基于云计算的信息安全风险评估

来源:用户上传      作者:

　　【摘要】 本文主要通过分析云计算的基本内涵，对传统信息安全风险评估工作考虑的基础上，分析基于云计算的信息安全风险评估指标，并对信息资产评估识别过程进行重点分析，探讨基于云计算的信息安全风险的有效测量策略，以期提高信息安全风险评估工作的效率。
　　【关键词】 云计算 信息安全 风险评估
　　前言：随着信息技术及业务场景的不断更新，企业面临更加复杂多样的安全威胁，随着云计算、大数据，移动互联网的快速发展，企业的安全运维工作发生了改变。在云计算背景下，如何对信息安全风险进行有效评估成为当下企业需要重点思考的问题。
　　一、云计算的基本内涵与优势
　　云计算是世界上最新的一次信息技术革命，对社会生产方式以及商业发展带来了重大的变革，具有巨大的影响力[1]。云计算是网络技术与传统计算机技术结合发展的一种新型产物，是通过利用多种商业模式提供强大的计算能力，并最终将其向终端用户进行提供，以便实现高速率的信息处理以及高效率的服务。云计算在广义上是一种服务使用以及交付模式，为用户提供易扩展以及按需服务。
　　云计算的优势主要体现在其强大的处理能力上，能够有效降低用户终端的负担，用户能够通过廉价终端获得云的强大计算处理能力，并获取到各种计算资源，为用户提供按需的服务[2]。对于公有服务而言，云计算能够有效降低服务所需的软硬件成本，减少人力资源的投入以及管理成本，并有助于完成快速部署，实现按需服务。企业能够集中资源以及技术用于企业应用的开发，进而提高企业的核心竞争力，同时能够实现不同设备之间信息的有效共享及协作。
　　二、基于云计算的信息安全风险评估内涵
　　信息安全风险评估是指有效识别信息系统的风险，并对风险发生的可能性进行有效评估，其目的是了解风险可能发生的几率以及方式，评估风险的威胁及影响程度，借以确定有效的安全策略，并建立起信息系统，帮助实现系统的安全运行。在传统的信息安全风险评估工作中，主要围绕资产、威胁以及脆弱性三种要素进行。在资产评估过程中，必须要从业务评估入手，对企业资产进行识别，并对资产进行分类，确保资产的安全性。对资产的评估必须要建立在业务主线的基础上，通过对软硬件、数据、人员、设备、服务及其他等类型的资产进行分类评估，具有较强的逻辑性[3]。
　　基于云计算的信息安全风险评估可以执行以下几个步骤：（1）确定迁进云的数据或者功能，对一些将来可能会涉及到的资产也要考虑在内。（2）明确组织中数据以及功能的重要性，评估资产的重要性以及重要程度。考虑到多种情况下，我们可能会受到的影响。（3）慎重考虑资产的部署模式，在寻找服务提供商前，必须要了解部署模型所蕴含的风险。（4）依照资产的重要程度对资产进行赋值，并对资产的机密性、可用性以及完整性等三个安全属性进行赋值。
　　三、基于云计算的信息安全风险评估的指标体系
　　基于云计算的信息安全风险主要可以分为虚拟资源、基础设施、软环境、客户端、数据资源等几类。通过对这些风险的特征进行分析，通过对风险评估的含义以及特点进行分析，将同类的指标进行合并，并去除掉不重要或重复的指标，通过专家轮询法对指标体系进行调整，可以得出基于云计算的信息安全风险评估指标体系，如表1所示。
　　四、基于云计算的风险评估算法
　　按照五分制原则确定各等级的赋分，则五个评定等级分数 分别为 5 ，4 ， 3 ， 2 ，1 ，指标等级介于两者之间的相应的评分为 4.5， 3.5， 2.5 ，1.5， 0 .5各值。
　　4.1 评样本矩阵及评价灰类的确定
　　4.1.1 评价样本矩阵的确定
　　设有n位专家参与评价，dt i表示第t位专家对第i=（1，2，…m）个指标给出的评分，这样全部专家对评价指标的评价数据构成评价样本矩阵：
　　五、结束语
　　信息安全是一个系统工程，同时也是一个需要长期实践并进行不断完善的过程，企业需要依据业务自身的需求建立并完善安全保障体系以确保业务的持续进行。
　　参 考 文 献
　　[1]汪兆成.基于云计算模式的信息安全风险评估研究[J].信息网络安全，2011，09（02）：56-59.
　　[2]蔡盈芳.基于云计算的信息系统安全风险评估模型[J].中国管理信息化，2010，12（04）：75-77.
　　[3]朱圣才.基于云计算的信息安全风险分析与探索[J].西安邮电大学学报，2013，04（02）：89-94.
　　[4]王鸣.基于云计算的电子政务云安全风险评估实施方法初探[J].中国新通信，2015，18（09）：121-126.
转载注明来源:https://www.xzbu.com/1/view-11211797.htm