韓喜君

摘 要：在經(jīng)濟網(wǎng)絡化時代，電子商務與大數(shù)據(jù)平臺的結合，能夠創(chuàng)造一個更為安全、穩(wěn)定的網(wǎng)絡環(huán)境?；谠朴嬎阒衅脚_即服務、軟件即服務、應用即服務的思想，引伸到安全即服務。研究電子商務系統(tǒng)在大數(shù)據(jù)平臺中部署時，通過建立合理的安全風險評估模型，有效規(guī)避電子商務系統(tǒng)運行的各類風險。

關鍵詞：電子商務 大數(shù)據(jù)平臺 風險評估 安全即服務

中圖分類號：F724.6 文獻標識碼：A 文章編號：2096-0298（2017）11（a）-010-02

本文以描述信息安全風險評估的概念、標準、方法為出發(fā)點，結合實際情況分析大數(shù)據(jù)環(huán)境下的電子商務模式面臨的各種風險；針對實際的風險問題，構建迭代式的風險評估框架，應對服務的連續(xù)可靠性、存儲數(shù)據(jù)安全性、病毒攻擊的隱蔽性，不斷豐富商務信息資產、安全策略、漏洞、安全等信息，構建安全分析知識庫。

基于安全即服務的思想，將安全知識庫部署在大數(shù)據(jù)分析平臺中，形成不斷積累的風險評估云平臺分析系統(tǒng)，電子商務系統(tǒng)在大數(shù)據(jù)平臺中運行時，分析系統(tǒng)可以對實時遇到的風險、威脅進行實時監(jiān)控與管理，對各個風險進行分類，并記錄有效的處理、防范措施，最終建立一個有效、全面的風險評估模型。

1 安全風險評估定義

信息系統(tǒng)所面臨的風險主要來源于系統(tǒng)資產、漏洞威脅、不穩(wěn)定性。

信息系統(tǒng)中的資產擁有資產價值屬性，資產價值越高則增加了風險值，對安全需求的成本也越高。資產本身的特性暴露出了脆弱性，從而容易被網(wǎng)絡環(huán)境中的各類威脅所利用，危險的升級則演變成了安全事件。針對風險的分析形成了相應的安全需求，為了滿足安全需求，形成了各類安全措施。安全措施在抗擊威脅過程中降低了風險，在未被控制或接觸到的風險定義為殘余風險，這些殘余風險可能誘發(fā)新的安全事件。風險、威脅、資產、安全措施等基本因素構成了風險評估的基本關系。

2 大數(shù)據(jù)平臺中的電子商務系統(tǒng)

2.1 電子商務模式云化

云計算以及大數(shù)據(jù)平臺化的興起改變了傳統(tǒng)電子商務運作模式。眾多中小型電商企業(yè)通過向云服務、數(shù)據(jù)中心供應商租用各類服務的形式，快速搭建電子商務平臺。云計算強大的計算能力能夠滿足各類電商用戶的定制需求，同時更好的促進電商企業(yè)間的協(xié)作與共享。

眾多中小型電商企業(yè)通過向云服務、數(shù)據(jù)中心供應商租用各類服務的形式，快速搭建電子商務平臺。云計算強大的計算能力能夠滿足各類電商用戶的定制需求，同時更好的促進電商企業(yè)間的協(xié)作與共享。

2.2 云端數(shù)據(jù)中心安全問題研究

大數(shù)據(jù)平臺化是云計算、云存儲等關鍵技術的綜合產物，云計算技術本身所存在的安全性問題，也給電子商務企業(yè)帶來了新的風險?；谠朴嬎愕碾娮由虅招畔⒌拇鎯Α鬏斠约疤幚?，都在云端完成，當非本地的云端系統(tǒng)發(fā)生問題時，其故障恢復、數(shù)據(jù)泄露等風險也隨之增加。

數(shù)據(jù)中心的數(shù)據(jù)存儲風險是電商企業(yè)最關注的安全問題?；谠朴嬎愕碾娮由虅障到y(tǒng)，企業(yè)運行的大部分業(yè)務數(shù)據(jù)都存儲在云端，如何對企業(yè)自身的敏感信息進行有效監(jiān)控成為企業(yè)最頭疼的問題。這些問題除了需要云服務供應商進行有效的入侵檢測、數(shù)據(jù)隔離措施、數(shù)據(jù)防護手段、數(shù)據(jù)動態(tài)遷移管理等機制。此外還包括云端服務連續(xù)性以及遭受病毒和黑客攻擊的隱蔽性問題。

因此，在電商企業(yè)將電商系統(tǒng)部署在大數(shù)據(jù)平臺中時，必須對其潛在的風險進行全面有效的評估，并且在評估成果上制定有效的安全風險管理策略，通過不斷迭代的策略執(zhí)行反饋，最終確定相應的安全策略以保障電子商務系統(tǒng)安全平穩(wěn)的運行。

