《IT企業(yè)項(xiàng)目外包風(fēng)險(xiǎn)識(shí)別與管理研究》15000字（論文）

IT企業(yè)項(xiàng)目外包風(fēng)險(xiǎn)識(shí)別與管理研究目錄TOC\o"1-2"\h\u26150IT企業(yè)項(xiàng)目外包風(fēng)險(xiǎn)識(shí)別與管理研究 136441IT外包項(xiàng)目的基本概念 1110522IT外包項(xiàng)目管理的相關(guān)理論 270303B公司CDD項(xiàng)目的風(fēng)險(xiǎn)識(shí)別 485063.1公司和項(xiàng)目的簡(jiǎn)介 5184903.2項(xiàng)目風(fēng)險(xiǎn)識(shí)別的方法 5137653.3項(xiàng)目風(fēng)險(xiǎn)識(shí)別的結(jié)果 6253914B公司CDD項(xiàng)目項(xiàng)目的風(fēng)險(xiǎn)分析 9245074.1項(xiàng)目風(fēng)險(xiǎn)定性分析 9263484.2項(xiàng)目風(fēng)險(xiǎn)定量分析 11310515B公司CDD項(xiàng)目項(xiàng)目的風(fēng)險(xiǎn)控制 17120405.1B公司CDD項(xiàng)目的風(fēng)險(xiǎn)控制 17228315.2B公司CDD項(xiàng)目的風(fēng)險(xiǎn)控制 217255.3云計(jì)算環(huán)境下的IT外包項(xiàng)目風(fēng)險(xiǎn)控制 211IT外包項(xiàng)目的基本概念的合作，如果沒(méi)有發(fā)生重大的變故，企業(yè)一般不會(huì)終止或者解除合約或者伙伴關(guān)系。企業(yè)有很多種劃分外包的方式，無(wú)論以什么形式的外包最終的目的都是為了減少企業(yè)的運(yùn)營(yíng)成本、提高企業(yè)的核心競(jìng)爭(zhēng)力，將企業(yè)的IT全部或者部分業(yè)務(wù)轉(zhuǎn)移給更加專業(yè)的外部服務(wù)機(jī)構(gòu)來(lái)完成。對(duì)于HF銀行來(lái)說(shuō)，采用IT外包的形式就企業(yè)內(nèi)部而言：一、可以提高效率、降低成本。銀行類業(yè)務(wù)的技術(shù)人員，除了研發(fā)以外，還要承擔(dān)著信息運(yùn)行維護(hù)的工作，以及容災(zāi)備份、規(guī)模擴(kuò)大，人員培訓(xùn)、核心業(yè)務(wù)升級(jí)等一系列的工作。將IT全部或者部分業(yè)務(wù)剝離交給專門的IT服務(wù)公司進(jìn)行研發(fā)維護(hù)，在一定程度上大大降低自身所需要投入的成本。二、有助于提高核心競(jìng)爭(zhēng)力。IT外包服務(wù)契合靈活反應(yīng)的市場(chǎng)需求，借助外部的資源更好的完善自身的產(chǎn)品和競(jìng)爭(zhēng)力。通過(guò)選擇專業(yè)性、服務(wù)性、技術(shù)性更好的IT公司順應(yīng)市場(chǎng)的技術(shù)更新、產(chǎn)品迭代，滿足自身的業(yè)務(wù)發(fā)展需要。三、可以分散風(fēng)險(xiǎn)。通過(guò)外包服務(wù)，可以將風(fēng)險(xiǎn)通過(guò)雙方合作的形式，共同承擔(dān)風(fēng)險(xiǎn)，提高企業(yè)應(yīng)對(duì)市場(chǎng)風(fēng)險(xiǎn)的反應(yīng)能力，從而將精力和資源更加多的分配在核心競(jìng)爭(zhēng)力的打造上，提高企業(yè)的抗風(fēng)險(xiǎn)能力，四、有助于提高服務(wù)質(zhì)量。通常IT外包的服務(wù)商都是有自己已經(jīng)成熟的系統(tǒng)和相應(yīng)的研發(fā)技能，可以根據(jù)不同的需求制定出相應(yīng)的業(yè)務(wù)研發(fā)、項(xiàng)目管理的計(jì)劃并且高效的實(shí)施起來(lái)，這樣可以大大提高了企業(yè)對(duì)外服務(wù)質(zhì)量和效率。2IT外包項(xiàng)目管理的相關(guān)理論項(xiàng)目管理作為管理學(xué)的分支科學(xué)之一，項(xiàng)目管理是以項(xiàng)目為管理的對(duì)象，通過(guò)運(yùn)用專業(yè)的知識(shí)、方法、理論和技能，對(duì)項(xiàng)目所涉及到的工作進(jìn)行有效的管理，使得項(xiàng)目實(shí)現(xiàn)預(yù)計(jì)的期望值或者最終的目標(biāo)結(jié)果。隨著社會(huì)的快速發(fā)展，項(xiàng)目管理開(kāi)始逐步形成獨(dú)立發(fā)展的管理類學(xué)科。PMI（PurchasingManagers'Index，采購(gòu)經(jīng)理人指數(shù)）把管理學(xué)劃分成時(shí)間管理、范圍管理、成本管理、風(fēng)險(xiǎn)管理、質(zhì)量管理、人力資源管理、溝通管理、采購(gòu)與合同管理、項(xiàng)目總體管理9大知識(shí)體系[14]。PMI九大知識(shí)體系在IT外包項(xiàng)目管理的領(lǐng)域發(fā)揮著重要的作用。PMI九大知識(shí)領(lǐng)域和IT外包項(xiàng)目管理過(guò)程的關(guān)系如表1.1所示：表1.SEQ2.\*ARABIC1PMI九大知識(shí)領(lǐng)域和IT外包項(xiàng)目管理過(guò)程的關(guān)系項(xiàng)目管理知識(shí)領(lǐng)域項(xiàng)目管理過(guò)程啟動(dòng)計(jì)劃執(zhí)行控制收尾總體管理項(xiàng)目計(jì)劃編制項(xiàng)目計(jì)劃執(zhí)行總體變更控制工作范圍管理啟動(dòng)工作范圍計(jì)劃工作范圍定義任務(wù)驗(yàn)收范圍變更控制時(shí)間管理活動(dòng)排序工期計(jì)算進(jìn)度表編制進(jìn)度控制費(fèi)用管理資源計(jì)劃費(fèi)用估算預(yù)算分配費(fèi)用控制質(zhì)量管理質(zhì)量計(jì)劃質(zhì)量保證質(zhì)量控制人力資源管理人員組織、分配團(tuán)隊(duì)建設(shè)溝通管理溝通計(jì)劃信息發(fā)布項(xiàng)目狀況匯報(bào)管理收尾風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理計(jì)劃風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估制定應(yīng)對(duì)方案風(fēng)險(xiǎn)監(jiān)控采購(gòu)管理采購(gòu)計(jì)劃詢價(jià)計(jì)劃詢價(jià)供應(yīng)商選擇合同管理合同收尾科技的不斷進(jìn)步，互聯(lián)網(wǎng)高新科技的飛速發(fā)展推動(dòng)著軟件行業(yè)的不斷迭代更新。但是IT項(xiàng)目仍然存在著一定的風(fēng)險(xiǎn)和問(wèn)題，IT項(xiàng)目無(wú)法按照預(yù)期完成交付的大部分原因并不是來(lái)自于技術(shù)，而是不是來(lái)自于管理。由此，風(fēng)險(xiǎn)管理開(kāi)始越來(lái)越被人們關(guān)注并且將風(fēng)險(xiǎn)管理的概念引入到項(xiàng)目管理PMI九大知識(shí)體系當(dāng)中。1991年，美國(guó)卡耐基梅隆大學(xué)軟件工程研究所（SEI）推出了能力成熟度模型CMM(CapabilityMaturityModel)[15]。CMM的作用主要有兩方面：為軟件客戶提供評(píng)價(jià)軟件開(kāi)發(fā)商能力的方法；幫助軟件開(kāi)發(fā)商改進(jìn)其軟件過(guò)程，提高成熟度。CMMI(CapabilityMaturityModelIntegration)即能力成熟度模型集成，由CMM發(fā)展而來(lái)，它最早是應(yīng)用于軟件業(yè)的一個(gè)過(guò)程改進(jìn)模型，為軟件組織描述了從混亂的、不成熟的軟件過(guò)程向成熟有序的軟件過(guò)程進(jìn)行改進(jìn)的一條途徑。后來(lái)隨著應(yīng)用的推廣和模型本身的發(fā)展，CMMI逐漸演化成為一個(gè)被廣泛應(yīng)用的綜合性過(guò)程改進(jìn)模型。軟件過(guò)程成熟度指一個(gè)具體的軟件過(guò)程被明確和有效地定義、管理、度量、控制和實(shí)施的程度。軟件組織成熟的過(guò)程是一個(gè)不斷改進(jìn)、循序漸進(jìn)的過(guò)程，而不是通過(guò)革命性的革新快速實(shí)現(xiàn)的[16]。不成熟組織與成熟組織的對(duì)比如表1.2所示：表1.SEQ2.\*ARABIC2不成熟組織與成熟組織的對(duì)比不成熟的組織成熟的組織軟件過(guò)程中一般在項(xiàng)目進(jìn)行中臨時(shí)確定，有時(shí)確定了也不嚴(yán)格執(zhí)行。建立了機(jī)構(gòu)級(jí)別的軟件研發(fā)和維護(hù)過(guò)程，軟件人員按照計(jì)劃執(zhí)行任務(wù)。被動(dòng)地處理軟件項(xiàng)目中的一些突然事情。