2.5 小结

本章从云计算技术、云计算管理、法律法规以及行业应用四个方面对云计算面临的风险进行了细致的分析。

针对云计算技术，分别分析了Iaas、PaaS、SaaS三种服务类型面临的风险。分析了主机、网络、数据存储与迁移的风险；PaaS以IaaS为基础，除了面临和IaaS同样的风险，还存在着数据处理及应用风险；SaaS以PaaS为基础，除了面临和PaaS同样的风险，还存在着应用的风险。另外，数据风险、接口风险和漏洞风险是IaaS、PaaS、SaaS均面临的核心安全问题。对于数据风险，本章从数据生命周期的七个阶段分析了数据风险；对于接口风险，则从外部攻击、接口设计两个方面进行了风险分析；对于漏洞风险，分析了关键云特性漏洞及云计算关键技术漏洞带来的风险。

在云计算的管理方面，本章从云服务是否满足SLA、云服务不可持续、身份管理及供应链管理四个方面进行了全面的分析。在云计算中，虽然有SLA的限定，但是云服务提供商却可能面临因为各种原因达不到服务质量的风险；在云服务提供商的运营过程中，存在因人员操作失误、设备故障、云服务提供商破产等原因面临服务终止的风险；在身份管理方面，云计算采用多用户模式，如果云服务提供商对用户管理不当，则会带来各种安全隐患；在云计算供应链中，存在着第三方产品及第三方服务带来的安全隐患、安全标准不统一、供应链断裂、供应链攻击等风险。

在法律法规方面，分析了云计算在隐私保护、犯罪取证、数据跨境、安全性评估与责任认定四个方面的风险。在隐私保护方面，存在云服务的隐私保护策略和某些国家的隐私保护法律规定相矛盾的风险；在犯罪取证方面，存在数据采集困难、依赖链断裂、用户隐私泄露风险；在数据跨境方面，存在数据跨境违反用户所在国家法律的风险；在安全性评估与责任认定方面，存在着由于标准不统一而难以进行安全性评估及认定的风险。

在行业应用方面，分析了电子政务云、电子商务云、金融云、医疗云以及工业云中存在的风险。在电子政务云中，存在数据安全、运营标准不统一、技术标准不统一、资源整合困难、不能满足政府的安全要求等风险；在电子商务云中，存在数据安全、云计算平台不可靠、相关法律法规不完善、服务终止等风险；在金融云中，存在数据安全和隐私保护、合规、监管和法律、服务终止等风险；在医疗云中，存在数据安全、缺少合规性审查标准、业务运行不稳定等风险；在工业云中，存在数据安全、设备接入、云计算平台不可靠或不可用、相关标准仍不完善等风险。

云计算面临的风险虽然遍及技术、管理、法律法规以及行业应用等多个方面，但只要能够充分地了解云计算面临的风险，“对症下药”，合理地规划出云计算安全体系，并且分层次地构建出云计算安全解决方案，一定能够将云计算安全问题各个击破，使云计算脱离风险的束缚，具有更加广阔、美好的发展前景。