云计算安全风险度量评估与管理_姜茸[等]著_9787030504456

　　《云计算安全风险度量评估与管理》从隐私风险、技术风险、商业及运营管理风险三个维度建立了云计算安全风险属性模型，在此基础上用信息熵、马尔可夫链、模糊集、支持向量机等理论和方法建立了云计算安全风险度量与评估模型，并通过若干案例研究验证了模型的可行性，最后给出了云计算安全风险管理对策和建议。
　　《云计算安全风险度量评估与管理》可供信息管理、计算机、管理学等专业的博士和硕士研究生学习，也可供云计算安全管理相关领域的科研人员参考。

更多科学出版社服务，请扫码获取。

　　云计算是近年来全球信息产业界、学术界、政府等各界最热门、最关注的新技术之一，是新一代信息技术变革的核心，它代表IT领域向集约化、规模化与专业化道路发展的趋势，是IT行业不可阻挡的发展大趋势。世界各强国都把云计算作为未来战略产业的重点，云计算是国家战略需要。
　　云计算环境中，用户甚至不需投资基础设施就可获得强大的计算能力，只要向云服务商提出请求和交纳低廉的费用即可。它使得用户从基础设施投资、管理与维护的沉重压力中解放出来，可以更专注于自身核心业务发展。
　　然而，安全风险已成为云计算发展的一大障碍。著名机构Gartner、IDC、Unisys分别对全球安全风险作调查。Gartner调查显示：70%以上受访首席技术官（CTO）认为近期不采用云计算的首要原因是安全风险问题；IDC调查显示：75%的受访者一致认为安全风险是云计算发展的最大挑战，是其最关心的问题；Unisys调查显示：72%的受访者认为阻碍云计算的首要原因是安全风险问题。日本调查显示，用户采用云计算的最大顾虑是安全风险问题。Forrester Research调查显示，90%以上德国和法国CIO声称，安全风险性保障是他们采用云计算的前提。
　　安全风险问题严重阻碍云计算的发展，其根源在于云计算的特点、云计算安全技术和风险管理理论的不够完善。因此，要大规模应用云计算技术与平台，发展更多用户，推进云计算产业发展，就必须开展云计算安全风险理论研究，度量和评估该风险刻不容缓。但是，目前这方面理论研究极为匮乏！
　　鉴于此，本书探索用信息熵、马尔可夫链、模糊集、支持向量机等理论和方法度量和评估云计算安全风险。
　　第1章介绍了本书研究的背景、意义、主要内容及创新成果、本书组织及各章概要。第2章阐述了本书相关研究的基础理论，并对本书研究内容的国内外研究现状进行了综述。第3章将云计算安全分为隐私风险、技术风险、商业及运营管理风险三个维度，建立了云计算安全风险属性模型。第4章结合信息熵原理和马尔可夫链针对云计算风险的大小展开了深入的研究和探讨，提出了云计算安全风险度量模型。第5章基于信息熵和模糊集理论，建立了云计算安全风险评估模型。第6章结合信息熵和马尔可夫链方法围绕风险的损失影响、威胁频率和不确定性程度针对云计算安全风险进行了详细的量化评估，建立了风险评估模型。第7章提出了基于信息熵和支持向量机的云计算安全风险分类和评估的方法，为风险评估提供了新的思路。第8章基于前面章节，围绕云计算安全在用户隐私保护、技术规范、法规约束、管理制度等多方面，提出了若干管理对策和建议。第9章回顾、总结本书所做工作，并对未来进行展望。
　　作者的研究得到国家自然科学基金项目（No.61263022、61303234）、国家社会科学基金项目（No.12XTQ012）的支持，本书得到云南财经大学博士学术基金全额资助出版，在此表示谢意！
查看全部↓

