云計(jì)算服務(wù)安全評(píng)估方法精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的云計(jì)算服務(wù)安全評(píng)估方法主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：云計(jì)算服務(wù)安全評(píng)估方法范文

關(guān)鍵詞：云計(jì)算技術(shù)；網(wǎng)絡(luò)安全；評(píng)估

1引言

筆者通過(guò)分析云計(jì)算技術(shù)在網(wǎng)絡(luò)安全評(píng)估中的具體應(yīng)用，確保網(wǎng)絡(luò)安全評(píng)估工作的順利進(jìn)行。

2云計(jì)算技術(shù)基本介紹

所謂云計(jì)算技術(shù)，指的是借助互聯(lián)網(wǎng)設(shè)備提供相關(guān)服務(wù)、創(chuàng)新使用及交付模式，以此來(lái)實(shí)現(xiàn)易拓展虛擬化資源的動(dòng)態(tài)供應(yīng)。云計(jì)算技術(shù)參與網(wǎng)絡(luò)安全評(píng)估活動(dòng)，即預(yù)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì)，根據(jù)預(yù)測(cè)結(jié)果調(diào)整網(wǎng)絡(luò)操作行為，便于更好的應(yīng)對(duì)網(wǎng)絡(luò)攻擊。對(duì)于網(wǎng)絡(luò)管理員，能夠在短時(shí)間內(nèi)獲取網(wǎng)絡(luò)安全問(wèn)題，探索網(wǎng)絡(luò)安全處理對(duì)策，這對(duì)網(wǎng)絡(luò)安全環(huán)境創(chuàng)設(shè)具有重要意義，以此來(lái)實(shí)現(xiàn)數(shù)據(jù)挖掘技術(shù)的有效應(yīng)用[1]。

3網(wǎng)絡(luò)安全評(píng)估常見(jiàn)問(wèn)題

網(wǎng)絡(luò)信息時(shí)代悄然而至，在這一時(shí)代背景，云計(jì)算技術(shù)推廣遇到較多阻力，導(dǎo)致網(wǎng)絡(luò)安全評(píng)估工作的效果得不到完善，筆者通過(guò)總結(jié)網(wǎng)絡(luò)安全評(píng)估常見(jiàn)問(wèn)題，為相關(guān)措施制定提供依據(jù)。

3.1數(shù)據(jù)存儲(chǔ)方面的問(wèn)題

用戶借助網(wǎng)絡(luò)下載數(shù)據(jù)資料，并將其存儲(chǔ)于云端，這樣不僅能夠節(jié)省處理步驟，而且還能提高網(wǎng)絡(luò)資源利用率，避免數(shù)據(jù)資料丟失。若云端設(shè)備完整性受到破壞，那么數(shù)據(jù)資料容易丟失，并影響用戶決策。

3.2數(shù)據(jù)傳輸方面的問(wèn)題

一般來(lái)講，重要的數(shù)據(jù)資料存儲(chǔ)于互聯(lián)網(wǎng)數(shù)據(jù)中心，這類資料包括客戶基本信息、未來(lái)發(fā)展規(guī)劃及財(cái)務(wù)報(bào)表等內(nèi)容，但這類數(shù)據(jù)在傳輸?shù)倪^(guò)程中存在安全風(fēng)險(xiǎn)。首先，重要數(shù)據(jù)資料傳輸存在數(shù)據(jù)資料被竊取的風(fēng)險(xiǎn)。再者，云計(jì)算服務(wù)商可能成為數(shù)據(jù)資料外泄的主體。最后，非法用戶通過(guò)數(shù)據(jù)訪問(wèn)進(jìn)行數(shù)據(jù)竊取。

3.3數(shù)據(jù)審計(jì)方面的問(wèn)題

云計(jì)算技術(shù)在網(wǎng)絡(luò)安全評(píng)估活動(dòng)中具體應(yīng)用，不僅要提供相應(yīng)的數(shù)據(jù)服務(wù)，而且做好風(fēng)險(xiǎn)預(yù)防和控制工作，確保數(shù)據(jù)資料高效利用，以此滿足企業(yè)管理需要。如果企業(yè)所選云計(jì)算服務(wù)商，忽視客戶利益及安全風(fēng)險(xiǎn)，那么合作風(fēng)險(xiǎn)會(huì)大大增加，最終影響網(wǎng)絡(luò)安全評(píng)估效果，大大降低網(wǎng)絡(luò)安全評(píng)估準(zhǔn)確性。

4云計(jì)算技術(shù)為基礎(chǔ)的網(wǎng)絡(luò)安全評(píng)估措施

當(dāng)前網(wǎng)絡(luò)安全評(píng)估工作推進(jìn)的必要性較強(qiáng)，為獲取客觀、準(zhǔn)確的網(wǎng)絡(luò)安全評(píng)估結(jié)果，應(yīng)用云計(jì)算技術(shù)是極為必要的，下面筆者從三方面分析網(wǎng)絡(luò)安全評(píng)估的有效措施。

4.1提高云計(jì)算系統(tǒng)設(shè)計(jì)合理性

一方面，合理設(shè)計(jì)認(rèn)證模型。利用身份認(rèn)證技術(shù)獲取相關(guān)信息后，用戶需要輸入正確的賬號(hào)和密碼，來(lái)順利完成身份認(rèn)證。對(duì)于單點(diǎn)登錄用戶，往往會(huì)為網(wǎng)絡(luò)攻擊者留下重要信息，進(jìn)而會(huì)降低網(wǎng)絡(luò)用戶驗(yàn)證的安全性。因此，設(shè)計(jì)動(dòng)態(tài)身份認(rèn)證系統(tǒng)，避免為網(wǎng)絡(luò)攻擊者提供可乘之機(jī)，大大提高用戶認(rèn)證的安全性，盡最大可能減少設(shè)備使用過(guò)程中的資金投入量。另一方面，優(yōu)化云計(jì)算服務(wù)設(shè)計(jì)效果。用戶在了解云計(jì)算服務(wù)的過(guò)程中，需要自行下載認(rèn)證程序，并完成認(rèn)證程序綁定，通過(guò)驗(yàn)證碼輸入的方式成功登錄。需要注意的是，如果驗(yàn)證時(shí)間過(guò)長(zhǎng)，導(dǎo)致登錄超時(shí)，需要用戶及時(shí)更換新的身份驗(yàn)證代碼，這一過(guò)程即動(dòng)態(tài)驗(yàn)證碼生成的過(guò)程[2]。

4.2掌握網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法

為確保網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估工作具體落實(shí)，需對(duì)原始數(shù)據(jù)進(jìn)行預(yù)處理，以便為信息系統(tǒng)安全性提供可靠的數(shù)據(jù)支持，隊(duì)安全事件處理的過(guò)程中，通過(guò)數(shù)據(jù)模型建立的方式獲取概率值及參考值。在對(duì)網(wǎng)絡(luò)安全評(píng)估工作順利推進(jìn)的過(guò)程中，針對(duì)情境信息進(jìn)行適當(dāng)轉(zhuǎn)換，以便為安全態(tài)勢(shì)預(yù)測(cè)制定合理的處理方法。針對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)用數(shù)值來(lái)表示，根據(jù)數(shù)值大小分析網(wǎng)絡(luò)操作的穩(wěn)定性，預(yù)測(cè)網(wǎng)絡(luò)風(fēng)險(xiǎn)，數(shù)據(jù)預(yù)處理過(guò)后對(duì)其有序組合，實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)的客觀判斷，據(jù)此分析網(wǎng)絡(luò)安全值，對(duì)比了解網(wǎng)絡(luò)安全差異。在網(wǎng)絡(luò)安全受到影響后，根據(jù)變化數(shù)據(jù)掌握網(wǎng)絡(luò)安全的情況，并進(jìn)行總結(jié)和記錄。

4.3有序推進(jìn)網(wǎng)絡(luò)安全防御技術(shù)

第一，進(jìn)行數(shù)據(jù)加密。應(yīng)用數(shù)據(jù)加密技術(shù)保證網(wǎng)絡(luò)數(shù)據(jù)安全性，以免網(wǎng)絡(luò)數(shù)據(jù)信息的丟失，這對(duì)網(wǎng)絡(luò)安全維護(hù)具有重要意義，數(shù)據(jù)加密技術(shù)的巧妙應(yīng)用，為數(shù)據(jù)傳輸、數(shù)據(jù)轉(zhuǎn)換提供安全保障，并盡可能降低數(shù)據(jù)丟失風(fēng)險(xiǎn)。云計(jì)算技術(shù)具有數(shù)據(jù)共享的服務(wù)優(yōu)勢(shì)，它允許數(shù)據(jù)資源高效共享，但前提是用戶合法訪問(wèn)，從另一個(gè)角度來(lái)講，非法訪問(wèn)操作的數(shù)據(jù)分享行為不被支持。在這一過(guò)程中，提高數(shù)據(jù)加密技術(shù)利用率，實(shí)現(xiàn)數(shù)據(jù)信息的及時(shí)隔離，避免個(gè)別數(shù)據(jù)丟失導(dǎo)致整體網(wǎng)絡(luò)安全性受到威脅，進(jìn)而使企業(yè)遭受嚴(yán)重的經(jīng)濟(jì)損失。第二，安全認(rèn)證具體推進(jìn)。安全認(rèn)證方式多樣，用戶根據(jù)網(wǎng)絡(luò)使用需要選擇適合的驗(yàn)證方式，對(duì)于網(wǎng)絡(luò)安全意識(shí)較差的用戶，通過(guò)認(rèn)證的方式完成安全認(rèn)證。云技術(shù)服務(wù)商進(jìn)行安全認(rèn)證時(shí)，應(yīng)結(jié)合認(rèn)證方式，避免重要數(shù)據(jù)資料丟失。第三，無(wú)邊界安全防護(hù)。以往數(shù)據(jù)安全防護(hù)模式較單一，但現(xiàn)在，新型數(shù)據(jù)安全防護(hù)模式具有多樣化特點(diǎn)，應(yīng)用云服務(wù)完成邊界防護(hù)任務(wù)，能夠提高數(shù)據(jù)信息整合效率，按照邏輯程序?qū)崿F(xiàn)數(shù)據(jù)資料的隔離。在了解用戶需求的基礎(chǔ)上，針對(duì)數(shù)據(jù)資料進(jìn)行合理分類，這不僅對(duì)獨(dú)立安全系統(tǒng)建立有重要意義，而且有利于擴(kuò)大安全范圍，加快安全服務(wù)中心建設(shè)速度。

4.4運(yùn)營(yíng)商在網(wǎng)絡(luò)安全評(píng)估中的表現(xiàn)

當(dāng)前網(wǎng)絡(luò)信息技術(shù)時(shí)展步伐逐漸加快，互聯(lián)網(wǎng)行業(yè)在發(fā)展的過(guò)程中，掌握云安全問(wèn)題的處理對(duì)策，同時(shí)，運(yùn)營(yíng)商探索轉(zhuǎn)型的有效途徑，為云計(jì)算技術(shù)應(yīng)用提供廣闊空間，具體措施為：針對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)客觀評(píng)估，建立不同類型的云組織模式，同時(shí)，設(shè)置安全服務(wù)等級(jí)，使用戶能夠參照已有服務(wù)等級(jí)進(jìn)行風(fēng)險(xiǎn)評(píng)估，在一定程度上能夠減少評(píng)估資金的投入。數(shù)據(jù)加密技術(shù)集成處理，在此期間，建立健全云計(jì)算安全防御體系，完善云計(jì)算服務(wù)設(shè)施，同時(shí)，創(chuàng)新云計(jì)算安全技術(shù)手段，來(lái)保證用戶信息的安全性，這對(duì)云計(jì)算系統(tǒng)穩(wěn)定使用有重要意義；通過(guò)可信云建立的方式加強(qiáng)安全認(rèn)證，在這此過(guò)程中，可借助新算法構(gòu)建信任關(guān)系，并通過(guò)結(jié)合方法強(qiáng)化對(duì)云端信任度，不僅對(duì)用戶信息安全性保證有重要意義而且能夠避免數(shù)據(jù)信息泄露[3]。

5結(jié)語(yǔ)

綜上所述，云計(jì)算技術(shù)在應(yīng)用的過(guò)程中，網(wǎng)絡(luò)安全防護(hù)方式應(yīng)不斷進(jìn)行創(chuàng)新，對(duì)云計(jì)算技術(shù)大范圍推廣有重要意義。由于我國(guó)實(shí)踐云計(jì)算技術(shù)的時(shí)間較短，現(xiàn)有云計(jì)算技術(shù)應(yīng)用經(jīng)驗(yàn)不足，進(jìn)而網(wǎng)絡(luò)安全評(píng)估工作只能片面推進(jìn)，最終得到的評(píng)估結(jié)果缺乏真實(shí)性。當(dāng)前網(wǎng)絡(luò)信息時(shí)代不斷發(fā)展，人們對(duì)網(wǎng)絡(luò)安全防護(hù)工作提出了更高的要求，不僅要對(duì)網(wǎng)絡(luò)安全評(píng)估方式不斷創(chuàng)新，而且研究學(xué)者應(yīng)探索云計(jì)算技術(shù)應(yīng)用的最佳途徑，建立健全網(wǎng)絡(luò)安全評(píng)價(jià)標(biāo)準(zhǔn)，并提供用戶用網(wǎng)滿意度。筆者在理論內(nèi)容的基礎(chǔ)上，總結(jié)當(dāng)前網(wǎng)絡(luò)安全評(píng)估常見(jiàn)問(wèn)題，提高云計(jì)算系統(tǒng)設(shè)計(jì)合理性、掌握網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法、有序推進(jìn)網(wǎng)絡(luò)安全防御技術(shù)和了解運(yùn)營(yíng)商在網(wǎng)絡(luò)安全評(píng)估中的表現(xiàn)等措施進(jìn)行問(wèn)題處理，這樣不僅提高網(wǎng)絡(luò)安全評(píng)估準(zhǔn)確性和客觀性，而且對(duì)網(wǎng)絡(luò)安全系統(tǒng)獨(dú)立發(fā)展具有重要意義。

參考文獻(xiàn)

[1]魏斯超,張永萍.基于云計(jì)算技術(shù)的網(wǎng)絡(luò)安全評(píng)估技術(shù)研究及應(yīng)用[J].數(shù)字技術(shù)與應(yīng)用,2016(5):211.

