"云计算安全风险评估" 列出7大风险

    2008年7月3日消息，据国外媒体报道，研究机构Gartner近日发布一份名为《云计算安全风险评估》的报告，列出了云计算技术存在的7大风险。

    亚马逊的EC2和Google的App Engine是典型的云计算平台。Gartner将这种类型的计算定义为“可大规模扩展的IT能力，通过互联网技术向外部客户提供服务”。 Gartner表示，云计算需要进行安全风险评估的领域包括数据完整性、数据恢复及隐私等。此外，还需对电子检索、可监管性及审计问题进行法律方面的评价。以下是Gartner列出的云计算7大风险：

    1.特权用户的接入

    在公司外的场所处理敏感信息可能会带来风险，因为这将绕过企业IT部门对这些信息“物理、逻辑和人工的控制”。企业需要对处理这些信息的管理员进行充分了解，并要求服务提供商提供详尽的管理员信息。

    2.可审查性

    用户对自己数据的完整性和安全性负有最终的责任。传统服务提供商需要通过外部审计和安全认证，但一些云计算提供商却拒绝接受这样的审查。面对这样的提供商，用户只能用他们的服务做一些琐碎的工作。

    3.数据位置

    在使用云计算服务时，用户并不清楚自己的数据储存在哪里，用户甚至都不知道数据位于哪个国家。用户应当询问服务提供商数据是否存储在专门管辖的位置，以及他们是否遵循当地的隐私协议。

    4.数据隔离

    在云计算的体系下，所有用户的数据都位于共享环境之中。加密能够起一定作用，但是仍然不够。用户应当了解云计算提供商是否将一些数据与另一些隔离开，以及加密服务是否是由专家设计并测试的。如果加密系统出现问题，那么所有数据都将不能再使用。

    5.数据恢复

    就算用户不知道数据存储的位置，云计算提供商也应当告诉用户在发生灾难时，用户数据和服务将会面临什么样的情况。任何没有经过备份的数据和应用程序都将出现问题。用户需要询问服务提供商是否有能力恢复数据，以及需要多长时间。

    6.调查支持

    在云计算环境下，调查不恰当的或是非法的活动将难以实现，因为来自多个用户的数据可能会存放在一起，并且有可能会在多台主机或数据中心之间转移。如果服务提供商没有这方面的措施，那么在有违法行为发生时，用户将难以调查。

    7.长期生存性

    理想情况下，云计算提供商将不会破产或是被大公司收购。但是用户仍需要确认，在发生这类问题的情况下，自己的数据会不会受到影响。用户需要询问服务提供商如何拿回自己的数据，以及拿回的数据是否能够被导入到替代的应用程序中。