云計(jì)算安全風(fēng)險(xiǎn)度量評(píng)估與管理
定 價(jià):78 元
叢書(shū)名:普通高等教育“十三五”規(guī)劃教材
- 作者:姜茸[等]著
- 出版時(shí)間:2016/11/22
- ISBN:9787030504456
- 出 版 社:科學(xué)出版社
- 中圖法分類(lèi):TP393.08
- 頁(yè)碼:142
- 紙張:膠版紙
- 版次:1
- 開(kāi)本:16K
《云計(jì)算安全風(fēng)險(xiǎn)度量評(píng)估與管理》從隱私風(fēng)險(xiǎn)、技術(shù)風(fēng)險(xiǎn)、商業(yè)及運(yùn)營(yíng)管理風(fēng)險(xiǎn)三個(gè)維度建立了云計(jì)算安全風(fēng)險(xiǎn)屬性模型,在此基礎(chǔ)上用信息熵、馬爾可夫鏈、模糊集、支持向量機(jī)等理論和方法建立了云計(jì)算安全風(fēng)險(xiǎn)度量與評(píng)估模型,并通過(guò)若干案例研究驗(yàn)證了模型的可行性,最后給出了云計(jì)算安全風(fēng)險(xiǎn)管理對(duì)策和建議。
《云計(jì)算安全風(fēng)險(xiǎn)度量評(píng)估與管理》可供信息管理、計(jì)算機(jī)、管理學(xué)等專(zhuān)業(yè)的博士和碩士研究生學(xué)習(xí),也可供云計(jì)算安全管理相關(guān)領(lǐng)域的科研人員參考。
更多科學(xué)出版社服務(wù),請(qǐng)掃碼獲取。
云計(jì)算是近年來(lái)全球信息產(chǎn)業(yè)界、學(xué)術(shù)界、政府等各界最熱門(mén)、最關(guān)注的新技術(shù)之一,是新一代信息技術(shù)變革的核心,它代表IT領(lǐng)域向集約化、規(guī);c專(zhuān)業(yè)化道路發(fā)展的趨勢(shì),是IT行業(yè)不可阻擋的發(fā)展大趨勢(shì)。世界各強(qiáng)國(guó)都把云計(jì)算作為未來(lái)戰(zhàn)略產(chǎn)業(yè)的重點(diǎn),云計(jì)算是國(guó)家戰(zhàn)略需要。
云計(jì)算環(huán)境中,用戶甚至不需投資基礎(chǔ)設(shè)施就可獲得強(qiáng)大的計(jì)算能力,只要向云服務(wù)商提出請(qǐng)求和交納低廉的費(fèi)用即可。它使得用戶從基礎(chǔ)設(shè)施投資、管理與維護(hù)的沉重壓力中解放出來(lái),可以更專(zhuān)注于自身核心業(yè)務(wù)發(fā)展。
然而,安全風(fēng)險(xiǎn)已成為云計(jì)算發(fā)展的一大障礙。著名機(jī)構(gòu)Gartner、IDC、Unisys分別對(duì)全球安全風(fēng)險(xiǎn)作調(diào)查。Gartner調(diào)查顯示:70%以上受訪首席技術(shù)官(CTO)認(rèn)為近期不采用云計(jì)算的首要原因是安全風(fēng)險(xiǎn)問(wèn)題;IDC調(diào)查顯示:75%的受訪者一致認(rèn)為安全風(fēng)險(xiǎn)是云計(jì)算發(fā)展的最大挑戰(zhàn),是其最關(guān)心的問(wèn)題;Unisys調(diào)查顯示:72%的受訪者認(rèn)為阻礙云計(jì)算的首要原因是安全風(fēng)險(xiǎn)問(wèn)題。日本調(diào)查顯示,用戶采用云計(jì)算的最大顧慮是安全風(fēng)險(xiǎn)問(wèn)題。Forrester Research調(diào)查顯示,90%以上德國(guó)和法國(guó)CIO聲稱,安全風(fēng)險(xiǎn)性保障是他們采用云計(jì)算的前提。
安全風(fēng)險(xiǎn)問(wèn)題嚴(yán)重阻礙云計(jì)算的發(fā)展,其根源在于云計(jì)算的特點(diǎn)、云計(jì)算安全技術(shù)和風(fēng)險(xiǎn)管理理論的不夠完善。因此,要大規(guī)模應(yīng)用云計(jì)算技術(shù)與平臺(tái),發(fā)展更多用戶,推進(jìn)云計(jì)算產(chǎn)業(yè)發(fā)展,就必須開(kāi)展云計(jì)算安全風(fēng)險(xiǎn)理論研究,度量和評(píng)估該風(fēng)險(xiǎn)刻不容緩。但是,目前這方面理論研究極為匱乏!