具有對(duì)軟件項(xiàng)目的監(jiān)控和主動(dòng)應(yīng)對(duì)風(fēng)險(xiǎn)的能力進(jìn)度和經(jīng)費(fèi)預(yù)算預(yù)估的不準(zhǔn)確，進(jìn)度延期導(dǎo)致延期交付或者削減功能，降低品質(zhì)項(xiàng)目進(jìn)度和預(yù)算是根據(jù)已經(jīng)成功的項(xiàng)目經(jīng)驗(yàn)，比較符合實(shí)際情況產(chǎn)品質(zhì)量難以預(yù)計(jì)軟件產(chǎn)品質(zhì)量由質(zhì)量部門保證并且監(jiān)控，風(fēng)險(xiǎn)可預(yù)測(cè)CMMI是很多從事軟件行業(yè)的參照對(duì)象和提高自身能力的標(biāo)準(zhǔn)。用來(lái)反映軟件成熟的CMMI的五個(gè)等級(jí)，如表1.3所示：表1.SEQ2.\*ARABIC3CMMI的五個(gè)等級(jí)等級(jí)解釋初始級(jí)軟件過(guò)程是無(wú)序的，有時(shí)甚至是混亂的，對(duì)過(guò)程幾乎沒(méi)有定義，成功取決于個(gè)人努力。管理是反應(yīng)式的。已管理級(jí)建立了基本的項(xiàng)目管理過(guò)程來(lái)跟蹤費(fèi)用、進(jìn)度和軟件的功能特性。制定了必要的過(guò)程紀(jì)律，能重復(fù)早先類似應(yīng)用項(xiàng)目取得的成功經(jīng)驗(yàn)。已定義級(jí)已將軟件管理和工程兩方面的過(guò)程文檔化、標(biāo)準(zhǔn)化，并綜合成該組織的標(biāo)準(zhǔn)軟件過(guò)程。所有項(xiàng)目均使用經(jīng)批準(zhǔn)、剪裁的標(biāo)準(zhǔn)軟件過(guò)程來(lái)開(kāi)發(fā)和維護(hù)軟件。量化管理級(jí)分析軟件過(guò)程和產(chǎn)品質(zhì)量的詳細(xì)度量數(shù)據(jù)，對(duì)軟件過(guò)程和產(chǎn)品都有定量的理解與控制。管理活動(dòng)有一個(gè)作出結(jié)論的客觀依據(jù)，能夠在定量的范圍內(nèi)預(yù)測(cè)性能。優(yōu)化管理級(jí)過(guò)程的量化反饋和先進(jìn)的新思想、新技術(shù)促使過(guò)程持續(xù)不斷改進(jìn)。有能力識(shí)別軟件過(guò)程中的薄弱環(huán)節(jié)，并有足夠的手段改進(jìn)它們，防止缺陷的產(chǎn)生。HF銀行和B公司之間的關(guān)系，除了是承包商與服務(wù)商之間的關(guān)系外，也是一種委托代理管理。在這種合作模式下，B公司的酬勞獲取方式是和該公司的服務(wù)成熟度（CMMI等級(jí)）相關(guān)的，B公司的服務(wù)成熟度越高，對(duì)風(fēng)險(xiǎn)管理的質(zhì)量就越高。IT項(xiàng)目管理在整個(gè)軟件從開(kāi)始到結(jié)束的整個(gè)過(guò)程中占據(jù)著核心位置。所以在IT項(xiàng)目管理的整個(gè)過(guò)程中需要考慮到PMI九大知識(shí)領(lǐng)域和公司的實(shí)際情況相結(jié)合，更好的進(jìn)行對(duì)項(xiàng)目的控制和管理。3B公司CDD項(xiàng)目的風(fēng)險(xiǎn)識(shí)別本章節(jié)通過(guò)對(duì)B公司CDD軟件項(xiàng)目在實(shí)踐過(guò)程中進(jìn)行的深入調(diào)研，在上一章節(jié)是對(duì)云計(jì)算環(huán)境下外包項(xiàng)目風(fēng)險(xiǎn)的一些相關(guān)理論基礎(chǔ)上。在這一章節(jié)里面，運(yùn)用項(xiàng)目管理中的風(fēng)險(xiǎn)管理的理論，在云計(jì)算環(huán)境下對(duì)CDD軟件的現(xiàn)狀并進(jìn)行分析。3.1公司和項(xiàng)目的簡(jiǎn)介3.1.1B公司簡(jiǎn)介B公司是十九世紀(jì)八十年代在荷蘭成立的，是一家網(wǎng)絡(luò)遍布全球的專業(yè)服務(wù)機(jī)構(gòu)。在全球一百多個(gè)國(guó)家擁有十五萬(wàn)名員工。為很多知名企業(yè)提供服務(wù)。隨著中國(guó)企業(yè)融入全球經(jīng)濟(jì)和境外企業(yè)大舉進(jìn)入中國(guó)市場(chǎng)，B公司將利用其豐富的國(guó)際經(jīng)驗(yàn)和對(duì)市場(chǎng)的全面認(rèn)識(shí)等優(yōu)勢(shì)，在日趨復(fù)雜但又機(jī)遇處處的中國(guó)市場(chǎng)為客戶提供高品質(zhì)的服務(wù)。2017年，B在南京成立了分公司。主要從事系統(tǒng)應(yīng)用管理和維護(hù)、信息技術(shù)支持和管理，財(cái)務(wù)服務(wù)、銀行后臺(tái)服務(wù)，軟件開(kāi)發(fā)，數(shù)據(jù)處理等信息技術(shù)和業(yè)務(wù)流程外包服務(wù)；依托計(jì)算機(jī)信息技術(shù)提供的人力資源管理、內(nèi)部數(shù)據(jù)分析、數(shù)據(jù)處理、數(shù)據(jù)錄入及財(cái)會(huì)方面遠(yuǎn)程技術(shù)管理咨詢服務(wù)等信息技術(shù)和業(yè)務(wù)流程外包服務(wù)。大數(shù)據(jù)處理相關(guān)服務(wù)及技術(shù)支持，包括數(shù)據(jù)開(kāi)發(fā)、數(shù)據(jù)處理、數(shù)據(jù)挖掘等；計(jì)算機(jī)軟硬件的開(kāi)發(fā)、設(shè)計(jì)、制作、許可，計(jì)算機(jī)系統(tǒng)集成，并提供相應(yīng)技術(shù)咨詢服務(wù)。及上述相關(guān)咨詢業(yè)務(wù)在此背景下，該公司正著力提升軟件服務(wù)的品質(zhì)，力求抓住機(jī)遇，以更加專業(yè)高效的服務(wù)在市場(chǎng)中獲取更大的發(fā)展空間。3.1.2CDD外包項(xiàng)目介紹CDD(商業(yè)盡職調(diào)查,CommercialdueDiligence)管理系統(tǒng)是HF銀行承包給B公司的一個(gè)外包項(xiàng)目。主要是對(duì)銀行的申請(qǐng)商業(yè)貸款的公司的一個(gè)背景調(diào)查的項(xiàng)目，從外部和內(nèi)部對(duì)公司業(yè)務(wù)發(fā)展的內(nèi)外部環(huán)境和情況進(jìn)行調(diào)查，對(duì)企業(yè)達(dá)到其發(fā)展計(jì)劃的關(guān)鍵因素進(jìn)行評(píng)估和分析。企業(yè)需要配合的CDD的調(diào)查有很多，需要根據(jù)不同的要求完成評(píng)估和風(fēng)險(xiǎn)等級(jí)劃分。銀行根據(jù)CDD的評(píng)估等級(jí)，對(duì)企業(yè)的貸款資格和限額的進(jìn)行評(píng)定。因?yàn)檎{(diào)查的背景、數(shù)據(jù)、文稿有很多，而且涉及到敏感隱私。所以B企業(yè)需要考慮高效處理分析數(shù)據(jù)的同時(shí)，也同時(shí)需要考慮到數(shù)據(jù)安全、項(xiàng)目風(fēng)險(xiǎn)等問(wèn)題。整個(gè)項(xiàng)目的客戶上傳的文檔和數(shù)據(jù)都在亞馬遜云服務(wù)器上，項(xiàng)目主要部署和運(yùn)行在亞馬遜云上的虛擬機(jī)和服務(wù)器上的。程序研發(fā)人員，只能通過(guò)特定的研發(fā)服務(wù)器訪問(wèn)數(shù)據(jù)、文檔、運(yùn)行環(huán)境，無(wú)法對(duì)數(shù)據(jù)進(jìn)行備份下載或者拷貝到其他地方。操作人員也只能通過(guò)IT人員配置好的權(quán)限進(jìn)行訪問(wèn)，同樣也無(wú)權(quán)限對(duì)數(shù)據(jù)進(jìn)行備份下載或者轉(zhuǎn)移。B公司在承接了HF銀行的CDD項(xiàng)目的時(shí)，除了前期開(kāi)發(fā)的時(shí)候需要研發(fā)、測(cè)試、運(yùn)維的團(tuán)隊(duì)意外，B公司還有專業(yè)的金融類人員，在項(xiàng)目上線后B公司將和HF銀行一起進(jìn)行對(duì)系統(tǒng)的操作人員培訓(xùn)上崗，共同完成對(duì)盡職調(diào)查的企業(yè)的調(diào)查。所以B項(xiàng)目上線前和上線后屬于兩種不同類型的外包模式。研發(fā)的過(guò)程中更多偏向于項(xiàng)目技術(shù)外包，而后期是屬于一個(gè)長(zhǎng)期的合作人力外包。這有利于加強(qiáng)B公司和HF銀行的合作關(guān)系和緊密的，也有利于項(xiàng)目的更好的推進(jìn)。3.2項(xiàng)目風(fēng)險(xiǎn)識(shí)別的方法在云計(jì)算環(huán)境下，CDD外包項(xiàng)目的風(fēng)險(xiǎn)識(shí)別主要采用了以下兩種方式：（1）頭腦風(fēng)爆法。這一方法主要是可以在短時(shí)間內(nèi)產(chǎn)生出一系列大量的富有新意的想法去解決當(dāng)下遇到的某一個(gè)問(wèn)題或困難。頭腦風(fēng)暴的側(cè)重點(diǎn)是在于產(chǎn)生想法，而并不是在過(guò)程中去分析問(wèn)題。