一、研究背景
云计算代表着当今全球互联网技术和应用的最新趋势。美国国家标准和计算研究院(NIST)提出:云计算是通过方便的按需使用的方式,通过网络,利用共享的可设置的计算资源池,以最少的管理快速部署,提供计算资源(如网络、服务器、存储、应用和服务)[1]。
云计算可帮助高校寻求资源利用的最大化。作为我国高等人才的主要培养阵地,加强信息化建设一直是高等院校工作的重点之一,但云计算带来的信息安全隐患不容忽视。IDC公司在2008年一份报告中指出,云计算最大弊端就是安全问题。2009年Google发生大批用户文件外泄事件,美国零售商TJX约4500万份信用卡号被盗取,而国内CSDN也发生账户数据泄露事件[2]。云计算的安全问题对传统信息安全防御手段提出了更高要求。
高等院校作为公共服务机构,若发生信息安全事件会造成非常负面的社会影响。《中共中央关于全面推进依法治国若干重大问题的决定》中提出要“完善网络信息服务、网络安全保护、网络社会管理”,同年全国人大常委会通过《刑法修正案(九)》增加了有关网络服务提供者刑事责任规定。教育部频发文件要求将信息安全建设和信息化建设同步规划。因此,云计算是否能在高等院校得到很好地推广,安全是关键问题。
二、研究现状
1、云计算的特点和风险研究
云计算系统中的脆弱性和风险分析研究:Kaliski B S和 Pauley W[4]介绍了云计算具有的按需、自动化、多租户的特点与典型的设计评估系统时静态、人性化为导向的过程冲突,描述了面临的挑战,并建议把风险评估作为一种引入服务。Chhabra B、Taneja B[5]重点评估存在于云架构不同层各种风险及合理的补救措施。
三、研究价值
1、理论价值
(1)为云安全的风险评估研究提供理论依据:云计算作为新兴技术,其研究仍处于建设和应用的摸索阶段,对于其存在的安全问题也仅限于简单的分析层面,未能将其安全问题的影响因素进行深入的探究。
(2)拓展方法论的适用范围:云计算是网格计算、分布计算等传统计算机技术和网络技术发展融合的产物,其带来的信息安全风险也是错综复杂的。
2、现实价值
(1)为高校信息化决策层提供分析依据:信息安全风险评估是进行安全建设的起点,因此针对高校应用领域提出云计算环境下的信息安全风险评估体系,能够帮助高校信息化决策者对云安全风险进行全面、正确的识别和分析,从而能在预防、控制、转移和减少风险之间做出有效的决策。
(2)提高高校安全风险的规避能力:分析高校在云计算环境下影响信息安全的因素入手,有助于了解高校在此领域的安全环境和状况,并发现可能存在的危险和安全问题,从而为针对各项风险采取对应的措施和控制手段提供参考依据,提高高校在云计算环境的信息安全保障能力。
(3)有助于推广在高校领域云计算技术:由于对未知风险的不确定性,云计算虽可为高校信息化建设提供更有效的资源、平台和应用,但基于安全考虑不少信息化管理者都处于观望状态。明晰云计算的信息安全问题和风险,为高校在有安全保障的环境下推广云计算提供参考依据。
