1.2　云存储安全风险

近年来，云存储安全事件屡屡发生。2016年9月，CloudFlare数百万网络托管用户的数据被泄露；2017年3月，微软Azure 公有云存储故障导致业务受影响超过8小时；2017 年6 月，亚马逊AWS共和党数据库中的美国2亿选民个人信息被曝光[4]。由此可以看出，云存储的安全问题日益凸显，而安全恰恰是保障云存储可持续发展的先决条件。为了保障云存储的安全，首先应明确云存储面临哪些安全风险。云存储面临的安全风险主要来自技术、管理、法律法规三个方面[5]，本节分别从这三个方面对云存储面临的安全风险进行深入分析。

1.2.1　技术安全风险

云存储是云计算的具体应用，必然也面临着云计算普遍存在的一些技术安全风险，如物理与环境安全风险、主机安全风险、网络安全风险、应用安全风险、接口安全风险及安全漏洞带来的风险等。而针对云存储服务本身，用户数据存储和管理是核心，用户数据安全保护是关键，因此，云存储面临的主要技术风险集中在数据安全风险方面。

一般来说，云存储中数据的生命周期可分为七个阶段，如图1.2所示。

在云存储中数据生命周期的每个阶段，数据安全面临着不同方面和不同程度的安全风险。本节根据数据生命周期的各个阶段来分析云存储中数据的安全风险，如表1.1所示。

（1）数据生成阶段的安全风险。数据生成阶段即数据刚被数据所有者所创建，且尚未被存储到云端的阶段。在这个阶段，数据所有者需要为数据添加必要的属性，如数据的类型、安全级别等一些信息；此外，为了防范云端不可信，数据的所有者在将数据存储之前可能要对数据做一些预处理。在该阶段，根据不同的安全需求，某些用户可能还需要对数据的存储、使用等各方面情况进行跟踪审计。在数据生成阶段，云数据面临以下安全风险：

①数据安全级别划分策略混乱。不同的用户类别的数据安全级别划分策略可能会各不相同，同一用户类别之内的不同用户对数据的敏感度分类也可能各不相同。在云存储系统中，多个用户的数据可能存储在同一个位置，若数据安全级别划分策略比较混乱，云存储服务商就无法对海量数据制定出切实有效的保护方案。

②数据的预处理风险。用户存储在云端的数据可能是海量的，因此在对数据进行预处理前，用户必须考虑预处理的计算、时间和存储开销，否则会因为过度追求安全性而失去使用云存储带来的便捷性。

③审计策略难以制定。即使在传统的IT架构下，审计员制定有效的数据审计策略往往也是很困难的。而在多用户共享存储、计算和网络等资源的云存储系统中，用户对自己数据进行审计更是难上加难。

（2）数据传输阶段的安全风险。数据通过网络传输到云端，在数据传输阶段，云数据面临如下安全问题：

①传输信道存在安全隐患。当用户通过网络传输数据时，如果网络中的传输信道不安全，则数据可能会被非法拦截；传输信道也可能因遭受攻击而发生故障，导致云存储服务不可用。另外，传输数据需要通过云存储系统一系列的组件支持，硬件系统、通信协议的失效等均会导致数据在传输过程中丧失完整性和可用性[4]。

②难以实现即时监控。数据在传输的过程中会使用不同的媒介，不同媒介的安全措施有所不同，因此对数据进行即时的安全监控非常困难，若传输过程中数据出现了安全问题，则相关技术操作人员很难及时察觉并进行补救[4]。

（3）数据存储阶段的安全风险。在云存储系统中，用户的数据都存储在云端，云数据面临如下安全风险：

①数据存放位置不确定。在云存储系统中，用户对自己的数据失去了物理控制权，即用户无法确定自己的数据存储在云存储服务商的哪些服务器中，更无法得知数据存储的地理位置。

②数据隔离不完全。不同用户的各类数据都存储在云端，若云存储服务商没有有效的数据隔离策略，则可能造成用户的敏感数据被其他用户或者不法分子获取。

③数据丢失或被篡改。云存储系统中的服务器可能会遭受病毒、木马攻击；云存储服务商管理可能不可信或管理不当，操作违法；云存储系统中的服务器所在地可能遭受自然灾害、战争等不可抗力因素的影响。这些都会造成数据丢失或被篡改，威胁到数据的机密性、完整性和可用性。