一般在實(shí)施頭腦風(fēng)暴的時(shí)候，會(huì)要求團(tuán)隊(duì)的每一個(gè)成員積極參與，公司的專家、產(chǎn)品經(jīng)理、項(xiàng)目經(jīng)理、研發(fā)經(jīng)理、架構(gòu)師、資深的研發(fā)工程師等共同開(kāi)會(huì)討論云計(jì)算環(huán)境下的CDD項(xiàng)目可能存在那些風(fēng)險(xiǎn)，將可能存在的風(fēng)險(xiǎn)都記錄下來(lái)，這一過(guò)程就是在短時(shí)間內(nèi)收集到大量的可能存在風(fēng)險(xiǎn)問(wèn)題的一些意見(jiàn)和想法。在此之后，為了保證風(fēng)險(xiǎn)的可識(shí)別性和有效分析，將這些風(fēng)險(xiǎn)進(jìn)行討論分析并進(jìn)行分類。（2）德?tīng)柗品?。在頭腦風(fēng)爆法的討論過(guò)程中，需要了解風(fēng)險(xiǎn)的優(yōu)先級(jí)，但是團(tuán)隊(duì)中可能出現(xiàn)特別厲害的成員的個(gè)人觀點(diǎn)直接影響團(tuán)隊(duì)觀點(diǎn)，因此需要德?tīng)柗品▽?duì)風(fēng)險(xiǎn)進(jìn)行一個(gè)匿名的問(wèn)卷調(diào)查去收集交流信息。德?tīng)柗品ㄒ话愣际遣捎脝?wèn)卷調(diào)查或者郵件的方式收集團(tuán)隊(duì)成員對(duì)可能會(huì)出現(xiàn)的問(wèn)題或者風(fēng)險(xiǎn)的一些想法。B公司是一家跨國(guó)公司，在中國(guó)、英國(guó)、葡萄牙、印度等不同的國(guó)家都有CDD團(tuán)隊(duì)的成員。通過(guò)頭腦分析法收集到的項(xiàng)目風(fēng)險(xiǎn)進(jìn)行歸納分類后，通過(guò)電子郵件邀請(qǐng)各地方的成員進(jìn)行對(duì)項(xiàng)目風(fēng)險(xiǎn)的打分或者補(bǔ)充。最后根據(jù)頭腦風(fēng)暴和德?tīng)柗品ǖ玫降泥]件反饋進(jìn)行總結(jié)和排序，將風(fēng)險(xiǎn)進(jìn)行在此的歸納排序得到初步的風(fēng)險(xiǎn)識(shí)別后的結(jié)果。3.3項(xiàng)目風(fēng)險(xiǎn)識(shí)別的結(jié)果通過(guò)頭腦風(fēng)暴和德?tīng)柗品▽?duì)CDD項(xiàng)目的風(fēng)險(xiǎn)識(shí)別后得到的初步的風(fēng)險(xiǎn)識(shí)別的結(jié)果。本文將CDD項(xiàng)目南京團(tuán)隊(duì)的風(fēng)險(xiǎn)結(jié)果進(jìn)行了總結(jié)和歸類，如圖3.1所示。圖3.SEQ3.\*ARABIC1CDD項(xiàng)目風(fēng)險(xiǎn)分析結(jié)構(gòu)3.3.1戰(zhàn)略風(fēng)險(xiǎn)（1）云服務(wù)商不可替代風(fēng)險(xiǎn)CDD項(xiàng)目目前是在亞馬遜云服務(wù)平臺(tái)上進(jìn)行研發(fā)、實(shí)施部署的。想要往其他云服務(wù)平臺(tái)進(jìn)行遷移的成本和難度都十分的大。CDD項(xiàng)目和亞馬遜云平臺(tái)綁定后，將受限于云平臺(tái)服務(wù)，如果未來(lái)亞馬遜云平臺(tái)關(guān)閉或者被其他公司收購(gòu)后，將對(duì)公司的項(xiàng)目產(chǎn)生巨大的影響。（2）客戶對(duì)云服務(wù)外包的認(rèn)同風(fēng)險(xiǎn)CDD項(xiàng)目所選擇的云服務(wù)平臺(tái)是亞馬遜云服務(wù)平臺(tái)。相較于傳統(tǒng)的軟件運(yùn)行部署在本地服務(wù)器有很大的不一樣。特別是和B公司合作的公司來(lái)說(shuō)，會(huì)對(duì)數(shù)據(jù)安全產(chǎn)生懷疑和擔(dān)心。CDD項(xiàng)目是B公司轉(zhuǎn)型的項(xiàng)目，如果項(xiàng)目失敗將給公司造成巨大的損失，公司付出的財(cái)力、物力、人力的投入將付諸東流，給公司造成巨大的損失。3.3.2管理風(fēng)險(xiǎn)（1）云計(jì)算成本控制云計(jì)算是一種基于互聯(lián)網(wǎng)的新型信息資源服務(wù)系統(tǒng)，不同用戶配置資源對(duì)應(yīng)不同的服務(wù)費(fèi)用，是需要根據(jù)用戶的需求進(jìn)行彈性化定制的虛擬化資源服務(wù)[26]。CDD項(xiàng)目涉及到中國(guó)、葡萄牙、印度等國(guó)家，需要使用的云服務(wù)資源也不相同，需要根據(jù)每個(gè)地區(qū)的研發(fā)、測(cè)試、運(yùn)維、用戶等建立不同的體系和若干個(gè)環(huán)境，這也將大大提高了成本費(fèi)用。與此同時(shí)，為了防止數(shù)據(jù)丟失或其他異常情況的發(fā)生，需要對(duì)數(shù)據(jù)進(jìn)行備份的操作。在研發(fā)測(cè)試的時(shí)候?yàn)榱吮ＷC上線后系統(tǒng)的同步性需要對(duì)測(cè)試環(huán)境的相應(yīng)配置，這也是需要一定的成本費(fèi)用的。由此，云服務(wù)不能進(jìn)行有效的管理，將很難控制云計(jì)算服務(wù)的成本費(fèi)用。（2）云計(jì)算環(huán)境下權(quán)限管理風(fēng)險(xiǎn)CDD項(xiàng)目涉及到一些敏感信息和身份信息，是需要嚴(yán)格保密的。云計(jì)算環(huán)境的開(kāi)放性，加上項(xiàng)目本身外包性質(zhì)，因?yàn)橐惨獙?duì)可以操作數(shù)據(jù)的研發(fā)人員、操作人員，進(jìn)行不同權(quán)限和訪問(wèn)級(jí)別的設(shè)定。（3）項(xiàng)目進(jìn)度逾期風(fēng)險(xiǎn)云計(jì)算是比較新的技術(shù)，研發(fā)的時(shí)候可能會(huì)出現(xiàn)項(xiàng)目延期的可能。此外，CDD系統(tǒng)功能復(fù)雜，系統(tǒng)需要處理大量用戶數(shù)據(jù)，研發(fā)人員對(duì)于云計(jì)算技術(shù)不熟悉等原因都可能造成項(xiàng)目進(jìn)度緩慢。如果CDD系統(tǒng)上線延期的話，客戶很可能對(duì)B公司失去信心，同時(shí)B公司的市場(chǎng)推廣產(chǎn)生不利影響。3.3.3技術(shù)風(fēng)險(xiǎn)（1）云計(jì)算環(huán)境下開(kāi)發(fā)技術(shù)風(fēng)險(xiǎn)云計(jì)算是一個(gè)比較新興的技術(shù)，團(tuán)隊(duì)的研發(fā)人員需要招聘一些有云計(jì)算研發(fā)經(jīng)驗(yàn)的人員。這對(duì)研發(fā)團(tuán)隊(duì)來(lái)說(shuō)是一個(gè)不小的挑戰(zhàn)，傳統(tǒng)的軟件研發(fā)在本地的服務(wù)器就可以調(diào)試，但是云服務(wù)需要程序運(yùn)行在亞馬遜云服務(wù)器上，這個(gè)極大的增加了操作難度。（2）云計(jì)算環(huán)境下系統(tǒng)部署風(fēng)險(xiǎn)在傳統(tǒng)的IT模式下，項(xiàng)目的部署都有相應(yīng)比較成熟的流程可以參照。在云計(jì)算環(huán)境下，部署人員可以不僅沒(méi)有可以參照的成熟流程，更要求短時(shí)間內(nèi)一次性完成所有的部署。隨著用戶量的不斷增多和規(guī)模的不斷擴(kuò)大，部署的難度也不斷的提高。3.3.4安全風(fēng)險(xiǎn)（1）云計(jì)算環(huán)境下數(shù)據(jù)丟失的風(fēng)險(xiǎn)在CDD項(xiàng)目中，所有的數(shù)據(jù)都統(tǒng)一存儲(chǔ)在云平臺(tái)上，這將使得項(xiàng)目面臨很大的數(shù)據(jù)丟失的風(fēng)險(xiǎn)。傳統(tǒng)軟件系統(tǒng)的部署方式，是將每個(gè)用戶的數(shù)據(jù)都獨(dú)立存儲(chǔ)在各自的數(shù)據(jù)服務(wù)器上，由此把數(shù)據(jù)丟失、泄露的風(fēng)險(xiǎn)進(jìn)行分散，但是一旦云平臺(tái)上的用戶數(shù)據(jù)因意外操作、黑客攻擊、設(shè)備損壞等原因?qū)е聛G失，將對(duì)系統(tǒng)造成傷害并影響數(shù)據(jù)安全[27]。（2）知識(shí)產(chǎn)權(quán)泄漏風(fēng)險(xiǎn)項(xiàng)目本身是外包的性質(zhì)，HF銀行作為承包方需要保證產(chǎn)品的知識(shí)產(chǎn)權(quán)不被泄露。因此邀請(qǐng)B公司對(duì)其知識(shí)產(chǎn)權(quán)的保護(hù)，所有的研發(fā)源代碼都必須托管在本公司內(nèi)部服務(wù)器上。每一位員工的電腦都必須經(jīng)過(guò)受公司域網(wǎng)絡(luò)的管理，防止員工把公司的產(chǎn)品源代碼外泄。但是由于CDD項(xiàng)目的軟件系統(tǒng)都部署在亞馬遜云平臺(tái)上，有可能被其他人非法拷貝系統(tǒng)程序，被競(jìng)爭(zhēng)對(duì)手使用,造成公司知識(shí)產(chǎn)權(quán)的外泄與損失。