企业用户感知视角下云计算信息安全策略研究.docVIP

企业用户感知视角下云计算信息安全策略研究 　　[摘要]指出信息安全问题已成为云计算进一步发展的主要障碍之一。针对以往研究主要基于云计算服务提供商视角提出云安全问题解决策略的不足，从企业用户感知这一新视角，总结出云安全存在的风险特性，提出改善用户安全感知的解决策略，包括改善环境和行为感知、降低感知风险和提升感知价值等。 　　[关键词]云计算　信息安全　感知安全　感知风险 　　[分类号]C931.6 　　1　引言 　　相比于以往的计算模式，云计算为用户提供了更加便宜、灵活和专业的服务，但据国际著名研究机构IDC的调查，87.5％的调查对象认为云计算进一步推广面临的最大挑战是“安全”问题。云计算信息安全(以下简称“云安全”)威胁来自于多个方面，如未授权的使用、被供应商锁定、隔离失败、供应商守法风险、数据保护、不安全和不彻底的数据删除、监守自盗等。 　　尽管当前研究分析了云安全的各类风险事件，但仍存在不足：一方面，很多风险并非云计算所独有，如来自外部的攻击、信息技术和管理中的漏洞等，由于未能深刻揭示云计算环境中信息安全的独特性，以往文献在对云安全认识上存在一定程度的混淆，更未能提出有针对性的解决方案。另一方面，当前研究通常从供方的角度，强调云计算服务提供商(指提供云计算服务的企业)需要在信息安全问题上做出技术和管理上的努力。这对于提升系统安全性、降低事故发生的概率诚然非常重要，但安全本身并不仅仅是一个客观存在的状态，还取决于云计算用户对安全状态的主观认知。根据认知行为学的研究，用户的安全感知显著影响其进一步的技术采纳行为。而在当前的云安全研究中，少有从用户感知视角，强调提升用户安全感知的研究。 　　2　云安全研究回顾 　　在云计算环境中，信息安全问题受到广泛关注。如Robert Gellman认为云计算环境下，数据寄放在服务提供商处，用户往往不能控制信息的使用，也无法详尽地评估供应商的安全性保障措施，有必要借助于外部力量加强审计和保证数据完整性措施。欧洲网络和信息安全机构的云计算报告提出云计算环境下存在4类风险：政策和组织、技术、法律??一般性风险，并列举了35类事件。该报告还对每一类风险发生的机率、产生的影响大小进行了评估，是对云计算安全的评估比较全面的一篇报告。云安全联盟提出了云计算的两个方面，即治理和运作，共分12个领域指出了可能面临的安全问题，具体包括云计算治理和企业风险管理、审计和监督、传统安全、商业持续性和灾害恢复、密钥管理等。 　　svantesson和Clarke分析了云计算应用中存在的用户隐私和风险法规问题，诸如云计算运营商如何处理所取得的数据?如何将这些数据展示给第三方，又如何为第三方所用?更为重要的是，由于云计算通常会跨越管辖边界，可能导致出现安全事故时地域法律无法管制的问题。他们以谷歌为例进行了分析，警示云服务提供商必须高度关注相关法规，以免在全球范围内推广云计算遭遇法律上的诉讼。 　　总体而言，现有对于云安全的研究，多是针对一般性信息安全问题，从供应商的视角提出对策，但对于云安全中的独特性问题针对性不够，也基本没有从用户视角开展的研究。 　　3　云安全的风险特性 　　综合当前不同机构和学者对云计算的定义，本文认为云计算是基于互联网的信息资源应用模式的最新发展，是一种可便捷地、按需而变地通过网络接入到可灵活配置的计算资源共享池(如网络、服务器、存储、应用和服务)的驱动模式，而这一服务只需付出最小的管理努力和与服务商互动就能快速实现。根据云立方模型，可从4个维度对云计算进行分类：①从数据的物理存储位置；②从专有性还是公开性；③考虑计算资源的周边化(perimeterised)，即企业是在传统孤立的信息系统边界以内还是以外运作；④考察云服务是外包还是内部提供。 　　从云计算服务的优势和发展趋势来看，未来的云计算终将是由专业性云服务公司为广大企业、政府和民众提供集中式服务，相比于个人用户，以企业为代表的组织用户是云计算初期发展的重点。一旦企业用户都采纳了云计算，整个云计算的环境就能很快营造出来，个人用户就会随之进入云计算。因此本文以下的讨论主要从企业用户的视角，基于云计算这一主导发展趋势来进行。 　　 　　云安全主要存在以下4个风险特性： 　　3.1　安全职能外包风险 　　对于企业来说，所有的计算服务均实现虚拟化，意味着信息安全职能的完全外包。这是它与企业内部信息系统的传统方法乃至信息系统外包的根本不同之处。但安全职能的外包并不代表安全责任的外包，产生安全事故所带来的负面影响，仍要由企业自身来承担。而信息作为一种无形资源，不同于有形资产的安全保护，一旦泄密，企业可能在不知情的情况下蒙受巨大损失。因此双方在信息安全方面形成一种“委托一代理”关系，需要建立一个良好的安全治理和激励约束机