吕俊杰　荣聚岭

【摘要】随着云计算技术的快速发展，越来也多的企业应用云服务。企业云服务在提升企业信息化建设的效益和降低企业运作成本的同时，也带来了新的风险。本文根据企业云服务的运作过程，分析识别出影响企业云服务安全的五大因素，即平台设施安全、数据安全、云计算技术安全、运营管理安全、政策法规安全，可供企业云服务参与者参考，对企业云服务的进一步发展具有一定的指导意义。

【关键词】企业云服务 云计算 运作流程 风险识别

一、企业云服务概述

自2006年Google公司的CEO埃立克.施密特首次提出云计算以来，云计算技术快速发展。各行各业、国家和组织都根据各自的理解和宣传方式给出了云计算的定义。被普遍认可的是由NIST提出的，云计算是一种能够通过网络便利的、按需访问可配置的共享资源池服务，这些资源包括网络、服务器、存储、应用和服务。其核心理念就是通过“云”端的巨大计算处理能力，减少用户终端的处理负担，最终用户只需要一个廉价的可以上网的终端，就可以按需享受 “云”的强大计算处理能力和各种计算资源[1]。

对于企业云服务的解释还没有统一定论。百度百科定義企业云服务是专门应用于商业领域的商业云系统；詹国辉、刘邦凡认为“企业云服务”就是指以云计算为载体，通过智能化手段来达到获取、存储、整合企业信息并使之能信息共享达成企业目标的一种服务[7]。云服务面向终端个人用户和企业用户提供不同的服务内容。在前人的研究基础上，本文认为企业云服务是专门为企业用户提供的一类依托于云计算平台实现的具有超大规模、按需即取、上网即用等特点的任意互联网、应用软件、系统平台和计算资源，来达到获取、存储、整合企业信息并使之能信息共享达成企业目标的一种服务。

二、企业云服务安全风险识别

企业云服务的应用模式多样，基本运作流程都是企业用户从移动终端通过Internet访问云端的服务。整个企业云服务运作从服务请求开始，企业用户通过服务合作伙伴（第三方）或者直接向云服务提供商提出服务需求。云服务提供商对需求和自身能力进行综合评估设计云服务解决方案，制定云服务供应计划。解决方案的实现需要各级供应商的相应支持，云服务提供商将供应商、用户与自身资源、技术和服务进行集成并传递给用户，通过企业用户对云服务的评价了解企业云服务的服务质量。在整个云服务运作过程中，由第三方监管机构对整个云服务提供商的所提供的服务进行安全审计监管。整体企业云服务运作流程如图1所示。

企业云服务的安全风险问题遍布于整个运作流程，体现在企业云服务的各个层级之间，包括企业实施云服务的安全技术挑战，企业云服务供应链参与主体之间相互协调管理挑战，以及企业云服务特性带来的司法监管、隐私保护等安全挑战。具体来说，分为以下五个方面。

（一）云平台设施安全

企业云服务依托于云平台进行实施，平台设施安全是云服务的安全保障基石，一旦平台设施遭受大公鸡或破坏，云服务运作将整体瘫痪。平台设施安全包括服务器安全、网络安全、操作系统安全、软件程序安全、软环境安全、用户身份认证安全以及终端安全等。

（二）数据安全

企业应用云服务，将企业的各种经营数据信息存储在云端数据中心，这些数据可能包含企业用户的隐私信息和商业机密等，因此数据安全是企业应用企业云服务关心的首要问题。数据安全包括数据隔离安全、数据共享安全、容灾备份安全、数据删除风险、数据残留风险、数据位置安全等。

（三）云计算技术安全

云计算技术是企业云服务正常运作的支撑，成就了企业云服务按需满足多租户、个性化的需求的服务模式，同时也带来了企业云服务特有的安全风险问题。云计算技术安全包括虚拟化安全、动态资源调度安全、资源隔离安全、远程访问安全等。

（四）运营管理安全

企业云服务特定的服务模式，决定了需要加强云服务供应链参与者之间的相互协作。由于人员、管理的不确定性加强了企业云服务的安全风险。在企业云服务运营过程中，人员因素、服务商、供应商是否具有长期运作能力以及服务商的可审查性都对企业云服务安全造成影响。运营管理安全包括人员安全、权限管理安全、服务提供商的持久运作、审计管理安全、兼容性安全等。

（五）政策法规安全风险

企业云服务使得企业遵守政策法规的过程更加复杂。企业应用云服务，将企业数据迁移存储在云端服务器中，而云端服务器可能分布于不同国家或地区，由于不同国家或地区的政策法规不同，给企业的数据隐私保护和审查取证带来安全风险。政策法规安全包括政策法规变更、不同国家或地区政策不同、司法取证困难等。

三、总结与展望

随着企业云服务实际应用的普遍发展，云服务的安全问题越来越受到企业的关注。针对企业云服务安全风险问题，本文从企业应用企业云服务的角度，通过分析企业云服务运作过程，分析影响企业云服务安全的影响因素，识别企业云服务安全风险，构建风险评估指标体系。上述工作比较系统地分析识别了企业云服务的安全风险因素，为进一步的研究工作奠定了基础。但还存在若干问题需要进一步解决。

参考文献

[1]汪兆成.基于云计算模式的信息安全风险评估研究[C].第26次全国计算机安全学术交流会，2011（9）：56-59.

[2]冯登国，张敏，张妍，徐霞.云计算安全研究[J].软件学报，2011，22（1）：71-83.

[3]林闯，苏文博，孟坤，刘渠，刘卫东.云计算安全：架构、机制与模型评价[J].计算机学报，2013，36（9）：1765-1784.

[4]姜政伟，刘宝旭.云计算安全威胁与风险分析[J].信息安全与技术，2012，3（11）：36-38，47.

[5]海然.云计算风险分析[C].第27次全国计算机安全学术交流会，2012（8）：94-96.

[6]程玉珍.云服务信息安全风险评估指标与方法研究[D].北京交通大学，2013.

[7]詹国辉，刘邦凡.构建我国企业云服务的标准体系[J].经管空间，2013.

[8]赵瑶月.云服务供应链运作模型构建及绩效评价研究[D].南京大学，2013.

基金项目：国家自然科学基金青年项目（61402022）；北京市哲学社科规划项目（14JGB033）。

作者简介：吕俊杰（1979-），女，河北沧州人，北京工商大学商学院副教授，研究方向：决策理论、风险管理；荣聚岭（1988-），女，河北邯郸人，北京工商大学商学院研究生，研究方向：风险管理。