一、内网安全管理中使用云计算主要的隐私顾虑是什么

云计算的发展，受到了人们的高度关注。很多企业也准备尝试使用云计算，然而云计算可能存在一些隐私顾虑。作为企业需要做好内网安全管理来确保企业隐私不被泄露。一些隐私倡导者对云计算提出了许多顾虑。这些顾虑通常混合了信息安全和隐私。下面是一些需要注意的额外考虑因素：

①访问。数据所有者有权知道存储了哪些个人信息，并且在一些情况下，可要求停止对个人信息的处理。这对于市场活动是尤其重要的；在某些司法管辖区，市场活动受额外的法规约束，几乎总是在适用机构的终端用户隐私策略中加以规定。在云计算中，主要的顾虑是机构是否有能力为个人提供对其所有个人信息的访问能力，并且遵从已声明的规定。

②合规性。云计算中隐私合规性要求是怎样的？对治理信息适用的法律法规、标准以及合同承诺是什么样的，谁对保持合规性负责？向云计算的迁移会对现有的隐私合规性要求造成怎样的影响？

③存储。云计算中的数据存储在哪里？数据是否被传送到另一个国家的另一个数据中心？数据是否与采用相同云计算服务提供商的其他机构的数据相混合？在各国的隐私法律中，都对机构传送某些类型的个人信息到其他国家的能力设置了限制。当数据存储在云计算中，类似的传输可能在机构不知道的情况下发生，从而导致违反当地法律的情况。

④保留。个人信息（那些传送到云计算中的信息）保留多久？治理数据的保留策略是怎样的？是机构拥有数据，还是云计算服务提供商拥有数据？由谁执行云计算中的保留策略，以及这个策略（如诉讼保留）的预期是如何管理的？

⑤销毁。云计算提供商的保留阶段结束后是如何销毁个人验证信息的？机构怎样确保云计算服务提供商正确的销毁其个人验证信息，并确保这些信息不会被其他云计算用户利用？机构如何知道云计算服务提供商是否有保留额外的复本？

⑥审计和监测。当机构的个人验证信息存放在云计算中，怎样才可以监测机构的云计算服务提供商，以及向机构的利益相关者确保满足隐私要求？

⑦隐私侵犯。你如何知道隐私受到侵犯，你如何确保当隐私被侵犯时云计算服务提供商会通告你，以及谁负责管理侵犯隐私的通告程序（以及这个过程相关的开支）？如果合同中包括了因云计算服务提供商的过失造成的隐私侵犯责任，合同如何执行以及如何确定是谁的过失？

二、内网安全服务项目确保数据安全

内网安全服务有5项：鉴别服务、访问控制服务、数据完整性服务、数据保密性服务和非否认服务。

第一，鉴别服务。鉴别服务包括同等实体鉴别和数据源鉴别两种服务。使用同等实体鉴别服务可以对两个同等实体（用户或进程）在建立连接和开始传输数据时进行身份的合法性和真实性验证，以防止非法用户的假冒或非法用户伪造连接初始化攻击。数据源鉴别服务可对信息源点进行鉴别，以确保数据是由合法用户发出，以防假冒。

第二，访问控制服务。访问控制包括身份验证和权限验证。访问控制服务既可防止非授权用户非法访问网络资源，也可以防止合法用户越权访问网络资源。

第三，数据完整性服务。数据完整性服务旨在防止非法用户对正常数据进行变更（例如，修改、插入、延时或删除），以及在数据交换过程中的数据丢失。数据完整性服务可分为带恢复功能的面向连接的数据完整性；不带恢复功能的面向连接的数据完整性；选择字段面向连接的数据完整性；选择字段无连接的数据完整性；无连接的数据完整性5种情形，通过这些服务来满足不同用户、不同场合对数据完整性的要求。

第四，数据保密性服务。采用数据保密性服务的目的是保护网络中各通信实体之间交换的数据即使被非法攻击者截获，也使其无法解读信息内容，以保证信息不失密。该服务也提供面向连接和无连接两种数据保密方式。数据保密性服务还提供给用户可选字段的数据保护和信息流安全，即对可能从观察信息流就能推导出的信息提供保护。信息流安全的目的是确保信息从源点到目的点的整个流通过程的安全。

第五，非否认服务。非否认服务可防止发送方发送数据后否认自己发送过数据，也可以防止接收方接收数据后否认接收过数据。它由两种服务组成：一是发送（源点）非否认服务，二是接收（交付）非否认服务。这实际上是一种数字签名服务。

对于保密单位或保密认证申请单位来说，诸如保密要害部位、涉密计算机等的安全防护都很重视，但是往往对办公内网安全管理管控不够重视，从而带来严重的安全隐患。殊不知日常办公90%的信息都是在内网计算机上处理的，在涉密机上处理的信息是很少的，而且对于一些保密单位来说，很多信息的应用范围是内部,这就要求有相应的管控手段。