尚政宇+邱菊

摘要：在過去的幾年中，云計算已經(jīng)從一個有前途的經(jīng)營理念成長為IT行業(yè)快速成長的部分之一?，F(xiàn)在，受經(jīng)濟衰退打擊的公司已經(jīng)很快地意識到進入云計算行業(yè)他們可以得到快速地發(fā)展并且能快速地增長他們的基礎(chǔ)設(shè)施資源，而這一切的成本基本可以忽略不計。但是隨著個人和公司放置在云里的信息越來越多，對云環(huán)境安全與否的擔(dān)憂正在增長。該文討論云服務(wù)提供商在云工程期間所面對的安全問題，需求及挑戰(zhàn)。針對在技術(shù)和業(yè)務(wù)領(lǐng)域中的問題提出一些安全標(biāo)準(zhǔn)和管理模式。

關(guān)鍵詞： 云；云安全

中圖分類號：TP393 文獻標(biāo)識碼：A 文章編號：1009-3044（2016）04-0052-04

云服務(wù)提供商（比如微軟、谷歌、亞馬遜、Salesforce.com、GoGrid）正在利用與自助服務(wù)相結(jié)合的虛擬化技術(shù)通過網(wǎng)絡(luò)獲取計算資源。在這些服務(wù)提供商的環(huán)境中，多個組織中的虛擬機器要被共同定位在相同的物理服務(wù)器上，目的是為了最大化虛擬化的效率。如果云服務(wù)提供商希望保留自己的客戶基礎(chǔ)以及競爭力，云服務(wù)提供商必須從管理服務(wù)提供商中學(xué)到模型并且確保他們的客戶應(yīng)用以及數(shù)據(jù)是對的。今天，企業(yè)正朝著云計算領(lǐng)域發(fā)展，但是有很多承擔(dān)不起在應(yīng)用和數(shù)據(jù)方面的安全風(fēng)險。

國際數(shù)據(jù)公司組織了一次調(diào)查，263個IT公司的總經(jīng)理以及他們的同行討論他們的觀點并且了解他們公司在云服務(wù)中的使用。作為云計算最大的挑戰(zhàn)或問題，安全排名第一。

在新環(huán)境當(dāng)中，公司和個人都關(guān)心安全和合規(guī)性如何才能保持。甚至更多的關(guān)注來自加入到云計算中的企業(yè)。把關(guān)鍵應(yīng)用和敏感數(shù)據(jù)移動到一個公共并且共享的云環(huán)境中，是企業(yè)的一個主要關(guān)注點（這些企業(yè)正在超越它們數(shù)據(jù)中心的網(wǎng)絡(luò)周邊防守）。為了緩解這些擔(dān)憂，一個云解決方案供應(yīng)商必須確保在他們的應(yīng)用和服務(wù)上面，客戶可以持續(xù)擁有相同的安全和隱私控制。還得給這些客戶提供證據(jù)證明他們的組織和客戶是安全的，他們可以滿足他們的服務(wù)水平協(xié)議，并且展示如何能證明符合他們的審核。

不管云如何演變，它需要某種標(biāo)準(zhǔn)化的形式，這樣市場可以茁壯成長。不管哪個供應(yīng)商提供云服務(wù)，標(biāo)準(zhǔn)應(yīng)該允許云交互操作并且互相彼此連通。

本論文討論安全和隱私論題的挑戰(zhàn)，并且對技術(shù)和商業(yè)界推薦控制目標(biāo)。也為供應(yīng)商和獨立平臺高度建議OVF標(biāo)準(zhǔn)，開放的，安全的，便攜的，高效的并且可擴展格式的封裝和分發(fā)在虛擬機中運行的軟件（結(jié)合目標(biāo)應(yīng)用程序、庫、服務(wù)、配置、相關(guān)數(shù)據(jù)和操作系統(tǒng)的軟件協(xié)議棧）。

1 云安全

1.1 安全問題和挑戰(zhàn)