鑒于此,本書(shū)探索用信息熵、馬爾可夫鏈、模糊集、支持向量機(jī)等理論和方法度量和評(píng)估云計(jì)算安全風(fēng)險(xiǎn)。
第1章介紹了本書(shū)研究的背景、意義、主要內(nèi)容及創(chuàng)新成果、本書(shū)組織及各章概要。第2章闡述了本書(shū)相關(guān)研究的基礎(chǔ)理論,并對(duì)本書(shū)研究?jī)?nèi)容的國(guó)內(nèi)外研究現(xiàn)狀進(jìn)行了綜述。第3章將云計(jì)算安全分為隱私風(fēng)險(xiǎn)、技術(shù)風(fēng)險(xiǎn)、商業(yè)及運(yùn)營(yíng)管理風(fēng)險(xiǎn)三個(gè)維度,建立了云計(jì)算安全風(fēng)險(xiǎn)屬性模型。第4章結(jié)合信息熵原理和馬爾可夫鏈針對(duì)云計(jì)算風(fēng)險(xiǎn)的大小展開(kāi)了深入的研究和探討,提出了云計(jì)算安全風(fēng)險(xiǎn)度量模型。第5章基于信息熵和模糊集理論,建立了云計(jì)算安全風(fēng)險(xiǎn)評(píng)估模型。第6章結(jié)合信息熵和馬爾可夫鏈方法圍繞風(fēng)險(xiǎn)的損失影響、威脅頻率和不確定性程度針對(duì)云計(jì)算安全風(fēng)險(xiǎn)進(jìn)行了詳細(xì)的量化評(píng)估,建立了風(fēng)險(xiǎn)評(píng)估模型。第7章提出了基于信息熵和支持向量機(jī)的云計(jì)算安全風(fēng)險(xiǎn)分類(lèi)和評(píng)估的方法,為風(fēng)險(xiǎn)評(píng)估提供了新的思路。第8章基于前面章節(jié),圍繞云計(jì)算安全在用戶隱私保護(hù)、技術(shù)規(guī)范、法規(guī)約束、管理制度等多方面,提出了若干管理對(duì)策和建議。第9章回顧、總結(jié)本書(shū)所做工作,并對(duì)未來(lái)進(jìn)行展望。
作者的研究得到國(guó)家自然科學(xué)基金項(xiàng)目(No.61263022、61303234)、國(guó)家社會(huì)科學(xué)基金項(xiàng)目(No.12XTQ012)的支持,本書(shū)得到云南財(cái)經(jīng)大學(xué)博士學(xué)術(shù)基金全額資助出版,在此表示謝意!
