3.2.6.3調(diào)查審計困難

在云計算被廣泛應(yīng)用的情況下，其提供的計算、存儲、帶寬等資源及服務(wù)可在全球范圍內(nèi)獲取，而非法用戶提供的賬戶信息可能是偽造的，并可以使用盜竊的信用卡進行支付，這就給調(diào)查網(wǎng)絡(luò)犯罪分子帶來前所未有的困難。對于第三方資源提供商租用給云服務(wù)提供商的資源，溯源將更加困難。同時，不同國家和地域有關(guān)云服務(wù)提供商的法律法規(guī)不盡相同，對各種違法行為調(diào)查和溯源的取證需求各不相同，也會給違法行為的取證帶來阻礙作用。

另外，云計算系統(tǒng)中存儲有大量用戶的數(shù)據(jù)，在調(diào)查取證過程中，云服務(wù)提供商未必配合，其可能有權(quán)拒絕提交所托管的數(shù)據(jù)；即使配合，也將給其他用戶的業(yè)務(wù)帶來安全風(fēng)險。例如，谷歌多次向美國政府提交維基解密志愿者的郵箱數(shù)據(jù)，這意味著Gmail的用戶存在隱私被泄露的風(fēng)險，甚至在資質(zhì)審計的過程中，云服務(wù)提供商未必提供必要的信息，使得第三方機構(gòu)不一定能對服務(wù)提供商進行準(zhǔn)確客觀的評估。

一般而言，雖然用戶將數(shù)據(jù)控制權(quán)交給云服務(wù)提供商，但服務(wù)水平協(xié)議中不可能詳細指明服務(wù)提供商對各安全問題的承諾，用戶仍然會委托第三方安全服務(wù)機構(gòu)對網(wǎng)絡(luò)信息安全的相關(guān)事宜進行安全審計、安全評估及安全認(rèn)證。而在云計算環(huán)境下，由于用戶根本不知道其數(shù)據(jù)存放的位置，因此很難實施安全審計、評估及認(rèn)證，云服務(wù)提供商也可能不會配合用戶自身發(fā)起的安全審計與評估；其次，云服務(wù)提供者即使委托第三方進行相關(guān)安全審計，其結(jié)果也未必能適用于各個用戶；同時，云計算環(huán)境下用戶信息設(shè)施的安全審計、評估及認(rèn)證方法，目前尚在研究之中。