云計算技術和云安全技術已經(jīng)成為了當今互聯(lián)網(wǎng)上的熱點詞匯，作為一個新理念的技術，我們要探討和研究的東西還有很多。但本文涉及的“云安全”并非是目前國內反病毒業(yè)界中非常熱門的“云安全”、“云查殺”這類反病毒技術。“云安全”反病毒技術只是將云端的計算和商用模式應用到反病毒領域。換句話說，是云計算在一個特定領域的應用。

云計算技術的安全益處

在討論云計算技術的安全風險前，先簡單談一下云計算對企業(yè)用戶帶來的安全益處�；�于規(guī)模經(jīng)濟效益的原理，在大規(guī)模的云計算用戶（尤其是公用云）的情況下，單位運營成本將會下降，單位安全運營的成本也會下降。安全運營包括網(wǎng)絡監(jiān)控、操作系統(tǒng)/應用程序的補丁部署、軟件/硬件系統(tǒng)配置的加固、權限管理等。

就用戶本身而言，云計算的一大好處就是在降低單位運營成本的同時，許多安全責任也隨之轉移到云計算供應商身上，不需要用戶操心。從這個角度來講，云計算技術和近年來的企業(yè)IT外包模式相似。不過云計算供應商在高可靠性、安全性和冗余性投入的成本更大。

但需要強調的是，云計算在降低單位安全運營成本的同時，也帶來了相應的安全風險，如CSP的風險管理實踐、服務協(xié)議（Service License Agreement - SLA）的設定、合規(guī)化（Compliance）驗證等方面。事實上最近的調查顯示，數(shù)據(jù)的安全和隱私風險，已經(jīng)成為用戶轉移到云計算的首要顧慮。

云計算技術的安全風險

如本文開始提及的，云安全涉及到云計算技術商業(yè)模式潛在的技術、政策、法律、商業(yè)等各個領域的安全風險。具體而言，分為以下幾大方面：

安全和隱私

需要評估云計算供應商對下述安全功能的實現(xiàn)流程：

身份認證 權限控制 加密/解密算法 服務可用性 應用層面安全 數(shù)據(jù)保護 安全事件通報 人事和物理安全

關于身份認證、權限控制等概念，這里就不詳細闡述。我們對數(shù)據(jù)保護、安全事件通報、人事和物理安全這幾個在云計算技術中特殊性的安全因素做進一步探討。

數(shù)據(jù)保護：

在云計算技術中，由于重要數(shù)據(jù)被托管存放，這些數(shù)據(jù)可能與其他用戶的數(shù)據(jù)存放于同一物理介質上。于是CSP的數(shù)據(jù)分離和保護流程就尤為重要。例如，數(shù)據(jù)分離存儲是如何實現(xiàn)的？數(shù)據(jù)的內部傳輸或外部傳輸，是否采用了加密算法，其強度如何？是否采取了額外措施以防止數(shù)據(jù)的異常泄露？

安全事件通報：

無論CSP的安全措施是如何實施的，安全事件（security incident）或早或晚還是會發(fā)生。一旦CSP出現(xiàn)了安全事件，造成對用戶數(shù)據(jù)安全的影響，CSP是否有相關的安全事件通報機制來及時通知用戶，并提供相應的信息以便用戶做損害評估？ 人事和物理安全：基于企業(yè)內部的攻擊（insider attack）和基于物理設施的攻擊（例如直接竊取存儲硬盤）與基于互聯(lián)網(wǎng)的匿名攻擊是完全不同的。當用戶將重要的數(shù)據(jù)托管給CSP時，是否能信任該CSP的人事和物理的安全政策和實踐？

管理權（Governance）

在用戶使用云計算技術模式的同時，實際上也放棄或降低了諸多影響安全的問題的決策權和管理權。例如：

外部的滲透測試（Penetration Test）往往是不允許的 安全日志的完整有效性 安全事件中的證據(jù)采集（Fore-nsics）流程 重要數(shù)據(jù)存放的具體物理位置和安全配置 供應鏈的安全。CSP是否會將某些云計算服務外包給第三方？ 以上這些問題的決策，如果在用戶和CSP簽署的服務協(xié)議中沒有明確涉及，就會帶來潛在的安全風險。

合規(guī)性（Compliance）

CSP是否能夠滿足相關政策，例如數(shù)據(jù)隱私保護的規(guī)定？CSP是否能夠讓用戶或第三方對其進行審核（Audit）來驗證其安全政策的完備性和有效性？

法律

重要數(shù)據(jù)的物理存儲可能跨越不同國家和地區(qū)。而不同國家有不同的司法系統(tǒng)，這就會帶來潛在的法律風險。例如不同國家對數(shù)據(jù)丟失責任、數(shù)據(jù)知識產權保護、數(shù)據(jù)的公開政策（disclosure policy）的司法解釋可能是不一樣的。