提高安全威脅問題必須被克服，進而充分受益于這種新的計算模式。下面將列出一些安全問題并討論：

1）安全問題：與云模型控制相關(guān)的物理安全性丟失，原因是因為與其它公司共享計算資源。資源運行的地方?jīng)]有知識和控制。

2）安全問題：有些公司可能會違反法律（因為它們可能會有數(shù)據(jù)被外國政府竊取的風(fēng)險）。

3）安全問題：如果用戶決定從一個云供應(yīng)商移動到另外一個云供應(yīng)商，由一個云供應(yīng)商提供的存儲服務(wù)可能與另一個供應(yīng)商提供的服務(wù)不匹配（比如：微軟云與谷歌云就是不匹配的）。

4）安全問題：誰控制了加密/解密密鑰？從邏輯上來講，應(yīng)該是顧客控制它們。

5）安全問題：確保數(shù)據(jù)的完整性（傳輸、存儲和檢索）意味著它僅在響應(yīng)于授權(quán)交易時做改變。一個常見的確保數(shù)據(jù)完整性的標(biāo)準(zhǔn)尚未存在。

6）安全問題：以支付卡產(chǎn)業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)為例，數(shù)據(jù)日志必須向安全管理者和監(jiān)管機構(gòu)提供。

7）安全問題：用戶必須跟上應(yīng)用改進以確保它們被保護。

8）安全問題：一些政府法規(guī)在其公民可以存儲什么樣的數(shù)據(jù)以及存儲期限方面有很嚴(yán)格的限制，一些銀行的監(jiān)管機構(gòu)要求客戶的財務(wù)數(shù)據(jù)保留在它們的本土國家。

9）安全問題：動態(tài)的以及流體性質(zhì)的虛擬機將使得保持安全性和確?？蓪徲嬓杂涗浀囊恢滦噪y以維持。

10）安全問題：如果客戶的隱私權(quán)被侵犯，他們可以起訴云服務(wù)供應(yīng)商，并且在任何情況下云服務(wù)供應(yīng)商都有可能面對他們名譽的損害。對于客戶而言，當(dāng)為什么他們的個人信息被要求，或者個人信息被傳遞給其他群體時他們自己并不太清楚時，問題就會出現(xiàn)。

敏感隱私信息：

可識別個人的信息：任何可以被用來識別或定位一個個體的信息（比如國家、姓名、地址），或者與其他識別個體信息相關(guān)的信息（如信用卡號，IP地址）。

關(guān)于宗教、種族、健康、聯(lián)盟會員、性取向、工作績效、財務(wù)信息、生物識別信息或任何其他可以考慮的敏感信息。

從計算機設(shè)備收集到的數(shù)據(jù)（如筆記本電腦、智能手機，iPad）。

獨特的可以追溯到用戶設(shè)備的信息（如IP地址，MAC地址等）。

其他方面的思考：

訪問：數(shù)據(jù)對象有權(quán)知道個人的什么信息被持有，并且在某種情況下，可以發(fā)出請求去停止處理它。如果數(shù)據(jù)對象重復(fù)要求云機構(gòu)刪除他的數(shù)據(jù)，那么確保他在云中所有的數(shù)據(jù)都被刪除是可能的。

遵守：可應(yīng)用的法律、法規(guī)、標(biāo)準(zhǔn)和管理這些信息的合同是什么？誰負(fù)責(zé)維護合規(guī)？云可以跨越多個國家的司法管轄區(qū)。

存儲：在云中存儲的數(shù)據(jù)在哪里？是不是被傳送到另外一個國家的另外一個數(shù)據(jù)中心了？各個國家的隱私法根據(jù)機構(gòu)的能力制定限制條件，以此來限制傳輸某種類型的個人信息到其他國家。

保留：被傳送到云中的個人信息保留多長時間？誰執(zhí)行在云中的保留政策？這項政策的例外情況該如何處置（比如訴訟保留）？

數(shù)據(jù)銷毀：我們怎么能知道云服務(wù)提供商（CSP）不會保留額外的復(fù)印件？是云服務(wù)提供商確實銷毀了數(shù)據(jù)，還是僅僅只把數(shù)據(jù)設(shè)置為不可查詢？云服務(wù)提供商可能會長期保留那些信息，以備自己進行數(shù)據(jù)挖掘。

