云計算環境下高校信息安全風險評估研究

摘 要：云計算具有的按需自我服務、共享資源池、快速彈性能力等特點，是當今全球互聯網技術和應用的最新趨勢，但是云計算帶來的信息安全隱患也不容忽視。本文通過云計算系統中的脆弱性和風險分析研究，針對高校應用領域提出云計算環境下的信息安全風險評估體系，幫助高校信息化決策者對云安全風險進行全面、正確的識別和分析，從而為高校在有安全保障的環境下推廣云計算提供參考依據。

一、研究背景

云計算代表著當今全球互聯網技術和應用的最新趨勢。美國國家標準和計算研究院（NIST）提出：云計算是通過方便的按需使用的方式，通過網絡，利用共享的可設置的計算資源池，以最少的管理快速部署，提供計算資源（如網絡、服務器、存儲、應用和服務）[1]。

云計算可幫助高校尋求資源利用的最大化。作為我國高等人才的主要培養陣地，加強信息化建設一直是高等院校工作的重點之一，但云計算帶來的信息安全隱患不容忽視。IDC公司在2008年一份報告中指出，云計算最大弊端就是安全問題。2009年Google發生大批用戶文件外泄事件，美國零售商TJX約4500萬份信用卡號被盜取，而國內CSDN也發生賬戶數據泄露事件[2]。云計算的安全問題對傳統信息安全防御手段提出了更高要求。

高等院校作為公共服務機構，若發生信息安全事件會造成非常負面的社會影響。《中共中央關于全面推進依法治國若干重大問題的決定》中提出要“完善網絡信息服務、網絡安全保護、網絡社會管理”，同年全國人大常委會通過《刑法修正案（九）》增加了有關網絡服務提供者刑事責任規定。教育部頻發文件要求將信息安全建設和信息化建設同步規劃。因此，云計算是否能在高等院校得到很好地推廣，安全是關鍵問題。

二、研究現狀

1、云計算的特點和風險研究

云計算系統中的脆弱性和風險分析研究：Kaliski B S和 Pauley W[4]介紹了云計算具有的按需、自動化、多租戶的特點與典型的設計評估系統時靜態、人性化為導向的過程沖突，描述了面臨的挑戰，并建議把風險評估作為一種引入服務。Chhabra B、Taneja B[5]重點評估存在于云架構不同層各種風險及合理的補救措施。

三、研究價值

1、理論價值

（1）為云安全的風險評估研究提供理論依據：云計算作為新興技術，其研究仍處于建設和應用的摸索階段，對于其存在的安全問題也僅限于簡單的分析層面，未能將其安全問題的影響因素進行深入的探究。

（2）拓展方法論的適用范圍：云計算是網格計算、分布計算等傳統計算機技術和網絡技術發展融合的產物，其帶來的信息安全風險也是錯綜復雜的。

2、現實價值

（1）為高校信息化決策層提供分析依據：信息安全風險評估是進行安全建設的起點，因此針對高校應用領域提出云計算環境下的信息安全風險評估體系，能夠幫助高校信息化決策者對云安全風險進行全面、正確的識別和分析，從而能在預防、控制、轉移和減少風險之間做出有效的決策。

（2）提高高校安全風險的規避能力：分析高校在云計算環境下影響信息安全的因素入手，有助于了解高校在此領域的安全環境和狀況，并發現可能存在的危險和安全問題，從而為針對各項風險采取對應的措施和控制手段提供參考依據，提高高校在云計算環境的信息安全保障能力。

（3）有助于推廣在高校領域云計算技術：由于對未知風險的不確定性，云計算雖可為高校信息化建設提供更有效的資源、平臺和應用，但基于安全考慮不少信息化管理者都處于觀望狀態。明晰云計算的信息安全問題和風險，為高校在有安全保障的環境下推廣云計算提供參考依據。

參考文獻：

[1] 張慧，邢培振. 云計算環境下信息安全分析[J]. 計算機技術與發展. 2011（12）

[2] 佟得天，劉旭東，郭濤峰，等. 云計算信息安全分析與實踐[J]. 電信科學. 2013（02）

[3] Kaliski B S， Pauley W. Toward risk assessment as a service in cloud environments[C]// Proceedings of the 2nd USENIX conference on Hot topics in cloud computing. USENIX Association， 2010

[4] Chhabra B， Taneja B. “Cloud Computing： Towards Risk Assessment”[M]// High Performance Architecture and Grid Computing. Springer Berlin Heidelberg， 2011

[5] Mukhin V， Volokyta A， Mukhin V， et al. Security risk analysis for cloud computing systems.[C]// IEEE International Conference on Intelligent Data Acquisition and Advanced Computing Systems： Technology and Applications， Idaacs 2011， Prague， Czech Republic， September 15-17. 2011

作者簡介：

張芳（1975-），女，湖北省潛江市，漢，碩士，中央財經大學網絡信息中心，副研究員，研究方向：數字化校園管理。