　　姜茸，男，1978年2月生，理学（信息管理领域）博士，云南省中青年学术和技术带头人后备人才，云南省优秀教师，云南财经大学教授，硕士生导师。
　　中国计算机学会（CCF）高级会员、CCF服务计算专业委员会委员、CCF形式化方法专业委员会委员、CCF会员代表、云南省系统工程学会理事。国家自然科学基金项目评审专家、云南省科技项目评审专家、云南省应用基础研究计划项目评审专家、云南省教育科学规划项目评审专家、昆明市科技项目评审专家。
　　近年，主持国家自然科学基金项目2项，国家社会科学基金项目、中国博士后科学基金面上项目、教育部人文社会科学研究青年基金项目、云南省应用基础研究面上项目、云南省哲学社会科学规划项目各1项；撰写学术专著1部，于中国社会科学院的经济管理出版社出版；主编“十一五”、“十二五”规划教材3部，于科学出版社出版；在Journal of Information,Science and Engineering、Entropy等期刊独撰或以作者身份发表论文20余篇，其中，SCI收录4篇，EI收录7篇，CSSCI期刊5篇，中文核心期刊若干；获“昆明市科学技术进步奖”“红云园丁奖”“优秀教师”“科学研究成果奖”“教学成果奖”“优秀班主任”等各种奖励30余项。
　　
　　杨明，男，1987年3月生，理学（信息管理领域）博士，云南财经大学讲师。
　　主持云南省应用基础研究青年项目1项，云南省软件工程重点实验室开放基金项目1项，任项目副组长承担完成云南省哲学社会科学规划项目1项，参与完成国家项目2项，云南省应用基础研究面上项目1项；发表论文8篇，其中EI收录1篇，CSSCI期刊2篇，ISTP检索1篇，中文核心期刊2篇，科技核心期刊2篇，获得“昆明市科学技术进步奖”1项。
　　
　　马自飞，男，1990年3月生，理学（信息管理领域）博士，云南大学博士研究生。
　　在读期间，主持云南省教育厅科学研究基金项目、第七届云南大学研究生科研创新项目各1项，参与国家自然科学基金项目、国家社会科学基金项目、教育部人文社会科学研究青年基金项目；发表论文3篇，其中，CSSCI期刊2篇，中文核心期刊1篇：获“优秀团员”“优秀党员”“优秀学生干部”“优秀毕业生”“省政府奖学金”等各种奖励。
　　
　　廖伊婕，女，1976年6月生，历史学（唐宋经济史领域）博士，经济师，云南开放大学资产管理与评价处副处长。
　　曾在中国人文社会科学核心期刊《思想战线》发表过论文“基于人口发展预测的我国生育政策调整方案研究”、“试论中国古代近海市场”。

　《云计算安全风险度量评估与管理》：
　　（3）密钥管理
　　数据加密在一定程度上有效地实现了对于用户隐私的保护，但是并不能忽略对于密钥管理的风险因素考虑。因为在实际过程中，即使云服务商实施了较为完善的数据加密机制，但是如果密钥没有交给用户自身管理，或由于用户自身密钥管理的疏忽，在传输过程中频繁使用密钥等问题，都会对用户隐私安全造成威胁。相反，如果密钥由服务商保管，又会存在被服务商内部恶意员工利用的可能。由于这些潜在风险的影响，密钥管理对于用户隐私安全的威胁不容小觑，其是构成云计算安全风险的必然因素。
　　（4）内部人员威胁
　　由于利益的诱惑，在实际过程中来自内部人员的威胁一直存在，无论是有意或是无意的非法操作都将给用户隐私带来威胁。当用户将数据上传到云计算数据中心后，如企业账户、交易记录、个人兴趣爱好、具体位置等敏感信息都将被相应的管理人员有意或无意地看到，在利益的驱动下这些数据将有很大可能被恶意的内部人员利用而从事非法活动。因此，内部人员威胁在实际的风险预防和管理工作中同样不可以排除。
　　（5）数据销毁
　　数据销毁的目的是将数据彻底删除且无法复原，从而避免数据信息的泄露。然而，在云服务环境下当用户提出申请要求删除存储在云端的资源时，当前大多数操作系统都不能够及时做到真正的擦除（ENISA，2012），在公用的磁盘信息上通常会残留额外的数据副本，这就给其他恶意用户留下了利用残留数据进行非法重建的机会。
　　英国电信（British Telecom）就曾和英国、美国多所大学合作，从不同渠道搜集到约350张被遗弃的二手磁盘，通过研究发现，在经过简单的数据复原技术后，有37%的硬盘上仍能够找回一些敏感的个人或企业数据，包括财务资料、信用卡号、网购数据、医疗数据等信息。以上所述都说明数据销毁不彻底将会对用户隐私安全构成较大的威胁，是风险管理和控制中需要重视的风险因素。
　　（6）身份认证
　　身份认证也称身份鉴别，是对某用户是否具有访问或使用某资源权限的一种身份信息判断方式。在云计算环境下面对庞大的用户群时，各用户数据都被存储在公用的云端，不同的用户具有不同的身份信息，若不能将每一个用户的身份信息通过数字认证的方式区别开，则会构成对云用户隐私安全的威胁，给“非法”用户带来可乘之机，导致其他用户的身份信息被冒充，从而造成数据的泄露，影响授权访问者的合法利益。
　　在2014年11月考研报名期间，就因为身份认证的缺陷导致我国130万考生考研信息被泄露，包括考生的手机号码、身份证号、住址、报考学校及专业等一系列敏感信息，使不少考生遭受到了各方的骚扰，个人信息被不法分子利用。由此可见，身份认证是保证用户隐私数据安全的一个重要关口，是决定隐私安全的又一重要因素。
　　（7）访问权限控制
　　访问权限控制是在身份认证的基础上，根据预定义的身份标识来限制各用户对信息资源进行访问的管理机制。如果将身份认证理解为“你是谁”的一种判断，而访问权限控制则是为了解决“你能做什么”的问题。在云环境下.访问控制通常是由管理员针对不同用户设置不同的访问权限，从而实现对某网络资源访问角色及访问数量的限制。因此，在缺少访问控制或授权机制不完善的情况下，将会造成用户的隐私数据被其他用户越权查看或被非法窃取的可能。
　　……
查看全部↓

你还可能感兴趣

我要评论