（3）網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)CDD項(xiàng)目系統(tǒng)業(yè)務(wù)比較復(fù)雜，且有中國(guó)、英國(guó)、印度、葡萄牙等多個(gè)國(guó)家和地區(qū)的開(kāi)發(fā)團(tuán)隊(duì)參與。隨著開(kāi)發(fā)環(huán)境的復(fù)雜程度的提高的同時(shí)，也相應(yīng)的增加了受到網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。在傳統(tǒng)IT系統(tǒng)環(huán)境中，由于大多數(shù)是運(yùn)行在企業(yè)內(nèi)部網(wǎng)絡(luò)內(nèi)，外部攻擊者很難利用軟件漏洞來(lái)進(jìn)行攻擊。現(xiàn)在CDD項(xiàng)目的軟件系統(tǒng)部署在云環(huán)境下，增加了網(wǎng)絡(luò)攻擊者利用軟件漏洞進(jìn)行攻擊的可能性。4B公司CDD項(xiàng)目項(xiàng)目的風(fēng)險(xiǎn)分析項(xiàng)目風(fēng)險(xiǎn)分析是對(duì)己經(jīng)識(shí)別出的風(fēng)險(xiǎn)評(píng)估其發(fā)生的可能性和帶來(lái)的影響。本章使用了定性分析和定量分析相結(jié)合的方法對(duì)已經(jīng)識(shí)別出來(lái)的云計(jì)算環(huán)境下項(xiàng)目風(fēng)險(xiǎn)進(jìn)行分析。定性分析是通過(guò)使用概率與風(fēng)險(xiǎn)影響矩陣，評(píng)估已識(shí)別風(fēng)險(xiǎn)發(fā)生的概率和可能帶來(lái)的影響[28]。定量分析，是進(jìn)一步進(jìn)行量化項(xiàng)目風(fēng)險(xiǎn)的方法，并作為風(fēng)險(xiǎn)監(jiān)控和風(fēng)險(xiǎn)控制的組成部分[29]。4.1項(xiàng)目風(fēng)險(xiǎn)定性分析為了簡(jiǎn)化對(duì)云計(jì)算環(huán)境下項(xiàng)目風(fēng)險(xiǎn)的描述，項(xiàng)目中指定了概率和風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)的矩陣參照表，如表4.1所示。表4.SEQ4.\*ARABIC1項(xiàng)目風(fēng)險(xiǎn)評(píng)估概率風(fēng)險(xiǎn)概率非常高0.9高0.7中0.5低0.3非常低0.1項(xiàng)目發(fā)生風(fēng)險(xiǎn)后需要考慮風(fēng)險(xiǎn)影響程度，主要分成了四類：關(guān)鍵的（系數(shù)最大：1）、重點(diǎn)的（系數(shù)：0.7）、一般的（系數(shù)：0.4）、可忽略的（系數(shù)：0.1）。具體的對(duì)應(yīng)系數(shù)和分析影響如表4.2所示。表4.SEQ4.\*ARABIC2項(xiàng)目風(fēng)險(xiǎn)評(píng)級(jí)風(fēng)險(xiǎn)影響關(guān)鍵的重點(diǎn)的一般的可忽略的10.70.40.1可以將風(fēng)險(xiǎn)評(píng)估概率和風(fēng)險(xiǎn)和項(xiàng)目風(fēng)險(xiǎn)評(píng)級(jí)整合作為風(fēng)險(xiǎn)評(píng)估的優(yōu)先級(jí)。風(fēng)險(xiǎn)的概率與風(fēng)險(xiǎn)影響公式：風(fēng)險(xiǎn)系數(shù)等級(jí)=風(fēng)險(xiǎn)評(píng)估概率*風(fēng)險(xiǎn)評(píng)級(jí)。風(fēng)險(xiǎn)從到到底分別是：非常低(0-0.1)、低(0.1-0.29)、中(0.3-0.48)、高(0.49-1)。項(xiàng)目影響/概率風(fēng)險(xiǎn)評(píng)級(jí)如表4.3所示。表4.SEQ4.\*ARABIC3項(xiàng)目影響/概率風(fēng)險(xiǎn)評(píng)級(jí)（優(yōu)先級(jí)）影響/概率關(guān)鍵的重點(diǎn)的一般的可忽略的非常高高（0.9）高（0.63）中（0.36）非常低（0.09）高高（0.7）高（0.49）中（0.28）非常低（0.07）中高（0.5）中（0.35）低（0.2）非常低（0.05）低中（0.3）低（0.21）非常低（0.12）非常低（0.03）非常低非常低（0.1）非常低（0.07）非常低（0.04）非常低（0.01）在云計(jì)算環(huán)境下的風(fēng)險(xiǎn)識(shí)別過(guò)程中總結(jié)出的十個(gè)風(fēng)險(xiǎn)：客戶對(duì)云服務(wù)外包的認(rèn)同風(fēng)險(xiǎn)、云服務(wù)商無(wú)法替換風(fēng)險(xiǎn)、云計(jì)算環(huán)境下權(quán)限管理風(fēng)險(xiǎn)、云計(jì)算成本失控風(fēng)險(xiǎn)、項(xiàng)目進(jìn)度逾期風(fēng)險(xiǎn)、云計(jì)算環(huán)境下開(kāi)發(fā)技術(shù)風(fēng)險(xiǎn)、系統(tǒng)部署風(fēng)險(xiǎn)、云計(jì)算環(huán)境下數(shù)據(jù)丟失的風(fēng)險(xiǎn)、知識(shí)產(chǎn)權(quán)泄漏風(fēng)險(xiǎn)、網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)。通過(guò)專業(yè)的技術(shù)團(tuán)隊(duì)和專家成員的研討分析，分別對(duì)發(fā)生概率和影響成都進(jìn)行評(píng)分統(tǒng)計(jì)。通過(guò)風(fēng)險(xiǎn)的概率與影響公式計(jì)算出相應(yīng)的風(fēng)險(xiǎn)優(yōu)先級(jí)。項(xiàng)目風(fēng)險(xiǎn)概率、影響與風(fēng)險(xiǎn)評(píng)級(jí)的對(duì)應(yīng)關(guān)系如表4.4所示。表4.SEQ4.\*ARABIC4項(xiàng)目風(fēng)險(xiǎn)概率和影響的風(fēng)險(xiǎn)評(píng)級(jí)表風(fēng)險(xiǎn)概率*影響優(yōu)先級(jí)客戶對(duì)云服務(wù)外包的認(rèn)同風(fēng)險(xiǎn)0.3*1=0.3中云服務(wù)商無(wú)法替換風(fēng)險(xiǎn)0.5*0.4=0.2低云計(jì)算環(huán)境下權(quán)限管理風(fēng)險(xiǎn)0.3*0.4=0.12非常低云計(jì)算成本失控風(fēng)險(xiǎn)0.5*0.7=0.35中項(xiàng)目進(jìn)度逾期風(fēng)險(xiǎn)0.7*0.7=0.49高云計(jì)算環(huán)境下開(kāi)發(fā)技術(shù)風(fēng)險(xiǎn)0.9*07=0.63高系統(tǒng)部署風(fēng)險(xiǎn)0.3*0.4=0.12非常低云計(jì)算環(huán)境下數(shù)據(jù)丟失的風(fēng)險(xiǎn)0.3*1=0.3中知識(shí)產(chǎn)權(quán)泄漏風(fēng)險(xiǎn)0.1*0.07=0.07非常低網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)0.1*0.07=0.07非常低4.2項(xiàng)目風(fēng)險(xiǎn)定量分析項(xiàng)目經(jīng)過(guò)定性分析過(guò)后，需要進(jìn)一步的用定量分析法去分析、評(píng)估項(xiàng)目的風(fēng)險(xiǎn)。為了盡可能的消除主觀判斷的影響，對(duì)各個(gè)風(fēng)險(xiǎn)進(jìn)行更細(xì)致的量化處理，本章節(jié)使用了層次分析法對(duì)云計(jì)算環(huán)境下的項(xiàng)目風(fēng)險(xiǎn)進(jìn)行定量分析。4.2.1構(gòu)建項(xiàng)目風(fēng)險(xiǎn)層次結(jié)構(gòu)模型通過(guò)層次結(jié)構(gòu)模型，對(duì)云計(jì)算環(huán)境下已經(jīng)識(shí)別出來(lái)的項(xiàng)目風(fēng)險(xiǎn)建立項(xiàng)目的風(fēng)險(xiǎn)層次結(jié)構(gòu)。項(xiàng)目的風(fēng)險(xiǎn)層次結(jié)構(gòu)如表4.5所示。表4.SEQ4.