R1. 问责制和所有权  简介：  对于一个组织来说，传统的数据中心是完全可控的。这个组织可以在逻辑上和物理上保护他们所拥有的数据。一个 组织如果选择去使用一个公开的云来托管业务服务，这样会失去对他们自己数据的控制权。这会造成严重的安全威胁， 该组织需要认真考虑并解决它。（Pankaj，维奈）   内容：  对于一个组织来说，传统的数据中心是完全被这个组织控制的，这个组织可以在逻辑和物理上保护他们的数据。组 织可以选择一个的云提供商来托管他们的业务，但他们这样会失去对自己数据的控制。这可能会造成严重的安全威胁， 所以组织需要认真考虑并作出恰当的决策。  威胁的严重程度是由存储在云端的数据的重要性决定的，例如 BLOG、微博、公共新闻以及新闻组信息这些公开的 信息就是不敏感的的数据，所以在云中托管这些数据的风险是很低的。相反，像个人健康记录、犯罪记录、信用记录和 工资信息是高度敏感的业务数据，如果这些数据被泄露，会导致很严重的商业和法律后果，因此在云中托管这些数据会 有非常高的风险。  由于云中的数据由云提供商控制，所以首要的问题是确保存储数据的保密性，加密技术可以被用来确保保密性，如 果云提供商使用多租户架构，应当为云中的每个用户提供单独的加密密钥。  云提供商可能会把用户的数据存放在不同的国家，这也会带来一些风险，因为每个国家都会有它自己的法律体系， 云提供商运营的业务都要遵循它所在地区的法律体系，某些国家的法律也许会强制云提供商向司法人员提供某些数据和 密钥。数据的存放位置也会增加额外的经济成本，如销售订单需要缴纳税点，而且可能无法获得这个国家提供的最低税 率的优惠，因为云提供商可能把数据存放在任何国家和地区。  云提供商可能把用户的数据存放在他们的办公场所，或者租用一个基础设施（IAAS）作为提供数据存储的地方。提 供商可能采用多租户架构，在一个物理存储中存放许多的云用户数据。这种架构可能缺少必要的控制，以确保云的用户 只能访问属于自己的数据，而不会访问到其他用户的数据。如果云用户之间在商业上有竞争关系，那么缺乏这种控制会 给用户带来严重的商业风险。  当一个请求要删除一些数据的时候，云提供商可能只是名义上把它删除，并留下可以用来重建原始数据的痕迹。这 些数据可能被偷走、并且被滥用，给云中的用户造成严重威胁。    对策：  为了降低各种数据的相关风险，使用云计算来开展服务的组织应当做到以下几点：  1. 明确云提供商是如何确保数据安全，以及是如何去检测和报告一个威胁。  2. 明确数据存储的地理位置，以及确保提供商不会把数据存储在一个受相关限制的国家中。  3. 明确第三方机构或当地政府在什么情况下可以从云提供商处抓取或没收数据，当出现此类事件时提供商应及时提 前通知用户。   4. 确保云提供商能基于用户制定的数据分类对数据做适当的保护， 并解决诸如 HIPPA 隐私法的相关问题。  5. 默认情况下提供商拒绝所有对用户数据的访问，用户组织可以给需要访问的对象给予指定和明确的授权。  6. 云提供商要对静态和传输过程中的数据进行加密。  7. 提供商对不同用户的数据进行逻辑上隔离，从而预防任何未经授权的访问、修改或删除数据。  8. 明确云提供商是如何管理不同用户的密钥。提供商应当为每个用户使用一个加密密钥，而不是对所有用户使用相 同密钥。  9. 核实云提供商对删除的数据已经进行了彻底的销毁，不能再通过任何方式恢复出来。  10. 如果数据被破坏，确保云提供商承担赔偿。    案例：  2009 年 7 月 15 日，Twitter 透露一个黑客通过劫持 Twitter 员工的邮件账户获取了存储在 Google Apps 上的大量公 司数据。尽管这次破坏是由于弱口令和密码重置造成的，不过这一事件已引起新的有关云计算安全和隐私问题更广泛的 关注。 参考： 无 R2. 用户身份统一  简介：  当企业需要转移服务和应用到不同云服务提供商时，他们保持对自己的用户身份控制是非常重要的，而不是让云服 务提供商创建多个不同的身份，这会导致管理变的越来越复杂。用户应当具有一个可在不同的云服务提供商间通用的唯 一的身份验证（如 SAML），这样用户即可不需要管理众多账号和证书，很好的提高了用户的使用体验。这使得后端数 据在不同云提供商之间的整合变得更加容易。（维奈，Pankaj） 内容： 无 对策：  无 案例： 无 参考： 无    R3. 合规性  简介：  复杂的合规性说明。数据在一个国家可能被认为是安全的，在另一个国家可能被认为是不安全的，这是因为不同的 国家或地区的监管法律是不同的。举例来说，欧盟有非常严格的隐私法，因此存放在美国的数据可能不符合欧盟的法律 条款。（尚卡尔，奥雅纳） 内容：  用户最终为了安全和遵从监管法规，把他们自己的应用托管在云中。数据服务和应用所有者必须及时到位的提出审 计计划，确保用户对托管在云提供商处的应用和基础设施有适当的控制权。不少公司在计划采用云技术（如 SaaS， Iaas，Paas 等），必须确保他们的云提供商了解各自的角色和职责（RACI 等），从而帮助用户遵从适当的监管法规和标 准（政府和商业）。IT 经理可能会害怕把数据给云提供商而失去对数据的控制，因为缺少透明的机制运提供商可能为了 符合监管法规而在用户不同意的的情况下改变他们的底层技术和实现。