云計(jì)算領(lǐng)域伴隨各類安全風(fēng)險(xiǎn)。諸如亞馬遜的EC2服務(wù)和谷歌的Google App Engine就是云計(jì)算服務(wù)的例子。在認(rèn)可一個(gè)供應(yīng)商之前，聰明的使用者通常會(huì)提出一系列尖銳的問題并且考慮從獨(dú)立第三方獲取一份安全評(píng)估報(bào)告。

云計(jì)算的特有屬性決定了風(fēng)險(xiǎn)評(píng)估的重要性，包括數(shù)據(jù)完整性保護(hù)、故障發(fā)生后可恢復(fù)性以及私密性等領(lǐng)域。此外，諸如e-discovery（電子發(fā)現(xiàn)）和審計(jì)等方面的法律評(píng)估也是必不可少的。以下是使用者在選擇供應(yīng)商之前需要防范的七方面風(fēng)險(xiǎn)：

優(yōu)先訪問權(quán)

由于云計(jì)算服務(wù)供應(yīng)商采用內(nèi)部程序，以繞開物理、邏輯和個(gè)人控制，敏感數(shù)據(jù)在處理過程中存在被盜取風(fēng)險(xiǎn)，因此，盡可能掌握管理數(shù)據(jù)相關(guān)人員的信息至關(guān)重要。使用者需要向供應(yīng)商索要其擁有優(yōu)先訪問權(quán)管理人員的雇傭和監(jiān)管的詳細(xì)信息。

監(jiān)管

即使數(shù)據(jù)掌握在服務(wù)供應(yīng)商手中，使用者也是其數(shù)據(jù)安全性和完整性的最終負(fù)責(zé)人。傳統(tǒng)服務(wù)供應(yīng)商需要接受外部審計(jì)和安全認(rèn)證等方式的監(jiān)管，這對(duì)云計(jì)算服務(wù)供應(yīng)商而言也是必不可少的。對(duì)于拒絕接受檢查的供應(yīng)商，使用者最好避而遠(yuǎn)之。

數(shù)據(jù)定位

當(dāng)使用者享受云計(jì)算服務(wù)時(shí)，他們很可能對(duì)于數(shù)據(jù)所在方位一無所知，甚至不知道被存儲(chǔ)在哪一個(gè)國家。因此，使用者需要向供應(yīng)商詢問其是否在特定地區(qū)存儲(chǔ)和處理數(shù)據(jù)，以及他們是否向使用者承諾遵照當(dāng)?shù)仉[私保護(hù)要求。

數(shù)據(jù)分割

通常情況下，一個(gè)云內(nèi)有很多使用者的數(shù)據(jù)處在共享環(huán)境中。盡管加密有效，但并非萬能。因此，使用者需要查實(shí)數(shù)據(jù)分割的方式。云計(jì)算服務(wù)供應(yīng)商應(yīng)該提供證據(jù)，證明其加密方案是由經(jīng)驗(yàn)豐富的專家設(shè)計(jì)和檢測的。加密事故可能造成數(shù)據(jù)完全癱瘓，即使一般的加密不當(dāng)也會(huì)造成數(shù)據(jù)可得性復(fù)雜化。

數(shù)據(jù)恢復(fù)

即使不了解數(shù)據(jù)所在地，使用者也應(yīng)該了解在極端情況下其數(shù)據(jù)將面臨哪些問題以及將被如何處理。如果云計(jì)算服務(wù)供應(yīng)商不能通過不同來源復(fù)制數(shù)據(jù)，以及恢復(fù)應(yīng)用程序，使用者將面臨很大風(fēng)險(xiǎn)。因此，使用者需要向供應(yīng)商了解其能否完整恢復(fù)受損數(shù)據(jù)及恢復(fù)所需時(shí)間。

調(diào)查支持

在云計(jì)算領(lǐng)域，調(diào)查不當(dāng)或非法活動(dòng)幾乎是不可能的。由于大量使用者的記錄和數(shù)據(jù)可能同在一處，而且很可能在不同主機(jī)和數(shù)據(jù)中心傳遞，在云計(jì)算服務(wù)中的調(diào)查十分困難。如果沒有供應(yīng)商支持各種類型調(diào)查的合約承諾，以及其有效支持各類調(diào)查的證據(jù)，那么調(diào)查和披露要求將不可能實(shí)現(xiàn)。

長期發(fā)展風(fēng)險(xiǎn)

一般而言，云計(jì)算供應(yīng)商持續(xù)經(jīng)營，不發(fā)生破產(chǎn)或被吞并是最理想的情況。一旦出現(xiàn)意外狀況，使用者必須確保仍然能夠使用數(shù)據(jù)。因此，使用者需要向云計(jì)算服務(wù)供應(yīng)商咨詢當(dāng)發(fā)生兼并收購等情況后如何找回?cái)?shù)據(jù)。