\*ARABIC5項(xiàng)目風(fēng)險(xiǎn)層次結(jié)構(gòu)層次一層次二層次三項(xiàng)目總體風(fēng)險(xiǎn)戰(zhàn)略風(fēng)險(xiǎn)客戶對(duì)云服務(wù)外包的認(rèn)同風(fēng)險(xiǎn)云服務(wù)商無(wú)法替換風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)云計(jì)算環(huán)境下權(quán)限管理風(fēng)險(xiǎn)云計(jì)算成本失控風(fēng)險(xiǎn)項(xiàng)目進(jìn)度逾期風(fēng)險(xiǎn)技術(shù)風(fēng)險(xiǎn)云計(jì)算環(huán)境下開(kāi)發(fā)技術(shù)風(fēng)險(xiǎn)系統(tǒng)部署風(fēng)險(xiǎn)安全風(fēng)險(xiǎn)云計(jì)算環(huán)境下數(shù)據(jù)丟失的風(fēng)險(xiǎn)知識(shí)產(chǎn)權(quán)泄漏風(fēng)險(xiǎn)網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)4.2.2構(gòu)建兩兩相互對(duì)比的判斷矩陣1、在矩陣比較之前，需要優(yōu)先考慮設(shè)計(jì)出兩兩判斷比較的標(biāo)尺。進(jìn)行兩兩相互比較，風(fēng)險(xiǎn)標(biāo)度1到5表示重要程度由低到高。風(fēng)險(xiǎn)重要性判斷標(biāo)尺如圖4.6所示。表4.SEQ4.\*ARABIC6風(fēng)險(xiǎn)重要性兩兩比較法的判斷尺度定義標(biāo)度風(fēng)險(xiǎn)一比風(fēng)險(xiǎn)二絕對(duì)重要5風(fēng)險(xiǎn)一比風(fēng)險(xiǎn)二重要得多4風(fēng)險(xiǎn)一比風(fēng)險(xiǎn)二重要3風(fēng)險(xiǎn)一比風(fēng)險(xiǎn)二稍微重要2風(fēng)險(xiǎn)一比風(fēng)險(xiǎn)二同樣重要12、構(gòu)造判斷矩陣。兩兩相互比較，是將屬于同一個(gè)層次里面的風(fēng)險(xiǎn)進(jìn)行兩兩比較，通過(guò)收集各類專業(yè)人員對(duì)風(fēng)險(xiǎn)的評(píng)分問(wèn)卷，進(jìn)行平均數(shù)取整后，建立各層次的判斷矩陣。表4.7是A-B層次的風(fēng)險(xiǎn)進(jìn)行兩兩比對(duì)的矩陣，表4.8是B-C層次的風(fēng)險(xiǎn)進(jìn)行兩兩比對(duì)的矩陣。判斷標(biāo)尺參照上文的風(fēng)險(xiǎn)重要性兩兩比較法的判斷尺度。表4.SEQ4.\*ARABIC7層次一到層次二風(fēng)險(xiǎn)判斷矩陣戰(zhàn)略風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)技術(shù)風(fēng)險(xiǎn)安全風(fēng)險(xiǎn)戰(zhàn)略風(fēng)險(xiǎn)1/11/41/21/3管理風(fēng)險(xiǎn)4/11/13/12/1技術(shù)風(fēng)險(xiǎn)2/11/31/11/2安全風(fēng)險(xiǎn)3/11/22/11/1表4.SEQ4.\*ARABIC8層次二到層次三風(fēng)險(xiǎn)判斷矩陣戰(zhàn)略風(fēng)險(xiǎn)判斷矩陣戰(zhàn)略風(fēng)險(xiǎn)客戶對(duì)云服務(wù)外包的認(rèn)同風(fēng)險(xiǎn)云服務(wù)商無(wú)法替換風(fēng)險(xiǎn)客戶對(duì)云服務(wù)外包的認(rèn)同風(fēng)險(xiǎn)1/13/1云服務(wù)商無(wú)法替換風(fēng)險(xiǎn)1/31/1管理風(fēng)險(xiǎn)判斷矩陣管理風(fēng)險(xiǎn)云計(jì)算環(huán)境下權(quán)限管理風(fēng)險(xiǎn)云計(jì)算成本失控風(fēng)險(xiǎn)項(xiàng)目進(jìn)度逾期風(fēng)險(xiǎn)云計(jì)算環(huán)境下權(quán)限管理風(fēng)險(xiǎn)1/11/31/4云計(jì)算成本失控風(fēng)險(xiǎn)3/11/11/2項(xiàng)目進(jìn)度逾期風(fēng)險(xiǎn)4/12/11/1技術(shù)風(fēng)險(xiǎn)判斷矩陣技術(shù)風(fēng)險(xiǎn)云計(jì)算環(huán)境下開(kāi)發(fā)技術(shù)風(fēng)險(xiǎn)系統(tǒng)部署風(fēng)險(xiǎn)云計(jì)算環(huán)境下開(kāi)發(fā)技術(shù)風(fēng)險(xiǎn)1/12/1系統(tǒng)部署風(fēng)險(xiǎn)2/11/1安全風(fēng)險(xiǎn)判斷矩陣安全風(fēng)險(xiǎn)云計(jì)算環(huán)境下數(shù)據(jù)丟失的風(fēng)險(xiǎn)知識(shí)產(chǎn)權(quán)泄漏風(fēng)險(xiǎn)網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)云計(jì)算環(huán)境下數(shù)據(jù)丟失的風(fēng)險(xiǎn)1/15/12/1知識(shí)產(chǎn)權(quán)泄漏風(fēng)險(xiǎn)1/51/11/2網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)1/22/11/14.2.3確定風(fēng)險(xiǎn)要素的相對(duì)重要程度首先需要對(duì)每一個(gè)風(fēng)險(xiǎn)層次根據(jù)上一層的風(fēng)險(xiǎn)計(jì)算出相對(duì)的權(quán)重。第一步，先計(jì)算出相對(duì)重要程度；第二步，風(fēng)險(xiǎn)的一致性判斷；第三步，計(jì)算綜合重要程度。計(jì)算出相對(duì)重要程度。首先計(jì)算矩陣A的各行之和，然后計(jì)算各行的平均值，然后經(jīng)過(guò)歸一化處理得到相對(duì)重要度，將各行除以所有行的和，于是得到風(fēng)險(xiǎn)矩陣的特征向量W。風(fēng)險(xiǎn)矩陣的特征向量計(jì)算公式如下所示。（2）風(fēng)險(xiǎn)的一致性判斷。為了保證數(shù)據(jù)量化分析的有效性，需要對(duì)風(fēng)險(xiǎn)矩陣X進(jìn)行一致性的校驗(yàn)。根據(jù)上一步特征向量W計(jì)算矩陣的最大特征值，風(fēng)險(xiǎn)矩陣的最大特征值計(jì)算公式如下所示。相容性公式歸一化CR公式如下所示。其中C.R.為隨機(jī)性指標(biāo)，數(shù)值見(jiàn)表4.9所示。表4.9隨機(jī)性指標(biāo)C.R.數(shù)值n12345C.R.000.580.91.12如果一致性指標(biāo)CR<0.1,則認(rèn)為權(quán)重向量W可以接受；如果CR>0.1，則需要對(duì)風(fēng)險(xiǎn)矩陣進(jìn)行調(diào)整。根據(jù)計(jì)算公式得到了層次一到層次二的風(fēng)險(xiǎn)矩陣，歸一化后的值如表4.10所示：表4.10層次一到層次二的風(fēng)險(xiǎn)矩陣歸一化CR表各行矩陣相加元素除以個(gè)數(shù)n（4）權(quán)重向量W戰(zhàn)略風(fēng)險(xiǎn)2.08330.52080.0929管理風(fēng)險(xiǎn)102.50.4461技術(shù)風(fēng)險(xiǎn)3.83330.95830.171安全風(fēng)險(xiǎn)6.51.6250.29A-B的風(fēng)險(xiǎn)矩最大特征值根據(jù)計(jì)算是4.04。依次算出C.I.=0.013，查表4.9得到四階矩陣的C.R.=0.9，最終算出CR值為0.014。CR<0.1，滿足條件。根據(jù)計(jì)算公式得到了層次二到層次三的戰(zhàn)略風(fēng)險(xiǎn)矩陣，歸一化后的值如表4.11所示：表4.SEQ4.\*ARABIC11戰(zhàn)略風(fēng)險(xiǎn)矩陣歸一化CR表各行矩陣相加元素除以個(gè)數(shù)n（2）權(quán)重向量W客戶對(duì)云服務(wù)外包的認(rèn)同風(fēng)險(xiǎn)420.75云服務(wù)商無(wú)法替換風(fēng)險(xiǎn)1.33330.66670.25根據(jù)計(jì)算公式得到了層次二到層次三的管理風(fēng)險(xiǎn)矩陣，歸一化后的值如表4.12所示：表4.SEQ4.\*ARABIC12管理風(fēng)險(xiǎn)矩陣歸一化CR表各行矩陣相加元素除以個(gè)數(shù)n（3）權(quán)重向量W云計(jì)算環(huán)境下權(quán)限管理風(fēng)險(xiǎn)1.58330.52780.121云計(jì)算成本失控風(fēng)險(xiǎn)4.51.50.3439項(xiàng)目進(jìn)度逾期風(fēng)險(xiǎn)72.3330.535根據(jù)計(jì)算公式得到了層次二到層次三的技術(shù)風(fēng)險(xiǎn)矩陣，歸一化后的值如表4.13所示：表4.SEQ4.\*ARABIC13技術(shù)風(fēng)險(xiǎn)矩陣歸一化CR表各行矩陣相加元素除以個(gè)數(shù)n（2）權(quán)重向量W云計(jì)算環(huán)境下開(kāi)發(fā)技術(shù)風(fēng)險(xiǎn)31.50.6667系統(tǒng)部署風(fēng)險(xiǎn)1.50.750.3333根據(jù)計(jì)算公式得到了層次二到層次三的安全風(fēng)險(xiǎn)矩陣，歸一化后的值如表4.14所示：表4.SEQ4.