（4）数据使用阶段的安全风险。数据使用即用户访问存储在云端的数据，并对数据进行增、删、改等操作。在数据使用阶段，云数据面临如下安全风险：

①数据访问存在风险。如果云存储服务商制定的访问控制策略不合理、不全面，就有可能造成合法用户无法正常访问自己的数据或无法对自己的数据进行合规操作，有可能造成未授权用户非法访问甚至窃取、修改其他用户的敏感数据。

②云存储服务的性能问题。用户在使用数据时，往往会对数据的传输速率、数据处理请求的响应时间等有一定的要求或期望，但云存储服务的性能受用户所使用的终端、网络环境等多方面因素的影响，因此云存储服务商可能无法切实保障云存储服务的性能。

（5）数据共享阶段的安全风险。数据共享即让在不同地方使用不同终端、不同软件的用户能够读取他人的数据并进行各种运算和分析。在数据共享阶段，云数据除了面临云存储服务商的访问控制策略不当的风险外，还面临着以下安全风险：

①数据丢失风险。不同云数据的数据内容、数据格式和数据质量千差万别，在数据共享时可能需要对数据的格式进行转换，而数据格式转换后可能面临数据丢失的风险。

②应用存在漏洞。数据共享可能通过特定的应用实现，如果该应用本身有安全漏洞，则基于该应用实现的数据共享就有可能有数据泄露、丢失和被篡改的风险。

（6）数据归档阶段的安全风险。数据归档就是将不再经常使用的数据迁移到一个单独的存储设备来进行长期保存的过程。在数据归档阶段，云数据除面临和数据存储阶段类似的安全风险外，还面临如下安全风险：

法律和合规性。某些特殊数据对归档所用的介质和归档的时间期限可能有特殊规定，而云存储服务商不一定支持这些规定，造成这些数据无法合规地进行归档。

（7）数据销毁阶段的安全风险。在云存储系统中，当用户需要删除某些云数据时，最直接的方式就是向云存储服务商发送删除命令，由云存储服务商删除对应的数据。但这样会使云数据面临多方面的安全风险。

①销毁的数据被恢复。计算机数据存储基于磁介质形式（磁带和磁盘）或电荷形式（内存和固态磁盘），一方面可以采用技术手段直接访问这些已删除数据的残留数据；另一方面可以通过对介质进行物理访问，确定介质上的电磁残余所代表的数据[8]。

②云存储服务商不可信。一方面，用户无法确认云存储服务商是否真正执行了删除命令；另一方面，云存储服务商可能留有被删除数据的多个备份，在用户发送删除命令后，云存储服务商可能只将原数据删除而将备份数据留为己用。

1.2.2　管理安全风险

为保障云存储服务的安全性，仅仅通过技术手段来抵御云存储面临的风险是远远不够的，云存储服务的各参与方还需要制定合理完整的管理策略，真正保障云存储服务的运营安全。

和传统IT架构不同的是，云存储系统中数据的所有权和管理权是分离的。用户将自己拥有的数据存储到云存储服务商处，由云存储服务商进行全面管理，用户并不能直接控制云存储系统；云存储服务商没有对数据的所有权，无法直接对数据本身进行查看和处理，管理方法受到了极大的限制；另外，云存储服务商无法得知用户使用的终端及进行的相关操作是否安全，由此可能引发许多不可控的、意料之外的风险。因此，和传统的IT架构相比，云存储系统面临着许多新的管理挑战。

1.2.2.1　无法满足SLA

服务等级协议（Service Level Agreement，SLA）是服务商和用户双方经协商而确定的关于服务质量等级的协议或合同，而制定该协议或合同是为了使服务商和用户对服务、优先权和责任等达成共识，达到和维持特定的服务质量（Quality of Service，QoS）。对于云存储SLA，从用户的角度来看，它可以消除用户在使用云存储服务时关于服务安全和服务质量的后顾之忧；从云存储服务商的角度来看，它可以方便明确地向用户说明自己所能提供的云存储服务的质量等级、成本、收费等具体情况[9]。一份标准的SLA最少应该包含服务等级目标、违约处理方案以及规则例外这三方面的内容，如表1.2所示。

