1 引言

随着信息产业迅猛发展，信息技术日新月异，信息化浪潮已经席卷社会的每个角落.2006年Google公司首席执行官埃立克·施密特在搜索引擎大会上首次提出“云计算”(Cloud Computing)的概念，自此以来云计算迅速兴起和发展，在学术界、工业领域和国家政府领域都产生很大的影响，是商业、政府和学术界共同关注的焦点.云计算是通过互联网实现的一种可以通过浏览器随时随地按需访问和使用资源的全新的服务模式和业务模式，它在给用户节约使用成本、提高业务灵活性等便利的同时，云计算机环境下，服务攻击、服务中断和意外宕机等事件频频发生，其安全问题也成为云计算领域亟需解决的问题.随着云计算服务应用越来越广泛，近年来，云计算服务的信息安全问题已成为整个云计算产业关注的重点问题.目前，我国已将网络信息安全提升到了国家安全的战略层面，为了提供更加优质的云服务，争取更大的商业市场，云计算提供商也纷纷关注安全技术对自身云计算服务的影响，安全性已经成为云服务面临的最大挑战[1].

2.16 请从邮局寄送单位推荐信及稿件审理费，推荐信应注明对稿件的审评意见、无一稿两投、不涉及保密、署名无争议等项。

因此，通过对云计算服务中安全性和风险进行分析，更好了解云计算服务中不同时期存在的不同风险和服务优势，充分利用其优势，并采取必要的措施转移、规避风险，降低、避免损失.本文结合现有的云计算平台架构，以GB/T 22239—2008《信息安全技术 信息系统安全等级保护基本要求》的指标体系为基础，使用德尔菲法构建适用于云平台的安全评估指标体系，利用层次分析法计算各指标权重，通过新的白化权函数的灰色聚类实现评价方法，从而构建基于云计算的信息安全风险评估模型.

2 云计算

云计算是一种新型的商业计算模式，它整合网络上的计算资源构成超大规模的虚拟资源池，向用户提供按需的计算能力、存储能力和信息服务等，是并行计算、分布式计算和网格计算的发展，融合了效用计算和虚拟化技术[2].云计算技术依赖于各种云计算平台提供的服务，按照云计算所提供服务类型不同，云计算可划分为基础设施即服务 （IaaS，Infrastructure as a Service）、 平台即服务 （PaaS，Platform as a Service）和软件即服务（SaaS，Software as a Service）三层类，从而构成了云计算服务的模型，如图1所示.在云计算中，不同的层面结构提供不同服务，IaaS涵盖了从机房设备到硬件平台等所有的基础设施资源层面，处于最底层，是云计算服务的基础层，向用户提供包括计算资源、存储资源、网络资源等基础硬件资源；PaaS位于IaaS之上，其不仅关注底层硬件资源的整合，而且还向用户提供丰富的类似中间件的资源，将开放环境作为一种服务提供给用户，允许用户在平台之上开发自己的应用；SaaS位于云计算服务基础设施之上，是将应用作为一种服务提供给用户，用户可以通过浏览器获取其提供的云服务.

  

图1 云计算服务三层架构图

随着云计算在各种领域的广泛应用，其本身特性导致各种安全风险，云计算的安全问题一直是业界和学术界讨论的热点和难点问题[3].由于云计算处于一种完全分布式的互联网环境之下，因此其资源规模巨大，具有前所未有的开放性和复杂性，各种服务类型众多且数量庞大，需要存储和处理的数据组织结构复杂多变，威胁因素众多且跨区域出现.云计算环境下的数据和程序密集度高，一旦出现数据窃取、非法入侵、数据丢失等安全问题，必将造成严重后果，甚至酿成重大事故，因此给云计算的信息安全带来了极大的考验.针对这些问题，有必要对云环境下的网络信息系统进行风险评估，了解所处云计算环境的安全性.下面本文将结合风险评估的有关方法，给出基于云计算的信息安全风险评估方法.

1.1.2 CKD分期标准 1期：肾脏损伤，GFR正常或升高：GFR≥90 mL/（min·1.73 m2）；2期：GFR轻度下降：GFR在60～89 mL/（min·1.73 m2）；3a期：GFR轻到中度下降：GFR在45～59 mL/（min·1.73 m2）；3b期：GFR中到重度下降：GFR在30～44 mL/（min·1.73 m2）；4期：GFR重度下降：GFR在15～29 mL/（min·1.73 m2）；5期：肾衰竭：GFR＜15 mL/（min·1.73 m2）或透析。