第2篇：云計(jì)算服務(wù)安全評(píng)估方法范文

【關(guān)鍵詞】智慧城市；安全風(fēng)險(xiǎn)；風(fēng)險(xiǎn)識(shí)別；風(fēng)險(xiǎn)評(píng)估

1.引言

自IBM于2009提出“智慧地球”理念以來(lái)，國(guó)內(nèi)外已經(jīng)有眾多城市以網(wǎng)絡(luò)為基礎(chǔ)，打造數(shù)字化、泛在互聯(lián)的新型智慧型城市。在智慧城市的建設(shè)和研究過(guò)程中，將新興的物聯(lián)網(wǎng)、云計(jì)算、超級(jí)計(jì)算，以及基礎(chǔ)通信網(wǎng)絡(luò)、軟件服務(wù)化、數(shù)據(jù)共享、整合、挖掘與分析等技術(shù)全面應(yīng)用。同時(shí)也對(duì)信息安全帶來(lái)了全角度的沖擊。

建設(shè)智慧城市必將面臨各種風(fēng)險(xiǎn)，本文主要研究和討論智慧城市工程信息系統(tǒng)的風(fēng)險(xiǎn)和評(píng)估方法。并且為建設(shè)智慧城市信息安全提供設(shè)計(jì)思路。

目前信息安全風(fēng)險(xiǎn)評(píng)估的方法主要有層次分析法[1]、神經(jīng)網(wǎng)絡(luò)方法[2]和模糊理論[3]等；信息安全要求是通過(guò)對(duì)安全風(fēng)險(xiǎn)的系統(tǒng)評(píng)估予以識(shí)別的[4]。風(fēng)險(xiǎn)評(píng)估是依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行評(píng)價(jià)的過(guò)程。

2.建設(shè)智慧城市面臨的信息安全風(fēng)險(xiǎn)

2.1 智慧城市信息系統(tǒng)的基本結(jié)構(gòu)

智慧城市主要由三部分組成，底層為基礎(chǔ)設(shè)施平臺(tái)，主要包括互聯(lián)網(wǎng)絡(luò)和感知網(wǎng)絡(luò)；數(shù)據(jù)共享平臺(tái)主要包括基礎(chǔ)信息資源庫(kù)，例如人口信息、地理信息等；應(yīng)用服務(wù)平臺(tái)是面向公眾、企業(yè)及政府的綜合服務(wù)門戶平臺(tái)。

2.2 智慧城市面臨的信息安全風(fēng)險(xiǎn)

信息安全風(fēng)險(xiǎn)是認(rèn)為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對(duì)組織造成的影響[5]。如表1所示，智慧城市面臨的信息安全風(fēng)險(xiǎn)主要有物理破壞、人為破壞、設(shè)備故障、內(nèi)部與外部攻擊、數(shù)據(jù)誤用、數(shù)據(jù)丟失以及應(yīng)用程序錯(cuò)誤等風(fēng)險(xiǎn)。智慧城市服務(wù)面廣、影響廣泛，面對(duì)大眾，其持續(xù)服務(wù)能力和流暢服務(wù)能力直接關(guān)系到智慧城市建設(shè)的成敗。而這兩個(gè)服務(wù)能力又取決于管理者和建設(shè)者對(duì)以上風(fēng)險(xiǎn)的認(rèn)知和處理程度。

3.信息安全風(fēng)險(xiǎn)識(shí)別

信息安全風(fēng)險(xiǎn)識(shí)別的基本依據(jù)就是客觀世界的因果關(guān)聯(lián)性和可認(rèn)識(shí)性[5]。在建設(shè)智慧城市的過(guò)程中，信息系統(tǒng)必將面臨各種安全風(fēng)險(xiǎn)。明確識(shí)別風(fēng)險(xiǎn)，評(píng)估風(fēng)險(xiǎn)，并合理的管理風(fēng)險(xiǎn)，是參與智慧城市項(xiàng)目建設(shè)中每個(gè)人的責(zé)任和義務(wù)。

風(fēng)險(xiǎn)識(shí)別主要有兩種方法，一種是從主觀信息源出發(fā)的識(shí)別方法。主要利用頭腦風(fēng)暴法，德?tīng)柗品椒ǎ―elphi method）和情景分析法（Scenarios analysis）。前兩種方法在我國(guó)使用的較多，情景分析法是一種定性預(yù)測(cè)方法，對(duì)預(yù)測(cè)對(duì)象可能出現(xiàn)的情況或引起的后果做出預(yù)測(cè)的方法，操作過(guò)程復(fù)雜，目前在我國(guó)的具體應(yīng)用較少。另外一種風(fēng)險(xiǎn)識(shí)別的方法是從客觀信息源出發(fā)的識(shí)別方法。主要利用核對(duì)表法、流程圖法、數(shù)據(jù)或結(jié)果實(shí)驗(yàn)法、工作結(jié)構(gòu)分解分析法和財(cái)務(wù)報(bào)表法等。

信息安全風(fēng)險(xiǎn)管理是識(shí)別并評(píng)估風(fēng)險(xiǎn)、將風(fēng)險(xiǎn)降低至可接受級(jí)別、執(zhí)行適當(dāng)機(jī)制來(lái)維護(hù)這種級(jí)別的過(guò)程。沒(méi)有絕對(duì)安全的環(huán)境，每種環(huán)境都會(huì)存在某種程度的脆弱性，都會(huì)面臨一定的威脅。問(wèn)題的關(guān)鍵在于識(shí)別威脅，估計(jì)它們實(shí)際發(fā)生的可能性以及可能造成的破壞，并采取恰當(dāng)?shù)拇胧⑾到y(tǒng)環(huán)境的總體風(fēng)險(xiǎn)降低至組織機(jī)構(gòu)認(rèn)為可以接受的級(jí)別。

4.終端面臨安全風(fēng)險(xiǎn)

用戶訪問(wèn)智慧城市信息數(shù)據(jù)的終端雖然不屬于智能城市建設(shè)的范疇，但面對(duì)大量的用戶終端，智慧城市工程相關(guān)管理和技術(shù)人員必須要考慮智慧城市系統(tǒng)對(duì)用戶終端的影響。

根據(jù)CATR 2013年3月4日的研究數(shù)據(jù)顯示，預(yù)計(jì)2013年中國(guó)3G用戶將增長(zhǎng)1.5-1.8億戶，用戶規(guī)模突破3億戶。也就是說(shuō)會(huì)有很大量用戶通過(guò)3G智能終端獲取信息。智慧城市的信息數(shù)據(jù)，也將通過(guò)3G移動(dòng)互聯(lián)網(wǎng)送至用戶的智能手機(jī)上。會(huì)存在黑客利用智慧城市信息服務(wù)平臺(tái)攻擊用戶智能終端的情況。

另外一部分用戶將使用個(gè)人計(jì)算機(jī)機(jī)通過(guò)互聯(lián)網(wǎng)訪問(wèn)智慧城市信息數(shù)據(jù)。同樣黑客也有機(jī)會(huì)利用智慧城市信息服務(wù)平臺(tái)攻擊用戶的個(gè)人計(jì)算機(jī)。

最后，由于智能電視、網(wǎng)絡(luò)機(jī)頂盒的出現(xiàn)，還將會(huì)有部分用戶通過(guò)電視機(jī)訪問(wèn)智慧城市的信息數(shù)據(jù)，黑客也有攻擊智能電視機(jī)網(wǎng)絡(luò)機(jī)頂盒等電視機(jī)接入設(shè)備。

智慧城市工程的建設(shè)，要應(yīng)對(duì)網(wǎng)絡(luò)犯罪和黑客攻擊，維護(hù)移動(dòng)互聯(lián)網(wǎng)安全，需要將移動(dòng)網(wǎng)絡(luò)、后臺(tái)服務(wù)以及個(gè)體終端結(jié)合起來(lái)，從全局角度提出一個(gè)完整的綜合性解決方案，這就對(duì)普通用戶、移動(dòng)運(yùn)營(yíng)商、網(wǎng)絡(luò)安全供應(yīng)商、手機(jī)制造商、第三方軟件開(kāi)發(fā)商以及網(wǎng)絡(luò)信息提供商都提出了更高的要求。同時(shí)，還需要政府監(jiān)管部門完善響應(yīng)的監(jiān)管體系，加強(qiáng)相關(guān)法律法規(guī)的建設(shè)。

5.信息安全風(fēng)險(xiǎn)評(píng)估

信息安全風(fēng)險(xiǎn)評(píng)估是依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及其由處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行評(píng)價(jià)的過(guò)程。要評(píng)估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來(lái)判斷安全事件一旦發(fā)生對(duì)組織造成的影響，并提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施。進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估，就是要防范和化解信息安全風(fēng)險(xiǎn)，或者將風(fēng)險(xiǎn)控制在可接受的水平，從而為最大限度的保障網(wǎng)絡(luò)和信息安全提供科學(xué)依據(jù)。[6]

通過(guò)風(fēng)險(xiǎn)評(píng)估后，就可以針對(duì)信息系統(tǒng)中的高危風(fēng)險(xiǎn)進(jìn)行風(fēng)險(xiǎn)管理。風(fēng)險(xiǎn)評(píng)估目前主要有定量風(fēng)險(xiǎn)分析方法和定性風(fēng)險(xiǎn)分析方法。國(guó)內(nèi)外研究人員又在此基礎(chǔ)上提出了層次分析法（AHP），故障樹(shù)分析法和基于模糊數(shù)學(xué)的分析方法。另外就是基于科研機(jī)構(gòu)頒布的標(biāo)準(zhǔn)或指南的信息安全風(fēng)險(xiǎn)評(píng)估方法，比較傳統(tǒng)的方法有BS7799標(biāo)準(zhǔn)、CC標(biāo)準(zhǔn)、ISO13335信息和通信技術(shù)安全管理指南和NIST相關(guān)標(biāo)準(zhǔn)等。這些標(biāo)準(zhǔn)或指南對(duì)信息安全風(fēng)險(xiǎn)評(píng)估具有很好的指導(dǎo)作用，且大多數(shù)是基于定性的風(fēng)險(xiǎn)評(píng)估，對(duì)評(píng)估者的能力要求高，評(píng)估具有很大的主觀性。

對(duì)于智慧城市工程的信息系統(tǒng)，可以采用多種不同的方法對(duì)信息系統(tǒng)進(jìn)行綜合風(fēng)險(xiǎn)評(píng)估，將不同風(fēng)險(xiǎn)評(píng)估方法得出的結(jié)果系統(tǒng)分析，實(shí)施全方位、多角度的風(fēng)險(xiǎn)管理。只有通過(guò)對(duì)信息系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估才能對(duì)智慧城市工程存在的風(fēng)險(xiǎn)進(jìn)行合理、科學(xué)和有效的管理。

6.結(jié)束語(yǔ)

在建設(shè)智慧城市工程的過(guò)程中，信息安全風(fēng)險(xiǎn)評(píng)估以及風(fēng)險(xiǎn)管理勢(shì)在必行。在規(guī)劃設(shè)計(jì)階段根據(jù)實(shí)際投資和項(xiàng)目情況，以國(guó)家相關(guān)標(biāo)準(zhǔn)為基礎(chǔ)進(jìn)行規(guī)劃設(shè)計(jì)，并參照《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T22239-2008）對(duì)信息系統(tǒng)進(jìn)行安全保護(hù)。正確識(shí)別和評(píng)估安全風(fēng)險(xiǎn)要始終貫穿到工程項(xiàng)目建設(shè)的每一個(gè)環(huán)節(jié)中。在項(xiàng)目建設(shè)初期從多角度、全方位識(shí)別風(fēng)險(xiǎn)，不留風(fēng)險(xiǎn)盲區(qū)；在項(xiàng)目建設(shè)過(guò)程中，通過(guò)風(fēng)險(xiǎn)評(píng)估的結(jié)論，將風(fēng)險(xiǎn)降低到可以接受的程度；在后期的使用維護(hù)過(guò)程中，始終使用PDCA方法，不斷的去識(shí)別、評(píng)估和降低安全風(fēng)險(xiǎn)。動(dòng)態(tài)將風(fēng)險(xiǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估方法貫徹到智慧城市工程的每一個(gè)階段，確保實(shí)現(xiàn)安全可靠的智慧型政府、智慧型民生和智慧型產(chǎn)業(yè)。

參考文獻(xiàn)

[1]王奕，費(fèi)洪曉，蔣蘋.FAHP方法在信息安全風(fēng)險(xiǎn)評(píng)估中的研究[J].計(jì)算機(jī)工程與科學(xué)，2006，28（9）：4-6.

[2]趙冬梅，劉海峰，劉晨光.基于BP神經(jīng)網(wǎng)絡(luò)的信息安全風(fēng)險(xiǎn)評(píng)估[J].計(jì)算機(jī)工程與應(yīng)用，2007，43（1）：139-141.

[3]陳光，匡光華.信息安全風(fēng)險(xiǎn)評(píng)估的模糊多準(zhǔn)則決策方法[J].信息安全域通信保密，2006，7：23-25.

[4]信息安全管理實(shí)施指南（ISO17799：2005C）.

[5]信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范（GB/T20984-2007）.

