呂俊杰　榮聚嶺

【摘要】隨著云計(jì)算技術(shù)的快速發(fā)展，越來(lái)也多的企業(yè)應(yīng)用云服務(wù)。企業(yè)云服務(wù)在提升企業(yè)信息化建設(shè)的效益和降低企業(yè)運(yùn)作成本的同時(shí)，也帶來(lái)了新的風(fēng)險(xiǎn)。本文根據(jù)企業(yè)云服務(wù)的運(yùn)作過(guò)程，分析識(shí)別出影響企業(yè)云服務(wù)安全的五大因素，即平臺(tái)設(shè)施安全、數(shù)據(jù)安全、云計(jì)算技術(shù)安全、運(yùn)營(yíng)管理安全、政策法規(guī)安全，可供企業(yè)云服務(wù)參與者參考，對(duì)企業(yè)云服務(wù)的進(jìn)一步發(fā)展具有一定的指導(dǎo)意義。

【關(guān)鍵詞】企業(yè)云服務(wù) 云計(jì)算 運(yùn)作流程 風(fēng)險(xiǎn)識(shí)別

一、企業(yè)云服務(wù)概述

自2006年Google公司的CEO埃立克.施密特首次提出云計(jì)算以來(lái)，云計(jì)算技術(shù)快速發(fā)展。各行各業(yè)、國(guó)家和組織都根據(jù)各自的理解和宣傳方式給出了云計(jì)算的定義。被普遍認(rèn)可的是由NIST提出的，云計(jì)算是一種能夠通過(guò)網(wǎng)絡(luò)便利的、按需訪(fǎng)問(wèn)可配置的共享資源池服務(wù)，這些資源包括網(wǎng)絡(luò)、服務(wù)器、存儲(chǔ)、應(yīng)用和服務(wù)。其核心理念就是通過(guò)“云”端的巨大計(jì)算處理能力，減少用戶(hù)終端的處理負(fù)擔(dān)，最終用戶(hù)只需要一個(gè)廉價(jià)的可以上網(wǎng)的終端，就可以按需享受 “云”的強(qiáng)大計(jì)算處理能力和各種計(jì)算資源[1]。

對(duì)于企業(yè)云服務(wù)的解釋還沒(méi)有統(tǒng)一定論。百度百科定義企業(yè)云服務(wù)是專(zhuān)門(mén)應(yīng)用于商業(yè)領(lǐng)域的商業(yè)云系統(tǒng)；詹國(guó)輝、劉邦凡認(rèn)為“企業(yè)云服務(wù)”就是指以云計(jì)算為載體，通過(guò)智能化手段來(lái)達(dá)到獲取、存儲(chǔ)、整合企業(yè)信息并使之能信息共享達(dá)成企業(yè)目標(biāo)的一種服務(wù)[7]。云服務(wù)面向終端個(gè)人用戶(hù)和企業(yè)用戶(hù)提供不同的服務(wù)內(nèi)容。在前人的研究基礎(chǔ)上，本文認(rèn)為企業(yè)云服務(wù)是專(zhuān)門(mén)為企業(yè)用戶(hù)提供的一類(lèi)依托于云計(jì)算平臺(tái)實(shí)現(xiàn)的具有超大規(guī)模、按需即取、上網(wǎng)即用等特點(diǎn)的任意互聯(lián)網(wǎng)、應(yīng)用軟件、系統(tǒng)平臺(tái)和計(jì)算資源，來(lái)達(dá)到獲取、存儲(chǔ)、整合企業(yè)信息并使之能信息共享達(dá)成企業(yè)目標(biāo)的一種服務(wù)。

