摘 要：云計算具有的按需自我服務、共享資源池、快速彈性能力等特點，是當今全球互聯(lián)網(wǎng)技術和應用的最新趨勢，但是云計算帶來的信息安全隱患也不容忽視。本文通過云計算系統(tǒng)中的脆弱性和風險分析研究，針對高校應用領域提出云計算環(huán)境下的信息安全風險評估體系，幫助高校信息化決策者對云安全風險進行全面、正確的識別和分析，從而為高校在有安全保障的環(huán)境下推廣云計算提供參考依據(jù)。

一、研究背景

云計算代表著當今全球互聯(lián)網(wǎng)技術和應用的最新趨勢。美國國家標準和計算研究院（NIST）提出：云計算是通過方便的按需使用的方式，通過網(wǎng)絡，利用共享的可設置的計算資源池，以最少的管理快速部署，提供計算資源（如網(wǎng)絡、服務器、存儲、應用和服務）[1]。

云計算可幫助高校尋求資源利用的最大化。作為我國高等人才的主要培養(yǎng)陣地，加強信息化建設一直是高等院校工作的重點之一，但云計算帶來的信息安全隱患不容忽視。IDC公司在2008年一份報告中指出，云計算最大弊端就是安全問題。2009年Google發(fā)生大批用戶文件外泄事件，美國零售商TJX約4500萬份信用卡號被盜取，而國內(nèi)CSDN也發(fā)生賬戶數(shù)據(jù)泄露事件[2]。云計算的安全問題對傳統(tǒng)信息安全防御手段提出了更高要求。

高等院校作為公共服務機構，若發(fā)生信息安全事件會造成非常負面的社會影響?！吨泄仓醒腙P于全面推進依法治國若干重大問題的決定》中提出要“完善網(wǎng)絡信息服務、網(wǎng)絡安全保護、網(wǎng)絡社會管理”，同年全國人大常委會通過《刑法修正案（九）》增加了有關網(wǎng)絡服務提供者刑事責任規(guī)定。教育部頻發(fā)文件要求將信息安全建設和信息化建設同步規(guī)劃。因此，云計算是否能在高等院校得到很好地推廣，安全是關鍵問題。

二、研究現(xiàn)狀

1、云計算的特點和風險研究

云計算系統(tǒng)中的脆弱性和風險分析研究：Kaliski B S和 Pauley W[4]介紹了云計算具有的按需、自動化、多租戶的特點與典型的設計評估系統(tǒng)時靜態(tài)、人性化為導向的過程沖突，描述了面臨的挑戰(zhàn)，并建議把風險評估作為一種引入服務。Chhabra B、Taneja B[5]重點評估存在于云架構不同層各種風險及合理的補救措施。

三、研究價值

1、理論價值

（1）為云安全的風險評估研究提供理論依據(jù)：云計算作為新興技術，其研究仍處于建設和應用的摸索階段，對于其存在的安全問題也僅限于簡單的分析層面，未能將其安全問題的影響因素進行深入的探究。

（2）拓展方法論的適用范圍：云計算是網(wǎng)格計算、分布計算等傳統(tǒng)計算機技術和網(wǎng)絡技術發(fā)展融合的產(chǎn)物，其帶來的信息安全風險也是錯綜復雜的。

2、現(xiàn)實價值

（1）為高校信息化決策層提供分析依據(jù)：信息安全風險評估是進行安全建設的起點，因此針對高校應用領域提出云計算環(huán)境下的信息安全風險評估體系，能夠幫助高校信息化決策者對云安全風險進行全面、正確的識別和分析，從而能在預防、控制、轉移和減少風險之間做出有效的決策。

（2）提高高校安全風險的規(guī)避能力：分析高校在云計算環(huán)境下影響信息安全的因素入手，有助于了解高校在此領域的安全環(huán)境和狀況，并發(fā)現(xiàn)可能存在的危險和安全問題，從而為針對各項風險采取對應的措施和控制手段提供參考依據(jù)，提高高校在云計算環(huán)境的信息安全保障能力。

（3）有助于推廣在高校領域云計算技術：由于對未知風險的不確定性，云計算雖可為高校信息化建設提供更有效的資源、平臺和應用，但基于安全考慮不少信息化管理者都處于觀望狀態(tài)。明晰云計算的信息安全問題和風險，為高校在有安全保障的環(huán)境下推廣云計算提供參考依據(jù)。

參考文獻：

[1] 張慧，邢培振. 云計算環(huán)境下信息安全分析[J]. 計算機技術與發(fā)展. 2011（12）

[2] 佟得天，劉旭東，郭濤峰，等. 云計算信息安全分析與實踐[J]. 電信科學. 2013（02）

[3] Kaliski B S， Pauley W. Toward risk assessment as a service in cloud environments[C]// Proceedings of the 2nd USENIX conference on Hot topics in cloud computing. USENIX Association， 2010

[4] Chhabra B， Taneja B. “Cloud Computing： Towards Risk Assessment”[M]// High Performance Architecture and Grid Computing. Springer Berlin Heidelberg， 2011

[5] Mukhin V， Volokyta A， Mukhin V， et al. Security risk analysis for cloud computing systems.[C]// IEEE International Conference on Intelligent Data Acquisition and Advanced Computing Systems： Technology and Applications， Idaacs 2011， Prague， Czech Republic， September 15-17. 2011

作者簡介：

張芳（1975-），女，湖北省潛江市，漢，碩士，中央財經(jīng)大學網(wǎng)絡信息中心，副研究員，研究方向：數(shù)字化校園管理。