審核和監(jiān)視：機構(gòu)如何才能監(jiān)視他們的云服務(wù)提供商并且給相關(guān)的利益相關(guān)者提供保證？

隱私泄露：我們?nèi)绾尾拍艽_保云服務(wù)提供商能在發(fā)生隱私泄露時及時通知我們，泄露通知事件由誰來管理？如果合約包括因為云服務(wù)提供商疏忽而導(dǎo)致泄露的責(zé)任，那么合約是如何執(zhí)行的，如何決定誰是錯的？

1.2 安全管理標(biāo)準(zhǔn)

云中與安全管理相關(guān)的標(biāo)準(zhǔn)是信息技術(shù)基礎(chǔ)架構(gòu)庫（ITIL），ISO/IEC 27001/27002以及開放虛擬化格式（OVF）。

1） 信息技術(shù)基礎(chǔ)架構(gòu)庫（ITIL）：它是一個最好的練習(xí)和指導(dǎo)的集合，這個集合為管理信息技術(shù)服務(wù)， 定義了一個完整的，以進程為基礎(chǔ)的路徑。ITIL可以被應(yīng)用在幾乎所有類型的IT環(huán)境，包括云操作環(huán)境。ITIL嘗試在戰(zhàn)略、戰(zhàn)術(shù)和操作水平上確保采取有效的信息安全措施。信息安全被認(rèn)為是一個迭代的過程，這個過程必須被控制，計劃，實施，評估以及保持。

ITIL為IT服務(wù)供應(yīng)的管理提供了一個系統(tǒng)的、專業(yè)化的方法。采用其作為引導(dǎo)可以給用戶提供一系列的好處。包括：降低成本；通過對最佳實踐過程的使用，提高IT服務(wù)；

通過更專業(yè)化的方法，提高客戶滿意度；標(biāo)準(zhǔn)和指導(dǎo)；提高生產(chǎn)率；提高技能和經(jīng)驗的使用；

通過規(guī)范化ITIL或者ISO 20000為服務(wù)采購中服務(wù)的標(biāo)準(zhǔn)，進而提高第三方服務(wù)的交付ITIL幫助你分離開行政任務(wù)和技術(shù)任務(wù)，這樣可以分配更多合適的資源；

更好的測量技術(shù)支持性能：ITIL流程安全管理介紹在管理組織中信息安全的結(jié)構(gòu)擬合。它是基于信息安全管理實踐的代碼，現(xiàn)在被稱為ISO/IEC 27002。

ITIL把信息安全劃分成：

政策：一個組織嘗試去實現(xiàn)的所有目標(biāo)；過程：為了實現(xiàn)目標(biāo)都發(fā)生了什么；程序：誰做什么以及何時實現(xiàn)目標(biāo)；工作指令：具體行動的指令。

安全管理的基本目標(biāo)是確保充分的信息安全。信息安全的首要目標(biāo)，是保護信息資產(chǎn)遠離風(fēng)險，進而保持他們在組織中的價值。這通常表現(xiàn)在確保他們的保密性、完整性和可用性。相關(guān)的屬性和目標(biāo)還有，真實性、可說明性、不可否認(rèn)性和可靠性。

備注：組織和管理系統(tǒng)不能進行ITIL認(rèn)證，只有實踐者才可以認(rèn)證。

2）國際標(biāo)準(zhǔn)化組織（ISO）27001/27002：ISO/IEC 27001為信息安全管理系統(tǒng)（ISMS）正式定義了強制性要求。其中還有一個認(rèn)證標(biāo)準(zhǔn)，使用了ISO/IEC 27002 來指示在ISMS中合適的信息安全控制。