第3篇：云計(jì)算服務(wù)安全評(píng)估方法范文

關(guān)鍵詞：軟件體系結(jié)構(gòu)；場(chǎng)景；質(zhì)量屬性

中圖分類號(hào)：TP311

軟件質(zhì)量是指在軟件開(kāi)發(fā)過(guò)程中形成的軟件滿足明確規(guī)定的需求的程度，也是衡量軟件好壞的一個(gè)重要指標(biāo)。隨著軟件規(guī)模和復(fù)雜性的不斷增大，如何控制和保證軟件的質(zhì)量已成為一個(gè)亟需解決的問(wèn)題。為了提高軟件的質(zhì)量，需要在整個(gè)軟件開(kāi)發(fā)周期中進(jìn)行有計(jì)劃的活動(dòng)，包括對(duì)軟件的評(píng)價(jià)。研究表明，越早對(duì)質(zhì)量進(jìn)行評(píng)價(jià)越有利于對(duì)軟件質(zhì)量的控制以及降低開(kāi)發(fā)成本。對(duì)軟件體系結(jié)構(gòu)進(jìn)行深入的研究，是保證軟件質(zhì)量的重要措施之一。隨著軟件體系結(jié)構(gòu)的發(fā)展，對(duì)軟件體系結(jié)構(gòu)系統(tǒng)進(jìn)行深入研究將會(huì)成為提高軟件生產(chǎn)率和解決軟件維護(hù)問(wèn)題的新的最有效的途徑。

1 概述

1.1 軟件體系結(jié)構(gòu)。軟件體系結(jié)構(gòu)是國(guó)際上軟件工程研究的一個(gè)新興領(lǐng)域，它的研究目前還處于初始階段，對(duì)什么是軟件體系結(jié)構(gòu)還沒(méi)有一個(gè)標(biāo)準(zhǔn)的、為大家所普遍接受的定義。一般認(rèn)為，一個(gè)軟件系統(tǒng)的體系結(jié)構(gòu)定義了組成系統(tǒng)的計(jì)算構(gòu)件和構(gòu)件之間的相互作用關(guān)系，在體系結(jié)構(gòu)層次的構(gòu)件如：客戶、服務(wù)器、數(shù)據(jù)庫(kù)、過(guò)濾器等；構(gòu)件之間的交互可以是非常簡(jiǎn)單的。

1.2 質(zhì)量屬性。[1]軟件質(zhì)量是指軟件滿足明確規(guī)定或隱含定義的需求的程度。通常從六個(gè)方面進(jìn)行衡量。分別是功能性、可靠性、易使用性、效率、可維護(hù)性和可移植性。

1.3 軟件體系結(jié)構(gòu)評(píng)估的重要性。軟件質(zhì)量是在整個(gè)軟件生命周期中形成的，與周期中的各個(gè)階段都息息相關(guān)，而軟件體系結(jié)構(gòu)作為軟件質(zhì)量的功能性指標(biāo)的一個(gè)重要要素，同時(shí)也是生命周期中的關(guān)鍵一步，它發(fā)揮著重要作用。因此，對(duì)軟件體系結(jié)構(gòu)的分析也顯得尤為重要。我們可以通過(guò)對(duì)軟件體系結(jié)構(gòu)的分析評(píng)估，及早的發(fā)現(xiàn)軟件的問(wèn)題，盡可能早的修改軟件，并預(yù)測(cè)未來(lái)系統(tǒng)的質(zhì)量屬性。預(yù)測(cè)修改十分有效，可以從總體降低軟件的開(kāi)發(fā)成本，提高軟件的質(zhì)量。

2 主要的軟件體系結(jié)構(gòu)評(píng)估方法

目前的軟件體系結(jié)構(gòu)評(píng)估方法大多采用基于場(chǎng)景的技術(shù)。場(chǎng)景是從風(fēng)險(xiǎn)承擔(dān)者的角度對(duì)于與系統(tǒng)的交互的簡(jiǎn)短描述，其中風(fēng)險(xiǎn)承擔(dān)著包括系統(tǒng)體系結(jié)構(gòu)設(shè)計(jì)中所涉及到的架構(gòu)設(shè)計(jì)師、開(kāi)發(fā)人員、維護(hù)人員等。這種評(píng)估方法通過(guò)研究軟件體系結(jié)構(gòu)對(duì)場(chǎng)景的支持程度來(lái)判斷軟件質(zhì)量，評(píng)估結(jié)果較準(zhǔn)確。

2.1 SAAM?；趫?chǎng)景的體系結(jié)構(gòu)分析方法SAAM是最早形成文檔并得到廣泛運(yùn)用的一種非功能質(zhì)量屬性的體系結(jié)構(gòu)分析方法，是最早形成文檔并得到廣泛使用的軟件體系結(jié)構(gòu)分析方法[2]，可用來(lái)分析軟件質(zhì)量，如軟件體系結(jié)構(gòu)的可修改性、可移植性、可擴(kuò)充性等。是一種較為成熟的方法，運(yùn)用廣泛，并成為許多其他的軟件體系結(jié)構(gòu)評(píng)價(jià)方法的基礎(chǔ)。

SAAM方法采用基于場(chǎng)景的功能性和變化分析的評(píng)估技術(shù)，適用于體系結(jié)構(gòu)設(shè)計(jì)的最終版本，主要是對(duì)可修改性的考察，需要所有風(fēng)險(xiǎn)承擔(dān)者參與。

2.2 SAAMCS?；趶?fù)雜場(chǎng)景的體系結(jié)構(gòu)分析方法SAAMCS是對(duì)SAAM的擴(kuò)展，主要針對(duì)場(chǎng)景的復(fù)雜度，主要目標(biāo)是對(duì)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估。

SAAMCS適用于有充分細(xì)節(jié)描述的體系結(jié)構(gòu)的最終版本，需要主要風(fēng)險(xiǎn)承擔(dān)者參與。

2.3 SAAMER。針對(duì)演化和復(fù)用體系結(jié)構(gòu)分析方法SAAMER也是對(duì)SAAM的擴(kuò)展的一種方法。

SAAMER通過(guò)對(duì)視圖（靜態(tài)視圖、映射視圖、動(dòng)態(tài)視圖和資源視圖）、信息模型和場(chǎng)景來(lái)分析系統(tǒng)的演化和復(fù)用屬性，需要設(shè)計(jì)者、管理者和最終用戶參與。

2.4 ATAM。體系結(jié)構(gòu)權(quán)衡分析方法ATAM是在SAAM的基礎(chǔ)上發(fā)展起來(lái)的，目標(biāo)在于對(duì)系統(tǒng)敏感點(diǎn)和權(quán)衡點(diǎn)分析，主要針對(duì)性能、實(shí)用性、安全性和可修改性。使用ATAM不僅能夠明確軟件體系結(jié)構(gòu)對(duì)于特定軟件質(zhì)量目標(biāo)的滿足度，還能提供軟件目標(biāo)之間的交互方式。

ATAM方法采用問(wèn)卷和度量結(jié)合使用的評(píng)估技術(shù)，適用于體系結(jié)構(gòu)設(shè)計(jì)的重復(fù)改進(jìn)或最終版本，需要所有風(fēng)險(xiǎn)承擔(dān)者參與。

2.5 SBAR?；趫?chǎng)景的體系結(jié)構(gòu)在工程SBAR目的是按照需求的質(zhì)量屬性評(píng)估體系結(jié)構(gòu)。

SBAR關(guān)注多個(gè)軟件質(zhì)量屬性的均衡性，用于評(píng)估所設(shè)計(jì)的軟件體系結(jié)構(gòu)是否具有達(dá)到所要求的軟件質(zhì)量的潛力，采用多種技術(shù)相結(jié)合的評(píng)估技術(shù)，針對(duì)多個(gè)屬性（可修改性、性能、實(shí)用性、安全性）的考察，僅僅需要設(shè)計(jì)者參與，不需其他的風(fēng)險(xiǎn)承擔(dān)者。

2.6 ALPSM。體系結(jié)構(gòu)層次的軟件可維護(hù)性預(yù)測(cè)ALPSM是在體系結(jié)構(gòu)層次上考查場(chǎng)景的影響來(lái)分析軟件體系的可維護(hù)性[3]。

ALPSM方法適用于體系結(jié)構(gòu)設(shè)計(jì)過(guò)程中，采用場(chǎng)景評(píng)估技術(shù)，僅僅需要體系結(jié)構(gòu)設(shè)計(jì)人員、分析者、評(píng)估者參與，不需其他的風(fēng)險(xiǎn)承擔(dān)者。

2.7 ALMA。體系結(jié)構(gòu)層次的可維護(hù)性分析ALMA目標(biāo)是變化沖突分析和預(yù)測(cè)維護(hù)工作，采用依賴于分析目標(biāo)的獨(dú)立的體系結(jié)構(gòu)描述符號(hào)使用來(lái)評(píng)估系統(tǒng)，主要針對(duì)可維護(hù)性。

ALMA方法中風(fēng)險(xiǎn)承擔(dān)者由具體的活動(dòng)決定。

3 存在問(wèn)題及未來(lái)發(fā)展趨勢(shì)

體系結(jié)構(gòu)是決定軟件質(zhì)量好壞的重要因素之一，隨著研究的深入，在軟件體系結(jié)構(gòu)質(zhì)量評(píng)價(jià)方面取得了一定的成功，但是仍然存在一些問(wèn)題。

3.1 存在的問(wèn)題。目前，在軟件體系結(jié)構(gòu)質(zhì)量分析和評(píng)價(jià)方法中，主要存在這樣的一些問(wèn)題：首先，基于場(chǎng)景的分析評(píng)估技術(shù)，對(duì)于體系結(jié)構(gòu)的描述沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)、框架和定義，不同的描述方法給體系之間的選擇、比較增加了困難；其次，基于場(chǎng)景的分析評(píng)估技術(shù)，只能用于特定領(lǐng)域，運(yùn)用范圍較其他評(píng)估技術(shù)稍窄；第三，基于場(chǎng)景的分析評(píng)估技術(shù)，要求評(píng)估者對(duì)被評(píng)估體系結(jié)構(gòu)比較熟悉；最后，基于場(chǎng)景的分析評(píng)估技術(shù)有很多不確定性，造成了該技術(shù)的評(píng)估結(jié)果較為主觀。

3.2 未來(lái)的發(fā)展趨勢(shì)。通過(guò)對(duì)以上幾種基于場(chǎng)景的分析評(píng)估技術(shù)進(jìn)行比較和分析，未來(lái)的基于場(chǎng)景的分析評(píng)估技術(shù)的發(fā)展趨勢(shì)有以下幾點(diǎn)：對(duì)于體系結(jié)構(gòu)的描述建立統(tǒng)一的標(biāo)準(zhǔn)和定義，降低體系結(jié)構(gòu)之間比較、選擇的難度。結(jié)合兩種或兩種以上的不同的體系結(jié)構(gòu)評(píng)估方法，吸取其中的缺點(diǎn)避免不足，從而獲得更好的評(píng)估效果。針對(duì)基于場(chǎng)景的分析評(píng)估技術(shù)中的不確定性，使用已有的度量技術(shù)或定義新的度量標(biāo)準(zhǔn)，更精確地評(píng)估體系結(jié)構(gòu)。對(duì)適用性的高要求。作為體系結(jié)構(gòu)質(zhì)量特征的一個(gè)方面，適應(yīng)性與軟件的可擴(kuò)展性、可修改性、動(dòng)態(tài)特性有密切關(guān)系。目前對(duì)適應(yīng)性體系結(jié)構(gòu)分析與評(píng)價(jià)的研究還很不完善，但是它有很大的研究?jī)r(jià)值，是未來(lái)評(píng)估方法的發(fā)展趨勢(shì)。

4 結(jié)束語(yǔ)

本文就幾種主要的軟件體系結(jié)構(gòu)質(zhì)量評(píng)價(jià)方法進(jìn)行了討論，這些方法基本上是基于場(chǎng)景的評(píng)價(jià)方法，并提出了一些目前軟件體系結(jié)構(gòu)分析和評(píng)價(jià)技術(shù)中遇到的難點(diǎn)和困難，對(duì)未來(lái)的發(fā)展趨勢(shì)進(jìn)行了展望。

參考文獻(xiàn)：

[1]陸惠恩，張成姝.實(shí)用軟件工程[M].北京：清華大學(xué)出版社，2009.

[2]萬(wàn)建成，盧雷.軟件體系結(jié)構(gòu)的原理、組成與應(yīng)用[M].北京：科學(xué)出版社，2002.

[3]胡紅雷，毋國(guó)慶.軟件體系結(jié)構(gòu)評(píng)估方法的研究[J].計(jì)算機(jī)應(yīng)用研究，2004.

第4篇：云計(jì)算服務(wù)安全評(píng)估方法范文

城市公共安全；公共安全評(píng)估；智慧城市；大數(shù)據(jù)

This paper describes the prospect of constructing and improving a public safety assessment system under the concept of smart city. The level of traditional safe city construction can be improved and the traditional city public safe system can realize the entity， modeling and computable relay on the internet of things， cloud computing， and big-data technologies. In this way， city safety system， which is sensible and automatically measured， is constructed.

city public safety； public safety assessment； smart city； big data

當(dāng)前，智慧城市的建設(shè)已經(jīng)從理論層面落實(shí)到中國(guó)很多城市的實(shí)際建設(shè)層面。中興通訊作了不少實(shí)踐，并有一些自己的提煉思考。在智慧城市中，城市公共安全的建設(shè)作為基礎(chǔ)性需求，不容忽視。為有效預(yù)防、減少和降低城市公共安全風(fēng)險(xiǎn)，保護(hù)人民生命財(cái)產(chǎn)安全，實(shí)現(xiàn)經(jīng)濟(jì)社會(huì)可持續(xù)發(fā)展，有必要規(guī)范城市公共安全風(fēng)險(xiǎn)評(píng)估工作。

本文從智慧城市建設(shè)的實(shí)際出發(fā)，探討基于智慧城市建設(shè)理念的城市公共安全建設(shè)與評(píng)估體系，為具體智慧城市系統(tǒng)建設(shè)提供借鑒。

1 智慧城市建設(shè)理念

智慧城市理念論述眾多：從城市管理者角度來(lái)看，智慧城市意味著一種發(fā)展城市的新思維、新策略，是新型城鎮(zhèn)化的必然需要，是一種在新一代信息技術(shù)支撐下，實(shí)現(xiàn)城市全面數(shù)字化后可視、可測(cè)量的智能化城市管理和運(yùn)營(yíng)模式，可以推動(dòng)城市服務(wù)能力和管理水平的跨越式提升。從信息化專家的角度來(lái)看，智慧城市是城市信息化發(fā)展到高級(jí)階段的一種形態(tài)，是城市的信息化經(jīng)歷數(shù)字化、智能化后的必然結(jié)果。從市民角度來(lái)看，智慧城市意味著生活品質(zhì)、民生服務(wù)、居住環(huán)境等得到極大提升，新一代信息技術(shù)深入滲透到市民的衣、食、住、行等各個(gè)方面，智能、便捷與舒適成為城市生活的典型特征。

智慧城市是借助信息技術(shù)，把已有的各種生產(chǎn)要素優(yōu)化組合，以更加精細(xì)和動(dòng)態(tài)的方式管理生產(chǎn)和生活，形成技術(shù)集成、綜合應(yīng)用、高端發(fā)展的集約、智能、綠色、低碳的城市?；诖?，我們認(rèn)為智慧城市具有信息（Information）、智能（Intelligence）、創(chuàng)新（Innovation）、市民與城市互動(dòng)（Interaction）的“4I”特征。