虽然在SLA中，云存储服务商会针对可用性、响应时间、安全保障等对服务等级做出一定的承诺，但在实际服务的过程中，云存储服务商难以完全履行SLA中所做出的承诺，已经出现的种种事故就证明了这一点。

（1）2018年8月，前沿数控公司发文声称，在使用腾讯云服务器8个月后，其放在腾讯云服务器上的数据全部丢失，给公司的业务带来了灾难性损失。

（2）2017年3月，微软Azure公有云存储故障导致业务受影响超过8小时。

（3）2017年，Amazon S3云存储上的数据库配置错误，导致三台服务器中的数据可公开下载，造成严重的数据泄露。

可见，虽然有SLA的限制和约定，但云存储服务商一般不能完全达到和维持特定的QoS，其中的原因是多方面的：由于云存储面临着传统IT架构中所没有的新的安全风险，云存储服务商很难针对各种风险一一制定对应的防御策略；所有的用户传输给云存储系统的数据是海量的，如何对这些数据进行安全存储和安全管理，对云存储服务商来说是一个巨大的挑战；云存储服务的可用性在很大程度上依赖于网络的安全性和性能，但网络攻击事件层出不穷、防不胜防，因此由网络而造成云存储服务不可用的情况是云存储服务商无法控制的；在海量终端接入云存储服务的情况下，终端风险会严重威胁到云存储服务的质量；另外，若用户在使用云存储服务时对云存储服务中某些参数的设置不当，会对云存储服务的性能造成一定的影响。

1.2.2.2　服务不可持续风险

2011年4月，亚马逊云数据中心服务器出现大面积宕机，这一事件被认为是亚马逊史上最严重的云计算安全事件；2017年1月，IBM云服务出现宕机事故，导致云用户无法管理自身的应用程序。已经发生的种种云服务中断事件充分说明云存储服务无时无刻不在面临着服务不可持续的风险，导致服务不可持续的原因是多方面的。

在云计算中心内部，任何一个小小的代码错误、设备故障或操作失误都可能导致服务故障。例如，2018年6月，因运维上的一个操作失误，阿里云部分产品及账号登录出现访问异常；2017年3月，Amazon S3存储服务因人为操作失误出现故障，导致包括美国证券交易委员会、苹果 iCloud在内的多个网站和服务无法正常工作；2017年1月，因员工在维护过程中错误地删除了数据库目录，导致GitLab的线上代码库GibLab.com遭遇了18小时的服务中断。另外，针对云存储系统的攻击层出不穷，也极大地影响了云存储服务的可用性，在云安全联盟发布的《2016年云计算面临的十二大威胁》中“拒绝服务”赫然在列，从中可以看出网络攻击对云计算安全的威胁越来越大。除了设施故障和人为原因，地震、台风等自然灾害都可能导致服务的中断。

在技术发展日新月异、企业竞争日趋激烈的今天，一些云存储服务商面临着破产或者被大公司收购的风险。如果云存储服务商破产，则云存储服务就存在被终止的风险；如果云存储服务商被收购，则存在原有云存储服务会因技术升级而导致一段时间内服务中断，甚至最终也难逃被终止的厄运。

1.2.2.3　身份管理风险

完善的身份管理策略是实现云存储服务中数据安全隔离的重要前提，一旦用户的身份信息被窃取，用户数据及云存储服务将毫无安全性可言。身份管理涉及身份鉴别、属性管理、授权管理等多个方面，在云存储环境下有着大量的用户和海量的访问认证要求，因此和传统的IT架构相比，云存储服务面临着更为严峻的身份管理风险。

云存储服务商是身份管理的主要实施者。首先，对云存储服务商来说，云存储服务面对的是来自不同领域的大量用户，不同用户所具有的身份属性千差万别，对数据的归属管理不清晰是云存储服务商在身份管理上面临的第一个挑战；其次，云数据的所有者可能会将数据的某些访问和操作权限授予其他用户，因而同一用户可能有多重身份，即该用户对于自己的数据来说是所有者身份，对某些数据来说可能是访客身份，对其他数据来说则是非授权身份，对同一个用户设定不同的身份并严格地进行授权是比较困难的，因此权限管理的混乱是云存储服务商面临的又一项挑战；此外，不同领域的数据具有不同的安全等级标准，同一用户所拥有的数据也有敏感度高低之分，难以制定清晰的安全边界也是云存储服务商所要面临的问题。另外，云存储服务商还必须考虑申请使用云存储服务的用户的合法性，如果攻击者可以注册并使用云存储服务，那么攻击者就可能向云端发送恶意数据、对云存储服务进行攻击等，给云存储服务安全带来极大的风险。