大连市深入实施蓝天碧水绿地田园环保行动，推进市容环境综合整治，城市生态文明建设取得新进展，环境质量明显提升，浪漫之都、美丽大连建设成就喜人，大连成为东北地区最令人向往的地方。2017年，PM2.5、PM10浓度同比分别下降13%和12%，实现了300个蓝天的目标；加大植树造林力度，林木绿化率达到50%；城市建成区绿地率为43.9%，人均公园绿地面积11.3平方米；城市生活垃圾无害化处理率达100%。推进节能降耗，制造业综合能源消费下降8.3%。绿色生产、绿色消费已形成新风尚，新能源产业增加值增长12.9%，新型能源供给跃居主导地位。大连市获评2017美丽山水城市。

3 信息安全风险评估

信息安全风险是信息在整个生命周期中安全属性面临的危害发生的可能性，是威胁行为者威胁系统的脆弱性而引发的安全事件，以及其可能对系统造成的损失的程度.信息安全风险三要素包括资产（Assert）、威胁（Threat）和脆弱性（Vulnerability），三者之间的关系是：威胁利用系统脆弱性对资产造成损失或影响，如图2所示.信息安全风险评估是参照国家有关信息技术和管理标准，对信息系统的资产价值、潜在威胁、脆弱点、已采取的防御措施等进行分析，判断安全事件发生的可能性及其可能的危害程度，提出风险管理措施的过程[4-7].信息安全风险评估的目的是全面、准确地了解组织机构的信息安全风险所在，对资产进行周密分析，发现它的安全问题及其可能的危害，统计分析发生概率以及被利用后造成的损失等，并分析各种威胁以及它们发生的可能性，在此基础上，研究如何防范和化解信息安全风险，或者控制风险的安全等级的方法，从而为系统最终安全需求的提出提供依据.

  

图2 风险三要素关系图

信息安全风险评估应贯穿于信息系统的整个生命周期，是一个复杂的过程，是确保信息安全的基础和前提.信息安全风险的评估过程一般由以下几个阶段组成：（1）风险评估准备工作.在此阶段主要是根据组织的业务战略以及有关法律、法规和文件精神，确定评估的目标，确定其范围.因此，需要组建团队，进行充分的系统调研，为信息安全风险评估依据和方法的选择、评估内容的实施奠定基础.此外，该阶段还需要确定评估依据和评估方法，制定评估方案，以及获得必要的相关方面的支持；（2）风险要素识别.此阶段需要识别需要保护的资产、识别面临的威胁以及识别存在的脆弱性和威胁等要素，需要根据实际情况灵活选用风险要素识别方式；（3）风险程度分析.根据风险识别方法，确认已有的安全措施，分析威胁源的动机、威胁行为的能力、脆弱性被利用性、资产的价值以及影响的程度等，形成分析报告；（4）风险等级评价.根据合适的风险评估算法，综合评估风险的等级，形成风险分析报告；（5）汇报和验收.召开项目总结会议，汇报风险评估情况，调整完善风险评估总结和评定.传统的信息安全评估过程如图3所示.

竹韵病倒了，住进了医院，龙斌却请来律师，联合海力，以龙斌、竹韵、海力三人的名义联合将杂志社和作者告上了法庭。要求作者和杂志社公开赔礼道歉，恢复原告名誉，并向两被告索赔百万名誉、精神损失。同时也查出了《英雄自杀》一文的出笼真相。该文作者是个以杜撰“纪实稿”为生的自由撰稿人，这篇掀起轩然大波的稿子，是他以网上一篇贴子为蓝本，通过自己的想象的拼凑杜撰出来的。

  

图3 传统信息安全风险评估过程

《翻译诗学》紧扣“翻译诗学”的核心涵义，探讨了中国古典诗歌英译活动中涉及的主体、过程、关系等。书中将诗歌翻译艺术上升到理论形态，考察了翻译的诗学功能，既有宏观的理论建构，更有对诗歌文本、包括原文和译文的语言分析。这样的研究范式不仅对当今的翻译研究很有启发，而且细致地解释了复杂的汉诗英译现象，为诗歌翻译实践提供了有价值的指导。

4 基于云计算的信息安全风险评估模型

信息安全风险的评估指标和评估方法是使评估有效的重要因素，对评估过程和结果有着重要的影响.指标是评估工具，构建适合云计算平台的安全评估指标体系，是对云计算进行安全评估的重要依据.信息安全风险评估方法主要有定性分析法、定量分析法和定性与定量相结合的综合分析法.定量和定性分析方法各有其优缺点，信息安全风险评估是一个复杂的过程，涉及内容、因素较多，单一的定性分析法或者定量分析法很难对风险进行评估，因此，定性与定量相结合的方法是更好的选择.

结合现有的云计算平台架构，以GB/T 22239—2008的指标体系为基础，采用定性与定量相结合的综合分析法，构建基于云计算的信息安全风险评估模型.具体风险评估模型的构建如下.