二、企業(yè)云服務(wù)安全風(fēng)險(xiǎn)識(shí)別

企業(yè)云服務(wù)的應(yīng)用模式多樣，基本運(yùn)作流程都是企業(yè)用戶(hù)從移動(dòng)終端通過(guò)Internet訪(fǎng)問(wèn)云端的服務(wù)。整個(gè)企業(yè)云服務(wù)運(yùn)作從服務(wù)請(qǐng)求開(kāi)始，企業(yè)用戶(hù)通過(guò)服務(wù)合作伙伴（第三方）或者直接向云服務(wù)提供商提出服務(wù)需求。云服務(wù)提供商對(duì)需求和自身能力進(jìn)行綜合評(píng)估設(shè)計(jì)云服務(wù)解決方案，制定云服務(wù)供應(yīng)計(jì)劃。解決方案的實(shí)現(xiàn)需要各級(jí)供應(yīng)商的相應(yīng)支持，云服務(wù)提供商將供應(yīng)商、用戶(hù)與自身資源、技術(shù)和服務(wù)進(jìn)行集成并傳遞給用戶(hù)，通過(guò)企業(yè)用戶(hù)對(duì)云服務(wù)的評(píng)價(jià)了解企業(yè)云服務(wù)的服務(wù)質(zhì)量。在整個(gè)云服務(wù)運(yùn)作過(guò)程中，由第三方監(jiān)管機(jī)構(gòu)對(duì)整個(gè)云服務(wù)提供商的所提供的服務(wù)進(jìn)行安全審計(jì)監(jiān)管。整體企業(yè)云服務(wù)運(yùn)作流程如圖1所示。

企業(yè)云服務(wù)的安全風(fēng)險(xiǎn)問(wèn)題遍布于整個(gè)運(yùn)作流程，體現(xiàn)在企業(yè)云服務(wù)的各個(gè)層級(jí)之間，包括企業(yè)實(shí)施云服務(wù)的安全技術(shù)挑戰(zhàn)，企業(yè)云服務(wù)供應(yīng)鏈參與主體之間相互協(xié)調(diào)管理挑戰(zhàn)，以及企業(yè)云服務(wù)特性帶來(lái)的司法監(jiān)管、隱私保護(hù)等安全挑戰(zhàn)。具體來(lái)說(shuō)，分為以下五個(gè)方面。

（一）云平臺(tái)設(shè)施安全

企業(yè)云服務(wù)依托于云平臺(tái)進(jìn)行實(shí)施，平臺(tái)設(shè)施安全是云服務(wù)的安全保障基石，一旦平臺(tái)設(shè)施遭受大公雞或破壞，云服務(wù)運(yùn)作將整體癱瘓。平臺(tái)設(shè)施安全包括服務(wù)器安全、網(wǎng)絡(luò)安全、操作系統(tǒng)安全、軟件程序安全、軟環(huán)境安全、用戶(hù)身份認(rèn)證安全以及終端安全等。

（二）數(shù)據(jù)安全

企業(yè)應(yīng)用云服務(wù)，將企業(yè)的各種經(jīng)營(yíng)數(shù)據(jù)信息存儲(chǔ)在云端數(shù)據(jù)中心，這些數(shù)據(jù)可能包含企業(yè)用戶(hù)的隱私信息和商業(yè)機(jī)密等，因此數(shù)據(jù)安全是企業(yè)應(yīng)用企業(yè)云服務(wù)關(guān)心的首要問(wèn)題。數(shù)據(jù)安全包括數(shù)據(jù)隔離安全、數(shù)據(jù)共享安全、容災(zāi)備份安全、數(shù)據(jù)刪除風(fēng)險(xiǎn)、數(shù)據(jù)殘留風(fēng)險(xiǎn)、數(shù)據(jù)位置安全等。

（三）云計(jì)算技術(shù)安全

云計(jì)算技術(shù)是企業(yè)云服務(wù)正常運(yùn)作的支撐，成就了企業(yè)云服務(wù)按需滿(mǎn)足多租戶(hù)、個(gè)性化的需求的服務(wù)模式，同時(shí)也帶來(lái)了企業(yè)云服務(wù)特有的安全風(fēng)險(xiǎn)問(wèn)題。云計(jì)算技術(shù)安全包括虛擬化安全、動(dòng)態(tài)資源調(diào)度安全、資源隔離安全、遠(yuǎn)程訪(fǎng)問(wèn)安全等。

（四）運(yùn)營(yíng)管理安全

企業(yè)云服務(wù)特定的服務(wù)模式，決定了需要加強(qiáng)云服務(wù)供應(yīng)鏈參與者之間的相互協(xié)作。由于人員、管理的不確定性加強(qiáng)了企業(yè)云服務(wù)的安全風(fēng)險(xiǎn)。在企業(yè)云服務(wù)運(yùn)營(yíng)過(guò)程中，人員因素、服務(wù)商、供應(yīng)商是否具有長(zhǎng)期運(yùn)作能力以及服務(wù)商的可審查性都對(duì)企業(yè)云服務(wù)安全造成影響。運(yùn)營(yíng)管理安全包括人員安全、權(quán)限管理安全、服務(wù)提供商的持久運(yùn)作、審計(jì)管理安全、兼容性安全等。