查看全部↓
姜茸,男,1978年2月生,理學(xué)(信息管理領(lǐng)域)博士,云南省中青年學(xué)術(shù)和技術(shù)帶頭人后備人才,云南省優(yōu)秀教師,云南財(cái)經(jīng)大學(xué)教授,碩士生導(dǎo)師。
中國(guó)計(jì)算機(jī)學(xué)會(huì)(CCF)高級(jí)會(huì)員、CCF服務(wù)計(jì)算專(zhuān)業(yè)委員會(huì)委員、CCF形式化方法專(zhuān)業(yè)委員會(huì)委員、CCF會(huì)員代表、云南省系統(tǒng)工程學(xué)會(huì)理事。國(guó)家自然科學(xué)基金項(xiàng)目評(píng)審專(zhuān)家、云南省科技項(xiàng)目評(píng)審專(zhuān)家、云南省應(yīng)用基礎(chǔ)研究計(jì)劃項(xiàng)目評(píng)審專(zhuān)家、云南省教育科學(xué)規(guī)劃項(xiàng)目評(píng)審專(zhuān)家、昆明市科技項(xiàng)目評(píng)審專(zhuān)家。
近年,主持國(guó)家自然科學(xué)基金項(xiàng)目2項(xiàng),國(guó)家社會(huì)科學(xué)基金項(xiàng)目、中國(guó)博士后科學(xué)基金面上項(xiàng)目、教育部人文社會(huì)科學(xué)研究青年基金項(xiàng)目、云南省應(yīng)用基礎(chǔ)研究面上項(xiàng)目、云南省哲學(xué)社會(huì)科學(xué)規(guī)劃項(xiàng)目各1項(xiàng);撰寫(xiě)學(xué)術(shù)專(zhuān)著1部,于中國(guó)社會(huì)科學(xué)院的經(jīng)濟(jì)管理出版社出版;主編“十一五”、“十二五”規(guī)劃教材3部,于科學(xué)出版社出版;在Journal of Information,Science and Engineering、Entropy等期刊獨(dú)撰或以作者身份發(fā)表論文20余篇,其中,SCI收錄4篇,EI收錄7篇,CSSCI期刊5篇,中文核心期刊若干;獲“昆明市科學(xué)技術(shù)進(jìn)步獎(jiǎng)”“紅云園丁獎(jiǎng)”“優(yōu)秀教師”“科學(xué)研究成果獎(jiǎng)”“教學(xué)成果獎(jiǎng)”“優(yōu)秀班主任”等各種獎(jiǎng)勵(lì)30余項(xiàng)。
楊明,男,1987年3月生,理學(xué)(信息管理領(lǐng)域)博士,云南財(cái)經(jīng)大學(xué)講師。
主持云南省應(yīng)用基礎(chǔ)研究青年項(xiàng)目1項(xiàng),云南省軟件工程重點(diǎn)實(shí)驗(yàn)室開(kāi)放基金項(xiàng)目1項(xiàng),任項(xiàng)目副組長(zhǎng)承擔(dān)完成云南省哲學(xué)社會(huì)科學(xué)規(guī)劃項(xiàng)目1項(xiàng),參與完成國(guó)家項(xiàng)目2項(xiàng),云南省應(yīng)用基礎(chǔ)研究面上項(xiàng)目1項(xiàng);發(fā)表論文8篇,其中EI收錄1篇,CSSCI期刊2篇,ISTP檢索1篇,中文核心期刊2篇,科技核心期刊2篇,獲得“昆明市科學(xué)技術(shù)進(jìn)步獎(jiǎng)”1項(xiàng)。
馬自飛,男,1990年3月生,理學(xué)(信息管理領(lǐng)域)博士,云南大學(xué)博士研究生。
在讀期間,主持云南省教育廳科學(xué)研究基金項(xiàng)目、第七屆云南大學(xué)研究生科研創(chuàng)新項(xiàng)目各1項(xiàng),參與國(guó)家自然科學(xué)基金項(xiàng)目、國(guó)家社會(huì)科學(xué)基金項(xiàng)目、教育部人文社會(huì)科學(xué)研究青年基金項(xiàng)目;發(fā)表論文3篇,其中,CSSCI期刊2篇,中文核心期刊1篇:獲“優(yōu)秀團(tuán)員”“優(yōu)秀黨員”“優(yōu)秀學(xué)生干部”“優(yōu)秀畢業(yè)生”“省政府獎(jiǎng)學(xué)金”等各種獎(jiǎng)勵(lì)。