城市作為人類社會(huì)高度發(fā)展的組織形態(tài)，作為眾多個(gè)人構(gòu)成的集體活動(dòng)實(shí)體，實(shí)際上在城市整體需求上也體現(xiàn)出了與個(gè)人需求相對(duì)應(yīng)的層次需求模型。馬斯洛理論把人的需求分成生理需求（Physiological Needs）、安全需求（Safety Needs）、愛(ài)和歸屬感（Love and Belonging，亦稱為社交需求）、尊重（Esteem）和自我實(shí)現(xiàn)（Self-actualization）5類，依次由較低層次到較高層次排列。由此，安全需求不論對(duì)個(gè)人還是一個(gè)城市都是僅次于“活著”或者“存在”的基礎(chǔ)性需求。

一個(gè)城市的安全需求是眾多個(gè)人安全需求的集合，是一種公共安全的需求。城市安全關(guān)系到城市中的每個(gè)人。在智慧城市建設(shè)中，安全是一個(gè)基本模塊。進(jìn)行安全城市建設(shè)，必須堅(jiān)持安全建設(shè)與評(píng)估兩條腿走路，相互促進(jìn)，共同發(fā)展[1-15]。

2 智慧化的安全城市系統(tǒng)

構(gòu)建

在智慧化的城市公共安全建設(shè)中，物聯(lián)網(wǎng)是城市公共安全基礎(chǔ)信息采集、匯集的基礎(chǔ)架構(gòu)，大數(shù)據(jù)分析則是對(duì)海量基礎(chǔ)數(shù)據(jù)進(jìn)行模型分析的基本技術(shù)支撐，而云計(jì)算架構(gòu)則為高強(qiáng)度的、成本可接受的柔性計(jì)算能力獲取提供了基礎(chǔ)保障。這些新技術(shù)的成熟應(yīng)用是使整體城市公共安全體系構(gòu)建成為可能的關(guān)鍵。

2.1 城市公共安全建設(shè)現(xiàn)狀

近些年，城市公共安全的信息化建設(shè)主要落地到平安城市建設(shè)方面。構(gòu)建平安城市業(yè)已成為政府建設(shè)共識(shí)。但當(dāng)前平安城市的建設(shè)尚存在如下具體問(wèn)題：

（1）信息系統(tǒng)缺乏整合

相關(guān)信息主要為公安等具體部門服務(wù)，缺乏從城市層面的共享與整合，其他城市管理部門建立了大量“煙囪式”的監(jiān)控系統(tǒng)，缺乏標(biāo)準(zhǔn)互不相通；部門間的信息沒(méi)有實(shí)現(xiàn)共享，“信息孤島”現(xiàn)象非常普遍?；旧细鞣礁髯越ㄔO(shè)，各自享受自己的建設(shè)成果；各城市的電子防控系統(tǒng)多呈現(xiàn)分而治之狀態(tài)，一個(gè)平安城市系統(tǒng)中有幾種甚至十幾種安防平臺(tái)，且大多數(shù)之間沒(méi)有實(shí)現(xiàn)互聯(lián)。

（2）信息系統(tǒng)與城市中其他系統(tǒng)聯(lián)動(dòng)較少

缺乏業(yè)務(wù)的有機(jī)整合，視頻監(jiān)控系統(tǒng)自成一體，覆蓋面小，應(yīng)用面窄，缺乏與應(yīng)急聯(lián)動(dòng)、警務(wù)指揮、城市管理等業(yè)務(wù)的高效整合，視頻監(jiān)控信息與警用地理信息系統(tǒng)（PGIS）及其他公安信息沒(méi)有進(jìn)行關(guān)聯(lián)。

（3）各城市普遍存在“重建設(shè)、輕應(yīng)用”的現(xiàn)象

智慧城市建設(shè)過(guò)程，對(duì)與智慧城市建設(shè)相配套的運(yùn)作管理機(jī)制、服務(wù)模式、政策措施，要進(jìn)行妥善的分析和梳理。建設(shè)與管理并重才是實(shí)現(xiàn)智慧城市最終目標(biāo)的重要保障。信息化部署完成了，它只是個(gè)系統(tǒng)，是工具。此后，需要相應(yīng)的城市管理人員和市民一起使用這套系統(tǒng)，并從中汲取“智慧”的價(jià)值，這才能達(dá)到真正意義上的智慧城市。

2.2 智慧理念下城市公共安全實(shí)踐

當(dāng)前，依托智慧城市理念和物聯(lián)網(wǎng)、大數(shù)據(jù)、云計(jì)算技術(shù)，從技術(shù)角度看，城市公共安全建設(shè)可有如下升級(jí)方向：

（1）大聯(lián)網(wǎng)平臺(tái)建設(shè)

隨著GB/T28181-2011《安全防范視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)信息傳輸、交換、控制技術(shù)要求》于2012年6月1日正式生效，大聯(lián)網(wǎng)平臺(tái)建設(shè)已經(jīng)成為未來(lái)幾年平安城市建設(shè)的首要任務(wù)。城市公共安全建設(shè)的視頻監(jiān)控聯(lián)網(wǎng)管理平臺(tái)，必須開(kāi)放系統(tǒng)能力，能夠與主流監(jiān)控廠商前端設(shè)備進(jìn)行信息對(duì)接及互操作，可進(jìn)行不同平臺(tái)和設(shè)備之間的業(yè)務(wù)組合和調(diào)用，實(shí)現(xiàn)不同平臺(tái)信息的往來(lái)交互。

（2）信息全網(wǎng)可調(diào)用

通過(guò)視頻監(jiān)控系統(tǒng)大聯(lián)網(wǎng)平臺(tái)建設(shè)的逐步深化，使得區(qū)域內(nèi)經(jīng)過(guò)授權(quán)的監(jiān)控平臺(tái)的操作臺(tái)，均能夠在區(qū)域范圍內(nèi)自由調(diào)動(dòng)信息。同時(shí)，以上的互聯(lián)和共享將完全在權(quán)限可控的狀態(tài)下進(jìn)行，以最大限度保證海量數(shù)據(jù)的有序使用。

（3）業(yè)務(wù)流程實(shí)戰(zhàn)整合

發(fā)展應(yīng)用型的城市公共安全建設(shè)專業(yè)化系統(tǒng)。城市公共安全系統(tǒng)的核心在于系統(tǒng)與警務(wù)的日常工作緊密結(jié)合，這樣視頻信息才能成為真正的“大數(shù)據(jù)”。和警方已經(jīng)建設(shè)或者正在建設(shè)眾多數(shù)字化的業(yè)務(wù)信息系統(tǒng)有效關(guān)聯(lián)，使得平臺(tái)系統(tǒng)更加貼近公安部門的實(shí)際業(yè)務(wù)應(yīng)用，做到“三實(shí)”，即實(shí)際、實(shí)戰(zhàn)、實(shí)效，從而貼近公安實(shí)戰(zhàn)，促進(jìn)信息共享，提高工作效率。

（4）高清設(shè)備的大量使用

公安對(duì)于城市公共安全系統(tǒng)建設(shè)從追求數(shù)量轉(zhuǎn)變?yōu)樽非筚|(zhì)量的階段。更高的清晰度成為提升視頻監(jiān)控質(zhì)量的首要訴求。高清攝像機(jī)和高清編碼器等被平安城市建設(shè)大量引入，同時(shí)移動(dòng)高清攝像機(jī)也被各方案補(bǔ)充引入。

（5）視頻智能分析深度應(yīng)用

海量的視頻文件、日志信息的挖掘、分析，可以有效提升治安監(jiān)控系統(tǒng)的工作效率。通過(guò)對(duì)視頻內(nèi)容進(jìn)行視頻診斷、視頻濃縮、視頻檢索、視頻壓縮等先進(jìn)視頻處理技術(shù)等，使視頻資源從粗放無(wú)序的數(shù)據(jù)真正轉(zhuǎn)化為精細(xì)可用的信息，并最終實(shí)現(xiàn)高效應(yīng)用。

（6）云計(jì)算的大量使用

高清視頻的廣泛使用及城市級(jí)視頻網(wǎng)絡(luò)的完善將會(huì)產(chǎn)生大量視頻數(shù)據(jù)，只有云計(jì)算的強(qiáng)大架構(gòu)擴(kuò)展能力，高可用性將使海量視頻數(shù)據(jù)的有效處理成為可能。這對(duì)于對(duì)城市安全管理意義重大。

基于以上對(duì)城市公共安全系統(tǒng)建設(shè)的理解，中興通訊提出了自己的平安城市解決方案，總體架構(gòu)如圖1所示。

3 安全城市的評(píng)估和實(shí)踐

從實(shí)踐中看，無(wú)論在之前的平安城市建設(shè)還是最新智慧城市架構(gòu)下的智慧公安系統(tǒng)建設(shè)，不少地方都已經(jīng)構(gòu)建城市公共安全類相關(guān)系統(tǒng)，在不少城市也已經(jīng)初步形成較完整的體系。但在這些系統(tǒng)建設(shè)中，是否有從城市公共安全評(píng)估的角度出發(fā)，更嚴(yán)謹(jǐn)?shù)卦谑虑盎谠u(píng)估數(shù)據(jù)更合理規(guī)劃整體方案，在系統(tǒng)建成后根據(jù)實(shí)際使用情況評(píng)估城市安全水平的提升或變化，從而適度調(diào)整相關(guān)系統(tǒng)側(cè)重或在后續(xù)建設(shè)中更加科學(xué)地、有針對(duì)性地對(duì)重點(diǎn)地區(qū)、重點(diǎn)問(wèn)題進(jìn)行安全系統(tǒng)規(guī)劃和實(shí)施，這是需要考慮的問(wèn)題。

實(shí)際情況中這方面通常被忽略。很多系統(tǒng)的規(guī)劃設(shè)計(jì)，往往是側(cè)重在“設(shè)計(jì)”系統(tǒng)本身，說(shuō)明系統(tǒng)本身要解決的問(wèn)題。而對(duì)系統(tǒng)所要解決的真正問(wèn)題缺乏量化。相當(dāng)于說(shuō)，事先缺乏定量評(píng)估問(wèn)題，事后缺乏定量評(píng)估成效。很多系統(tǒng)上馬了，只能籠統(tǒng)地說(shuō)“有了提升”，最多總體而言某個(gè)指標(biāo)提升或下降了之類。而這些和城市公共安全評(píng)估應(yīng)達(dá)到的“以評(píng)估指導(dǎo)規(guī)劃，以評(píng)估調(diào)整布設(shè)，以評(píng)估安排升級(jí)”的要求有很大差距。

3.1 城市公共安全風(fēng)險(xiǎn)識(shí)別方法

影響城市公共安全風(fēng)險(xiǎn)評(píng)估進(jìn)展的主要因素包括：評(píng)估時(shí)間、力度、展開(kāi)幅度和深度，所有這些因素都應(yīng)和城市實(shí)際安全狀況和城市特性的不同點(diǎn)相符合。對(duì)不同的城市而言，應(yīng)該選擇適合本城市特性和發(fā)展水平的風(fēng)險(xiǎn)評(píng)估方法。這樣的評(píng)估過(guò)程與正在進(jìn)行的平安城市或智慧城市安全建設(shè)是一個(gè)并行關(guān)系，相互吸收經(jīng)驗(yàn)，相互促進(jìn)。

根據(jù)對(duì)各要素的指標(biāo)量化及計(jì)算方法的不同，城市公共安全風(fēng)險(xiǎn)分析可分為定性分析、半定量分析和定量分析，或這些分析方法的組合。

3.1.1 城市公共安全的定性分析方法

定性分析方法是一種被廣泛應(yīng)用的風(fēng)險(xiǎn)分析方法，在城市公共安全分析中也同樣如此。定性分析方法對(duì)風(fēng)險(xiǎn)產(chǎn)生的可能性和后果可用如“低、中、高”這樣定性表達(dá)程度的表示方式。

但在城市公共安全風(fēng)險(xiǎn)的實(shí)際定性分析過(guò)程中，有時(shí)僅僅使用“低、中、高”這樣的程度表達(dá)并不能顯著分辨不同風(fēng)險(xiǎn)值間的差別，因此，在實(shí)踐中，有時(shí)會(huì)考慮給這些主觀判斷的值設(shè)定一個(gè)數(shù)據(jù)化的結(jié)果，比如，設(shè)“高”為“3”，“中”為“2”，“低”為“1”。該“3”、“2”、“1”，并非一個(gè)客觀的實(shí)驗(yàn)值，相反只是一個(gè)相對(duì)值。對(duì)本意僅用來(lái)確定等級(jí)的對(duì)應(yīng)等級(jí)數(shù)據(jù)進(jìn)行過(guò)度解讀，可能會(huì)導(dǎo)致錯(cuò)誤的決策。

城市公共安全風(fēng)險(xiǎn)的定性分析常用于：在開(kāi)始細(xì)致風(fēng)險(xiǎn)分析前的最初風(fēng)險(xiǎn)鑒別，以找出可能需要更細(xì)致分析的風(fēng)險(xiǎn)；或者相關(guān)風(fēng)險(xiǎn)可能不值得花更多資源去進(jìn)行更充分分析；或者實(shí)際具備的數(shù)據(jù)不足以進(jìn)行更細(xì)致定量分析的場(chǎng)合。

城市公共安全的定性分析是基礎(chǔ)性的分析方法。即使在可采用更進(jìn)一步評(píng)估方法的場(chǎng)合，定性分析依然是非常重要的選擇。

3.1.2 城市公共安全的半定量分析

半定量分析是在定性分析基礎(chǔ)上的提升，同時(shí)也是對(duì)花費(fèi)更大的完全定量分析的妥協(xié)。在半定量分析中，定性分析的某些定性分析數(shù)據(jù)可能已是確定數(shù)字，但每個(gè)子項(xiàng)所確定的數(shù)字并不一定與具有非常精確的對(duì)應(yīng)關(guān)系。