4.1 云计算信息安全风险评估体系构建

（6）计算目标云系统信息安全的综合评估值.假设某一云计算下的信息安全指标的专家打分为C=（C1，C2，…，Cn）T,记目标云系统信息安全的综合评估值为U：

 

表1 云计算信息安全风险评估指标体系

  

一级指标 二级指标三级指标物理安全 物理位置、物理访问、防盗窃和破坏、防雷击、防火、防水防潮、防静电、温湿度控制、电力供应、电磁保护网络安全 结构安全与隔离、网络访问控制、网络安全审计、网络入侵防范、网络恶意代码防范、网络设备防护技术要求主机系统安全 主机身份鉴别、主机访问控制、主机安全审计、主机剩余信息保护、主机入侵防范、主机恶意代码防范、系统资源控制、虚拟机防护应用安全 应用身份鉴别、应用访问控制、应用安全审计、应用剩余信息保护、抗抵赖、软件容错、应用资源控制、代码与接口安全数据安全 数据完整性、数据保密性、数据备份与恢复、数据移植安全管理制度 管理制度、定制与发布、评审和修订安全管理机构 岗位设置、人员配置、授权与审批、沟通与合作、审核与检查人员安全管理 人员录用、人员离岗、人员考核、安全意识教育与培训、外部人员访问管理管理要求系统建设管理 系统定级、安全方案设计、产品采购与使用、自行软件开发、外包商开发、工程实施、测试验收、系统交付、安全服务商选择系统运维管理 环境管理、资产管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、备份恢复与移植管理、法律法规需求管理、安全应急预案管理SLA管理 云计算服务内容、责任与权限、惩罚措施、第三方服务水平监管、服务水平改进

4.2 基于云计算的信息安全风险评估算法

（1）构建评价指标矩阵.基于4.1节构建的指标体系，组织m个专家对评估指标P进行打分，评估值的范围为[0,10],根据专家评定的分数构建评价指标矩阵.假设专家的个数为m,评价指标数为n,Mij表示第i个专家对第j个指标评定的分数，i∈[1，m]，j∈[1，n],经归一化处理后由Mij可生成评价指标矩阵Aij：

 

（2）构建隶属度计算模型.将安全风险等级划分为优秀、良好、中、合格4级，即划分的灰级为s个，s∈[1，4].灰类1的转折点记为,灰类s的转折点记为，中间灰类k的中心点记为转折点或者中心点的值可以根据评价指标矩阵Aij的最大值、最小值或者中间值确定.

研究区平面断裂组合以3种形式存在：其一，古生界为一条主要大断裂，中生界为分段错裂，左行雁行式排列，控制潜山发育和洼陷沉积，近东西向组合，分布于埕岛南部和桩西南部，对油气运移及成藏起重要作用；其二，古近纪和新近纪发育右行走滑断层，断距两端小而中间大，右行雁列式排列，北东向组合，分布于埕岛、桩西以东，主要起控制油气的输导和成藏的作用；其三，中生代的左行走滑断层，深切潜山形成潜山圈闭，正向构造轴线受断层线控制，北西向组合，主要分布于埕岛、桩西两个潜山主体部位。

 

[4]吴 尚.网络安全评估方法分析[J].网络安全技术与应用，2014（12）：145-146.

（3）权重计算.从指标层开始，采用层次分析法,利用Satty9级分制，对不同指标进行两两比较，利用比较值构建判断矩阵，并通过加权平均的方法构建一个综合判断矩阵B[12]：

 

其中，τk满足.然后，利用方根法计算权重：

 

得到列向量 η=（η1，η2，…，ηn）T,η 元素对应上一层的指标权重.

（4）确定风险评估系数.用表示评估指标Pi属于第k类的评估系数，具体如式（7）：

构建灰类隶属度计算模型，灰类1采用下限测度白化权函数，灰类s采用上线测度白化权函数，灰类k采用中心点白化权函数，具体公式（2～4）如下[11]：

 

其中 i∈[1，m]，k∈[1，s].

（5）安全风险评估.第i个专家评分被划分为灰类k的聚类系数的阈值用Ti表示，通过公式（7）计算聚类系数，比较聚类系数与阈值Ti，若≥Ti,则划分聚类对象（即专家评分）为灰类k.

经过上述步骤后，最后得到总目标评估等级值向量 w=（w1，w2，…，wn）T，其中 wi为灰类的等级值.

结合 GB/T 22239—2008[8]和相关管理办法确定基础指标项，根据建立云计算安全评估指标体系应遵守的设计原则[9]，利用德尔菲法来建立云计算安全评估指标体系.最终构建的云计算信息安全风险评估指标体系[10]如表1所示.

