基于云計(jì)算的信息安全風(fēng)險(xiǎn)評(píng)估

羅佳

【摘要】 本文主要通過分析云計(jì)算的基本內(nèi)涵，對(duì)傳統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估工作考慮的基礎(chǔ)上，分析基于云計(jì)算的信息安全風(fēng)險(xiǎn)評(píng)估指標(biāo)，并對(duì)信息資產(chǎn)評(píng)估識(shí)別過程進(jìn)行重點(diǎn)分析，探討基于云計(jì)算的信息安全風(fēng)險(xiǎn)的有效測(cè)量策略，以期提高信息安全風(fēng)險(xiǎn)評(píng)估工作的效率。

【關(guān)鍵詞】 云計(jì)算 信息安全 風(fēng)險(xiǎn)評(píng)估

前言：隨著信息技術(shù)及業(yè)務(wù)場(chǎng)景的不斷更新，企業(yè)面臨更加復(fù)雜多樣的安全威脅，隨著云計(jì)算、大數(shù)據(jù)，移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展，企業(yè)的安全運(yùn)維工作發(fā)生了改變。在云計(jì)算背景下，如何對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行有效評(píng)估成為當(dāng)下企業(yè)需要重點(diǎn)思考的問題。

一、云計(jì)算的基本內(nèi)涵與優(yōu)勢(shì)

云計(jì)算是世界上最新的一次信息技術(shù)革命，對(duì)社會(huì)生產(chǎn)方式以及商業(yè)發(fā)展帶來(lái)了重大的變革，具有巨大的影響力[1]。云計(jì)算是網(wǎng)絡(luò)技術(shù)與傳統(tǒng)計(jì)算機(jī)技術(shù)結(jié)合發(fā)展的一種新型產(chǎn)物，是通過利用多種商業(yè)模式提供強(qiáng)大的計(jì)算能力，并最終將其向終端用戶進(jìn)行提供，以便實(shí)現(xiàn)高速率的信息處理以及高效率的服務(wù)。云計(jì)算在廣義上是一種服務(wù)使用以及交付模式，為用戶提供易擴(kuò)展以及按需服務(wù)。

云計(jì)算的優(yōu)勢(shì)主要體現(xiàn)在其強(qiáng)大的處理能力上，能夠有效降低用戶終端的負(fù)擔(dān)，用戶能夠通過廉價(jià)終端獲得云的強(qiáng)大計(jì)算處理能力，并獲取到各種計(jì)算資源，為用戶提供按需的服務(wù)[2]。對(duì)于公有服務(wù)而言，云計(jì)算能夠有效降低服務(wù)所需的軟硬件成本，減少人力資源的投入以及管理成本，并有助于完成快速部署，實(shí)現(xiàn)按需服務(wù)。企業(yè)能夠集中資源以及技術(shù)用于企業(yè)應(yīng)用的開發(fā)，進(jìn)而提高企業(yè)的核心競(jìng)爭(zhēng)力，同時(shí)能夠?qū)崿F(xiàn)不同設(shè)備之間信息的有效共享及協(xié)作。

二、基于云計(jì)算的信息安全風(fēng)險(xiǎn)評(píng)估內(nèi)涵

信息安全風(fēng)險(xiǎn)評(píng)估是指有效識(shí)別信息系統(tǒng)的風(fēng)險(xiǎn)，并對(duì)風(fēng)險(xiǎn)發(fā)生的可能性進(jìn)行有效評(píng)估，其目的是了解風(fēng)險(xiǎn)可能發(fā)生的幾率以及方式，評(píng)估風(fēng)險(xiǎn)的威脅及影響程度，借以確定有效的安全策略，并建立起信息系統(tǒng)，幫助實(shí)現(xiàn)系統(tǒng)的安全運(yùn)行。在傳統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估工作中，主要圍繞資產(chǎn)、威脅以及脆弱性三種要素進(jìn)行。在資產(chǎn)評(píng)估過程中，必須要從業(yè)務(wù)評(píng)估入手，對(duì)企業(yè)資產(chǎn)進(jìn)行識(shí)別，并對(duì)資產(chǎn)進(jìn)行分類，確保資產(chǎn)的安全性。對(duì)資產(chǎn)的評(píng)估必須要建立在業(yè)務(wù)主線的基礎(chǔ)上，通過對(duì)軟硬件、數(shù)據(jù)、人員、設(shè)備、服務(wù)及其他等類型的資產(chǎn)進(jìn)行分類評(píng)估，具有較強(qiáng)的邏輯性[3]。