從本質(zhì)上來講，ITIL， ISO/IEC 20000，ISO/IEC 27001/27002的框架幫助IT組織內(nèi)化并回答基本問題。比如：

“我如何能確保當(dāng)前的安全級別是否適合您的需要？”

“在你的操作過程中，我如何能應(yīng)用安全基線？”

簡單來說，他們有助于回答這些問題：

“我如何確保我的服務(wù)是安全的？”

3）開放虛擬化格式（OVF）：OVF能夠有效地、靈活地、安全地進行企業(yè)軟件的分配。促進虛擬機的流動性，給予客戶供應(yīng)商和平臺獨立性?？蛻艨梢栽谒麄冞x擇的虛擬化平臺上有效利用OVF格式化的虛擬機。

用OVF，客戶在虛擬化方面的經(jīng)驗逐漸增強，具有更多的可移植性，平臺獨立性、驗證、簽約、版本控制和授權(quán)條款。OVF可以：提高用戶經(jīng)驗并簡化裝置；為用戶提供獨立性和靈活性的虛擬化平臺；創(chuàng)建復(fù)雜的預(yù)配置的多層次的服務(wù)更容易；通過便攜式虛擬機有效地提供企業(yè)軟件；提供特定平臺的增強功能和通過可擴展性使得虛擬化的進展更容易。

在虛擬設(shè)備上不斷上升的投資（IBM，微軟，戴爾，VMware），不僅簡化了個體用戶應(yīng)用程序的部署，也增強了下一代云計算體系結(jié)構(gòu)。與其花相當(dāng)長的時間去構(gòu)建一個專門的應(yīng)用分布，不如為大多數(shù)云計算基礎(chǔ)設(shè)施提供虛擬設(shè)備，以滿足任何需要。因為虛擬設(shè)備只是一個包裝好的簡單文件，很容易復(fù)制和分發(fā)所有安全和隱私配置的這些設(shè)備。

在未來，啟用了虛擬化層的云，將提供新的走向市場的機會，軟件產(chǎn)品（將操作系統(tǒng)和分層軟件整合成一個易于管理的復(fù)合包的軟件產(chǎn)品，它可以部署國外的工業(yè)標(biāo)準(zhǔn)的客戶端或者服務(wù)器硬件，無論是在虛擬機上還是直接在硬件上），都將有助于簡化這一轉(zhuǎn)變。與軟件設(shè)備一起的云計算，將也能創(chuàng)造新的商業(yè)模式，該商業(yè)模式將允許公司在處所根據(jù)需求出售單一商品。這兩種技術(shù)相對仍然不成熟，開始了解新的動力是必須的，將開始出現(xiàn)給終端用戶銷售軟件和硬件。

1.3 安全管理模型

本節(jié)介紹20種推薦的安全性管理模型以及他們在云計算方面的需求，即云服務(wù)提供商應(yīng)該明確考慮制定或完善他們的合規(guī)性程序。

1） 軟件即服務(wù)（SaaS）安全：在可預(yù)見的將來，SaaS是占主導(dǎo)地位的云服務(wù)模式，并且將在最需要安全和監(jiān)督的區(qū)域駐留。正如管理服務(wù)提供商、公司或終端用戶在使用供應(yīng)策略之前，將需要研究在數(shù)據(jù)安全方面的供應(yīng)策略，以避免丟失或無法訪問數(shù)據(jù)。技術(shù)分析和咨詢公司Gartner列出了七種安全風(fēng)險，而這些應(yīng)該有人與云計算供應(yīng)商討論：

特權(quán)用戶訪問：對于管理你信息的人來說，你要獲得盡可能多的關(guān)于他的數(shù)據(jù)。要求用戶在關(guān)于雇傭與監(jiān)管特權(quán)管理員方面提供特定信息，以及對其訪問的控制。

