(shè)計［J］.計算機技術(shù)與發(fā)展，2013（11）：137－140.

［21］郭淵博，等.指揮信息系統(tǒng)數(shù)據(jù)安全保護問題研究［C］//北京：中國指揮控制大會，2016：350－354.

［22］陳興蜀，等.國家標(biāo)準(zhǔn)GB/T 31167-2014《信息安全技術(shù)云計算服務(wù)安全指南》解讀與實施［M］.北京：科學(xué)出版社，2014：25－31.

［23］嚴(yán)建援，等.云計算模式下SLA中的補償策略及風(fēng)險［J］.運籌與管理，2014（2）：24－32.

［24］也許是史上最大的云安全事故，數(shù)百萬網(wǎng)站數(shù)據(jù)泄露長達數(shù)月 ［EB/OL］.［2017－02－28］.http://tech.163.com/17/0224/18/CE2ESIVK00097U7R.html.

［25］蔣潔.云數(shù)據(jù)隱私侵權(quán)風(fēng)險與矯正策略［J］.情報雜志，2012，31（7）：157－162.

［26］ 百度網(wǎng)盤服務(wù)協(xié)議［EB/OL］.［2017－03－01］.http://pan.baidu.com/disk/duty/.

［27］陳馳，于晶.云計算安全體系［M］.北京：科學(xué)出版社，2014：141－150.

［28］徐保民.云安全深度剖析：技術(shù)原理及應(yīng)用實踐［M］.北京：機械工業(yè)出版社，2016：49－53.

［29］國家標(biāo)準(zhǔn)《信息安全技術(shù) 云計算服務(wù)安全能力要求》（GB/T 31168-2014）簡介［EB/OL］.［2017－03－27］.http://www.cac.gov.cn/2015-05/19/c_11 15328443.htm.

［30］ ENISA.Cloud computing benefits，risks and recommendations for information security［EB/OL］.［2017－04－30］.https://resilience.enisa.europa.eu/cloudsecurity-and-resilience/publications/cloud-computing-benefits-risks-and-recommendations-for-informatio n-security.

［31］李滿意.云計算安全面臨挑戰(zhàn)——訪國家信息化專家咨詢委員會委員沈昌祥院士［J］.保密科學(xué)技術(shù)，2011（3）：6－9.

［32］ Marston，etal.Cloudcomputing：Thebusinessperspec-tive［J］.DecisionSupportSystems，2011，51（1）：176－189.

［33］張曉娟，孫成.基于ISO/IEC 27000系列的信息安全風(fēng)險管理系統(tǒng)流程研究［J］.中國檔案，2016（8）：74－77.

［34］馮馳.基于PDCA的信息安全過程管理［J］.計算機安全，2012（1）：62－64.

［35］胡昌平，萬莉.云環(huán)境下國家學(xué)術(shù)信息資源安全全面保障體系構(gòu)建［J］.情報雜志，2017，36（5）：124－128.

［36］劉曉文，等.基于IT過程的IT治理度量評價模型及支持系統(tǒng)［J］.情報雜志，2009，28（8）：76－79.

［37］北大國信云計算安全實驗室.云計算安全測評技術(shù)標(biāo)準(zhǔn)與實踐［R］.2015.

［38］王長全，艾雺分.云計算時代的數(shù)字圖書館信息安全思考［J］.圖書館建設(shè)，2010（1）：50－52.

［39］ 趙國祥，等.云計算信息安全管理－CSA C-STAR實施指南［M］.北京：電子工業(yè)出版社，2015：179－189.

［40］李暉，等.公共云存儲服務(wù)數(shù)據(jù)安全及隱私保護技術(shù)綜述［J］.計算機研究與發(fā)展，2014，51（7）：1397－1409.

［41］蔣潔.云數(shù)據(jù)安全風(fēng)險與規(guī)制框架［J］.情報資料工作，2013，34（1）：57－60.

［42］馬曉亭，陳臣.數(shù)字圖書館云計算安全分析及管理策略研究［J］.情報科學(xué)，2011，29（8）:1186－1191.