廖伊婕,女,1976年6月生,歷史學(xué)(唐宋經(jīng)濟(jì)史領(lǐng)域)博士,經(jīng)濟(jì)師,云南開(kāi)放大學(xué)資產(chǎn)管理與評(píng)價(jià)處副處長(zhǎng)。
曾在中國(guó)人文社會(huì)科學(xué)核心期刊《思想戰(zhàn)線》發(fā)表過(guò)論文“基于人口發(fā)展預(yù)測(cè)的我國(guó)生育政策調(diào)整方案研究”、“試論中國(guó)古代近海市場(chǎng)”。
目錄
前言
第1章 緒論1
1.1研究意義2
1.2主要研究?jī)?nèi)容4
1.3主要?jiǎng)?chuàng)新成果6
1.4本書(shū)組織結(jié)構(gòu)7
第2章 相關(guān)理論概念及研究綜述10
2.1信息熵10
2.2馬爾可夫鏈12
2.3云計(jì)算14
2.4風(fēng)險(xiǎn)理論15
2.5云計(jì)算安全風(fēng)險(xiǎn)16
2.6本章小結(jié)19
第3章 云計(jì)算安全風(fēng)險(xiǎn)屬性模型21
3.1概述21
3.2云計(jì)算安全風(fēng)險(xiǎn)因素分析24
3.3云計(jì)算安全風(fēng)險(xiǎn)屬性模型的建立35
第4章 基于信息熵和馬爾可夫鏈的云計(jì)算安全風(fēng)險(xiǎn)度量38
4.1度量模型38
4.2案例研究49
4.3模型的優(yōu)勢(shì)及合理性58
第5章 基于信息熵和模糊集的云計(jì)算安全風(fēng)險(xiǎn)評(píng)估61
5.1云計(jì)算安全風(fēng)險(xiǎn)的模糊集61
5.2基于模糊集合熵權(quán)的云計(jì)算安全風(fēng)險(xiǎn)評(píng)估63
5.3案例研究65
5.4本章小結(jié)71
第6章 基于信息熵和馬爾可夫鏈的云計(jì)算安全風(fēng)險(xiǎn)評(píng)估73
6.1評(píng)估模型73
6.2案例研究81
6.3模型的優(yōu)勢(shì)及合理性93
第7章 基于信息熵和支持向量機(jī)的云計(jì)算安全風(fēng)險(xiǎn)評(píng)估96
7.1云服務(wù)安全目標(biāo)及技術(shù)97
7.2云服務(wù)各層次安全問(wèn)題101
7.3評(píng)估模型105
7.4案例研究111
7.5模型的優(yōu)勢(shì)?特點(diǎn)及合理性121
第8章 云計(jì)算安全風(fēng)險(xiǎn)管理對(duì)策和建議123
8.1云計(jì)算發(fā)展的需求及管理對(duì)策建議123
8.2各部門(mén)職能及任務(wù)要求128
第9章 結(jié)論與展望133
9.1研究工作回顧133
9.2未來(lái)工作展望134
參考文獻(xiàn)136
《云計(jì)算安全風(fēng)險(xiǎn)度量評(píng)估與管理》:
。3)密鑰管理
數(shù)據(jù)加密在一定程度上有效地實(shí)現(xiàn)了對(duì)于用戶隱私的保護(hù),但是并不能忽略對(duì)于密鑰管理的風(fēng)險(xiǎn)因素考慮。因?yàn)樵趯?shí)際過(guò)程中,即使云服務(wù)商實(shí)施了較為完善的數(shù)據(jù)加密機(jī)制,但是如果密鑰沒(méi)有交給用戶自身管理,或由于用戶自身密鑰管理的疏忽,在傳輸過(guò)程中頻繁使用密鑰等問(wèn)題,都會(huì)對(duì)用戶隱私安全造成威脅。相反,如果密鑰由服務(wù)商保管,又會(huì)存在被服務(wù)商內(nèi)部惡意員工利用的可能。由于這些潛在風(fēng)險(xiǎn)的影響,密鑰管理對(duì)于用戶隱私安全的威脅不容小覷,其是構(gòu)成云計(jì)算安全風(fēng)險(xiǎn)的必然因素。
(4)內(nèi)部人員威脅