IT 组织应当分析是否应该将风险管理框架包括数 据保护和合规性要求应用到云中，并确认通过数据保护，可用性和密钥管理等方式更好的界定服务水平协议的可行性。  对策：  无 案例： 无 参考： [1].Anthes, G（2009 年 1 月），saas 的现实，计算机世界 43(1), 21‐22.，摘自 2009 年 8 月 9 日，ABI/ INFORM Global.(文 件编号：1626575741)。  [2].Business：Pain in the aaS；计算机安全（2008 年 4 月），经济学家，387（8577），86。 取自 2009 年 8 月 9 日，ABI 公司/ INFORM Global.。 .(文件编号：1469385981)  [3].Gartner: 七大云计算安全风险： http://www.cio.com/article/423713/Gartner_Seven_Cloud_Computing_Security_Risks?page=1&taxonomyId=1419   [4].Google：云计算比传统 IT 技术更安全：http://www.computerweekly.com/Articles/2009/07/21/236982/cloud‐ computing‐more‐secure‐than‐traditional‐it‐says.htm   [5].云计算安全问题 TOP5：http://www.computerweekly.com/Articles/2009/04/24/235782/top‐five‐cloud‐computing‐ security‐issues.htm   [6].云安全联盟：http://www.cloudsecurityalliance.org/csaguide.pdf   [7].奥沙利文, D. (2009) 互联网云的一线希望 英国行政管理杂志。  [8].Chow, R., Golle, P., Jakobsson, M., Shi, E., Staddon, J., Masuoka, R., & Molina, J. (2009).云中的数据控制：外包数据而非外 包控制，论文发表在 2009 年 CCSW：云计算安全， 2009 年美国芝加哥，伊利诺伊州，ACM 研讨会论文集  [9].Getgen, K. (2009, October) 2009 加密和密钥管理的行业标准的报告，Trust Catalyst 白皮书 数据保护中的风险管理.   R4. 业务持续性和灵活性  简介：  业务持续性是用来确保 IT 组织的业务在遇到灾难的情况下可以正常运行的活动。当一个组织使用了云服务之后， 维护业务持续性的职责便要授权给云服务提供商。这有可能会让组织产生一个失去业务持续性控制的风险。(Pankaj，尚 卡尔)。关于服务的持续性和服务质量（QoS），首先要确保有关的云计算拟议的合同解决方案，以及服务等级协议。 （卢多维奇）   内容：  维护业务的持续性是一个公司或组织必须具备的操作预案，以确保一些关键的业务功能对客户、提供商、监管机构 和其他必须能够访问这些功能的实体是可用的。这些活动包括许多常规操作如项目管理、系统备份、控制更改和帮助台 (helpdesk)。灵活性是系统必须具备的一个特征，这使系统本身能够适应自然或人为事件所造成的灾难性故障后果。  在非云端环境下，保证业务的连续性是公司或者组织的职责。公司或者组织理应制定计划，执行业务连续性。因为 公司或组织拥有完备的 IT 基础设施，它有能力和资源开发有效的业务连续性计划。  在使用云的情况下，企业维护业务持续性的责任必须授权下放给云提供商。组织失去了制定和执行业务连续性计划 的控制权。因此在万一出现灾难的情况下，在大的灾难发生时没有足够能力保证业务连续性的公司或组织可能会出现危 险。    对策：  为了减轻这种风险，公司或组织在使用云的时候，应该遵循下面几点：  1. 确保完全理解客户恢复时间目标(Recovery Time Objectives :RTOs)被云提供商理解并将其明确的写到合同关系中。  2. 确认云提供商已经实施了由其董事会董事核准的业务连续性性策略。  3. 检查一下云提供商是否已经具备有效的管理支持和对业务连续性定期的审查程序。  4. 确认一下云提供商的业务连续性程序是否已经经过认证并且/或者能够符合国际公认的标准比如 BS25999.  然而，除了考虑以上的危险以外，如果一个公司或者组织自身就缺乏因为连续性的策略，那么如果使用了具备良好 业务连续性策略的云提供商提供的服务的话，该组织将从云的使用中受益。    案例：  windows Azure，微软的云计算平台，在 2009 年 3 月的曾经中断服务一个周末。如果你的公司使用了该服务，那么 这次中断服务对你的公司的运营造成什么影响？微软有职责去解决这个问题，而不是你们公司的 IT 团队。  参考： 无  R5. 用户隐私与数据的第二用途  简介：  用户个人数据从使用社交网站开始就已经存储在云端了。大多数的社交网站对于如何处理用户的个人数据都是模糊 不清的。此外，大多数的社交网站采用默认共享所有（或者很少的限制）的策略来建