（中央財經(jīng)大學(xué) 網(wǎng)絡(luò)信息中心）

摘要：云計算具有的按需自我服務(wù)、共享資源池、快速彈性能力等特點(diǎn)，是當(dāng)今全球互聯(lián)網(wǎng)技術(shù)和應(yīng)用的最新趨勢，但是云計算帶來的信息安全隱患也不容忽視。本文通過云計算系統(tǒng)中的脆弱性和風(fēng)險分析研究，針對高校應(yīng)用領(lǐng)域提出云計算環(huán)境下的信息安全風(fēng)險評估體系，幫助高校信息化決策者對云安全風(fēng)險進(jìn)行全面、正確的識別和分析，從而為高校在有安全保障的環(huán)境下推廣云計算提供參考依據(jù)。

一、研究背景

云計算代表著當(dāng)今全球互聯(lián)網(wǎng)技術(shù)和應(yīng)用的最新趨勢。美國國家標(biāo)準(zhǔn)和計算研究院（NIST）提出：云計算是通過方便的按需使用的方式，通過網(wǎng)絡(luò)，利用共享的可設(shè)置的計算資源池，以最少的管理快速部署，提供計算資源（如網(wǎng)絡(luò)、服務(wù)器、存儲、應(yīng)用和服務(wù)）[1]。

云計算可幫助高校尋求資源利用的最大化。作為我國高等人才的主要培養(yǎng)陣地，加強(qiáng)信息化建設(shè)一直是高等院校工作的重點(diǎn)之一，但云計算帶來的信息安全隱患不容忽視。IDC公司在2008年一份報告中指出，云計算最大弊端就是安全問題。2009年Google發(fā)生大批用戶文件外泄事件，美國零售商TJX約4500萬份信用卡號被盜取，而國內(nèi)CSDN也發(fā)生賬戶數(shù)據(jù)泄露事件[2]。云計算的安全問題對傳統(tǒng)信息安全防御手段提出了更高要求。

高等院校作為公共服務(wù)機(jī)構(gòu)，若發(fā)生信息安全事件會造成非常負(fù)面的社會影響?！吨泄仓醒腙P(guān)于全面推進(jìn)依法治國若干重大問題的決定》中提出要“完善網(wǎng)絡(luò)信息服務(wù)、網(wǎng)絡(luò)安全保護(hù)、網(wǎng)絡(luò)社會管理”，同年全國人大常委會通過《刑法修正案（九）》增加了有關(guān)網(wǎng)絡(luò)服務(wù)提供者刑事責(zé)任規(guī)定。教育部頻發(fā)文件要求將信息安全建設(shè)和信息化建設(shè)同步規(guī)劃。因此，云計算是否能在高等院校得到很好地推廣，安全是關(guān)鍵問題。

二、研究現(xiàn)狀

1、云計算的特點(diǎn)和風(fēng)險研究

云計算系統(tǒng)中的脆弱性和風(fēng)險分析研究：Kaliski B S和 Pauley W[4]介紹了云計算具有的按需、自動化、多租戶的特點(diǎn)與典型的設(shè)計評估系統(tǒng)時靜態(tài)、人性化為導(dǎo)向的過程沖突，描述了面臨的挑戰(zhàn)，并建議把風(fēng)險評估作為一種引入服務(wù)。Chhabra B、Taneja B[5]重點(diǎn)評估存在于云架構(gòu)不同層各種風(fēng)險及合理的補(bǔ)救措施。

三、研究價值

1、理論價值

（1）為云安全的風(fēng)險評估研究提供理論依據(jù)：云計算作為新興技術(shù)，其研究仍處于建設(shè)和應(yīng)用的摸索階段，對于其存在的安全問題也僅限于簡單的分析層面，未能將其安全問題的影響因素進(jìn)行深入的探究。

（2）拓展方法論的適用范圍：云計算是網(wǎng)格計算、分布計算等傳統(tǒng)計算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)發(fā)展融合的產(chǎn)物，其帶來的信息安全風(fēng)險也是錯綜復(fù)雜的。

2、現(xiàn)實(shí)價值

（1）為高校信息化決策層提供分析依據(jù)：信息安全風(fēng)險評估是進(jìn)行安全建設(shè)的起點(diǎn)，因此針對高校應(yīng)用領(lǐng)域提出云計算環(huán)境下的信息安全風(fēng)險評估體系，能夠幫助高校信息化決策者對云安全風(fēng)險進(jìn)行全面、正確的識別和分析，從而能在預(yù)防、控制、轉(zhuǎn)移和減少風(fēng)險之間做出有效的決策。

（2）提高高校安全風(fēng)險的規(guī)避能力：分析高校在云計算環(huán)境下影響信息安全的因素入手，有助于了解高校在此領(lǐng)域的安全環(huán)境和狀況，并發(fā)現(xiàn)可能存在的危險和安全問題，從而為針對各項風(fēng)險采取對應(yīng)的措施和控制手段提供參考依據(jù)，提高高校在云計算環(huán)境的信息安全保障能力。

（3）有助于推廣在高校領(lǐng)域云計算技術(shù)：由于對未知風(fēng)險的不確定性，云計算雖可為高校信息化建設(shè)提供更有效的資源、平臺和應(yīng)用，但基于安全考慮不少信息化管理者都處于觀望狀態(tài)。明晰云計算的信息安全問題和風(fēng)險，為高校在有安全保障的環(huán)境下推廣云計算提供參考依據(jù)。

參考文獻(xiàn)：

[1] 張慧，邢培振. 云計算環(huán)境下信息安全分析[J]. 計算機(jī)技術(shù)與發(fā)展. 2011（12）

[2] 佟得天，劉旭東，郭濤峰，等. 云計算信息安全分析與實(shí)踐[J]. 電信科學(xué). 2013（02）

[3] Kaliski B S， Pauley W. Toward risk assessment as a service in cloud environments[C]// Proceedings of the 2nd USENIX conference on Hot topics in cloud computing. USENIX Association， 2010

[4] Chhabra B， Taneja B. “Cloud Computing： Towards Risk Assessment”[M]// High Performance Architecture and Grid Computing. Springer Berlin Heidelberg， 2011

[5] Mukhin V， Volokyta A， Mukhin V， et al. Security risk analysis for cloud computing systems.[C]// IEEE International Conference on Intelligent Data Acquisition and Advanced Computing Systems： Technology and Applications， Idaacs 2011， Prague， Czech Republic， September 15-17. 2011

作者簡介：

張芳（1975-），女，湖北省潛江市，漢，碩士，中央財經(jīng)大學(xué)網(wǎng)絡(luò)信息中心，副研究員，研究方向：數(shù)字化校園管理。endprint