用户作为云存储服务的重要参与方，需要对自己的身份信息进行管理。在使用口令进行身份认证的情况下，如果用户设定的密码没有达到一定的安全强度，那么用户的账户就容易被攻击者攻破；如果用户没有对自己的身份信息采取合理的保存措施，造成身份信息泄露或丢失，那么用户身份信息的安全性就无法得到保障。另外，用户还需要对云存储服务商的身份有清醒的认识，不可信的云存储服务商可能会非法窃取用户数据、泄露用户隐私，使用户数据的安全性完全得不到保障。

1.2.3　法律法规风险

云存储作为一种新型的存储服务模式，具有虚拟性、国际性等特点，由此催生出了许多法律和监管层面的问题，使云存储服务除面临技术和管理方面的安全风险之外，还面临着法律法规方面的安全风险。

1.2.3.1　隐私保护

在云存储环境中，用户数据存储在云端，加大了用户隐私泄露的风险，保护用户隐私成为国内外热门议题。云存储服务与各国数据保护法、隐私法的关系也成为目前备受关注的话题。在云存储服务中，云存储服务商需要切实保障用户隐私，不能让非授权用户以任何方法、任何形式获取用户的隐私信息。然而一些国家的隐私保护法却明确规定允许一些执法部门和政府成员在没有获得数据所有者允许的情况下查看其隐私信息，以保护国家安全。因此云存储服务中的隐私保护策略和某些国家的隐私保护法的相关规定可能产生矛盾。

美国有《爱国者法案》《萨班斯法案》以及保护各类敏感信息的相关法律。其中，《爱国者法案》授权美国的执法者为达到反恐的目的，可以经法庭批准后，在没有经过数据所有者允许的情况下查看任何人的个人记录。这意味着，如果用户的数据存储在美国境内，那么美国的执法者可以在经过法庭批准后，在用户毫不知情的情况下获取用户的所有云数据，查看用户的所有隐私信息。另外，加拿大的《反恐法案》和《国防法》也赋予了国防部长检查保存在本国境内的任意数据的权力。

1.2.3.2　犯罪取证

在云存储服务中，不论云存储基础设施还是用户的账号，都很容易受到黑客的攻击，使云存储服务商和用户的利益受到损害。另外，有一些攻击者可能利用云存储的地域性弱、信息流动性大等特点，进行不良信息的传播、网络欺诈等违法行为。因此，在云存储环境中的犯罪行为可能频频发生，为了能够对攻击者进行相应的惩处，需要进行犯罪证据的获取、保存、分析，然而云存储所具有的多租户、虚拟化的特征增加了在云存储环境中进行犯罪取证的难度，在一定程度上阻碍了法律的顺利执行。

在云存储环境中进行犯罪取证时，首先要进行数据采集，即在可能存有证据的数据源中鉴别、标识、记录和获得电子数据。由于云中的数据不再是保存在一个确定的物理节点上，而是由云存储服务商动态提供存储空间，因此数据源可能存储在不同的司法管辖范围内，使司法人员难以采集到完整的犯罪证据[10]。另外，云数据的流动性很强，如果数据的采集顺序不合理，短时间内很多重要的数据就可能丢失且很难被找回。

云存储环境下的犯罪取证过程至少需要涉及云存储服务商和用户。由于多租户环境下有海量的用户接入到云存储服务中，因此云存储服务商和用户之间的依赖关系是动态变化的。另外，云存储服务商和云存储应用大都依赖于其他的服务商和应用，这样就又形成了一条依赖链。在这种情况下，犯罪取证需要针对多条依赖链进行，若任何一条依赖链断开，都可能影响犯罪取证的过程和结果。

在进行犯罪取证时，既需要获取和保存相关证据，又不能给其他用户的数据带来安全风险。由于云数据共享存储设备，因而如何进行数据分离使其他用户的隐私信息不因实施犯罪取证而泄露，也是云存储环境下犯罪取证的一大难题。

