2.2 云计算面临的管理风险

由于云计算采用的是新的服务模式，这必然给安全管理带来新的挑战。例如，数据的所有权和管理权分离，如何在保障数据可用性的同时对数据进行安全有效的管理，如何确保用户终端操作的安全等。本节从云服务的服务等级协议、云服务不可持续、身份管理、供应链管理四个方面分析云计算在管理上面临的风险。

2.2.1 云服务无法满足服务等级协议

服务等级协议（Service Level Agreement，SLA）是云服务提供商和用户双方经协商而确定的关于服务质量等级的协议或合同，而制定该协议或合同是为了使云服务提供商和用户对服务、优先权和责任等达成共识，达到和维持特定的服务质量（Quality of Service，QoS）^[29]。对于云服务的SLA，它不仅可以消除用户在使用云服务时关于服务安全和服务质量的后顾之忧还可以向用户说明云服务提供商所能提供的云服务的质量等级、成本、收费等具体情况^[12]。一份标准的SLA最少应该包含服务等级目标、违约处理方案以及规则例外这三方面的内容，如表2.11所示。

虽然在SLA中，云服务提供商会针对可用性、响应时间、安全保障等对服务等级做出一定的承诺，但在实际的服务过程中，云服务提供商难以完全履行SLA中所做出的承诺^[30]。例如，2018年8月，前沿数控公司发文声称，在使用腾讯云服务器8个月后，其存储在腾讯云服务器上的数据全部丢失，给公司业务带来灾难性的损失；2017年，亚马逊S3云存储上的数据库配置错误，导致三台服务器下的数据可公开下载，造成了严重的数据泄露。

上述事件发生的原因是多方面的，例如，云服务提供商很难针对云计算的各种风险一一找出对应的防护策略；如何对用户数据进行安全存储和安全管理，对云服务提供商来说是一个巨大的挑战；云服务的可用性在很大程度上依赖于网络的安全性和性能，但网络攻击事件层出不穷、防不胜防，由网络而造成云服务不可用的情况是云服务提供商无法控制的；在海量终端接入云服务的情况下，终端风险会严重威胁到云服务的质量；另外，若用户在使用云服务时对云服务中某些参数设置不当，会对云服务的性能造成一定的影响。

2.2.2 云服务不可持续风险

在云计算内部，任何一个小的代码错误、设备故障或操作失误都可能导致服务故障。例如，2018年6月，因运维上的一个操作失误，阿里云部分产品及账号登录出现访问异常；2017年3月，亚马逊S3存储服务因人为操作失误发生故障，导致包括美国证券交易委员会、苹果iCloud在内的多个网站和服务无法正常工作；2017年1月，因员工在维护过程中错误地删除了数据库目录，导致GitLab的线上代码库GibLab.com遭遇了18小时的服务中断。另外，针对云计算的攻击层出不穷，也极大地影响了云服务的可用性，在云安全联盟发布的2016年云计算面临的十二大威胁中，拒绝服务赫然在列，从中可以看出网络攻击对云计算安全的威胁越来越大。除了设施故障和人为原因，地震、台风等自然灾害都可能导致云服务的中断。

此外，一些云服务提供商面临着破产或被收购的风险。如果云服务提供商破产，则云服务就存在被终止的风险；如果云服务提供商被收购，则存在原有云服务因技术升级导致一段时间内服务中断的风险，甚至最终也难逃被终止的厄运。

2.2.3 身份管理风险

身份管理涉及身份的鉴别、属性的管理、授权的管理等多个方面，在云计算多用户环境下有着大量的用户和海量的访问认证要求，因此和传统的IT架构相比，云服务面临着更为严峻的身份管理风险。

云服务提供商是身份管理的主要实施者。首先，对于云服务提供商来说，云服务面对的是来自不同领域的大量用户，不同用户所具有的身份属性又不尽相同，对数据的归属管理不清晰是云服务提供商在身份管理上面临的第一个挑战；其次，数据的所有者可能会将数据的某些访问和操作权限授予其他用户，因而同一用户可能有多重身份，即该用户对于自己的数据来说是所有者身份、对某些数据来说可能是访客身份、对其他数据来说则是非授权身份，做到对同一个用户设定不同的身份并严格地进行授权是比较困难的，因此权限管理的混乱是云服务提供商面临的又一项挑战；不同领域的数据具有不同的安全等级标准，同一用户所拥有的数据也有敏感度高低之分，难以制定清晰的安全边界也是云服务提供商所要面临的问题。另外，云服务提供商还必须考虑申请使用云服务的人员的合法性，如果攻击者可以注册并使用云服务，那么攻击者就可能向云端发送恶意数据、对云服务进行攻击等，给云服务安全带来极大的风险。