\*ARABIC14技術(shù)風(fēng)險(xiǎn)矩陣歸一化CR表各行矩陣相加元素除以個(gè)數(shù)n（3）權(quán)重向量W云計(jì)算環(huán)境下數(shù)據(jù)丟失的風(fēng)險(xiǎn)82.66670.6061知識(shí)產(chǎn)權(quán)泄漏風(fēng)險(xiǎn)1.70.56670.1288網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)3.51.16670.2652層次二到層次三的四個(gè)風(fēng)險(xiǎn)矩帶入公式進(jìn)行計(jì)算，戰(zhàn)略風(fēng)險(xiǎn)和技術(shù)風(fēng)險(xiǎn)都是二階矩，二階矩陣的C.R.的值為0，滿足風(fēng)險(xiǎn)一致性檢驗(yàn)的條件。管理風(fēng)險(xiǎn)矩陣最大特征根3.03,CI=0.0127，三階矩陣C.R=0.58,一致性指標(biāo)CR=0.022<0.1，管理風(fēng)險(xiǎn)判斷矩陣滿足風(fēng)險(xiǎn)一致性檢驗(yàn)的條件。安全風(fēng)險(xiǎn)判斷矩陣最大特征根入max=3.01,CI=0.0037，三階矩陣C.R=0.58,一致性指標(biāo)CR=0.006<0.1安全風(fēng)險(xiǎn)判斷矩陣滿足一致性檢驗(yàn)。計(jì)算綜合重要程度。計(jì)算得到每一層的風(fēng)險(xiǎn)和對(duì)上一級(jí)風(fēng)險(xiǎn)的相對(duì)重要程度，就得出各層風(fēng)險(xiǎn)對(duì)于CDD項(xiàng)目系統(tǒng)總體風(fēng)險(xiǎn)的綜合重要度。上一層的風(fēng)險(xiǎn)為A，共有n個(gè)風(fēng)險(xiǎn)，對(duì)于的風(fēng)險(xiǎn)為X1，X2，...Xn，對(duì)于的風(fēng)險(xiǎn)重要程度是x1，x2，...xn。下一層的風(fēng)險(xiǎn)為X，共有m個(gè)風(fēng)險(xiǎn)，對(duì)于的風(fēng)險(xiǎn)為Y1，Y2，...Ym，對(duì)于的風(fēng)險(xiǎn)重要程度是y1，y2，...yn。因此，Y層次的風(fēng)險(xiǎn)計(jì)算綜合公式如下所示。根據(jù)以上的綜合計(jì)算，得出CDD項(xiàng)目的風(fēng)險(xiǎn)綜合權(quán)重表如表4.15所示。表4.SEQ4.\*ARABIC15CDD項(xiàng)目風(fēng)險(xiǎn)綜合權(quán)重表層次B層次C戰(zhàn)略風(fēng)險(xiǎn)0.0929管理風(fēng)險(xiǎn)0.4461技術(shù)風(fēng)險(xiǎn)0.171安全風(fēng)險(xiǎn)0.29權(quán)重排序項(xiàng)目進(jìn)度逾期風(fēng)險(xiǎn)0.5350.23871云計(jì)算環(huán)境下數(shù)據(jù)丟失的風(fēng)險(xiǎn)0.60610.17582云計(jì)算成本失控風(fēng)險(xiǎn)0.34390.15343云計(jì)算環(huán)境下開(kāi)發(fā)技術(shù)風(fēng)險(xiǎn)0.66670.11404網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)0.26520.07695客戶對(duì)云服務(wù)外包的認(rèn)同風(fēng)險(xiǎn)0.750.06976系統(tǒng)部署風(fēng)險(xiǎn)0.33330.05707云計(jì)算環(huán)境下權(quán)限管理風(fēng)險(xiǎn)0.1210.05408知識(shí)產(chǎn)權(quán)泄漏風(fēng)險(xiǎn)0.12880.03749云服務(wù)商無(wú)法替換風(fēng)險(xiǎn)0.250.0232105B公司CDD項(xiàng)目項(xiàng)目的風(fēng)險(xiǎn)控制通過(guò)上文B公司CDD軟件項(xiàng)目的風(fēng)險(xiǎn)分析和評(píng)估，以及結(jié)合風(fēng)險(xiǎn)管理的一些相關(guān)理論，本章節(jié)主要討論云計(jì)算環(huán)境下CDD軟件項(xiàng)目的風(fēng)險(xiǎn)管理的風(fēng)險(xiǎn)控制，并根據(jù)實(shí)際的項(xiàng)目狀況提出相應(yīng)的控制措施。針對(duì)云計(jì)算環(huán)境下的項(xiàng)目普遍存在的一些嚴(yán)重的風(fēng)險(xiǎn)問(wèn)題，提出合理的風(fēng)險(xiǎn)控制管理措施。5.1B公司CDD項(xiàng)目的風(fēng)險(xiǎn)控制云計(jì)算環(huán)境下軟件外包項(xiàng)目的風(fēng)險(xiǎn)控制過(guò)程包括處理已知風(fēng)險(xiǎn)的具體方法和技術(shù)以及用于完成這些任務(wù)的時(shí)間規(guī)劃。風(fēng)險(xiǎn)控制的最終目的是使項(xiàng)目處于風(fēng)險(xiǎn)管理計(jì)劃中的可接受的風(fēng)險(xiǎn)水平。文章總結(jié)了四種策略來(lái)處理項(xiàng)目中可能存在的威脅或風(fēng)險(xiǎn)：避免風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)、減輕風(fēng)險(xiǎn)、接受風(fēng)險(xiǎn)。四種風(fēng)險(xiǎn)規(guī)避策略如表5.1所示。表5.SEQ5.\*ARABIC1風(fēng)險(xiǎn)的四種規(guī)避策略風(fēng)險(xiǎn)規(guī)避策略策略解釋避免風(fēng)險(xiǎn)這需要采取實(shí)際的行動(dòng)來(lái)消除風(fēng)險(xiǎn)發(fā)生的可能性或者風(fēng)險(xiǎn)影響。避免風(fēng)險(xiǎn)的措施會(huì)使風(fēng)險(xiǎn)完全避開(kāi)，但是不是所有的風(fēng)險(xiǎn)都能完全回避消除的，只是針對(duì)特定的風(fēng)險(xiǎn)才可以做到這一點(diǎn)的。轉(zhuǎn)移風(fēng)險(xiǎn)轉(zhuǎn)移風(fēng)險(xiǎn)的措施是將風(fēng)險(xiǎn)轉(zhuǎn)移給第三方，第三方來(lái)負(fù)責(zé)管理風(fēng)險(xiǎn)和承擔(dān)風(fēng)險(xiǎn)的影響。將風(fēng)險(xiǎn)轉(zhuǎn)移給第三方來(lái)消除風(fēng)險(xiǎn)需要一定條件，一般把風(fēng)險(xiǎn)轉(zhuǎn)移給專業(yè)承擔(dān)風(fēng)險(xiǎn)或應(yīng)對(duì)風(fēng)險(xiǎn)的機(jī)構(gòu)組織。轉(zhuǎn)移風(fēng)險(xiǎn)的同時(shí)可能會(huì)帶來(lái)新的風(fēng)險(xiǎn)，如：支付風(fēng)險(xiǎn)溢價(jià)。減輕風(fēng)險(xiǎn)減輕風(fēng)險(xiǎn)是采取一些行動(dòng)或措施降低風(fēng)險(xiǎn)的概率或影響。減輕風(fēng)險(xiǎn)的策略一般是在風(fēng)險(xiǎn)的早期采取行動(dòng)，風(fēng)險(xiǎn)發(fā)生前采取這一措施會(huì)更加容易、付出的成本也更低。接受風(fēng)險(xiǎn)接受風(fēng)險(xiǎn)的措施就是承擔(dān)風(fēng)險(xiǎn)發(fā)生后的后果。最常見(jiàn)的接受策略是通過(guò)時(shí)間、金錢等資源來(lái)應(yīng)對(duì)風(fēng)險(xiǎn)。選擇接受策略的往往是由于風(fēng)險(xiǎn)的影響較小或發(fā)生概率較低。CDD項(xiàng)目風(fēng)險(xiǎn)影響和采取措施對(duì)應(yīng)關(guān)系如表5.2所示。表5.SEQ5.\*ARABIC2項(xiàng)目風(fēng)險(xiǎn)影響和采取措施對(duì)應(yīng)關(guān)系表風(fēng)險(xiǎn)影響風(fēng)險(xiǎn)措施一、關(guān)鍵的項(xiàng)目進(jìn)度逾期風(fēng)險(xiǎn)減輕云計(jì)算環(huán)境下開(kāi)發(fā)技術(shù)風(fēng)險(xiǎn)二、重點(diǎn)的云計(jì)算成本失控風(fēng)險(xiǎn)減輕、避免云計(jì)算環(huán)境下數(shù)據(jù)丟失的風(fēng)險(xiǎn)客戶對(duì)云服務(wù)外包的認(rèn)同風(fēng)險(xiǎn)三、一般的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)減輕、避免系統(tǒng)部署風(fēng)險(xiǎn)云計(jì)算環(huán)境下權(quán)限管理風(fēng)險(xiǎn)知識(shí)產(chǎn)權(quán)泄漏風(fēng)險(xiǎn)四、可忽略的云服務(wù)商無(wú)法替換風(fēng)險(xiǎn)接受5.1.1關(guān)鍵的風(fēng)險(xiǎn)應(yīng)對(duì)對(duì)項(xiàng)目有關(guān)鍵性影響的風(fēng)險(xiǎn)主要有：項(xiàng)目進(jìn)度逾期風(fēng)險(xiǎn)和云計(jì)算環(huán)境下開(kāi)發(fā)技術(shù)風(fēng)險(xiǎn)。