云計算領(lǐng)域伴隨各類安全風(fēng)險。諸如亞馬遜的EC2服務(wù)和谷歌的Google App Engine就是云計算服務(wù)的例子。在認(rèn)可一個供應(yīng)商之前，聰明的使用者通常會提出一系列尖銳的問題并且考慮從獨立第三方獲取一份安全評估報告。

云計算的特有屬性決定了風(fēng)險評估的重要性，包括數(shù)據(jù)完整性保護、故障發(fā)生后可恢復(fù)性以及私密性等領(lǐng)域。此外，諸如e-discovery（電子發(fā)現(xiàn)）和審計等方面的法律評估也是必不可少的。以下是使用者在選擇供應(yīng)商之前需要防范的七方面風(fēng)險：

優(yōu)先訪問權(quán)

由于云計算服務(wù)供應(yīng)商采用內(nèi)部程序，以繞開物理、邏輯和個人控制，敏感數(shù)據(jù)在處理過程中存在被盜取風(fēng)險，因此，盡可能掌握管理數(shù)據(jù)相關(guān)人員的信息至關(guān)重要。使用者需要向供應(yīng)商索要其擁有優(yōu)先訪問權(quán)管理人員的雇傭和監(jiān)管的詳細(xì)信息。

監(jiān)管

即使數(shù)據(jù)掌握在服務(wù)供應(yīng)商手中，使用者也是其數(shù)據(jù)安全性和完整性的最終負(fù)責(zé)人。傳統(tǒng)服務(wù)供應(yīng)商需要接受外部審計和安全認(rèn)證等方式的監(jiān)管，這對云計算服務(wù)供應(yīng)商而言也是必不可少的。對于拒絕接受檢查的供應(yīng)商，使用者最好避而遠(yuǎn)之。

數(shù)據(jù)定位

當(dāng)使用者享受云計算服務(wù)時，他們很可能對于數(shù)據(jù)所在方位一無所知，甚至不知道被存儲在哪一個國家。因此，使用者需要向供應(yīng)商詢問其是否在特定地區(qū)存儲和處理數(shù)據(jù)，以及他們是否向使用者承諾遵照當(dāng)?shù)仉[私保護要求。

數(shù)據(jù)分割

通常情況下，一個云內(nèi)有很多使用者的數(shù)據(jù)處在共享環(huán)境中。盡管加密有效，但并非萬能。因此，使用者需要查實數(shù)據(jù)分割的方式。云計算服務(wù)供應(yīng)商應(yīng)該提供證據(jù)，證明其加密方案是由經(jīng)驗豐富的專家設(shè)計和檢測的。加密事故可能造成數(shù)據(jù)完全癱瘓，即使一般的加密不當(dāng)也會造成數(shù)據(jù)可得性復(fù)雜化。

數(shù)據(jù)恢復(fù)

即使不了解數(shù)據(jù)所在地，使用者也應(yīng)該了解在極端情況下其數(shù)據(jù)將面臨哪些問題以及將被如何處理。如果云計算服務(wù)供應(yīng)商不能通過不同來源復(fù)制數(shù)據(jù)，以及恢復(fù)應(yīng)用程序，使用者將面臨很大風(fēng)險。因此，使用者需要向供應(yīng)商了解其能否完整恢復(fù)受損數(shù)據(jù)及恢復(fù)所需時間。

調(diào)查支持

在云計算領(lǐng)域，調(diào)查不當(dāng)或非法活動幾乎是不可能的。由于大量使用者的記錄和數(shù)據(jù)可能同在一處，而且很可能在不同主機和數(shù)據(jù)中心傳遞，在云計算服務(wù)中的調(diào)查十分困難。如果沒有供應(yīng)商支持各種類型調(diào)查的合約承諾，以及其有效支持各類調(diào)查的證據(jù)，那么調(diào)查和披露要求將不可能實現(xiàn)。

長期發(fā)展風(fēng)險

一般而言，云計算供應(yīng)商持續(xù)經(jīng)營，不發(fā)生破產(chǎn)或被吞并是最理想的情況。一旦出現(xiàn)意外狀況，使用者必須確保仍然能夠使用數(shù)據(jù)。因此，使用者需要向云計算服務(wù)供應(yīng)商咨詢當(dāng)發(fā)生兼并收購等情況后如何找回數(shù)據(jù)。