用户作为云服务的重要参与方，需要对自己的身份信息进行管理。在使用口令进行身份认证的情况下，如果用户设定的口令没有达到一定的安全强度，那么用户的账号就容易被攻击者攻破；如果用户没有对自己的身份信息采取合理的保存措施，造成身份信息泄露或丢失，那么用户身份信息的安全性就无法得到保障。另外，用户还需要对云服务提供商的身份有清醒的认识，不可信的云服务提供商可能会非法窃取用户数据、泄露用户隐私，使用户数据的安全性完全得不到保障。

2.2.4 供应链风险

2017年，绰号为“Red Apollo”的黑客组织发动了史上规模最大的持续全球网络间谍攻势之一，它不直接攻击企业，而是瞄准云服务提供商，企图利用云计算网络将间谍工具传播到大量企业。据追踪了这场黑客攻势的专业服务机构普华永道会计师事务所（Price Waterhouse Coopers）介绍，该事件是所谓的“供应链攻击”构成风险的警示信号。云计算供应链指整个云服务环境所涉及的基础设施提供商、技术提供方、云服务提供商、用户以及服务流程等所形成的一条广泛而复杂的供应链。基础设施提供商提供软件和硬件，技术提供方提供构建云计算平台所需要的技术，云服务提供商从基础设施提供商处采购硬件和软件，在软件和硬件等基础设施之上采用相关技术构建云计算平台，再向用户提供云服务。云计算产业越庞大，供应链越复杂，管理难度就会越大。任何一方存在风险都会使得供应链断裂、服务中断，从而造成巨大的经济损失。本节重点分析云计算供应链中存在的风险^[13]。

（1）第三方产品风险：由于云服务提供商要购买大量物理计算设备和网络设备，如果供应商产品不符合相关法律政策的标准或云服务提供商安全需求，甚至采用假冒伪劣的设备，将会对云服务提供商造成难以估量的巨大损失。

（2）第三方服务风险：云服务提供商需要的第三方服务主要包括基础设施服务（如水、电和网络服务等）和外包服务。对于基础设施服务，如果服务供应商未获得相关资质认证，或者提供的服务不稳定，如停电、停水等，将会影响云服务提供商的正常服务；对于外包服务，如果服务供应商没有完善的合规管理和质量控制、开发人员没有足够的安全开发能力，将会导致外包服务不能按时完成，或者提供的服务不合规、服务质量下降。

（3）安全标准不统一的风险：云计算供应链中存在着来自不同地区、国家的供应商，各个地区、国家的供应商安全意识、安全能力参差不齐，安全和合规标准不统一，这会导致审计工作难以进行，同时也会因为一些国家的法律问题导致云服务提供商审计人员难以获取一些供应商的审计数据，使得对供应商的风险管理工作难以开展。

（4）供应链断裂的风险：基础设施提供商、技术提供方等都是云计算供应链中不可缺少的参与者，如果任何一方突然无法继续供应，而云服务提供商又不能立即找到新的供应者，就会导致供应链中断，进而可能使相关的云服务故障或终止。

（5）供应链网络攻击：供应链中各方环环相扣，紧密联系，攻击者可以通过攻击其中薄弱的一环（如通过钓鱼邮件获取第三方供应商人员的登录凭证）渗透到供应链中，控制供应链的服务流程，进而进行范围更广、危害更大的攻击活动。

（6）信息不对称风险：云计算供应链的复杂性使各方在进行交流时，可能会发生信息延迟或不准确的情况。另外，一些供应商为了保证利益最大化而隐瞒重要信息，这会导致云服务提供商无法完全掌握完整有效的信息，做出错误的安全决策。

（7）政策风险：政府调控经济政策可能会影响云计算供应链中供应商的经营活动和经营策略，如供应商经营成本上升造成产品及服务价格提高，使得云服务提供商也必须承担更高的成本，进而影响到云服务的提供。