由于利益的誘惑,在實(shí)際過(guò)程中來(lái)自內(nèi)部人員的威脅一直存在,無(wú)論是有意或是無(wú)意的非法操作都將給用戶隱私帶來(lái)威脅。當(dāng)用戶將數(shù)據(jù)上傳到云計(jì)算數(shù)據(jù)中心后,如企業(yè)賬戶、交易記錄、個(gè)人興趣愛(ài)好、具體位置等敏感信息都將被相應(yīng)的管理人員有意或無(wú)意地看到,在利益的驅(qū)動(dòng)下這些數(shù)據(jù)將有很大可能被惡意的內(nèi)部人員利用而從事非法活動(dòng)。因此,內(nèi)部人員威脅在實(shí)際的風(fēng)險(xiǎn)預(yù)防和管理工作中同樣不可以排除。
。5)數(shù)據(jù)銷(xiāo)毀
數(shù)據(jù)銷(xiāo)毀的目的是將數(shù)據(jù)徹底刪除且無(wú)法復(fù)原,從而避免數(shù)據(jù)信息的泄露。然而,在云服務(wù)環(huán)境下當(dāng)用戶提出申請(qǐng)要求刪除存儲(chǔ)在云端的資源時(shí),當(dāng)前大多數(shù)操作系統(tǒng)都不能夠及時(shí)做到真正的擦除(ENISA,2012),在公用的磁盤(pán)信息上通常會(huì)殘留額外的數(shù)據(jù)副本,這就給其他惡意用戶留下了利用殘留數(shù)據(jù)進(jìn)行非法重建的機(jī)會(huì)。
英國(guó)電信(British Telecom)就曾和英國(guó)、美國(guó)多所大學(xué)合作,從不同渠道搜集到約350張被遺棄的二手磁盤(pán),通過(guò)研究發(fā)現(xiàn),在經(jīng)過(guò)簡(jiǎn)單的數(shù)據(jù)復(fù)原技術(shù)后,有37%的硬盤(pán)上仍能夠找回一些敏感的個(gè)人或企業(yè)數(shù)據(jù),包括財(cái)務(wù)資料、信用卡號(hào)、網(wǎng)購(gòu)數(shù)據(jù)、醫(yī)療數(shù)據(jù)等信息。以上所述都說(shuō)明數(shù)據(jù)銷(xiāo)毀不徹底將會(huì)對(duì)用戶隱私安全構(gòu)成較大的威脅,是風(fēng)險(xiǎn)管理和控制中需要重視的風(fēng)險(xiǎn)因素。
。6)身份認(rèn)證
身份認(rèn)證也稱身份鑒別,是對(duì)某用戶是否具有訪問(wèn)或使用某資源權(quán)限的一種身份信息判斷方式。在云計(jì)算環(huán)境下面對(duì)龐大的用戶群時(shí),各用戶數(shù)據(jù)都被存儲(chǔ)在公用的云端,不同的用戶具有不同的身份信息,若不能將每一個(gè)用戶的身份信息通過(guò)數(shù)字認(rèn)證的方式區(qū)別開(kāi),則會(huì)構(gòu)成對(duì)云用戶隱私安全的威脅,給“非法”用戶帶來(lái)可乘之機(jī),導(dǎo)致其他用戶的身份信息被冒充,從而造成數(shù)據(jù)的泄露,影響授權(quán)訪問(wèn)者的合法利益。
在2014年11月考研報(bào)名期間,就因?yàn)樯矸菡J(rèn)證的缺陷導(dǎo)致我國(guó)130萬(wàn)考生考研信息被泄露,包括考生的手機(jī)號(hào)碼、身份證號(hào)、住址、報(bào)考學(xué)校及專(zhuān)業(yè)等一系列敏感信息,使不少考生遭受到了各方的騷擾,個(gè)人信息被不法分子利用。由此可見(jiàn),身份認(rèn)證是保證用戶隱私數(shù)據(jù)安全的一個(gè)重要關(guān)口,是決定隱私安全的又一重要因素。
。7)訪問(wèn)權(quán)限控制
訪問(wèn)權(quán)限控制是在身份認(rèn)證的基礎(chǔ)上,根據(jù)預(yù)定義的身份標(biāo)識(shí)來(lái)限制各用戶對(duì)信息資源進(jìn)行訪問(wèn)的管理機(jī)制。如果將身份認(rèn)證理解為“你是誰(shuí)”的一種判斷,而訪問(wèn)權(quán)限控制則是為了解決“你能做什么”的問(wèn)題。在云環(huán)境下.訪問(wèn)控制通常是由管理員針對(duì)不同用戶設(shè)置不同的訪問(wèn)權(quán)限,從而實(shí)現(xiàn)對(duì)某網(wǎng)絡(luò)資源訪問(wèn)角色及訪問(wèn)數(shù)量的限制。因此,在缺少訪問(wèn)控制或授權(quán)機(jī)制不完善的情況下,將會(huì)造成用戶的隱私數(shù)據(jù)被其他用戶越權(quán)查看或被非法竊取的可能。
……
查看全部↓