基于云計算的信息安全風險評估

羅佳

【摘要】 本文主要通過分析云計算的基本內涵，對傳統信息安全風險評估工作考慮的基礎上，分析基于云計算的信息安全風險評估指標，并對信息資產評估識別過程進行重點分析，探討基于云計算的信息安全風險的有效測量策略，以期提高信息安全風險評估工作的效率。

【關鍵詞】 云計算 信息安全 風險評估

前言：隨著信息技術及業務場景的不斷更新，企業面臨更加復雜多樣的安全威脅，隨著云計算、大數據，移動互聯網的快速發展，企業的安全運維工作發生了改變。在云計算背景下，如何對信息安全風險進行有效評估成為當下企業需要重點思考的問題。

一、云計算的基本內涵與優勢

云計算是世界上最新的一次信息技術革命，對社會生產方式以及商業發展帶來了重大的變革，具有巨大的影響力[1]。云計算是網絡技術與傳統計算機技術結合發展的一種新型產物，是通過利用多種商業模式提供強大的計算能力，并最終將其向終端用戶進行提供，以便實現高速率的信息處理以及高效率的服務。云計算在廣義上是一種服務使用以及交付模式，為用戶提供易擴展以及按需服務。

云計算的優勢主要體現在其強大的處理能力上，能夠有效降低用戶終端的負擔，用戶能夠通過廉價終端獲得云的強大計算處理能力，并獲取到各種計算資源，為用戶提供按需的服務[2]。對于公有服務而言，云計算能夠有效降低服務所需的軟硬件成本，減少人力資源的投入以及管理成本，并有助于完成快速部署，實現按需服務。企業能夠集中資源以及技術用于企業應用的開發，進而提高企業的核心競爭力，同時能夠實現不同設備之間信息的有效共享及協作。

二、基于云計算的信息安全風險評估內涵

信息安全風險評估是指有效識別信息系統的風險，并對風險發生的可能性進行有效評估，其目的是了解風險可能發生的幾率以及方式，評估風險的威脅及影響程度，借以確定有效的安全策略，并建立起信息系統，幫助實現系統的安全運行。在傳統的信息安全風險評估工作中，主要圍繞資產、威脅以及脆弱性三種要素進行。在資產評估過程中，必須要從業務評估入手，對企業資產進行識別，并對資產進行分類，確保資產的安全性。對資產的評估必須要建立在業務主線的基礎上，通過對軟硬件、數據、人員、設備、服務及其他等類型的資產進行分類評估，具有較強的邏輯性[3]。

基于云計算的信息安全風險評估可以執行以下幾個步驟：（1）確定遷進云的數據或者功能，對一些將來可能會涉及到的資產也要考慮在內。（2）明確組織中數據以及功能的重要性，評估資產的重要性以及重要程度。考慮到多種情況下，我們可能會受到的影響。（3）慎重考慮資產的部署模式，在尋找服務提供商前，必須要了解部署模型所蘊含的風險。（4）依照資產的重要程度對資產進行賦值，并對資產的機密性、可用性以及完整性等三個安全屬性進行賦值。

三、基于云計算的信息安全風險評估的指標體系

基于云計算的信息安全風險主要可以分為虛擬資源、基礎設施、軟環境、客戶端、數據資源等幾類。通過對這些風險的特征進行分析，通過對風險評估的含義以及特點進行分析，將同類的指標進行合并，并去除掉不重要或重復的指標，通過專家輪詢法對指標體系進行調整，可以得出基于云計算的信息安全風險評估指標體系，如表1所示。

四、基于云計算的風險評估算法

按照五分制原則確定各等級的賦分，則五個評定等級分數 分別為 5 ，4 ， 3 ， 2 ，1 ，指標等級介于兩者之間的相應的評分為 4.5， 3.5， 2.5 ，1.5， 0 .5各值。

4.1 評樣本矩陣及評價灰類的確定

4.1.1 評價樣本矩陣的確定

設有n位專家參與評價，dt i表示第t位專家對第i=（1，2，…m）個指標給出的評分，這樣全部專家對評價指標的評價數據構成評價樣本矩陣：

五、結束語

信息安全是一個系統工程，同時也是一個需要長期實踐并進行不斷完善的過程，企業需要依據業務自身的需求建立并完善安全保障體系以確保業務的持續進行。

參 考 文 獻

[1]汪兆成.基于云計算模式的信息安全風險評估研究[J].信息網絡安全，2011，09（02）：56-59.

[2]蔡盈芳.基于云計算的信息系統安全風險評估模型[J].中國管理信息化，2010，12（04）：75-77.

[3]朱圣才.基于云計算的信息安全風險分析與探索[J].西安郵電大學學報，2013，04（02）：89-94.

[4]王鳴.基于云計算的電子政務云安全風險評估實施方法初探[J].中國新通信，2015，18（09）：121-126.