3.2.6.3调查审计困难
在云计算被广泛应用的情况下,其提供的计算、存储、带宽等资源及服务可在全球范围内获取,而非法用户提供的账户信息可能是伪造的,并可以使用盗窃的信用卡进行支付,这就给调查网络犯罪分子带来前所未有的困难。对于第三方资源提供商租用给云服务提供商的资源,溯源将更加困难。同时,不同国家和地域有关云服务提供商的法律法规不尽相同,对各种违法行为调查和溯源的取证需求各不相同,也会给违法行为的取证带来阻碍作用。
另外,云计算系统中存储有大量用户的数据,在调查取证过程中,云服务提供商未必配合,其可能有权拒绝提交所托管的数据;即使配合,也将给其他用户的业务带来安全风险。例如,谷歌多次向美国政府提交维基解密志愿者的邮箱数据,这意味着Gmail的用户存在隐私被泄露的风险,甚至在资质审计的过程中,云服务提供商未必提供必要的信息,使得第三方机构不一定能对服务提供商进行准确客观的评估。
一般而言,虽然用户将数据控制权交给云服务提供商,但服务水平协议中不可能详细指明服务提供商对各安全问题的承诺,用户仍然会委托第三方安全服务机构对网络信息安全的相关事宜进行安全审计、安全评估及安全认证。而在云计算环境下,由于用户根本不知道其数据存放的位置,因此很难实施安全审计、评估及认证,云服务提供商也可能不会配合用户自身发起的安全审计与评估;其次,云服务提供者即使委托第三方进行相关安全审计,其结果也未必能适用于各个用户;同时,云计算环境下用户信息设施的安全审计、评估及认证方法,目前尚在研究之中。