全球云计算市场保持稳定增长,目前,已有88%的企业都在使用公有云服务,云计算的基础设施云平台被广泛使用,其本质特征是数据的管理权和所有权进一步分离。然而,主流云平台的管理权限划分不细、特权操作管控与审计的缺失导致管理员可能会窃取或篡改用户的敏感数据。本文从云平台的特权操作的安全问题入手,对目前云平台租户面临的特权行为攻击问题进行了深入的研究,介绍了目前主流云平台存在的特权操作安全问题并综合分析了当前学术界提出的两种解决方案即云平台管理权限划分方案与云平台执行验证方案,给出了云平台安全风险的定义。而后,本文模拟了真实场景下的云平台特权操作攻击,将攻击损害程度量化,形成了云平台安全量化分析模型。针对云平台特权操作安全问题,本文提出了一种基于安全统一网关的云平台特权操作审计管控技术,主要有四个特点:1、提出了安全统一网关体系结构,可无缝集成到主流云平台,且无需改动云平台;2、无缝支持各大主流云平台的各类协议如HTTP、HTTPS等协议;3、云平台权限审计和管控更加细粒化,根据云管理员不同职责,如安全策略管理员、云管理员、审计员,使用RBAC(Role-Based Access Control)的方式,预先给不同角色划分不同权限;4、支持更灵活的管控技术如二次授权,实现云平台运行时云管理员执行危险操作的黑名单、二次授权、白名单的工作流程,并提供云管理员全部操作的审计日志。实验阶段,本文针对基于安全统一网关的云平台特权操作审计与管控子系统进行了有效性实验和性能实验,实现了主流云平台的权限细粒度划分、特权操作管控与审计,引入性能代价为100毫秒左右,对用户使用操作影响较小。