監(jiān)管合規(guī)性：確保供應(yīng)商愿意接受外部審計和安全認(rèn)證。

數(shù)據(jù)定位：當(dāng)你使用云時，你可能并不能準(zhǔn)確地知道你的數(shù)據(jù)被儲存在哪兒。事實上，你可能甚至不知道你的數(shù)據(jù)被存放在哪個國家。詢問供應(yīng)商，是否他們將把存儲的和處理的數(shù)據(jù)提交給特定的司法管轄區(qū)，以及他們是否會為了他們的客戶，做出遵守當(dāng)?shù)仉[私的合同承諾。

數(shù)據(jù)分離：確保全程加密，并且這些加密策略是由有經(jīng)驗的專業(yè)人士設(shè)計及測試。

恢復(fù)：即使你不知道你的數(shù)據(jù)在哪兒，也應(yīng)該有云服務(wù)提供商告訴你，如果有不測，對你的數(shù)據(jù)和服務(wù)將會發(fā)生什么?？缍鄠€網(wǎng)站的不復(fù)制數(shù)據(jù)和基礎(chǔ)設(shè)施的任何提供都容易受到攻擊。詢問你的供應(yīng)商，它是否有能力做一個完整的恢復(fù)，并且需要多長時間。

調(diào)查支持：不適當(dāng)?shù)恼{(diào)查或者非法活動在云計算中是不可能的。云服務(wù)特別難調(diào)查，因為多個客戶的日志和數(shù)據(jù)可能被共同定位，并且可能在一個不斷變化的主機集合和數(shù)據(jù)中心廣泛傳播。如果你不能得到一個合同承諾來支持特定形式的調(diào)查，以及供應(yīng)商已經(jīng)成功地支持這樣的活動的證據(jù)，那么只有一個安全的假設(shè)，即：調(diào)查和發(fā)現(xiàn)需求是不需要的。

長期生存能力：理想情況下，你的云服務(wù)供應(yīng)商永遠不會破產(chǎn)或者被一個大公司收購或破產(chǎn)。但是你必須確保你的數(shù)據(jù)在這樣的事件之后仍然保留。問你的潛在供應(yīng)商你如何能要回你的數(shù)據(jù)，并且如果是在一種形式，你可以導(dǎo)入到一個替換應(yīng)用程序。

為了解決上述安全問題，SaaS供應(yīng)商將需要納入和加強安全性練習(xí)，這些是由管理服務(wù)提供商使用和開發(fā)演變。

2）安全管理（人群）：一個安全團隊的最重要的作用之一是發(fā)展一個正式的安全組織和計劃章程。這個章程應(yīng)該與戰(zhàn)略計劃相一致（該策略計劃指安全公司為組織或公司工作的策略計劃）。缺乏明確規(guī)定的角色和責(zé)任，以及期待中的協(xié)議，能導(dǎo)致總體上的損失和在安全團隊中間的混亂，他們的技能和經(jīng)驗被利用，就能滿足他們的性能目標(biāo)。

3）安全管理：應(yīng)該發(fā)展安全指導(dǎo)委員會，目標(biāo)是把重點放在為安全倡導(dǎo)提供引導(dǎo)，并且為業(yè)務(wù)和IT策略提供指導(dǎo)。該委員會必須明確地定義安全團隊的角色和責(zé)任，和參與執(zhí)行信息安全功能的其他團隊。

4）風(fēng)險管理：風(fēng)險管理需要技術(shù)資產(chǎn)的識別，數(shù)據(jù)及其與業(yè)務(wù)流程、應(yīng)用程序、數(shù)據(jù)存儲關(guān)系的鑒定，及分配所有權(quán)和保管責(zé)任。行動還應(yīng)該包括保持信息資產(chǎn)庫。對包括保護需求的信息資產(chǎn)，業(yè)主有權(quán)利也有責(zé)任。托管人實施和管理保密性，完整性，可用性和隱私控制。

5）風(fēng)險評估：當(dāng)平衡決定商業(yè)實用與資產(chǎn)保護的優(yōu)先權(quán)，安全風(fēng)險評估對幫助信息安全組織作出明智決定是至關(guān)重要的。正式信息安全風(fēng)險管理過程應(yīng)該積極評估信息安全風(fēng)險以及計劃，并按周期的或按需要的基礎(chǔ)上管理他們。在威脅模型中更多細(xì)節(jié)和技術(shù)安全風(fēng)險評估應(yīng)該被適用于應(yīng)用程序和基礎(chǔ)設(shè)施。