1.2.3.3　数据跨境

云存储具有地域性弱、信息流动性大的特点，一方面，当用户使用云存储服务时，并不能确定自己的数据存储在哪里，即使用户选择的是本国的云存储服务商，但由于该服务商可能在世界的多个地方都建有云数据中心，用户的数据可能被跨境存储；另一方面，当云存储服务商要对数据进行备份或对服务器架构进行调整时，用户的数据可能需要迁移，因而数据在传输过程中可能跨越多个国家，产生跨境传输问题。对于是否允许本国的数据跨境存储和跨境传输，每个国家都有相关的法律要求，如表1.3所示[11]，而云存储服务中的数据跨境可能会违反用户所在国家的法律要求。

欧盟拥有世界上最全面的数据保护法，并被很多国家作为立法的参照。欧盟在2018年出台的《通用数据保护条例》中明确指出了对数据跨境流动的相关规定。按照条例规定，欧盟公民的个人数据要流动到欧盟外的国家、地区或国际组织，若该国家、地区或国际组织通过欧盟的“充分保护水平”[1]的评估，数据无须经过特别授权即可向其自由流动。而对于没有通过“充分保护水平”认定的国家，数据也可以向其流动，但必须提供充分保障措施，充分保障措施包括[12]：

（1）标准合同。数据输出者和接收者可以以签订合同的形式进行数据跨境流动，欧盟委员会分别于2001年、2004年和2010年通过了三个版本的合同，目前这三个版本的合同均有效。

（2）约束性公司规则。跨国公司的内部机构间要跨境流动个人数据，必须根据其自身需要及特点制定数据保护政策，并通过欧盟的授权。

（3）行为准则和认证机制。行为准则是代表各类数据控制者或数据处理者的机构和协会起草的，用于规范协会成员数据处理的行为。对于未达到“充分保护水平”的国家、地区或国际组织，数据处理者或控制者可做出有约束力的承诺，承诺遵守行为准则的规定，进而可向其转移数据。

虽然《通用数据保护条例》在数据跨境流动方面的规则更加清晰、细化、可操作，但是数据跨境流动规则只是解决了云存储服务商的部分问题。首先，由于《通用数据保护条例》对个人数据隐私保护的规定十分严格，云存储服务商想要达到合规标准并通过欧盟的认定存在着一定的困难。另外，《通用数据保护条例》规则的设定与云存储商业模式之间可能存在冲突，例如，《通用数据保护条例》中规定数据处理者必须在收到数据控制者书面通知后才可以处理数据，这就意味着得不到上层应用的书面通知，底层的基础设施和平台就不能对数据进行处理，这与云存储服务的实际应用场景是存在矛盾的。云存储服务商面临的问题十分复杂，可能因为保护条例中的其他规定而无法进行数据跨境流动，或者面临违规的风险。

1.2.3.4　安全性评价与责任认定

云存储服务商和用户之间通过合同来规定双方的权利与义务，明确安全事件发生后的责任认定及赔偿方法，从而确保双方的权益都能得到保障。然而，由于目前云计算安全标准及测评体系尚未完善，用户的安全目标和云存储服务商的安全服务能力无法参照一个统一的标准进行度量，在出现安全事件时也无法根据一个统一的标准进行责任认定。再加上目前国际社会对云存储服务中的跨境数据存储、流动和交付的监管政策尚未达成一致，也没有专门针对云计算安全的相关法律，因此云存储服务商和用户之间签订的合同的合规性、合法性是无法得到认定的，一旦发生安全事件，云存储服务商和用户可能会各持己见，根据不同的标准来进行责任认定，确保自己的利益最大化，由此会产生许多争议和纠纷。

云计算安全标准既需要支持用户描述其数据安全保护目标、指定其所属资产安全保护的范围和程度，还需要支持用户尤其是企业用户的安全管理需求，如使用一定的手段、在特定的程度和范围内，在不触犯其他用户权益的前提下，分析查看日志信息、了解数据使用情况以及开展违法操作调查等。此外，云计算安全标准应支持对灵活、复杂的云存储服务过程的安全评估，还应规定云存储服务安全目标验证的方法和程序[13]。因此，建立并完善以安全目标验证、安全服务等级测评为核心的云计算安全标准及其测评体系是极具挑战性的。