需要采取積極的態(tài)度消除相關(guān)的風(fēng)險(xiǎn)對(duì)項(xiàng)目的影響。主要采取的風(fēng)險(xiǎn)措施是：減輕風(fēng)險(xiǎn)。（1）項(xiàng)目逾期風(fēng)險(xiǎn)應(yīng)對(duì)釆取減輕風(fēng)險(xiǎn)應(yīng)對(duì)措施。CDD系統(tǒng)本身具有一定的復(fù)雜性，需要團(tuán)隊(duì)成員熟悉云計(jì)算的技術(shù)，由于云技術(shù)在團(tuán)隊(duì)中有成員對(duì)該技術(shù)還不熟悉，這會(huì)導(dǎo)致項(xiàng)目推進(jìn)緩慢。團(tuán)隊(duì)大部分不熟悉云計(jì)算技術(shù)的研發(fā)人員，在短時(shí)間內(nèi)很難迅速的提高云技術(shù)的技能，所以增加人員或者培訓(xùn)的效果并不能應(yīng)對(duì)項(xiàng)目逾期的風(fēng)險(xiǎn)。項(xiàng)目的負(fù)責(zé)人員或管理人員應(yīng)該重新去指定系統(tǒng)功能范圍，保留核心的功能，對(duì)非核心的功能較少的安排或者添加在后續(xù)版本里面。這樣可以讓產(chǎn)品正常上線發(fā)布出去，避免了項(xiàng)目逾期的風(fēng)險(xiǎn)。在后續(xù)的版本迭代更新后，團(tuán)隊(duì)的整體技術(shù)能力提高后，再根據(jù)能力調(diào)整相應(yīng)的研發(fā)計(jì)劃。（2）云計(jì)算環(huán)境下開(kāi)發(fā)技術(shù)風(fēng)險(xiǎn)應(yīng)對(duì)釆取減輕風(fēng)險(xiǎn)應(yīng)對(duì)措施。針對(duì)項(xiàng)目技術(shù)的風(fēng)險(xiǎn)，可以在公司內(nèi)部開(kāi)展技術(shù)培訓(xùn)課程，邀請(qǐng)公司對(duì)云計(jì)算研究比較深入的同事經(jīng)常分享交流和傳授自己的經(jīng)驗(yàn)和技術(shù)。同時(shí)，也可以邀請(qǐng)專業(yè)的外部云計(jì)算的專家進(jìn)行技術(shù)指導(dǎo)，或者遠(yuǎn)程解答研發(fā)中遇到的問(wèn)題。在項(xiàng)目進(jìn)展過(guò)程中，對(duì)項(xiàng)目階段性的成功進(jìn)行討論分析，找出不足并逐步的修正。5.1.2重點(diǎn)的風(fēng)險(xiǎn)應(yīng)對(duì)項(xiàng)目的重點(diǎn)的風(fēng)險(xiǎn)主要有：云計(jì)算成本失控風(fēng)險(xiǎn)、云計(jì)算環(huán)境下數(shù)據(jù)丟失的風(fēng)險(xiǎn)、客戶對(duì)云服務(wù)外包不認(rèn)同的風(fēng)險(xiǎn)。主要采取的風(fēng)險(xiǎn)應(yīng)對(duì)措施有：減輕、預(yù)防。（1）云計(jì)算成本失控風(fēng)險(xiǎn)應(yīng)對(duì)釆取減輕、預(yù)防相結(jié)合的風(fēng)險(xiǎn)應(yīng)對(duì)措施。定期及時(shí)刪除不在使用的云資源或者過(guò)期的資源。通過(guò)亞馬遜云平臺(tái)的自動(dòng)化腳本工具自動(dòng)釋放被占用的資源。對(duì)服務(wù)進(jìn)行性能測(cè)試，優(yōu)化服務(wù)性能，合理配置資源。同時(shí)還需要每個(gè)月核對(duì)費(fèi)用賬單，防止額外超出預(yù)算過(guò)多的情況出現(xiàn)。（2）云計(jì)算環(huán)境下數(shù)據(jù)丟失的風(fēng)險(xiǎn)應(yīng)對(duì)釆取減輕、預(yù)防相結(jié)合的風(fēng)險(xiǎn)應(yīng)對(duì)措施。亞馬遜云平臺(tái)上的虛擬機(jī)全部需要安裝全面的防護(hù)系統(tǒng)。設(shè)置可信任的機(jī)器才能進(jìn)行通訊的協(xié)議，防止被惡意攻擊。同時(shí)對(duì)交互的數(shù)據(jù)進(jìn)行加密傳輸。為了保證數(shù)據(jù)的安全性需要定期的巡檢各個(gè)系統(tǒng)中是否存在安全漏洞和隱患，對(duì)代碼和系統(tǒng)安全也要進(jìn)行相應(yīng)的審核管理。（3）客戶對(duì)云服務(wù)外包的認(rèn)同風(fēng)險(xiǎn)應(yīng)對(duì)釆取預(yù)防風(fēng)險(xiǎn)應(yīng)對(duì)措施。項(xiàng)目的各類文檔資料、會(huì)議資料、設(shè)計(jì)資料等需要保存好。再將項(xiàng)目展現(xiàn)給用戶講解的時(shí)候，過(guò)濾掉敏感信息將項(xiàng)目進(jìn)度、產(chǎn)品設(shè)計(jì)、新的功能研發(fā)展示給用戶觀看。同時(shí)也會(huì)向用戶進(jìn)行疑惑解答，保證產(chǎn)品滿足客戶需求的同時(shí)，也會(huì)對(duì)客戶反饋的問(wèn)題進(jìn)行認(rèn)真的分析跟蹤，提高用戶的認(rèn)同性。5.1.3一般風(fēng)險(xiǎn)應(yīng)對(duì)項(xiàng)目的一般風(fēng)險(xiǎn)影響主要有：網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)、系統(tǒng)部署風(fēng)險(xiǎn)、云計(jì)算環(huán)境下權(quán)限管理風(fēng)險(xiǎn)和知識(shí)產(chǎn)權(quán)泄露風(fēng)險(xiǎn)。主要采取的風(fēng)險(xiǎn)應(yīng)對(duì)措施有：預(yù)防、減輕。（1）網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)應(yīng)對(duì)釆取是預(yù)防為主的應(yīng)對(duì)措施。為了保證系統(tǒng)不受到惡意的網(wǎng)絡(luò)攻擊，首先需要先保證項(xiàng)目自身的系統(tǒng)和代碼的安全合規(guī)，建立公司內(nèi)部的代碼審核制度和系統(tǒng)安全管理制度。其次，加強(qiáng)網(wǎng)絡(luò)保護(hù)措施，優(yōu)化網(wǎng)絡(luò)保護(hù)系統(tǒng)，安裝網(wǎng)絡(luò)防火墻。最后，還需要建立嚴(yán)格的網(wǎng)絡(luò)檢查和檢測(cè)機(jī)制，及時(shí)的去發(fā)現(xiàn)可能存在的網(wǎng)絡(luò)風(fēng)險(xiǎn)并積極的采取安全防護(hù)措施。（2）系統(tǒng)部署風(fēng)險(xiǎn)應(yīng)對(duì)釆取減輕、預(yù)防相結(jié)合的風(fēng)險(xiǎn)應(yīng)對(duì)措施。亞馬遜云服務(wù)平臺(tái)上的虛擬機(jī)全部需要安裝全面的防護(hù)系統(tǒng)。設(shè)置可信任的機(jī)器才能進(jìn)行通訊的協(xié)議，防止被惡意攻擊。同時(shí)對(duì)交互的數(shù)據(jù)進(jìn)行加密傳輸。為了保證數(shù)據(jù)的安全性需要定期的巡檢各個(gè)系統(tǒng)中是否存在安全漏洞和隱患，對(duì)代碼和系統(tǒng)安全也要進(jìn)行相應(yīng)的審核管理。（3）云計(jì)算環(huán)境下權(quán)限管理風(fēng)險(xiǎn)應(yīng)對(duì)釆取減輕風(fēng)險(xiǎn)應(yīng)對(duì)措施。項(xiàng)目研發(fā)團(tuán)隊(duì)開(kāi)發(fā)了一套權(quán)限管理系統(tǒng)對(duì)權(quán)限、角色、用戶進(jìn)行了詳細(xì)的劃分和管理。與此同時(shí)，在項(xiàng)目中添加權(quán)限審查機(jī)制，對(duì)于權(quán)限越界、權(quán)限配置的修改、再分配、撤銷等都有權(quán)限設(shè)置的各種設(shè)置。也相應(yīng)的包括權(quán)限越界的報(bào)警機(jī)制和攔截機(jī)制。（4）知識(shí)產(chǎn)權(quán)泄露風(fēng)險(xiǎn)應(yīng)對(duì)釆取預(yù)防風(fēng)險(xiǎn)應(yīng)對(duì)措施。云服務(wù)的使用公司分配的賬號(hào)進(jìn)行使用，不再使用個(gè)人賬號(hào)登錄。同時(shí)，設(shè)置相應(yīng)的網(wǎng)絡(luò)規(guī)則，員工只有使用公司的電腦才能登錄云服務(wù)的系統(tǒng)環(huán)境。設(shè)置完這些后，還需要做好監(jiān)控，對(duì)公司電腦設(shè)備進(jìn)行監(jiān)控，禁止員工私自轉(zhuǎn)移或者備份項(xiàng)目相關(guān)的資料。員工離職后，除了電腦設(shè)備要回收，訪問(wèn)權(quán)限也需要同步禁止掉。此外，員工在入職之前也必須簽到好保密協(xié)議。5.1.4可接受的風(fēng)險(xiǎn)應(yīng)對(duì)項(xiàng)目的可接受風(fēng)險(xiǎn)影響主要有：云服務(wù)商無(wú)法替換風(fēng)險(xiǎn)。主要采取的風(fēng)險(xiǎn)應(yīng)對(duì)措施有：接受。