基于云計(jì)算的信息安全風(fēng)險(xiǎn)評(píng)估可以執(zhí)行以下幾個(gè)步驟：（1）確定遷進(jìn)云的數(shù)據(jù)或者功能，對(duì)一些將來(lái)可能會(huì)涉及到的資產(chǎn)也要考慮在內(nèi)。（2）明確組織中數(shù)據(jù)以及功能的重要性，評(píng)估資產(chǎn)的重要性以及重要程度。考慮到多種情況下，我們可能會(huì)受到的影響。（3）慎重考慮資產(chǎn)的部署模式，在尋找服務(wù)提供商前，必須要了解部署模型所蘊(yùn)含的風(fēng)險(xiǎn)。（4）依照資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)行賦值，并對(duì)資產(chǎn)的機(jī)密性、可用性以及完整性等三個(gè)安全屬性進(jìn)行賦值。

三、基于云計(jì)算的信息安全風(fēng)險(xiǎn)評(píng)估的指標(biāo)體系

基于云計(jì)算的信息安全風(fēng)險(xiǎn)主要可以分為虛擬資源、基礎(chǔ)設(shè)施、軟環(huán)境、客戶端、數(shù)據(jù)資源等幾類。通過對(duì)這些風(fēng)險(xiǎn)的特征進(jìn)行分析，通過對(duì)風(fēng)險(xiǎn)評(píng)估的含義以及特點(diǎn)進(jìn)行分析，將同類的指標(biāo)進(jìn)行合并，并去除掉不重要或重復(fù)的指標(biāo)，通過專家輪詢法對(duì)指標(biāo)體系進(jìn)行調(diào)整，可以得出基于云計(jì)算的信息安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系，如表1所示。

四、基于云計(jì)算的風(fēng)險(xiǎn)評(píng)估算法

按照五分制原則確定各等級(jí)的賦分，則五個(gè)評(píng)定等級(jí)分?jǐn)?shù) 分別為 5 ，4 ， 3 ， 2 ，1 ，指標(biāo)等級(jí)介于兩者之間的相應(yīng)的評(píng)分為 4.5， 3.5， 2.5 ，1.5， 0 .5各值。

4.1 評(píng)樣本矩陣及評(píng)價(jià)灰類的確定

4.1.1 評(píng)價(jià)樣本矩陣的確定

設(shè)有n位專家參與評(píng)價(jià)，dt i表示第t位專家對(duì)第i=（1，2，…m）個(gè)指標(biāo)給出的評(píng)分，這樣全部專家對(duì)評(píng)價(jià)指標(biāo)的評(píng)價(jià)數(shù)據(jù)構(gòu)成評(píng)價(jià)樣本矩陣：

五、結(jié)束語(yǔ)

信息安全是一個(gè)系統(tǒng)工程，同時(shí)也是一個(gè)需要長(zhǎng)期實(shí)踐并進(jìn)行不斷完善的過程，企業(yè)需要依據(jù)業(yè)務(wù)自身的需求建立并完善安全保障體系以確保業(yè)務(wù)的持續(xù)進(jìn)行。

參 考 文 獻(xiàn)

[1]汪兆成.基于云計(jì)算模式的信息安全風(fēng)險(xiǎn)評(píng)估研究[J].信息網(wǎng)絡(luò)安全，2011，09（02）：56-59.

[2]蔡盈芳.基于云計(jì)算的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估模型[J].中國(guó)管理信息化，2010，12（04）：75-77.

[3]朱圣才.基于云計(jì)算的信息安全風(fēng)險(xiǎn)分析與探索[J].西安郵電大學(xué)學(xué)報(bào)，2013，04（02）：89-94.

[4]王鳴.基于云計(jì)算的電子政務(wù)云安全風(fēng)險(xiǎn)評(píng)估實(shí)施方法初探[J].中國(guó)新通信，2015，18（09）：121-126.