在應(yīng)用半定量分析時(shí)需要小心，因?yàn)榘攵糠治隹赡懿荒苷_地區(qū)分各種不同風(fēng)險(xiǎn)，尤其是當(dāng)分析結(jié)果或可能性處于極端狀態(tài)的時(shí)候。因此，在實(shí)際分析時(shí)可將“可能性”分解成兩個(gè)要素“暴露頻率”和“概率”。所謂暴露頻率是風(fēng)險(xiǎn)來(lái)源存在的程度，而概率是當(dāng)相應(yīng)風(fēng)險(xiǎn)源存在時(shí)產(chǎn)生后果的可能性。在上述兩者間關(guān)系不是完全獨(dú)立時(shí)需要審慎對(duì)待分析結(jié)果，因?yàn)橄嗷ジ缮婧蟮姆治鼋Y(jié)果可能產(chǎn)生偏差。這是半定量分析需要注意避免的問(wèn)題。

3.1.3 城市公共安全的定量分析

城市公共安全的定量風(fēng)險(xiǎn)分析主要關(guān)注兩個(gè)基本數(shù)據(jù)：風(fēng)險(xiǎn)事件發(fā)生概率和風(fēng)險(xiǎn)對(duì)應(yīng)可能損失的資產(chǎn)。這兩者相乘的結(jié)果稱為年度預(yù)期損失（ALE）或年度成本估算（EAC）。理論上可依據(jù)ALE計(jì)算威脅事件的風(fēng)險(xiǎn)等級(jí)并有針對(duì)性地做出相應(yīng)的決策。

ALE的具體計(jì)算方法是首先評(píng)估城市單項(xiàng)資產(chǎn)的價(jià)值V；然后根據(jù)客觀數(shù)據(jù)計(jì)算威脅的頻率P；最后計(jì)算威脅影響系數(shù)μ：

ALE=V×P×μ

顯然的，城市公共安全整體ALE值應(yīng)該是各單項(xiàng)ALE的總和。

但上述方法存在數(shù)據(jù)可靠性問(wèn)題。定量分析依賴準(zhǔn)確數(shù)據(jù)，而準(zhǔn)確數(shù)據(jù)整體上依賴于人類的科學(xué)發(fā)展水平。對(duì)于某些安全威脅，人們確認(rèn)已可掌握相應(yīng)數(shù)據(jù)信息，但對(duì)于另一些威脅來(lái)說(shuō)，可能還無(wú)法掌握實(shí)際數(shù)據(jù)。這是定量分析當(dāng)前的局限性。

在定量分析實(shí)際應(yīng)用中，對(duì)于這樣定量化的困難，可嘗試使用客觀概率和主觀概率相結(jié)合的方法進(jìn)行?？陀^概率用于有人們已經(jīng)掌握客觀數(shù)據(jù)的情形；主觀概率則針對(duì)尚無(wú)法掌握直接根據(jù)數(shù)據(jù)的情況，此時(shí)將利用包括經(jīng)驗(yàn)數(shù)據(jù)、主觀判斷等進(jìn)行替代。舉例來(lái)說(shuō)，在社會(huì)穩(wěn)定度評(píng)估中，對(duì)于攻擊行為的威脅可考慮如動(dòng)機(jī)、手段和機(jī)會(huì)等要素。

總體而言，完全定量分析方法的使用是有相當(dāng)難度的。但從城市公共安全精細(xì)化、智能化及未來(lái)發(fā)展來(lái)說(shuō)，定量分析畢竟是城市公共安全最希望采用的方法。

3.2 “全生命周期”公共安全評(píng)估實(shí)踐

我們認(rèn)為，一個(gè)真正的智慧城市公共安全系統(tǒng)在城市公共安全評(píng)估價(jià)值這方面應(yīng)具備“全生命周期性”。所謂“全生命周期性”，是指應(yīng)在智慧城市公共安全系統(tǒng)建設(shè)的規(guī)劃設(shè)計(jì)、實(shí)施部署、使用運(yùn)維、系統(tǒng)升級(jí)4個(gè)階段全面引入城市公共安全評(píng)估方法，通過(guò)評(píng)估數(shù)據(jù)的變化指導(dǎo)上述4個(gè)過(guò)程形成閉環(huán)，不斷提升整體城市安全系統(tǒng)的水平及有效性。

具體來(lái)說(shuō)，在系統(tǒng)規(guī)劃設(shè)計(jì)階段，首先要做的是基于現(xiàn)有信息系統(tǒng)形成的各類數(shù)據(jù)，有針對(duì)性地對(duì)待建系統(tǒng)所要解決的公共安全問(wèn)題現(xiàn)狀進(jìn)行評(píng)估，形成各類輔助決策分析結(jié)果，指導(dǎo)規(guī)劃設(shè)計(jì)體現(xiàn)出應(yīng)有的重點(diǎn)問(wèn)題的側(cè)重性、區(qū)域的差異性等。

針對(duì)平安城市的高清智能卡口布設(shè)問(wèn)題：

（1）規(guī)劃階段進(jìn)行風(fēng)險(xiǎn)識(shí)別和定量分析

利用比如歷史報(bào)警數(shù)據(jù)、案事件區(qū)域數(shù)據(jù)、車流量數(shù)據(jù)、人口分布數(shù)據(jù)等計(jì)算出整體區(qū)域風(fēng)險(xiǎn)度分布圖。將該數(shù)據(jù)所體現(xiàn)的區(qū)域差異性和整體卡口布設(shè)其他因素進(jìn)行疊加，最終確定實(shí)際卡口布設(shè)位置、區(qū)域密度方案。

（2）在實(shí)施部署階段多次聯(lián)調(diào)測(cè)試及系統(tǒng)試運(yùn)行

獲取相關(guān)測(cè)試數(shù)據(jù)，進(jìn)而評(píng)估系統(tǒng)整體有效性，發(fā)現(xiàn)系統(tǒng)不足，及時(shí)調(diào)整、改進(jìn)系統(tǒng)本身及相關(guān)部署。

（3）運(yùn)維階段進(jìn)行長(zhǎng)效的公共安全評(píng)估

系統(tǒng)將在這個(gè)階段持續(xù)給出城市公共安全狀況評(píng)估，這不僅是給決策者對(duì)城市整體安全管理所用，也是給系統(tǒng)運(yùn)營(yíng)維護(hù)方面甚至于系統(tǒng)自身進(jìn)行系統(tǒng)參數(shù)調(diào)整的必要依據(jù)。如果說(shuō)決策人根據(jù)相關(guān)評(píng)估進(jìn)行決策和調(diào)整是傳統(tǒng)安全系統(tǒng)應(yīng)做到的，那么系統(tǒng)自身根據(jù)自身產(chǎn)生的安全評(píng)估在事先系統(tǒng)設(shè)計(jì)模式下進(jìn)行相關(guān)參數(shù)調(diào)整才是真正“智慧”城市公共安全系統(tǒng)的智慧體現(xiàn)。

毫無(wú)疑問(wèn)，如果安全評(píng)估體系長(zhǎng)效機(jī)制建立起來(lái)的話，系統(tǒng)升級(jí)參考相關(guān)評(píng)估進(jìn)行就是非常自然的事了。系統(tǒng)的自我調(diào)節(jié)總是有效有限的，社會(huì)狀況的變化、科技水平的提升則是永遠(yuǎn)的，所以，在反應(yīng)現(xiàn)實(shí)公共安全狀況的評(píng)估持續(xù)給出情況下，規(guī)劃新的系統(tǒng)升級(jí)就是水到渠成的事情。系統(tǒng)升級(jí)某種意義上又回到了“規(guī)劃設(shè)計(jì)”階段，在持續(xù)評(píng)估的機(jī)制下，整個(gè)城市的公共安全體系將形成這樣一個(gè)全生命周期、不斷螺旋式提升的正向軌道。輔助這個(gè)全生命周期循環(huán)的形成，也正是智慧城市公共安全評(píng)估最大價(jià)值所在。

4 結(jié)束語(yǔ)

當(dāng)前中國(guó)智慧城市建設(shè)方興未艾。智慧城市建設(shè)投資巨大、影響深遠(yuǎn)，而城市公共安全是城市基礎(chǔ)性需求之一，因此非常有必要在智慧城市的規(guī)劃階段就將城市公共安全評(píng)估體系納入其中。傳統(tǒng)上城市公共安全定量評(píng)估分析的方法，可以應(yīng)用最新的物聯(lián)網(wǎng)、大數(shù)據(jù)、云計(jì)算技術(shù)，從而降低評(píng)估的成本。這正是我們?cè)诤罄m(xù)智慧城市建設(shè)中需要不斷探索、落實(shí)的事情。

參考文獻(xiàn)

[1] GB/T 20000.4-2003. 標(biāo)準(zhǔn)化工作指南第4部分：標(biāo)準(zhǔn)中涉及安全的內(nèi)容 [S]. 2003.

[2] ISO Guide 73：2009. Risk management - Vocabulary [S]. ISO， 2009.

[3] ISO 31000：2009. Risk management - Principles and guidelines [S]. ISO， 2009.

[4] AS/NZS 4360：2004. Risk management [S]. AS/NZS， 2004.

[5] 劉茂， 王振. 城市公共安全學(xué)――原理與分析 [M]. 北京： 北京大學(xué)出版社， 2009.

[6] 張繼權(quán). 城市公共安全學(xué)――應(yīng)急與疏散 [M]. 北京： 北京大學(xué)出版社， 2009.

[7] 深圳市政府. 深圳市公共安全白皮書 [R]. 深圳市政府， 2013.

[8] 宋明哲. 現(xiàn)代風(fēng)險(xiǎn)管理 [M]. 北京： 中國(guó)紡織出版社， 2003.

[9] 劉波等. 災(zāi)害管理學(xué) [M]. 長(zhǎng)沙： 湖南人民出版社， 1998.

[10] 薛瀾等. 危機(jī)管理 [M]. 北京： 清華大學(xué)出版社， 2003.

[11] 公安部加強(qiáng)和改進(jìn)公安工作調(diào)研小組. 第20次全國(guó)公安會(huì)議專題研究報(bào)告 [R]. 公安部， 2003.

[12] 馬鑫， 黃全義， 疏學(xué)明. 物聯(lián)網(wǎng)在公共安全領(lǐng)域中的應(yīng)用研究 [J]. 中國(guó)安全科學(xué)學(xué)報(bào)， 2010，19（3）：12-16.

[13] 田依林. 城市公共安全應(yīng)急管理信息系統(tǒng)建設(shè)模型 [J]. 武漢理工大學(xué)學(xué)報(bào)， 2007，47（2）：2-5.

第5篇：云計(jì)算服務(wù)安全評(píng)估方法范文

關(guān)鍵詞：云計(jì)算；安全技術(shù)；數(shù)據(jù)安全；應(yīng)用安全；虛擬化安全

中圖分類號(hào)：TP391 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2095-1302（2014）03-0088-03

0 引 言

所謂云計(jì)算，是將大量計(jì)算機(jī)、服務(wù)器和交換機(jī)等網(wǎng)絡(luò)設(shè)備構(gòu)成一個(gè)動(dòng)態(tài)的資源池來(lái)統(tǒng)一進(jìn)行管理，用戶可根據(jù)自己的需求從資源池中動(dòng)態(tài)索取所需的服務(wù)；該資源池通過(guò)虛擬化技術(shù)為用戶提供服務(wù)，軟件和業(yè)務(wù)數(shù)據(jù)都是在云中運(yùn)行或存儲(chǔ)的，用戶不需要擁有硬件基礎(chǔ)設(shè)施。

隨著信息化和物聯(lián)網(wǎng)技術(shù)的快速發(fā)展，海量數(shù)據(jù)以爆炸式趨勢(shì)增長(zhǎng)，而云計(jì)算使得高效、快速處理海量的信息成為可能，但隨之而來(lái)的安全問(wèn)題不容忽視，并已逐漸成為云計(jì)算面臨的最大挑戰(zhàn)，直接影響其后續(xù)的發(fā)展。本文首先對(duì)云計(jì)算帶來(lái)的安全問(wèn)題及關(guān)鍵技術(shù)進(jìn)行討論，并闡述了在標(biāo)準(zhǔn)化和產(chǎn)品應(yīng)用中的安全趨勢(shì)。

1 云計(jì)算的特點(diǎn)與應(yīng)用

云計(jì)算概念[1]由Google于2006年首次提出，可認(rèn)為是并行計(jì)算（Parallel Computing，PC）等計(jì)算模式的進(jìn)一步演進(jìn)；是多種技術(shù)混合演進(jìn)的結(jié)果，成熟度較高；是分布式計(jì)算模型的商業(yè)實(shí)現(xiàn)，具有大規(guī)模、多用戶、虛擬化、高可靠性、可伸縮性、按需服務(wù)、成本低廉七大特性。其中，可伸縮性和按需服務(wù)是區(qū)別于傳統(tǒng)IT服務(wù)的新特性。

目前，國(guó)內(nèi)外云計(jì)算主要提供3種服務(wù)模型[2]：IaaS（Infrastructure as a Service，基礎(chǔ)設(shè)施即服務(wù)），PaaS （Platform as a Service，平臺(tái)即服務(wù)）和SaaS（Software as a service，軟件及服務(wù)）。IaaS是將云處理、存儲(chǔ)、網(wǎng)絡(luò)等基礎(chǔ)資源封裝成服務(wù)以便用戶使用；用戶可以從供應(yīng)商那里獲取需要的資源來(lái)裝載相關(guān)計(jì)算或存儲(chǔ)的應(yīng)用，但必須考慮多臺(tái)設(shè)備協(xié)同工作的策略并為所租用的資源付費(fèi)；IaaS最具有代表性的產(chǎn)品有：Amazon EC2、IBM Blue Cloud、Cisco UCS和Joyent。PaaS是供給用戶應(yīng)用程序的運(yùn)行環(huán)境，主要面向開(kāi)發(fā)人員，提供在互聯(lián)網(wǎng)上的自定義開(kāi)發(fā)、測(cè)試、在線部署應(yīng)用程序等功能，是對(duì)資源更進(jìn)一步的抽象層次；PaaS比較著名的產(chǎn)品包括、Google App Engine、Windows Azure platform和Heroku。SaaS是將應(yīng)用軟件封裝成服務(wù)，用戶可直接使用無(wú)需安裝；最具有代表性的產(chǎn)品是Google Apps、Saleforce CRM、Office Web Apps和Zoho。