2017年11月25日，原国家新闻出版广电总局、教育部正式对国内外公布中国学术期刊网络出版官方平台，该出版传播平台的出版网站是中国知网。为了确保学术成果的首发权与快速传播，任何一篇投稿，一经编辑部录用和审定，无需确定其后在纸质刊物出版的时间和页码，通过电子杂志社审核，即可在《中国学术期刊（网络版）》也就是俗称的CAJ-N中以网络中英文首发方式面向全世界，目前已经有651种网络首发期刊。

 

5 总结与展望

目前云计算技术凭借其优势受到越来越多国家的追捧，其应用也十分广泛，云计算的相关研究进行的如火如荼，云计算的安全问题也开始日益被重视.想要获得有效的评估结果，就需要对云计算信息安全进行建设、评估与审计，建立合适的指标体系；建立云计算安全评估指标体系后，需要采用科学的算法确定各指标项的权重；最后，对获取的评估信息通过定性与定量相结合的方法，建立云计算的信息安全风险评估模型，量化安全风险评估中安全事件发生的可能性和安全事件发生产生的影响，从而合理、有效地评估云计算环境下的信息安全状况，增加了云决策有效性.

参考文献：

[1]林 闯，苏文博，孟 坤，等.计算安全：架构、机制与模型评价[J].计算机学报，2013，36（9）：1765-1784.

[2]陈雪秀,于 晶,陈 驰,等.基于等级保护的云计算安全防护体系研究[J].中国数字医学，2014（11）：44-47.

[3]朱圣才.云计算服务安全评估技术模型研究及应用[J].电脑知识与技术,2015（11）：71-73.

云计算是一种数据处理、传输和存储都是基于网络的计算模式，数据流程对于用户来说都是透明的，传统的信息安全风险评估方法很大程度上已经不适用于云计算的信息系统.因此，需要改进传统的风险评估指标和评估方法，建立基于云计算的安全风险评估模型.

河套灌区灌溉用水占水资源利用总量的90.6%，修缮水利工程设施，加强节水灌溉渠网建设，续建配套和节水改造工程，推广渠道防渗、管道输水、喷灌、微灌等节水灌溉技术，提高灌溉水利用效率。

其中xij表示第i个专家对第j个指标评定的分数,k的取值范围为表示第 i个专家对第 j个指标的评分划分为灰类k的隶属度.

[5]朱圣才.基于云计算的信息安全风险分析与探索[J].西安邮电大学学报,2013（4):89-94.

[6]宋国峰,梁昌勇.一种基于用户行为信任的云安全访问控制模型[J].中国管理科学,2013（S2）：669-676.

2.2 土坝坝体的应力分布规律，土坝具有梯形断面的条形建筑物，通过对土坝坝体的原形观测及有限元分析，坝体内部应力分布规律一般如下：在坝轴线附近，土坝的竖向应力σi略小于土柱的自重压力，土坝横剖面的水平应力σx，比竖向应力 σy小，约等于(0.3-0.5)σy，(即 侧 压 力 系 数 为0.3-0.5)。土坝填筑质量愈差，则侧压力系数愈小，坝顶部一定高度σx∶还会出现拉应力。土坝的纵剖面的水平应力为σz二介于σx和σy之间。一般情况，土坝坝体压应力符合σy＞σz＞σx的规律。根据土坝坝体的应力分布情况，利用水力劈裂原理，在坝轴线附近沿小主应力面布置灌浆孔。泥浆就容易沿这个平面将坝体劈开。

语文教材中的文章都是作者基于现实生活的基础上，凝结出的高于生活层面的智慧结晶。因此在语文阅读教学中，教师要善于发现教材与生活的结合点，搭建生活与语文阅读之间的桥梁，帮助学生从生活层面上对文章进行还原，从而提升学生的阅读热情，帮助学生更加准确地把握文章的精髓，对文章形成独到的见解。

[7]GONZALES D,KAPLAN J,SALTZMAN E,et al.Cloud-trust-a security assessment model for Infrastructure as a Service(IaaS)clouds[J].IEEE Transactions on Cloud Computing， 2017，5(3)：523-536.

[8]中华人民共和国国家质量监督检验检疫总局，中国国家标准化管理委员会.信息安全技术 信息系统安全等级保护基本要求：GB/T 22239—2008[S/OL].[2018-02-03].http://vdisk.weibo.com/s/Fjw8JqZ-E5hGo.

[9]陈晓剑，梁 梁．系统评价方法及应用[M]．合肥：中国科学技术大学出版社，1993：24-25.

[10]姜政伟，赵文瑞,刘 宇,等.基于等级保护的云计算安全评估模型[J].计算机科学，2013,40（8）：151-156.

[11]李志亮，罗 芳，阮群生.一种新的白化权函数的灰色聚类评价方法[J].延边大学学报(自然科学版),2015,41（4）：318-325.

[12]马亚龙,邵秋峰，孙 明,等.评估理论和方法及其军事应用[M].北京：国防工业出版社,2013：15-19,105-120.