（中央财经大学 网络信息中心）

摘要：云计算具有的按需自我服务、共享资源池、快速弹性能力等特点，是当今全球互联网技术和应用的最新趋势，但是云计算带来的信息安全隐患也不容忽视。本文通过云计算系统中的脆弱性和风险分析研究，针对高校应用领域提出云计算环境下的信息安全风险评估体系，帮助高校信息化决策者对云安全风险进行全面、正确的识别和分析，从而为高校在有安全保障的环境下推广云计算提供参考依据。

一、研究背景

云计算代表着当今全球互联网技术和应用的最新趋势。美国国家标准和计算研究院（NIST）提出：云计算是通过方便的按需使用的方式，通过网络，利用共享的可设置的计算资源池，以最少的管理快速部署，提供计算资源（如网络、服务器、存储、应用和服务）[1]。

云计算可帮助高校寻求资源利用的最大化。作为我国高等人才的主要培养阵地，加强信息化建设一直是高等院校工作的重点之一，但云计算带来的信息安全隐患不容忽视。IDC公司在2008年一份报告中指出，云计算最大弊端就是安全问题。2009年Google发生大批用户文件外泄事件，美国零售商TJX约4500万份信用卡号被盗取，而国内CSDN也发生账户数据泄露事件[2]。云计算的安全问题对传统信息安全防御手段提出了更高要求。

高等院校作为公共服务机构，若发生信息安全事件会造成非常负面的社会影响。《中共中央关于全面推进依法治国若干重大问题的决定》中提出要“完善网络信息服务、网络安全保护、网络社会管理”，同年全国人大常委会通过《刑法修正案（九）》增加了有关网络服务提供者刑事责任规定。教育部频发文件要求将信息安全建设和信息化建设同步规划。因此，云计算是否能在高等院校得到很好地推广，安全是关键问题。

二、研究现状

1、云计算的特点和风险研究

云计算系统中的脆弱性和风险分析研究：Kaliski B S和 Pauley W[4]介绍了云计算具有的按需、自动化、多租户的特点与典型的设计评估系统时静态、人性化为导向的过程冲突，描述了面临的挑战，并建议把风险评估作为一种引入服务。Chhabra B、Taneja B[5]重点评估存在于云架构不同层各种风险及合理的补救措施。

三、研究价值

1、理论价值

（1）为云安全的风险评估研究提供理论依据：云计算作为新兴技术，其研究仍处于建设和应用的摸索阶段，对于其存在的安全问题也仅限于简单的分析层面，未能将其安全问题的影响因素进行深入的探究。

（2）拓展方法论的适用范围：云计算是网格计算、分布计算等传统計算机技术和网络技术发展融合的产物，其带来的信息安全风险也是错综复杂的。

2、现实价值

（1）为高校信息化决策层提供分析依据：信息安全风险评估是进行安全建设的起点，因此针对高校应用领域提出云计算环境下的信息安全风险评估体系，能够帮助高校信息化决策者对云安全风险进行全面、正确的识别和分析，从而能在预防、控制、转移和减少风险之间做出有效的决策。

（2）提高高校安全风险的规避能力：分析高校在云计算环境下影响信息安全的因素入手，有助于了解高校在此领域的安全环境和状况，并发现可能存在的危险和安全问题，从而为针对各项风险采取对应的措施和控制手段提供参考依据，提高高校在云计算环境的信息安全保障能力。

（3）有助于推广在高校领域云计算技术：由于对未知风险的不确定性，云计算虽可为高校信息化建设提供更有效的资源、平台和应用，但基于安全考虑不少信息化管理者都处于观望状态。明晰云计算的信息安全问题和风险，为高校在有安全保障的环境下推广云计算提供参考依据。

参考文献：

[1] 张慧，邢培振. 云计算环境下信息安全分析[J]. 计算机技术与发展. 2011（12）

[2] 佟得天，刘旭东，郭涛峰，等. 云计算信息安全分析与实践[J]. 电信科学. 2013（02）

[3] Kaliski B S， Pauley W. Toward risk assessment as a service in cloud environments[C]// Proceedings of the 2nd USENIX conference on Hot topics in cloud computing. USENIX Association， 2010

[4] Chhabra B， Taneja B. “Cloud Computing： Towards Risk Assessment”[M]// High Performance Architecture and Grid Computing. Springer Berlin Heidelberg， 2011

[5] Mukhin V， Volokyta A， Mukhin V， et al. Security risk analysis for cloud computing systems.[C]// IEEE International Conference on Intelligent Data Acquisition and Advanced Computing Systems： Technology and Applications， Idaacs 2011， Prague， Czech Republic， September 15-17. 2011

作者简介：

张芳（1975-），女，湖北省潜江市，汉，硕士，中央财经大学网络信息中心，副研究员，研究方向：数字化校园管理。endprint