2 云計(jì)算特有的安全問(wèn)題

雖然云計(jì)算提供了新的計(jì)算模式和服務(wù)應(yīng)用來(lái)區(qū)別于傳統(tǒng)的IT網(wǎng)絡(luò)，但傳統(tǒng)信息安全的各種威脅都適用于云計(jì)算平臺(tái)，而云計(jì)算本身的特性又帶來(lái)一些新的安全問(wèn)題[3]。它最初的服務(wù)對(duì)象是企業(yè)內(nèi)部，對(duì)其他人只有部分功能是開(kāi)放的，例如郵件服務(wù)器和網(wǎng)絡(luò)服務(wù)器等，因此最初對(duì)云計(jì)算的設(shè)計(jì)沒(méi)有對(duì)其安全性做充分的考慮，只設(shè)計(jì)了防火墻、訪問(wèn)控制這些簡(jiǎn)單的安全措施。但伴隨著云計(jì)算的發(fā)展，有許多非法分子利用云計(jì)算的漏洞進(jìn)行一些非法操作，因此需要更快地發(fā)展云計(jì)算安全技術(shù)；其次，數(shù)據(jù)存儲(chǔ)在“云”端，要保障數(shù)據(jù)的安全以及租戶之間的數(shù)據(jù)隔離是關(guān)鍵；再次，用戶升級(jí)服務(wù)器時(shí)用的是遠(yuǎn)程執(zhí)行，并未采取本地環(huán)境安裝，這樣每次操作的同時(shí)就很可能帶來(lái)一些安全隱患；還有，云計(jì)算大量應(yīng)用虛擬化技術(shù)，保障其安全也和傳統(tǒng)的安全有很大區(qū)別。相較法律法規(guī)都相對(duì)完整的傳統(tǒng)安全技術(shù)，云計(jì)算缺少統(tǒng)一的標(biāo)準(zhǔn)，法律法規(guī)也不健全，國(guó)家政策上的不同也對(duì)云計(jì)算的發(fā)展有不利影響。

3 云計(jì)算安全的關(guān)鍵技術(shù)

3.1 數(shù)據(jù)安全

無(wú)論應(yīng)用上述3種服務(wù)模型的任何一種，為確保數(shù)據(jù)不丟失，數(shù)據(jù)安全[4]都非常重要。

3.1.1 數(shù)據(jù)傳輸安全

數(shù)據(jù)傳輸安全即是在數(shù)據(jù)傳輸過(guò)程中避免被篡改、竊聽(tīng)、監(jiān)視，從而保證數(shù)據(jù)的完整性、可用性、保密性。在傳輸過(guò)程中可采用VPN和數(shù)據(jù)加密等相關(guān)技術(shù)，實(shí)現(xiàn)從終端到云存儲(chǔ)的安全，維護(hù)人員也可以采用加密通道來(lái)保障信息的安全傳輸。

3.1.2 數(shù)據(jù)隔離

由于云計(jì)算采用共享介質(zhì)的數(shù)據(jù)存儲(chǔ)技術(shù)，不同用戶的數(shù)據(jù)可能會(huì)被存儲(chǔ)在同一物理存儲(chǔ)單元上，因此為防止相鄰用戶對(duì)數(shù)據(jù)的惡意竊取以及云服務(wù)提供商以管理員身份獲取用戶數(shù)據(jù)，采取加密的存儲(chǔ)設(shè)備是必要的手段。

3.1.3 數(shù)據(jù)殘留

數(shù)據(jù)殘留有兩種，一種是物理數(shù)據(jù)存儲(chǔ)設(shè)備上的數(shù)據(jù)被擦除后留有的痕跡，另一種是虛擬機(jī)遷移、回收和改變大小等行為造成之前在此虛擬機(jī)上存儲(chǔ)的數(shù)據(jù)的泄露，攻擊者有可能捕獲這些痕跡恢復(fù)出原始數(shù)據(jù)，不論信息是存在內(nèi)存中還是硬盤中，所以在存儲(chǔ)空間再次分配給其他租戶之前要將上一租戶的數(shù)據(jù)徹底清除。

3.2 應(yīng)用安全

3.2.1 終端用戶安全

在終端上安裝安全軟件，比如殺毒軟件、防火墻等來(lái)確保計(jì)算機(jī)的安全性。目前用戶獲得云服務(wù)的主要接口就是瀏覽器，所以瀏覽器的安全與否極為重要。要實(shí)現(xiàn)端到端的安全，就必須采取一些措施來(lái)保護(hù)瀏覽器的安全。在多種系統(tǒng)同時(shí)運(yùn)行的情況下攻擊者會(huì)由虛擬機(jī)上的漏洞為入口從而獲取物理機(jī)上的數(shù)據(jù)，所以應(yīng)加強(qiáng)虛擬機(jī)的管理[5]。

3.2.2 SaaS應(yīng)用安全

SaaS是提供給用戶無(wú)視底層云基礎(chǔ)設(shè)施的軟件服務(wù)，在這種服務(wù)模式下，云計(jì)算提供商維護(hù)管理所有應(yīng)用，云計(jì)算提供商必須保證應(yīng)用程序和組件的安全性，用戶只需負(fù)責(zé)最高層面的安全問(wèn)題，即用戶自己的操作安全、個(gè)人密碼等秘密信息的保管。選擇SaaS的提供商要特別慎重，因?yàn)闀?huì)負(fù)擔(dān)絕大部分的安全責(zé)任，提供商要最大限度地確保提供給用戶的服務(wù)的安全性。目前對(duì)于提供商的評(píng)估方法是根據(jù)保密協(xié)議，要求提供商提供相關(guān)的安全實(shí)踐信息，該信息應(yīng)當(dāng)包括黑盒與白盒安全測(cè)試記錄。攻擊者通常收集用戶的信息，視圖破解用戶的密碼，云服務(wù)提供商應(yīng)提供高強(qiáng)度密碼并對(duì)密碼進(jìn)行定期管理。在邏輯層，不同的數(shù)據(jù)根據(jù)用戶唯一的標(biāo)識(shí)符進(jìn)行隔離，但是在很多情況下，這種隔離可能會(huì)被軟件因素打破，例如虛擬機(jī)的重新分配等。因此，對(duì)于用戶來(lái)說(shuō)，應(yīng)盡量了解云服務(wù)提供商所提供的云服務(wù)的虛擬數(shù)據(jù)存儲(chǔ)架構(gòu)，對(duì)于云服務(wù)提供商來(lái)說(shuō)，應(yīng)加強(qiáng)軟件的安全性管理。

3.2.3 PaaS應(yīng)用安全

在PaaS模式下，云計(jì)算提供商不提供基礎(chǔ)設(shè)施，而是提供基于基礎(chǔ)設(shè)施的服務(wù)平臺(tái)，用戶可以在此平臺(tái)上用相應(yīng)的編程語(yǔ)言、操作系統(tǒng)來(lái)進(jìn)行應(yīng)用開(kāi)發(fā)并在該平臺(tái)上運(yùn)行應(yīng)用。PaaS應(yīng)用安全由兩個(gè)層次組成，包括PaaS自身安全還有客戶不屬于PaaS上的應(yīng)用安全。由于SSL是大部分云安全應(yīng)用的基礎(chǔ)，很多黑客都在研究SSL，在以后SSL將成為病毒傳播的主要媒介。所以提供商應(yīng)該針對(duì)當(dāng)前的問(wèn)題采取有效的辦法來(lái)解決此安全問(wèn)題，從而避免不必要的損失。在PaaS模式下，云計(jì)算提供商負(fù)責(zé)其提供的平臺(tái)的安全性，如果平臺(tái)中用到了第三方的應(yīng)用，則第三方對(duì)此應(yīng)用的安全性負(fù)責(zé)，所以，用戶在使用應(yīng)用、組件或Web服務(wù)時(shí)要知道所使用的是誰(shuí)提供的應(yīng)用，若是第三方提供，則用戶應(yīng)對(duì)該第三方服務(wù)提供商進(jìn)行風(fēng)險(xiǎn)評(píng)估。目前，部分云服務(wù)提供商拒絕對(duì)其所提供平臺(tái)中涉及到的第三方應(yīng)用信息進(jìn)行公開(kāi)，用戶應(yīng)該盡可能獲悉第三方信息從而進(jìn)行風(fēng)險(xiǎn)評(píng)估，提高自己數(shù)據(jù)的安全性。在云服務(wù)中，共享是比較重要的服務(wù)模式，因此，對(duì)于多用戶共享PaaS模式下，分離不同用戶至關(guān)重要。PaaS提供商在多用戶模式下必須提供“沙盒”結(jié)構(gòu)，保證PaaS中應(yīng)用的安全性。

3.2.4 IaaS基礎(chǔ)設(shè)施安全

IaaS云提供商將虛擬機(jī)租賃出去，云提供商完全不管理用戶的應(yīng)用和運(yùn)維，只是將用戶部署在虛擬機(jī)上的應(yīng)用當(dāng)成一個(gè)黑盒子而已，用戶在虛擬機(jī)上的應(yīng)用程序無(wú)論執(zhí)行何種任務(wù)，都由用戶自己管理和支配，所以對(duì)于應(yīng)用的安全，用戶負(fù)全部責(zé)任，而對(duì)于云提供商而言其在將設(shè)備租賃出之后便對(duì)客戶的應(yīng)用安全不提供任何幫助。

3.3 虛擬化安全

資源池通過(guò)虛擬化技術(shù)向客戶提供服務(wù)，在應(yīng)用虛擬化技術(shù)的時(shí)候主要有兩方面風(fēng)險(xiǎn)，虛擬化軟件安全和虛擬服務(wù)器安全[7]。

3.3.1 虛擬化軟件安全

軟件具有創(chuàng)建、運(yùn)行和銷毀虛擬服務(wù)器的能力，它直接安裝在裸機(jī)上。有很多方法可用來(lái)實(shí)現(xiàn)不同級(jí)別的虛擬化，例如操作系統(tǒng)級(jí)虛擬化、服務(wù)器級(jí)虛擬化、硬盤級(jí)虛擬化。在IaaS云平臺(tái)中，軟件完全由云服務(wù)商來(lái)管理，用戶不用訪問(wèn)此軟件層。必須嚴(yán)格控制虛擬化軟件層的訪問(wèn)權(quán)限，這樣才能保障計(jì)算機(jī)同時(shí)運(yùn)行多個(gè)操作系統(tǒng)的安全性，對(duì)于云服務(wù)提供商來(lái)說(shuō)必須建立健全的訪問(wèn)控制策略來(lái)保障虛擬化層次的用戶數(shù)據(jù)安全。

3.3.2 虛擬服務(wù)器安全[8]

在兼顧虛擬服務(wù)器特點(diǎn)的前提下，物理服務(wù)器的安全原理可以移植到虛擬服務(wù)器上應(yīng)用，當(dāng)虛擬服務(wù)器啟動(dòng)時(shí)TPM安全模塊會(huì)去檢驗(yàn)用戶密碼，若此時(shí)輸入的用戶名和密碼的Hash序列不對(duì)則虛擬服務(wù)器終止啟動(dòng)。最好使用可支持虛擬技術(shù)的多核處理器，這樣可以做到CPU之間的物理隔離，這樣可以避免許多不必要的問(wèn)題。

4 云計(jì)算組織及標(biāo)準(zhǔn)

近來(lái)來(lái)，各國(guó)政府紛紛開(kāi)展云計(jì)算標(biāo)準(zhǔn)化工作來(lái)促進(jìn)云計(jì)算技術(shù)的發(fā)展，從收集案例、場(chǎng)景以及分析標(biāo)準(zhǔn)化需求到最后進(jìn)行標(biāo)準(zhǔn)制定，其中涵蓋了云計(jì)算基礎(chǔ)標(biāo)準(zhǔn)、互操作和可移植、數(shù)據(jù)中心和設(shè)備、云計(jì)算安全及服務(wù)等方面。下面簡(jiǎn)要列舉一下云計(jì)算的組織及標(biāo)準(zhǔn)[9]：

4.1 CSA（Cloud Security Alliance）

云計(jì)算安全聯(lián)盟成立于2009年，致力于為云計(jì)算環(huán)境提供最佳的安全方案，在2013年，CSA[10]確認(rèn)了云計(jì)算2013年9大核心安全問(wèn)題，分別為：Data Breaches；Data Loss ；Account Hijacking ；Insecure APIs ；Denial of Service；Malicious Insiders；Abuse of Cloud Services；Insufficient Due Diligence ；Shared Technology Issues。CSA也了云安全矩陣，對(duì)云計(jì)算環(huán)境的安全問(wèn)題及解決方案提供了指導(dǎo)。

4.2 EU（EUROPEAN COMMISSION）

EU于 2012年了《Unleashing the Potential of Cloud Computing in Europe》對(duì)云計(jì)算核心技術(shù)、云計(jì)算安全問(wèn)題等方面進(jìn)行了研究。對(duì)于云計(jì)算的應(yīng)用及安全問(wèn)題具有指導(dǎo)性意義。

4.3 Open Cloud Manifesto（開(kāi)放云計(jì)算宣言）

“開(kāi)放云計(jì)算宣言”已經(jīng)正式，闡述了是云計(jì)算的概念和優(yōu)勢(shì)、云計(jì)算的安全問(wèn)題以及共有云、私有云、開(kāi)放云的目標(biāo)和原則等。

4.4 Distributed Management Task Force（分布式管理任務(wù)）

此組織的主要工作是提高共有云、私有云、混合云平臺(tái)之間的互操作性。另外，云計(jì)算的安全管理標(biāo)準(zhǔn)是ITIL、ISO/IEC27001和ISO/IEC27002。

5 結(jié) 語(yǔ)

隨著互聯(lián)網(wǎng)的快速發(fā)展，云計(jì)算的發(fā)展前景無(wú)可限量，它的規(guī)模很大，其中承載著用戶的許多隱私文件，與此同時(shí)也面臨的嚴(yán)峻的安全技術(shù)問(wèn)題，如何解決這些問(wèn)題是云計(jì)算發(fā)展的關(guān)鍵，因此需要完善云計(jì)算的技術(shù)，制定相應(yīng)的法律法規(guī)等手段來(lái)不斷完善云計(jì)算的安全技術(shù)，為云計(jì)算今后的發(fā)展?fàn)I造健康的環(huán)境。

參 考 文 獻(xiàn)

[1]馮登國(guó)，張敏，張妍，等. 云計(jì)算安全研究[J]. 軟件學(xué)報(bào)，2011（1）：71-83.

[2]房晶，吳昊，白松林. 云計(jì)算安全研究綜述[J]. 電信科學(xué)，2011（4）：37-42.

