摘要：自云计算诞生之日起，其安全问题就一直为业界所关注。IDC在2008年10月发布的关于企业IT主管的意向调查报告中，安全成为他们在考虑将云计算引入企业时面临的最大挑战。总的来说，云安全主要涉及了两个领域的问题，一个是系统安全，一个是数据隐私。

　　系统安全问题在传统的互联网系统和应用中就是一个关键问题。然而，在云计算环境下，用户对云计算数据中心的强依赖性，以及云计算服务对网络条件的高要求，使系统的安全问题更引人关注。在与云计算相关的安全问题中，除了互联网本身的安全风险外，云计算的引入也带来了更多的不安全因素(例如IaaS服务的虚拟化系统、PaaS服务的分布式计算系统等中存在的软件漏洞和不稳定性)，需要云计算服务提供商对此进行更深入的研究。
　　
　　数据隐私问题是云计算这种新兴的服务模式无法回避的问题。虽然云计算从服务提供方式上可以划分为IaaS(基础设施即服务)、PaaS(平台即服务)和SaaS(软件即服务)3个层次，但是在本质上，它们都是将数据中心外包给云计算服务提供商的模式。因此，如何保证用户数据的私密性及如何让用户相信他们的数据能够获得必要的隐私保护是云计算服务提供商需要特别关注的问题。
　　
　　对数据隐私的保护是云计算服务能够被大众广泛认可并获得深入推广的必要前提，它要求为用户交付的服务的每一个环节都能得到安全性保证。
　　
　　在数据传输方面，传统的企业数据中心中保存了大量代表企业核心竞争力的私密数据，如企业的客户信息、财务信息、关键业务流程等，这些数据是企业的命脉。在云计算模式下，这些数据通过网络传递给云计算服务提供商进行处理，它面临的问题主要是如何确保企业的数据在网络传输过程中不被窃取、修改，或者即使被窃取也不会泄露企业的有用信息，这就需要对网络监测技术和数据加密技术进行深入研究，同时在网络传输过程中对用户进行严格的权限认证，以确保只有合法的数据访问发生，保证数据的完整性。
　　
　　在数据存储方面，数据隐私是传统企业数据中心的关键所在，包括数据的存储位置、数据的隔离、数据的灾难恢复等。在云计算模式下，云计算服务提供商在高度整合的大容量存储空间上为企业开辟出一部分存储空间供其使用，但用户并不清楚自己的数据被放置在哪一台服务器上，甚至根本不了解这台服务器放置在哪个地方，以及服务器所在地是否会有相关政策从而导致信息泄露，这需要云计算服务提供商提供必要的合同约定。在这种数据存储资源的共享环境下，云计算服务提供商要能保证数据之间的有效隔离;另外，云计算服务提供商需要对企业托管的数据进行备份，以备在出现重大事故时及时恢复用户数据，并且要保证数据本身及其所有备份在不需要时能被完全删除而不留任何痕迹。因此，云计算服务提供商必须针对这些问题对共享环境下的数据存储技术进行深入研发，以保证用户在任何时候都可以安全地访问数据。
　　
　　在数据审计方面，为了保证数据的准确性，传统的企业内部数据管理方式往往会引入第三方认证机构进行审计或认证。在云计算模式下，企业的审计需要借助云计算服务提供商的配合，这要求云计算服务提供商必须能在确保不对其他用户的数据和相关计算带来风险的前提下为第三方机构提供必要的信息支持，满足用户企业的数据审计需求。另外，云计算服务提供商的服务提供资质必须获得认证，以确保在提供有效的云计算服务的同时不损害用户的利益，否则，一家技术实力弱、难以长期存在的云计算服务提供商将在企业应用云计算时引入更高的安全风险。
　　
　　除了在云计算服务环节中采用必要的技术手段解决上述问题，使其他人(包括云服务提供商)接触用户数据的概率降到最低外，服务提供商也需要对其运营策略进行改进，通过借助商业规则和信誉，树立良好的企业形象和公信力，打消用户因担心隐私被泄露而产生的顾虑。不过，在尽量保障用户隐私的同时，服务提供商又必须对用户行为进行必要的监督和管制。例如，云计算的按需提供资源并按需计费的模式降低了不良用户通过网络发起不良行为的成本，会助长其破坏互联网安全的行为。对于这类情况，云计算服务提供商必须给予监督并在政策指导下坚决予以打击，这也是服务提供商的安全责任所在。当然，完善用户隐私保障必须依赖于在国家层面制定全面、规范的监管政策，这是一个亟待解决的问题。
　　
　　责任编辑：Lily