6）安全意識：人是最薄弱的安全環(huán)節(jié)。知識與文化是與人相關(guān)的風(fēng)險管理的少數(shù)有效工具之一。對于可能暴露公司給各種各樣安全風(fēng)險的人群，而不是系統(tǒng)或應(yīng)用程序漏洞，是威脅和點進入，不向他們提供正確的意識和培訓(xùn)。社會工程攻擊，較低的報告和對潛在安全事故的緩慢反應(yīng)，并且無意的客戶數(shù)據(jù)泄露都是可能的風(fēng)險，而這些風(fēng)險可能是由于缺乏有效的安全意識程序?qū)е碌摹?/p>

7）教育和培訓(xùn)：在安全團隊里及其內(nèi)部合作伙伴中，為提供基本安全的基線和風(fēng)險管理技能及知識的程序應(yīng)該制定。為了滿足安全團隊的需要，為了提供充分的培訓(xùn)和提供一個廣泛的基礎(chǔ)安全性，這需要一個正式的評估和調(diào)整技能的過程，包括數(shù)據(jù)隱私和風(fēng)險管理知識。

8）政策和標(biāo)準(zhǔn)：許多資源和模板可幫助信息安全政策和標(biāo)準(zhǔn)的發(fā)展。云計算安全小組應(yīng)該首先確定信息安全和獨特的云計算的商業(yè)需求，SaaS，協(xié)同軟件應(yīng)用安全。政策以及支持的文檔標(biāo)準(zhǔn)和指南，應(yīng)該制定、記錄和實施。為了保持相關(guān)性，當(dāng)商業(yè)環(huán)境或IT環(huán)境中發(fā)生重大變化時，這些政策、標(biāo)準(zhǔn)和準(zhǔn)則應(yīng)該定期審查。

9）第三方風(fēng)險管理：缺乏第三方風(fēng)險管理程序可能導(dǎo)致對供應(yīng)商名譽的損害，收入損失。

10）脆弱性評估：將網(wǎng)絡(luò)資產(chǎn)分類成更有效地優(yōu)先考慮脆弱性緩解方案，如修補和系統(tǒng)升級。

11）安全映像測試：基于虛擬化的云計算提供了創(chuàng)建“測試圖像”的能力，構(gòu)建虛擬機和復(fù)制多個副本。金圖像VMs還提供保持安全的日期和通過離線修補減少曝光的能力。離線虛擬機可以修補斷網(wǎng)，提供一個更簡單、更具有成本效益、更少生產(chǎn)威脅的方式來測試安全變化的影響。

12）數(shù)據(jù)管理：這個框架應(yīng)該描述誰可以采取什么樣的行動，和什么時候，在什么情況下，用什么樣的方法。

13）數(shù)據(jù)安全：安全需要移動到數(shù)據(jù)層次，這樣企業(yè)就可以確保無論走到哪里他們的數(shù)據(jù)都是被保護的。也可以強制加密某些類型的數(shù)據(jù)，并只允許特定用戶訪問數(shù)據(jù)。也可以提供符合支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)。

14）應(yīng)用安全：在這里安全特征和需求被定義，對應(yīng)用安全測試結(jié)果進行審查。在安全和開發(fā)團隊之間，安全進程應(yīng)用、安全編碼指南、培訓(xùn)、測試腳本和工具通常是一種協(xié)作的努力。雖然產(chǎn)品工程很可能將重點放在應(yīng)用層，應(yīng)用本身的安全設(shè)計，以及與應(yīng)用互動的基礎(chǔ)設(shè)施層，安全團隊?wèi)?yīng)該提供產(chǎn)品開發(fā)工程師的安全需求。