[3]李連，朱愛(ài)紅. 云計(jì)算安全技術(shù)研究綜述[J]. 信息安全與技術(shù)，2013（5）：42-45.

[4]王新磊. 云計(jì)算數(shù)據(jù)安全技術(shù)研究[D].鄭州：河南工業(yè)大學(xué)，2012.

[5]薛凱. 云計(jì)算安全問(wèn)題的研究[D].青島：青島科技大學(xué)，2011.

[6]裴小燕，張尼. 淺析云計(jì)算安全[J]. 信息通信技術(shù)，2012（1）：24-28.

[7]房晶.云計(jì)算的虛擬化安全和單點(diǎn)登錄研究[D].北京：北京交通大學(xué)，2012.

[8]張?jiān)朴拢惽褰?，潘松柏，? 云計(jì)算安全關(guān)鍵技術(shù)分析[J]. 電信科學(xué)，2010（9）：64-69.

[9]王惠蒞，楊晨，楊建軍. 云計(jì)算安全和標(biāo)準(zhǔn)研究[J]. 信息技術(shù)與標(biāo)準(zhǔn)化，2012（5）：16-19.

[10]顏斌. 云計(jì)算安全相關(guān)標(biāo)準(zhǔn)研究現(xiàn)狀初探[J]. 信息安全與通信保密，2012（11）：66-68.

Network control recognition of intelligent power distribution cloud based on fuzzy cloud theory model

ZHENG Xiao-fa， YANG Li

（Chongqing Electromechanical Vocational Insititute， Chongqing 402760， China）

第6篇：云計(jì)算服務(wù)安全評(píng)估方法范文

關(guān)鍵詞：金融生態(tài)；層次分析法（AHP）；網(wǎng)絡(luò)層次分析法（ANP）

一、引言

縣域金融是縣域經(jīng)濟(jì)的核心，金融生態(tài)的建設(shè)對(duì)于改善經(jīng)濟(jì)運(yùn)行環(huán)境，吸引信貸等經(jīng)濟(jì)資源，打造資金“洼地效應(yīng)”，促進(jìn)縣域經(jīng)濟(jì)的發(fā)展至關(guān)重要。縣域金融生態(tài)評(píng)估可以直觀地闡明金融生態(tài)主體和金融生態(tài)現(xiàn)狀及發(fā)展趨勢(shì)，對(duì)當(dāng)?shù)亟鹑谏鷳B(tài)的加速建設(shè)具有指導(dǎo)意義，同時(shí)為農(nóng)村金融發(fā)展、農(nóng)村經(jīng)濟(jì)建設(shè)、“三農(nóng)”戰(zhàn)略目標(biāo)的實(shí)現(xiàn)等提供理論支持和政策參考。從某種意義上來(lái)說(shuō)，由金融監(jiān)管缺位、金融政策不當(dāng)、金融發(fā)展失衡等釀成的全球金融危機(jī)，也是由于金融生態(tài)出現(xiàn)了問(wèn)題。因此，科學(xué)合理地評(píng)估金融生態(tài)對(duì)增強(qiáng)金融機(jī)構(gòu)抗風(fēng)險(xiǎn)能力、穩(wěn)定金融秩序、改善金融生態(tài)環(huán)境有重要戰(zhàn)略意義。

二、文獻(xiàn)綜述

金融生態(tài)這一概念由我國(guó)首先引入，具有較強(qiáng)的中國(guó)特色。2004年中國(guó)人民銀行行長(zhǎng)周小川指出應(yīng)通過(guò)改進(jìn)金融生態(tài)的途徑來(lái)促進(jìn)整個(gè)金融系統(tǒng)的改革和發(fā)展后，掀起一股研究金融生態(tài)的熱潮。從理論角度來(lái)說(shuō)，廣義上的金融生態(tài)是指與金融業(yè)生存、發(fā)展具有互動(dòng)關(guān)系的社會(huì)、自然因素的總和，包括政治、經(jīng)濟(jì)、文化等一切與金融業(yè)相互影響、相互作用的諸多方面，是金融業(yè)生存、發(fā)展的基礎(chǔ)；狹義而言，則是指微觀層面的金融環(huán)境，包括法律、社會(huì)信用體系、會(huì)計(jì)與審計(jì)準(zhǔn)則、中介服務(wù)體系、企業(yè)改革及銀企關(guān)系等方面的內(nèi)容。

金融生態(tài)是側(cè)重“生物群落”或“生物成分”而構(gòu)成的具有相對(duì)獨(dú)立秩序結(jié)構(gòu)、要素邏輯條理等特性的、互動(dòng)式動(dòng)態(tài)平衡系統(tǒng)。其重點(diǎn)是如何確保金融生態(tài)長(zhǎng)期處于良好穩(wěn)定狀態(tài)，并促進(jìn)金融業(yè)的健康發(fā)展乃至經(jīng)濟(jì)發(fā)展和社會(huì)進(jìn)步。經(jīng)過(guò)白欽先（2001）、周小川（2004）、徐諾金（2005）、李揚(yáng)（2005）、劉煜輝（2007）等從不同角度界定、研究后，逐步構(gòu)建了趨于完善的金融生態(tài)理論。目前而言，國(guó)外直接涉及金融生態(tài)領(lǐng)域的相關(guān)研究尚未展開(kāi)，類似研究大多是從金融安全的角度出發(fā)，圍繞金融危機(jī)與風(fēng)險(xiǎn)理論和實(shí)踐展開(kāi)的。

在金融生態(tài)的實(shí)證研究方面，相關(guān)學(xué)者從金融生態(tài)指標(biāo)、資源配置、區(qū)域金融生態(tài)、縣域金融制度建設(shè)、新制度經(jīng)濟(jì)學(xué)等不同的角度研究金融生態(tài)。如：徐小林（2005）在對(duì)山東三地市的金融生態(tài)環(huán)境研究中，通過(guò)對(duì)區(qū)域金融生態(tài)評(píng)價(jià)指標(biāo)的設(shè)計(jì)，從實(shí)證分析的角度探討了區(qū)域金融生態(tài)環(huán)境的現(xiàn)狀。周志平等（2005）從金融生態(tài)的層次機(jī)構(gòu)和資源配置的角度，在對(duì)欠發(fā)達(dá)地區(qū)市、縣域和鄉(xiāng)村三層金融生態(tài)的結(jié)構(gòu)性比較研究的基礎(chǔ)上，結(jié)合個(gè)案得到了改善金融生態(tài)的一些結(jié)論。程亞男（2006）以區(qū)域金融生態(tài)為研究對(duì)象，通過(guò)構(gòu)建定性指標(biāo)和定量指標(biāo)相結(jié)合的金融生態(tài)評(píng)價(jià)的指標(biāo)體系，闡述了一種健康金融生態(tài)的理想狀態(tài)模式。皮天雷（2006）從新制度經(jīng)濟(jì)學(xué)的角度出發(fā)，分析了法治在金融生態(tài)的完善和發(fā)展中有至關(guān)重要的作用。

與此同時(shí)，對(duì)金融生態(tài)評(píng)估方法的研究正經(jīng)歷著大膽嘗試、不斷探索創(chuàng)新的過(guò)程。中國(guó)社科院金融研究所繼2005年首次對(duì)50個(gè)大中城市的評(píng)估報(bào)告之后又于2007年推出了全國(guó)31個(gè)省市、90個(gè)中心城市的評(píng)估報(bào)告，首次將Saaty教授的層次分析方法運(yùn)用到評(píng)估研究中，較為妥善地解決了多屬性、多層次難以完全定量化的復(fù)雜問(wèn)題。一石激起千層浪，金融生態(tài)的理念立即引起社會(huì)各界的高度關(guān)注，對(duì)金融生態(tài)評(píng)估方法論的研究亦成為學(xué)術(shù)界研究的一大熱點(diǎn)。研究成果亦如雨后春筍：謝慶健（2006）對(duì)安徽、江西、河南、江蘇、浙江、山東六省1995-2004年期間的縣域金融生態(tài)狀況進(jìn)行了一次專題調(diào)研；雷永健等（2006）運(yùn)用DEA模型對(duì)成都市所轄13個(gè)區(qū)市縣2005年的金融生態(tài)環(huán)境進(jìn)行測(cè)評(píng)；人民銀行廣州分行課題組（2006）將因子分析與層次分析相結(jié)合，實(shí)現(xiàn)了方法上的突破與創(chuàng)新等等。在不斷的嘗試與創(chuàng)新中，金融生態(tài)評(píng)估的理論體系不斷豐富，評(píng)估方法日臻成熟。

三、研究設(shè)計(jì)

金融生態(tài)評(píng)估結(jié)果的科學(xué)合理性在很大程度上依賴于科學(xué)系統(tǒng)的評(píng)估方法以及合理的指標(biāo)體系。本文選取某省縣域金融生態(tài)評(píng)估中所采用的指標(biāo)體系，在其基礎(chǔ)上提出一套更為科學(xué)、客觀的評(píng)估模型。

（一）ANP基于AHP的改進(jìn)

1996年Saaty教授在AHP基礎(chǔ)上提出的ANP方法，它能更好的適應(yīng)復(fù)雜結(jié)構(gòu)的決策問(wèn)題，并能將元素間錯(cuò)綜復(fù)雜的關(guān)聯(lián)與反饋關(guān)系納入到模型的分析中。雖然AHP是從定性和定量相結(jié)合的角度出發(fā)，具有深刻的數(shù)理背景、邏輯的分析方法，并在決策科學(xué)、管理科學(xué)、系統(tǒng)工程領(lǐng)域得到廣泛應(yīng)用，然而其缺陷也不容忽視。

通過(guò)大量理論和實(shí)證分析，ANP相對(duì)于AHP的優(yōu)勢(shì)在于：1.ANP是將復(fù)雜的問(wèn)題分解成各個(gè)組成因素，按支配關(guān)系聚類形成有序的遞階層次結(jié)構(gòu)；而ANP的網(wǎng)絡(luò)層次結(jié)構(gòu)更為復(fù)雜，既存在遞階層次結(jié)構(gòu)，又存在內(nèi)部循環(huán)相互關(guān)聯(lián)的網(wǎng)絡(luò)結(jié)構(gòu)，且層次結(jié)構(gòu)內(nèi)部各元素之間還存在依賴性和反饋性。2.由于AHP假設(shè)內(nèi)部元素相對(duì)獨(dú)立，使其應(yīng)用范圍受到了一定限制。在實(shí)際決策問(wèn)題中，系統(tǒng)元素更多的不是呈遞階層次結(jié)構(gòu)形式，而是網(wǎng)絡(luò)結(jié)構(gòu)形式，而這恰恰是ANP更實(shí)用所在。如圖1所示:

圖1 網(wǎng)絡(luò)層次結(jié)構(gòu)圖

ANP方法經(jīng)過(guò)國(guó)內(nèi)外學(xué)者的不斷改進(jìn)，已經(jīng)成為一種較為成熟、系統(tǒng)的決策評(píng)估理論。自此，國(guó)內(nèi)外基于ANP原理的評(píng)估方法被廣泛運(yùn)用到社會(huì)的諸多領(lǐng)域：AHP與ANP在供應(yīng)商選擇領(lǐng)域的運(yùn)用比較（凌云等）、網(wǎng)絡(luò)層次分析法在城市競(jìng)爭(zhēng)力評(píng)價(jià)方面（趙國(guó)杰等）、物流滿意度評(píng)價(jià)（許國(guó)兵等）、橋梁設(shè)計(jì)方案（孫宏才等）、Graph Model與ANP模型在中美電視傾銷中的比較研究（Keith W.HIPEL等）、MCDM工具與ANP在市政選址的決策運(yùn)用（Mufide Banar等）、ANP在復(fù)雜環(huán)境中的決策運(yùn)用（Thomas?L?Saaty）等等。

（二）運(yùn)用ANP構(gòu)建金融生態(tài)評(píng)估體系

以往的金融生態(tài)評(píng)估方法存在諸多不足，其一，以往的評(píng)價(jià)方法以定性研究見(jiàn)多，缺乏強(qiáng)有力的說(shuō)服力和充分的科學(xué)性論證；其二，即使采取定量的研究方法，所選取的評(píng)價(jià)方法沒(méi)有考慮指標(biāo)體系內(nèi)各指標(biāo)之間的相關(guān)性，從而對(duì)指標(biāo)優(yōu)度產(chǎn)生影響，進(jìn)而使最終評(píng)估結(jié)果發(fā)生偏差；其三，雖有復(fù)雜的數(shù)理支撐，卻缺少系統(tǒng)、科學(xué)的評(píng)價(jià)體系。

針對(duì)以上三點(diǎn)，借鑒前人已有成果，重點(diǎn)運(yùn)用ANP方法對(duì)某市縣域金融生態(tài)環(huán)境進(jìn)行評(píng)估。相較于AHP方法，ANP方法更能把握金融生態(tài)環(huán)境指標(biāo)體系之間存在的內(nèi)在關(guān)系，評(píng)估結(jié)果更為科學(xué)合理。

1.指標(biāo)體系構(gòu)造

本文在湖南大學(xué)金融管理研究中心所提出的指標(biāo)體系基礎(chǔ)上，對(duì)指標(biāo)之間的關(guān)聯(lián)與反饋進(jìn)行下述分析：從概念內(nèi)涵上，例如司法力度（X11）指標(biāo)包含的經(jīng)濟(jì)案件結(jié)案率（X111）、金融案件結(jié)案率（X112）與金融債權(quán)保護(hù)（X12）內(nèi)的金融勝訴案件執(zhí)結(jié)率（X121）、金融案件執(zhí)結(jié)資產(chǎn)回收率（X11）之間以及X11與X12之間都存在明顯的關(guān)聯(lián)；從數(shù)理上，運(yùn)用SPSS進(jìn)行線型相關(guān)檢驗(yàn)，證明元素間存在顯著的相關(guān)性。例如：X111與X112，X121，X122之間的相關(guān)系數(shù)很大，說(shuō)明X11與X12之間具有較強(qiáng)的關(guān)聯(lián)度；進(jìn)而說(shuō)明法治環(huán)境（X1）元素集內(nèi)部存在依存。

