本期关注：云计算应对云安全挑战，政府监管需先行(2)

5 云服务运维和管理措施尚未跟上

当前，云服务安全运维效率低下。首先，特权用户如管理员的过失行为可能造成服务中断等严重后果。其次，云服务的运维层级发生了变化。原来基于物理主机的监控不再有效——尚无法有效监控虚拟主机是否已经出现问题。同时，我国云服务还处于发展初期，云服务商在管理上的漏洞较多，对运维人员缺少针对性管理，缺少专门的机构、岗位和管理制度等。

6 可用性与兼容性仍需重点关注

云计算基于开放的互联网提供服务，面临众多未知的安全风险，云服务出现不可用情况的原因主要包括：DDoS攻击和僵尸网络、Web服务攻击、软硬件故障、电力中断和自然灾害等。由于云服务商对应用程序开发有较多限制，如开发语言、开发规范等，这给PaaS服务中应用程序的迁移带来了兼容性方面的安全问题。

7 内容合规性审查变得更加困难

在云服务中，由于信息与其发布载体动态绑定（可以支持公网IP地址、域名与云节点的动态绑定），使得对有害内容的定位和封堵变得异常困难。同时，境外云计算服务节点通常提供共享访问的SSL（安全套接层）加密通道，除证书发行商名字、IP、端口外无法检测任何内容，这使得传统的内容过滤无从下手。

依托有力监管保障云安全

除了依靠技术手段，政府部门还应着力推进监管政策及法律法规的制定与实施，以实现云服务的安全监管。监管政策和法律法规作为上层建筑，从宏观层面影响着所有具体业务。良好的监管环境有利于建立用户与云服务商的信任关系，提升用户信心。我国在云安全方面尚未正式出台针对性的监管政策和法律法规，因此，为促进我国云服务健康发展，政府应从以下几个方面着手。

首先，从国家层面加强云服务网络数据安全、个人隐私保护、知识产权保护、数据跨境流动等方面的法律法规建设。在我国出台的第一部针对网络信息保护的法律，即《全国人大常委会关于加强网络信息保护的决定》的框架下，根据云服务的特点制定个人隐私保护、数据跨境流动等方面的法律法规或先行制定相应的部门规章，以保障我国云服务健康有序发展和保护用户的合法权益。针对云服务数据跨境流动问题，国外已有一些法规如欧盟《数据保护指令》适用于云服务。我国应尽快出台相关规定，改变我国在国际上的被动地位。

其次，完善云服务安全事前准入、事中监测和事后处罚与退出机制。新版《电信业务分类目录》已公开征求意见，其中将云计算作为互联网资源协作服务业务和在线数据处理及交易处理业务纳入电信业务监管范围。除了准入政策，还应对云服务商的日常安全运营进行监督管理，对出现问题的云服务商有相应的响应机制、责任认定、处罚和退出机制。

最后，应推动政府及重要行业关于采购IT服务的法律法规修订，对政府及重要行业采购云服务作出明确规定。例如，规定政府、金融、医疗卫生、军事国防等拥有私人或敏感信息的单位只能使用国内云服务商的服务，且必须将数据存储在本国境内等。