本文針對云計算的風險類型采用經典的“CIA三性”，即機密性、完整性和可用性來進行界定，并針對性地提出相關的防御、檢測、阻止措施。本部分介紹完整性。 

[[110627]]

“I”：完整性(Integrity)風險

這些風險影響了信息的有效性和信息正確性的保證。一些政府法規特別關注保證信息的準確性。如果信息在沒有預警，授權或審計線索的情況下改變，其完整性無法保證。

1)故障

計算機和存儲故障，可能會導致數據損壞。

防御：請確保你選擇的服務提供商擁有內置到它的存儲網絡的相應的RAID冗余，而對重要數據建立歸檔是服務的一部分。

檢測：采用那些使用了校驗和或者其他方式的數據校驗的完整性驗證軟件。

阻止：由于數據的特性，和無人交互的原因，我們可以采取的措施很少。

剩余風險：損壞數據的技術故障可能導致運作和承諾風險(尤其是Sarbanes-Oxley)。

2)數據刪除和數據丟失

意外或惡意破壞任何數據，包括財務，公司，個人，和審計跟蹤信息。由于計算機系統故障或誤操作造成的數據破壞。

防御：在云環境中，請確保對你的關鍵數據進行備份存儲，并將其安置在多個云服務提供商的環境中。

檢測：保持和審查數據刪除相關的審計日志。

阻止：保持對訪問和管理數據的個人的教育和警覺方案。確保對數據擁有充分的權利和 控制的合適的數據所有者得到分配。

剩余風險：一旦關鍵數據丟失了，它就永遠丟失而不能恢復了。

3)數據損壞和數據篡改

由于計算機或存儲系統損害，或者惡意的人為操作或軟件而造成的數據改變。企圖詐騙的數據修改。

防御：利用版本控制軟件，在重要數據被修改之前保存歸檔拷貝。云服務提供了幾乎無限的數據存儲，這意味著你可以保持對以前的版本的近乎無限的備份。確保所有的虛擬服務器都由防病毒(AV )軟件進行保護。保持對基于最小特權原則的數據，和基于“需要了解”原則的角色或工作職能的基于角色的訪問控制。

檢測：對關鍵數據的任何修改，都需要使用完整性檢查軟件來監控和報告。

阻止：保持對訪問和管理數據的個人的教育和警覺方案。確保對數據擁有充分的權利和控制的適當的數據所有者得到分配。

剩余風險：損毀或被破壞的數據可能會導致重大的問題，因為有效可靠的數據是任何計算系統的基石。

4)意外修改

數據完整性的損失也許是最常見的原因，數據改變要么是因為個人，盡管他可能是在修改其它的信息，要么就是因為不正確的輸入。

防御：利用版本控制軟件，在重要數據被修改之前保存歸檔拷貝。云服務提供了幾乎無限的數據存儲，這意味著你可以保持對以前的版本的近乎無限的備份。確保所有的虛擬服務器是由防病毒(AV )軟件進行保護。保持對基于最小特權原則，根據“需要知道”的工作職能的數據的訪問控制。

檢測：對關鍵數據的任何修改，都需要使用完整性檢查軟件來監控和報告。

阻止：保持對訪問和管理數據的個人的教育和警覺方案。確保對數據擁有充分的權利和控制的適當的數據所有者得到分配。

剩余風險：損毀或被破壞的數據可能會導致重大的問題，因為有效可靠的數據是任何計算系統的基石。

5)網絡釣魚

通過電子郵件欺騙受害者透漏個人信息的行為，是“社會工程”的常見策略。例如，發送了一封電子郵件，它看起來像是來自一個指導用戶登錄并提供信用卡信息的合法公司。

防御：使用反釣魚技術，來防御惡意網站，并檢測錯誤的URL。使用面向客戶系統的多因素身份驗證，來確保用戶知道何時他們被重定向到你的網站的假冒副本。定期發送最新資訊和教育材料給客戶來解釋系統是如何工作的，以及如何避免網絡釣魚。永遠不要發送那些包含或者請求有個人資料，包括客戶ID或密碼的電子郵件。

檢測：使用應用程序防火墻來檢測何時遠程站點試圖復制或冒用你的網站。

阻止：為使用和存儲雇員或客戶的個人信息的人維持教育和警覺方案。

剩余風險：由于公眾媒體的暴露或者個人數據丟失的指控，所帶來的丟失備份磁盤或者包含客戶信息的數據庫折衷的商業風險，造成了重大的聲譽風險。負面宣傳可能導致長期和短期的企業聲譽虧損。