（五）政策法規(guī)安全風(fēng)險(xiǎn)

企業(yè)云服務(wù)使得企業(yè)遵守政策法規(guī)的過(guò)程更加復(fù)雜。企業(yè)應(yīng)用云服務(wù)，將企業(yè)數(shù)據(jù)遷移存儲(chǔ)在云端服務(wù)器中，而云端服務(wù)器可能分布于不同國(guó)家或地區(qū)，由于不同國(guó)家或地區(qū)的政策法規(guī)不同，給企業(yè)的數(shù)據(jù)隱私保護(hù)和審查取證帶來(lái)安全風(fēng)險(xiǎn)。政策法規(guī)安全包括政策法規(guī)變更、不同國(guó)家或地區(qū)政策不同、司法取證困難等。

三、總結(jié)與展望

隨著企業(yè)云服務(wù)實(shí)際應(yīng)用的普遍發(fā)展，云服務(wù)的安全問(wèn)題越來(lái)越受到企業(yè)的關(guān)注。針對(duì)企業(yè)云服務(wù)安全風(fēng)險(xiǎn)問(wèn)題，本文從企業(yè)應(yīng)用企業(yè)云服務(wù)的角度，通過(guò)分析企業(yè)云服務(wù)運(yùn)作過(guò)程，分析影響企業(yè)云服務(wù)安全的影響因素，識(shí)別企業(yè)云服務(wù)安全風(fēng)險(xiǎn)，構(gòu)建風(fēng)險(xiǎn)評(píng)估指標(biāo)體系。上述工作比較系統(tǒng)地分析識(shí)別了企業(yè)云服務(wù)的安全風(fēng)險(xiǎn)因素，為進(jìn)一步的研究工作奠定了基礎(chǔ)。但還存在若干問(wèn)題需要進(jìn)一步解決。

參考文獻(xiàn)

[1]汪兆成.基于云計(jì)算模式的信息安全風(fēng)險(xiǎn)評(píng)估研究[C].第26次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)，2011（9）：56-59.

[2]馮登國(guó)，張敏，張妍，徐霞.云計(jì)算安全研究[J].軟件學(xué)報(bào)，2011，22（1）：71-83.

[3]林闖，蘇文博，孟坤，劉渠，劉衛(wèi)東.云計(jì)算安全：架構(gòu)、機(jī)制與模型評(píng)價(jià)[J].計(jì)算機(jī)學(xué)報(bào)，2013，36（9）：1765-1784.

[4]姜政偉，劉寶旭.云計(jì)算安全威脅與風(fēng)險(xiǎn)分析[J].信息安全與技術(shù)，2012，3（11）：36-38，47.

[5]海然.云計(jì)算風(fēng)險(xiǎn)分析[C].第27次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)，2012（8）：94-96.

[6]程玉珍.云服務(wù)信息安全風(fēng)險(xiǎn)評(píng)估指標(biāo)與方法研究[D].北京交通大學(xué)，2013.

[7]詹國(guó)輝，劉邦凡.構(gòu)建我國(guó)企業(yè)云服務(wù)的標(biāo)準(zhǔn)體系[J].經(jīng)管空間，2013.

[8]趙瑤月.云服務(wù)供應(yīng)鏈運(yùn)作模型構(gòu)建及績(jī)效評(píng)價(jià)研究[D].南京大學(xué)，2013.

基金項(xiàng)目：國(guó)家自然科學(xué)基金青年項(xiàng)目（61402022）；北京市哲學(xué)社科規(guī)劃項(xiàng)目（14JGB033）。

作者簡(jiǎn)介：呂俊杰（1979-），女，河北滄州人，北京工商大學(xué)商學(xué)院副教授，研究方向：決策理論、風(fēng)險(xiǎn)管理；榮聚嶺（1988-），女，河北邯鄲人，北京工商大學(xué)商學(xué)院研究生，研究方向：風(fēng)險(xiǎn)管理。