3 大數(shù)據(jù)平臺中電商系統(tǒng)風險評估框架

3.1 風險評估框架描述

目前主流的風險評估方式都要預見性的靜態(tài)評估，面對云端電子商務系統(tǒng)中不斷更新的威脅與發(fā)現(xiàn)新的脆弱性的現(xiàn)狀時，靜態(tài)評估方法難以有效的限制風險并進行有效管理。

本文在考察云計算環(huán)境下電子商務的搭建平臺與運行模式，綜合大數(shù)據(jù)中心數(shù)據(jù)動態(tài)性的特征，提出以資產識別為基礎，迭代式循環(huán)的增量評估模型，如圖1所示。

該框架要求電商企業(yè)根據(jù)自身情況制定符合初始的安全目標，組織內部評估人員對電商系統(tǒng)的信息資源進行分析。各中小電商企業(yè)的現(xiàn)狀為采用租賃形式在云服務提供商的大數(shù)據(jù)平臺中搭建電子商務平臺，其信息資產的識別包括云端存儲相關的數(shù)據(jù)等。在將資產價值分類為云端虛擬資產和自有數(shù)據(jù)資產后，對資產信息內容進行威脅和脆弱性分析。對威脅事件發(fā)生的概率進行估算，分析已有安全策略的風險影響，得出系統(tǒng)的主要風險并定義風險等級。

在整個風險評估的循環(huán)過程中，在遇到新的威脅、風險并獲得新的風險措施時，增量跟新風險評估框架，不斷豐富安全知識庫。

3.2 風險評估過程模型

風險評估分析模型對單個信息資產所面臨的威脅及相關脆弱性進行識別。威脅可能來自于系統(tǒng)、人為、自然環(huán)境等多方面因素。脆弱性是風險產生的內因，不同的大數(shù)據(jù)平臺對應不同的基礎架構；從平臺規(guī)模、是否允許特權用戶接入、數(shù)據(jù)存儲位置、數(shù)據(jù)隔離與恢復措施等方面對可能引起安全事件的脆弱性進行識別。單個脆弱性對應單個威脅，單個威脅可反應出多個脆弱點。評估人員逐個分析出信息資產面臨的所有威脅—脆弱性鍵值對并納入安全知識庫進行管理，統(tǒng)計各個鍵值所發(fā)生的頻率、關聯(lián)性，如圖2所示。

風險評估的過程模型重點可描述為將單個資產的風險評估，以增量權重的分析方法，納入全域風險綜合評估。在單個資產風險評估環(huán)節(jié)中，依據(jù)評估人員逐個的記錄威脅、脆弱性，結合具備的安全策略知識，計算資產相關的風險概率值。待單個風險評估結束，將威脅—脆弱性鍵值對、實際安全配置情況作為中間產出物，記錄在安全知識庫中。安全知識庫是存儲綜合風險推理、知識管理、綜合風險評估、各事件結果的大數(shù)據(jù)存儲數(shù)據(jù)倉庫。在不斷迭代、增量的進行風險評估與總結后，形成逐步完善的綜合評價庫（評估框架）。

4 結語

本文研究了大數(shù)據(jù)平臺中電子商務系統(tǒng)的安全風險的增量式評估管理，初步構建了一個動態(tài)的風向評估框架。電商系統(tǒng)在大數(shù)據(jù)平臺中部署時，主要面臨著數(shù)據(jù)遠端存儲、權重用戶未知、入侵檢測滯后等現(xiàn)實情況，應重點分析這幾類情況內部經(jīng)常發(fā)生的威脅與脆弱性，不斷豐富威脅—脆弱性鍵值對信息，補充相應安全措施，從而解決云環(huán)境下動態(tài)的風險評估問題，促進電商平臺和大數(shù)據(jù)平臺共同安全平穩(wěn)的發(fā)展。

參考文獻

[1] 劉召華.大數(shù)據(jù)時代個人信息安全危機及應對策略[J].科技經(jīng)濟市場，2016（08）.

[2] 李 軍偉，姜學東.電子政務系統(tǒng)信息安全風險的綜合評價模型[J].現(xiàn)代電子技術，2017（7）.

[3] 胡欣雨.大數(shù)據(jù)信息安全風險框架及應對策略研究[J].無線互聯(lián)科技，2017（13）.

[4] 羅佳.基于云計算的信息安全風險評估[J].中國新通信，2016（10）.

[5] 潘宇.大數(shù)據(jù)時代信息安全的機遇與挑戰(zhàn)[J].科技創(chuàng)新與應用， 2017（26）.