羅佳

【摘要】 本文主要通過分析云計算的基本內(nèi)涵，對傳統(tǒng)信息安全風險評估工作考慮的基礎上，分析基于云計算的信息安全風險評估指標，并對信息資產(chǎn)評估識別過程進行重點分析，探討基于云計算的信息安全風險的有效測量策略，以期提高信息安全風險評估工作的效率。

【關鍵詞】 云計算 信息安全 風險評估

前言：隨著信息技術及業(yè)務場景的不斷更新，企業(yè)面臨更加復雜多樣的安全威脅，隨著云計算、大數(shù)據(jù)，移動互聯(lián)網(wǎng)的快速發(fā)展，企業(yè)的安全運維工作發(fā)生了改變。在云計算背景下，如何對信息安全風險進行有效評估成為當下企業(yè)需要重點思考的問題。

一、云計算的基本內(nèi)涵與優(yōu)勢

云計算是世界上最新的一次信息技術革命，對社會生產(chǎn)方式以及商業(yè)發(fā)展帶來了重大的變革，具有巨大的影響力[1]。云計算是網(wǎng)絡技術與傳統(tǒng)計算機技術結(jié)合發(fā)展的一種新型產(chǎn)物，是通過利用多種商業(yè)模式提供強大的計算能力，并最終將其向終端用戶進行提供，以便實現(xiàn)高速率的信息處理以及高效率的服務。云計算在廣義上是一種服務使用以及交付模式，為用戶提供易擴展以及按需服務。

云計算的優(yōu)勢主要體現(xiàn)在其強大的處理能力上，能夠有效降低用戶終端的負擔，用戶能夠通過廉價終端獲得云的強大計算處理能力，并獲取到各種計算資源，為用戶提供按需的服務[2]。對于公有服務而言，云計算能夠有效降低服務所需的軟硬件成本，減少人力資源的投入以及管理成本，并有助于完成快速部署，實現(xiàn)按需服務。企業(yè)能夠集中資源以及技術用于企業(yè)應用的開發(fā)，進而提高企業(yè)的核心競爭力，同時能夠?qū)崿F(xiàn)不同設備之間信息的有效共享及協(xié)作。

二、基于云計算的信息安全風險評估內(nèi)涵

信息安全風險評估是指有效識別信息系統(tǒng)的風險，并對風險發(fā)生的可能性進行有效評估，其目的是了解風險可能發(fā)生的幾率以及方式，評估風險的威脅及影響程度，借以確定有效的安全策略，并建立起信息系統(tǒng)，幫助實現(xiàn)系統(tǒng)的安全運行。在傳統(tǒng)的信息安全風險評估工作中，主要圍繞資產(chǎn)、威脅以及脆弱性三種要素進行。在資產(chǎn)評估過程中，必須要從業(yè)務評估入手，對企業(yè)資產(chǎn)進行識別，并對資產(chǎn)進行分類，確保資產(chǎn)的安全性。對資產(chǎn)的評估必須要建立在業(yè)務主線的基礎上，通過對軟硬件、數(shù)據(jù)、人員、設備、服務及其他等類型的資產(chǎn)進行分類評估，具有較強的邏輯性[3]。

基于云計算的信息安全風險評估可以執(zhí)行以下幾個步驟：（1）確定遷進云的數(shù)據(jù)或者功能，對一些將來可能會涉及到的資產(chǎn)也要考慮在內(nèi)。（2）明確組織中數(shù)據(jù)以及功能的重要性，評估資產(chǎn)的重要性以及重要程度?？紤]到多種情況下，我們可能會受到的影響。（3）慎重考慮資產(chǎn)的部署模式，在尋找服務提供商前，必須要了解部署模型所蘊含的風險。（4）依照資產(chǎn)的重要程度對資產(chǎn)進行賦值，并對資產(chǎn)的機密性、可用性以及完整性等三個安全屬性進行賦值。

三、基于云計算的信息安全風險評估的指標體系

基于云計算的信息安全風險主要可以分為虛擬資源、基礎設施、軟環(huán)境、客戶端、數(shù)據(jù)資源等幾類。通過對這些風險的特征進行分析，通過對風險評估的含義以及特點進行分析，將同類的指標進行合并，并去除掉不重要或重復的指標，通過專家輪詢法對指標體系進行調(diào)整，可以得出基于云計算的信息安全風險評估指標體系，如表1所示。

四、基于云計算的風險評估算法

按照五分制原則確定各等級的賦分，則五個評定等級分數(shù) 分別為 5 ，4 ， 3 ， 2 ，1 ，指標等級介于兩者之間的相應的評分為 4.5， 3.5， 2.5 ，1.5， 0 .5各值。

4.1 評樣本矩陣及評價灰類的確定

4.1.1 評價樣本矩陣的確定

設有n位專家參與評價，dt i表示第t位專家對第i=（1，2，…m）個指標給出的評分，這樣全部專家對評價指標的評價數(shù)據(jù)構成評價樣本矩陣：

五、結(jié)束語

信息安全是一個系統(tǒng)工程，同時也是一個需要長期實踐并進行不斷完善的過程，企業(yè)需要依據(jù)業(yè)務自身的需求建立并完善安全保障體系以確保業(yè)務的持續(xù)進行。

參 考 文 獻

[1]汪兆成.基于云計算模式的信息安全風險評估研究[J].信息網(wǎng)絡安全，2011，09（02）：56-59.

[2]蔡盈芳.基于云計算的信息系統(tǒng)安全風險評估模型[J].中國管理信息化，2010，12（04）：75-77.

[3]朱圣才.基于云計算的信息安全風險分析與探索[J].西安郵電大學學報，2013，04（02）：89-94.

[4]王鳴.基于云計算的電子政務云安全風險評估實施方法初探[J].中國新通信，2015，18（09）：121-126.