15）虛擬機安全：在云環(huán)境中，物理服務(wù)器被合并成在虛擬機服務(wù)器基礎(chǔ)上的多個虛擬機實例。在大的安全虛擬機中，不僅數(shù)據(jù)中心安全小組可以為數(shù)據(jù)中心重復(fù)典型的安全控制，他們也可以建議他們的客戶在合適的時機把機器遷移到云環(huán)境中。

16）身份訪問管理：對于每個組織來說，身份和訪問管理是一個重要的功能，SaaS客戶的基本期望是“最小特權(quán)原則”，這個被授權(quán)給他們的數(shù)據(jù)。最小特權(quán)原則規(guī)定：只需要執(zhí)行最小訪問需求，并只需要在最低限度的時間獲得應(yīng)有的訪問權(quán)限。

17）改變管理：為標(biāo)準(zhǔn)和較小的變化，安全團隊可以創(chuàng)建安全準(zhǔn)則，為這些變化提供自助服務(wù)能力，在生產(chǎn)更復(fù)雜更重要的變化方面，優(yōu)先考慮安全團隊的時間和資源。

18）物理安全性：因為客戶失去對物理資產(chǎn)的控制，安全模型可能需要重新評估。云的概念可能被成倍誤導(dǎo)，人們忽略了一切都得綁定到一個物理地址上。建立物理數(shù)據(jù)中心的安全需求層需要大規(guī)模投資，這是企業(yè)不建立自己的數(shù)據(jù)中心的主要原因，這也是他們在第一時間移動到云服務(wù)的原因之一。

19）數(shù)據(jù)隱私：應(yīng)該創(chuàng)建隱私指導(dǎo)委員會，以幫助決策相關(guān)的數(shù)據(jù)隱私。安全合規(guī)團隊，如果存在一個，那么不會對數(shù)據(jù)隱私進行正式的培訓(xùn)。答案是聘請一個這方面的顧問，聘請一位隱私方面的專家，或有一個正式受過培訓(xùn)的團隊成員之一。這將確保你的組織能滿足其客戶和監(jiān)管機構(gòu)的數(shù)據(jù)隱私需求。

2 結(jié)論

經(jīng)過討論，我們知道，當(dāng)設(shè)計和使用云設(shè)備時，考慮到安全和隱私是非常重要的。在本文中通過涵蓋安全的問題和挑戰(zhàn)，安全標(biāo)準(zhǔn)和安全管理模型的方式，詳盡闡明了云計算中的安全。

安全問題表明可能出現(xiàn)的潛在問題。

安全標(biāo)準(zhǔn)提供某種安全模板，云服務(wù)供應(yīng)商能遵守它。未來最有前途的標(biāo)準(zhǔn)將會是OVF格式，它能創(chuàng)造新的商業(yè)模式，并能允許企業(yè)在處所根據(jù)需求出售單個產(chǎn)品。

安全管理模型提供基于安全標(biāo)準(zhǔn)和最佳實踐的建議。

在即將到來的幾年里，這些都將是云計算方面非常重要的課題。截止到2014年底，安全漏洞市場的收入已經(jīng)超過44億美元的收入。每年的增長率導(dǎo)致的復(fù)合年均增長率為10.8%。這項調(diào)查顯示，市場對安全和漏洞管理方面的產(chǎn)品將繼續(xù)保持高需求。

參考文獻：

[1] 郭樂深，張乃靖，尚晉剛.云計算環(huán)境安全框架[J].信息網(wǎng)絡(luò)安全，2009（7）.

[2] 嚴(yán)明.云計算中的云安全研究[J].現(xiàn)代商貿(mào)工業(yè)，2009（20）.

[3] 吳海峰.云計算中云安全防御策略的設(shè)計思路架構(gòu)[J].無線互聯(lián)科技，2014（12）.

[4] 吳濤.淺析云計算及云安全[J].信息安全與通信保密，2012（2）.

[5] 高偉.云計算：從云安全到可信云[J].中國電子商務(wù)，2013（4）.

[6] 鄭宇帆.云計算與云安全框架研究[J].科技資訊，2013（11）.