由于云服務(wù)商無(wú)法替換風(fēng)險(xiǎn)對(duì)目前的項(xiàng)目影響較小，可以先采取接受風(fēng)險(xiǎn)的應(yīng)對(duì)措施。當(dāng)系統(tǒng)再次升級(jí)時(shí)，再采取相應(yīng)的措施來(lái)減輕云服務(wù)商無(wú)法替換的風(fēng)險(xiǎn)。5.2B公司CDD項(xiàng)目的風(fēng)險(xiǎn)控制風(fēng)險(xiǎn)控制是風(fēng)險(xiǎn)控制的非常重要的一個(gè)部分。項(xiàng)目采取了風(fēng)險(xiǎn)應(yīng)對(duì)措施以后，仍然需要對(duì)風(fēng)險(xiǎn)進(jìn)行監(jiān)控并且評(píng)估風(fēng)險(xiǎn)的應(yīng)對(duì)措施的效果。風(fēng)險(xiǎn)的監(jiān)控是一個(gè)貫穿項(xiàng)目全過(guò)程的一項(xiàng)活動(dòng)，即使是已經(jīng)處理完成的項(xiàng)目風(fēng)險(xiǎn)，仍然需要監(jiān)控，防止后期出現(xiàn)變化，影響項(xiàng)目的正常進(jìn)行。在CDD項(xiàng)目的整個(gè)風(fēng)險(xiǎn)監(jiān)控的過(guò)程。項(xiàng)目需要?jiǎng)?chuàng)建專門供團(tuán)隊(duì)監(jiān)控使用的風(fēng)險(xiǎn)管理系統(tǒng)，包括信息的記錄、跟蹤和風(fēng)險(xiǎn)監(jiān)控警報(bào)等。同時(shí)需要定期的將風(fēng)險(xiǎn)總結(jié)報(bào)告發(fā)送給風(fēng)險(xiǎn)管理人員，以便清晰的了解CDD項(xiàng)目的各類風(fēng)險(xiǎn)情況。對(duì)系統(tǒng)識(shí)別出來(lái)的風(fēng)險(xiǎn)，研發(fā)團(tuán)隊(duì)需要定期的開(kāi)展風(fēng)險(xiǎn)管理會(huì)議，去討論和應(yīng)對(duì)相應(yīng)的風(fēng)險(xiǎn)。根據(jù)風(fēng)險(xiǎn)系統(tǒng)的報(bào)告，將已經(jīng)識(shí)別出來(lái)的風(fēng)險(xiǎn)的內(nèi)容、所屬的風(fēng)險(xiǎn)類別、風(fēng)險(xiǎn)的等級(jí)、風(fēng)險(xiǎn)負(fù)責(zé)人、風(fēng)險(xiǎn)處理狀況進(jìn)行分類討論和記錄跟蹤。如果是新識(shí)別出來(lái)的項(xiàng)目風(fēng)險(xiǎn)或者之前的風(fēng)險(xiǎn)仍然有殘余的風(fēng)險(xiǎn)問(wèn)題，在風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析過(guò)后，系統(tǒng)會(huì)提高該風(fēng)險(xiǎn)的等級(jí)，并且會(huì)指派給專門的負(fù)責(zé)人，對(duì)該風(fēng)險(xiǎn)進(jìn)行處理和應(yīng)對(duì)。5.3云計(jì)算環(huán)境下的IT外包項(xiàng)目風(fēng)險(xiǎn)控制云計(jì)算環(huán)境下的IT外包項(xiàng)目，在服務(wù)的高可用、高拓展性、高彈性架構(gòu)等優(yōu)勢(shì)下，也有存在這一些風(fēng)險(xiǎn)問(wèn)題。軟件外包項(xiàng)目，因?yàn)閿?shù)據(jù)資源的在發(fā)包方和承包方之間的共享性就會(huì)導(dǎo)致一些風(fēng)險(xiǎn)問(wèn)題，而云計(jì)算服務(wù)由于本身資源共享架構(gòu)的模式，發(fā)生安全事故的后果比傳統(tǒng)給的軟件外包服務(wù)更加嚴(yán)重。使用云計(jì)算服務(wù)的外包項(xiàng)目，云服務(wù)平臺(tái)的安全風(fēng)險(xiǎn)是云服務(wù)平臺(tái)的主要項(xiàng)目風(fēng)險(xiǎn)之一。于此同時(shí)為了解決云計(jì)算風(fēng)險(xiǎn)問(wèn)題，企業(yè)則需要采取更加全面、適用云計(jì)算特點(diǎn)的安全防范措施。否則除了對(duì)外包的項(xiàng)目產(chǎn)生嚴(yán)重威脅外，還會(huì)嚴(yán)重影響到公司的信譽(yù)和形象，損害公司的利益和未來(lái)的發(fā)展道路。5.3.1云計(jì)算環(huán)境下IT外包項(xiàng)目的服務(wù)安全風(fēng)險(xiǎn)控制云服務(wù)平臺(tái)是虛擬技術(shù)化的服務(wù)，虛擬化技術(shù)在提升服務(wù)性能的同時(shí)也帶來(lái)了一些新的安全問(wèn)題。傳統(tǒng)的IT的外包服務(wù)，數(shù)據(jù)和服務(wù)的安全風(fēng)險(xiǎn)控制可以通過(guò)安裝防護(hù)軟件、網(wǎng)絡(luò)防火墻、數(shù)據(jù)檢測(cè)軟件等工具進(jìn)行防護(hù)。在云服務(wù)器上這些都是需要占用巨大的資源，并且云服務(wù)器上的虛擬器很容易遭受到其他虛擬機(jī)的惡意攻擊，因此需要對(duì)各個(gè)虛擬機(jī)進(jìn)行隔離和保護(hù)。在云計(jì)算環(huán)境下IT外包項(xiàng)目中，數(shù)據(jù)和服務(wù)器的安全性是項(xiàng)目可交付的一項(xiàng)重要的標(biāo)準(zhǔn)。在云計(jì)算環(huán)境下的項(xiàng)目，可以通過(guò)云平臺(tái)進(jìn)行配置，對(duì)沒(méi)有相互通訊需求的虛擬機(jī)進(jìn)行隔離。這樣可以保證虛擬機(jī)的相互獨(dú)立性，即使一臺(tái)虛擬服務(wù)器出現(xiàn)安全風(fēng)險(xiǎn)也不影響其他虛擬服務(wù)器的使用。同時(shí)，為了保證服務(wù)的安全性，云環(huán)境下的用戶，必須通過(guò)特定的VPN軟件來(lái)遠(yuǎn)程訪問(wèn)，而且設(shè)置時(shí)效性，超出一定范圍的時(shí)間沒(méi)有任何操作將中斷鏈接。這樣來(lái)確保網(wǎng)絡(luò)的通訊傳輸安全性。同時(shí)，因?yàn)槭峭獍捻?xiàng)目，不僅需要對(duì)云端用戶進(jìn)行身份驗(yàn)證，還需要對(duì)不同的用戶進(jìn)行權(quán)限管理設(shè)置。云服務(wù)器上的虛擬機(jī)之間的交互是依靠虛擬網(wǎng)絡(luò)來(lái)進(jìn)行的，因此虛擬機(jī)之間的流量交互處于不可控的狀態(tài)。為了確保流量交互的安全，云服務(wù)器上的虛擬機(jī)一般都會(huì)部署相應(yīng)的流量監(jiān)控進(jìn)行實(shí)時(shí)的檢測(cè)。這樣在項(xiàng)目交付的時(shí)候，發(fā)包方可以及時(shí)的回收一些臨時(shí)分配給承包方的權(quán)限，同時(shí)實(shí)時(shí)的對(duì)系統(tǒng)安全進(jìn)行監(jiān)控，來(lái)確保項(xiàng)目安全風(fēng)險(xiǎn)的控制和管理。5.3.2云計(jì)算環(huán)境下IT外包項(xiàng)目的數(shù)據(jù)安全風(fēng)險(xiǎn)控制傳統(tǒng)的軟件服務(wù)數(shù)據(jù)所有權(quán)和管理器都是屬于用戶的。而在云計(jì)算環(huán)境下，數(shù)據(jù)的所有權(quán)和管理權(quán)是分離的，用戶需要把數(shù)據(jù)提交給云服務(wù)供應(yīng)商[30]。與此同時(shí)，軟件外包的服務(wù)中，發(fā)包方和承包方之間也是共享數(shù)據(jù)的。在這樣的情況下，數(shù)據(jù)的管理權(quán)不在僅僅屬于發(fā)包方，而是三方（發(fā)包方、承包方、云服務(wù)提供商）。因此，在云計(jì)算環(huán)境下的項(xiàng)目安全需要注意以下幾點(diǎn)：一、云計(jì)算環(huán)境下數(shù)據(jù)安全需要新的機(jī)制來(lái)確保數(shù)據(jù)的機(jī)密性。二、云計(jì)算環(huán)境下的用戶數(shù)據(jù)共享基礎(chǔ)設(shè)施和混合存儲(chǔ)需要有效的隔離機(jī)制。三、云計(jì)算環(huán)境下存儲(chǔ)的冗余數(shù)據(jù)需要保證數(shù)據(jù)備份的一致性。一般的軟件服務(wù)、操作環(huán)境都部署在企業(yè)的內(nèi)部環(huán)境中，外界難以觸及。軟件外包服務(wù)中，需要考慮數(shù)據(jù)安全問(wèn)題也主要集中在發(fā)包人和承包人之間，承包人和發(fā)包人做好內(nèi)部數(shù)據(jù)安全交互可以大大降低數(shù)據(jù)安全風(fēng)險(xiǎn)。然而，云計(jì)算環(huán)境下的軟件服務(wù)需要將數(shù)據(jù)放到公共網(wǎng)絡(luò)上，這大大增加了數(shù)據(jù)的安全風(fēng)險(xiǎn)。因此，云服務(wù)下的數(shù)據(jù)安全需要根據(jù)云平臺(tái)的特點(diǎn)采用一套安全機(jī)制來(lái)保證數(shù)據(jù)的安全。這里以B公司使用的亞馬遜