基于以上的分析，金融生態(tài)系統(tǒng)中，不是簡(jiǎn)單的遞階層次結(jié)構(gòu)，而是一種復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)，當(dāng)網(wǎng)絡(luò)中的層次之間和層次的內(nèi)部元素之間存在依賴和反饋時(shí)，簡(jiǎn)單地運(yùn)用AHP方法將影響評(píng)估結(jié)果的真實(shí)性和科學(xué)性。然而ANP方法能很好的解決這個(gè)問(wèn)題，因此本文從指標(biāo)體系的層次結(jié)構(gòu)出發(fā)，運(yùn)用ANP原理對(duì)該指標(biāo)體系進(jìn)行重新構(gòu)建。

該指標(biāo)體系的結(jié)構(gòu)主要由以下兩部分組成：第一部分稱為控制層，包括評(píng)估目標(biāo)；第二部分為網(wǎng)絡(luò)層是由X1、X2、X3、X4四個(gè)相互關(guān)聯(lián)的元素集，以及其內(nèi)部的X11、X12、X21…X31、X32…X45等組成。如圖2：

圖2 基于ANP的金融生態(tài)評(píng)估模型圖

2.ANP評(píng)估過(guò)程

構(gòu)造多指標(biāo)綜合評(píng)估指標(biāo)體系的核心是確定權(quán)數(shù)，權(quán)數(shù)是綜合評(píng)估模型中的重要因素，它直接影響到綜合評(píng)估的結(jié)果。權(quán)重的確定主要有兩類方法：一類是主觀賦權(quán)法，根據(jù)人們主觀上對(duì)各評(píng)估指標(biāo)的重視程度來(lái)確定其權(quán)重的方法；一類是客觀賦權(quán)法，根據(jù)各指標(biāo)所提供信息量的大小來(lái)決定相應(yīng)指標(biāo)權(quán)重的方法。兩種方法各有利弊，主觀賦權(quán)法依賴專家經(jīng)驗(yàn)，考慮全面，但難免有主觀臆斷性；客觀賦權(quán)法相對(duì)客觀，但數(shù)據(jù)分析結(jié)果可能不穩(wěn)定。

本文基于以上指標(biāo)體系的網(wǎng)絡(luò)結(jié)構(gòu)，采取了變異系數(shù)法與網(wǎng)絡(luò)層次法相結(jié)合的權(quán)重確定方法（以下簡(jiǎn)稱為ANP方法）。指標(biāo)權(quán)重具體計(jì)算過(guò)程如下：對(duì)于項(xiàng)目層與子項(xiàng)目層，因?yàn)橹笜?biāo)數(shù)目較少，且之間存在相互關(guān)聯(lián)和反饋，先構(gòu)造出網(wǎng)絡(luò)結(jié)構(gòu)，然后確定網(wǎng)絡(luò)元素集的關(guān)聯(lián)性，再采用ANP的方法對(duì)其賦權(quán)，用德?tīng)柗品ㄅc專家組打分結(jié)合得到判斷矩陣收斂值，代入Super Decision 1.6.0軟件通過(guò)超矩陣、極限矩陣的計(jì)算得到穩(wěn)定的項(xiàng)目層與子項(xiàng)目層各指標(biāo)的局部權(quán)重；對(duì)于指標(biāo)層，用極差標(biāo)準(zhǔn)化將指標(biāo)數(shù)據(jù)歸一化后，用變異系數(shù)來(lái)確定其權(quán)重。最后將局部權(quán)重與指標(biāo)層的權(quán)重相乘，便可得到歸一化的綜合權(quán)重。如表1所示：

表1 各層權(quán)重的計(jì)算方法

層次項(xiàng)目層子項(xiàng)目層指標(biāo)層

方法網(wǎng)絡(luò)層次分析法網(wǎng)絡(luò)層次分析法變異系數(shù)法

3.ANP與AHP評(píng)估結(jié)果比較

基于上述ANP評(píng)估模型，選取某省19縣為樣本，運(yùn)用極差法對(duì)指標(biāo)數(shù)據(jù)進(jìn)行處理，將標(biāo)準(zhǔn)化值乘綜合權(quán)重得到2007年各縣綜合得分。本文將最終得分、排名與湖南大學(xué)金融管理研究中心運(yùn)用AHP方法所得結(jié)果分別進(jìn)行比較，如圖3-1、圖3-2所示：

圖3-1

圖3-2

采用ANP方法和AHP方法進(jìn)行縣域金融生態(tài)評(píng)估的最后結(jié)果在排名上基本一致，然而得分卻有一定的差別。前者在得分上整體性地高于后者，主要由指標(biāo)數(shù)值標(biāo)準(zhǔn)化的方法不同引起的，不影響最終相對(duì)排序。兩者差異主要體現(xiàn)在前兩層元素的權(quán)重上，雖然兩種方法下四要素權(quán)重大小排名相同，但ANP方法賦予了法治環(huán)境和經(jīng)濟(jì)基礎(chǔ)更高的權(quán)重，其主要原因在于：1.AHP方法假設(shè)金融生態(tài)四要素是相互獨(dú)立的，而ANP方法則認(rèn)為金融生態(tài)各層次是相互影響的；2.AHP方法假設(shè)元素集內(nèi)的因素相互獨(dú)立，下層元素只受上一層元素的控制，而ANP方法認(rèn)為指標(biāo)體系中的任何一個(gè)指標(biāo)可能和其他指標(biāo)相互影響，并對(duì)上一層指標(biāo)產(chǎn)生反饋。

四、結(jié)論

本文基于國(guó)內(nèi)外金融生態(tài)相關(guān)理論及評(píng)估方法，在考慮金融生態(tài)各因素間的相互依賴與反饋的基礎(chǔ)上建立了ANP評(píng)估模型，該模型在理論上更能表征金融生態(tài)內(nèi)部相互關(guān)聯(lián)的特征。將ANP方法創(chuàng)新性地運(yùn)用到金融生態(tài)評(píng)估中，不僅是對(duì)科學(xué)合理評(píng)價(jià)方法的嘗試，更是對(duì)該領(lǐng)域評(píng)估理論體系的補(bǔ)充與完善。通過(guò)與AHP實(shí)例比較分析，兩者結(jié)果的一致性驗(yàn)證了ANP在復(fù)雜系統(tǒng)評(píng)估中的正確性和合理性。然而ANP方法指標(biāo)內(nèi)部元素之間的關(guān)聯(lián)性很大程度上依賴專家意見(jiàn)，判斷矩陣較多，用德?tīng)柗品ǖ玫降氖諗啃灾敌枰M(jìn)行多次反復(fù)調(diào)整，增加了評(píng)估工作的計(jì)算量。相較而言，在只需要得到評(píng)估對(duì)象相對(duì)排序時(shí)，AHP方法操作更簡(jiǎn)單可行。因此，在不同評(píng)估目標(biāo)下，兩種方法各有所長(zhǎng)。

參考文獻(xiàn)：

［1］ Saaty,T.L. Decisions with the Analytic Network Process （ANP）. University of Pittsburg: Springer Verlag, 2006.

［2］Saaty,T.L. The Analytic Hierarchy Process［M］. Mc Graw Hill, 1980.

［3］Honohan,Patrick. How interest rates changed under financial liberalization a cross-eountry review.Policy Research Working Paper series 2313.The World Bank.2000.

［4］Gurley,J.G..and Shaw,E.S. Financial Structure and Economic Development［J］, Economic Development and Cultural Change, 1967,15（3）:257-268.

［5］Detragiache, Enrica, Demirguc-Kunt, Asli. Monitoring banking sector fragility：a multivariate logit approach with an application to the 1996-97 banking crises［J］.World Bank Economic Review，2000,14（2）:287-307.

［6］劉煜輝. 中國(guó)地區(qū)金融生態(tài)環(huán)境評(píng)估（2006-2007）［M］. 第1版. 中國(guó)金融出版社,2007.

［7］湖南大學(xué)金融管理研究中心. 2007年度株洲市縣域金融生態(tài)評(píng)估報(bào)告［N］. 株洲日?qǐng)?bào). 2008,09.

［8］周小川. 完善法律制度，改進(jìn)金融生態(tài)［N］. 金融時(shí)報(bào), 2004,12.

［9］徐諾金. 論我國(guó)金融生態(tài)若干問(wèn)題［N］. 金融時(shí)報(bào),2005,01.

［10］許樹(shù)柏. 層次分析原理［M］. 天津:天津大學(xué)出版社, 1988.

［11］王蓮芬,許樹(shù)柏. 層次分析法引論［M］. 北京中國(guó)人民大學(xué)出版杜, 1990.

［12］孫宏才,田平. 網(wǎng)絡(luò)層次分析法淺析［N］. 中國(guó)系統(tǒng)工程學(xué)會(huì)第12屆學(xué)術(shù)年會(huì) ,2002.

［13］徐諾金. 論我國(guó)的金融生態(tài)問(wèn)題［J］. 金融研究, 2005,11.

［14］趙國(guó)杰,趙紅梅. 基于網(wǎng)絡(luò)層次分析法的城市競(jìng)爭(zhēng)力評(píng)估指標(biāo)體系研究［J］. 科技進(jìn)步與對(duì)策, 2006,11.

［15］趙國(guó)杰,關(guān)長(zhǎng)海,劉翠娥. 基于ANP的產(chǎn)業(yè)集群社會(huì)資本評(píng)估［J］. 現(xiàn)代財(cái)經(jīng), 2007,12.

［16］高小瓊. 關(guān)于加強(qiáng)區(qū)域金融生態(tài)環(huán)境建設(shè)的幾點(diǎn)思考［J］. 中國(guó)金融, 2005,14.

［17］蕭安富，徐彥斐. 金融生態(tài)與資金配置效率的一個(gè)微觀解釋：自貢案例研究［J］. 金融研究,2005,6.

［18］路易絲普特曼. 企業(yè)的經(jīng)濟(jì)性質(zhì)［M］. 上海財(cái)經(jīng)大學(xué)出版社, 2000.

［19］納爾遜,溫特. 經(jīng)濟(jì)變遷的演化理論［M］. 北京：商務(wù)印書館, 1997.

［20］韓平. 改善金融生態(tài)環(huán)境是系統(tǒng)工程［J］. 金融時(shí)報(bào),2005,5.

［21］徐諾金. 運(yùn)用生態(tài)學(xué)方法分析考察金融的幾點(diǎn)思考［J］. 中國(guó)金融, 2006,19.

第7篇：云計(jì)算服務(wù)安全評(píng)估方法范文

【關(guān)鍵詞】電力設(shè)備 數(shù)字化 智能化 智能電網(wǎng)

1 前言

在堅(jiān)強(qiáng)智能電網(wǎng)的架構(gòu)下，輸變電設(shè)備的智能化將逐步成為未來(lái)電網(wǎng)建設(shè)中必不可少的環(huán)節(jié)。輸變電設(shè)備智能化的目的是使電網(wǎng)能實(shí)時(shí)掌控關(guān)鍵設(shè)備的運(yùn)行狀態(tài)，在盡量少的人工干預(yù)下，及時(shí)發(fā)現(xiàn)、快速診斷和消除故障隱患，快速隔離故障、自我恢復(fù)，使電網(wǎng)具有自適應(yīng)和自愈能力；同時(shí)，進(jìn)一步提高設(shè)備的可靠性和利用率，是實(shí)現(xiàn)智能電網(wǎng)的重要技術(shù)基礎(chǔ)。我國(guó)已在特高壓技術(shù)、高級(jí)調(diào)度中心、數(shù)字化變電站等方面進(jìn)行了嘗試并取得積極進(jìn)展，但目前總體還處于初級(jí)階段，輸變電設(shè)備的智能化程度仍然較低。

智能變電站技術(shù)，自20世紀(jì)90年代以來(lái)一直是我國(guó)電力行業(yè)中的熱點(diǎn)之一，是集遠(yuǎn)動(dòng)、監(jiān)控、測(cè)量為一體，并與微機(jī)繼電保護(hù)裝置相配合，由監(jiān)控主機(jī)統(tǒng)一進(jìn)行各種信息的處理，可把變電站采集的實(shí)時(shí)數(shù)據(jù)進(jìn)行處理向調(diào)度中心傳遞。這可以減少人員依賴，給電網(wǎng)在線監(jiān)測(cè)、最佳運(yùn)行方式選擇、事故處理等提供了有利條件。近10多年來(lái)，我國(guó)變電站智能化，在技術(shù)和數(shù)量上都有顯著的發(fā)展，但比例仍然偏低。

智能配電網(wǎng)，是提高分布式發(fā)電的重要基礎(chǔ)，我國(guó)目前仍處于摸索和試點(diǎn)的階段。國(guó)外現(xiàn)代化大城市的配電管理系統(tǒng)和配電自動(dòng)化，是在一次網(wǎng)絡(luò)規(guī)劃合理，變電設(shè)備本身可靠并具有遙控和智能功能，信息系統(tǒng)的普及和消費(fèi)者需求多樣化的基礎(chǔ)上建立起來(lái)的。日本在20世紀(jì)70年代就開(kāi)始以高壓、大容量的配電方式解決大城市配電問(wèn)題，并著手開(kāi)發(fā)配電網(wǎng)絡(luò)智能運(yùn)行的方法，80年代到現(xiàn)在完成了計(jì)算機(jī)系統(tǒng)與配電設(shè)備配合的配電自動(dòng)化系統(tǒng)，在主要城市的配電網(wǎng)絡(luò)上投入運(yùn)行。美國(guó)在80年代就實(shí)現(xiàn)了一定程度的配電自動(dòng)化。韓國(guó)和我國(guó)臺(tái)灣地區(qū)也于90年代完成了局部配電系統(tǒng)的自動(dòng)化，并建立了自己的配網(wǎng)自動(dòng)化網(wǎng)絡(luò)。由于我國(guó)配電設(shè)備的技術(shù)性能跟不上發(fā)展的需要，保護(hù)開(kāi)關(guān)的技術(shù)參數(shù)及可靠性差，再加之配電線路長(zhǎng)，變壓器和分支多，常常是一點(diǎn)故障導(dǎo)致全線路的停電，并且故障點(diǎn)難以快速發(fā)現(xiàn)，降低了供電的可靠性和工作效率。

所以，我國(guó)電網(wǎng)的智能化發(fā)展還有較長(zhǎng)的路要走，而設(shè)備的智能化不足是重要制約，是未來(lái)我國(guó)堅(jiān)強(qiáng)智能電網(wǎng)建設(shè)需要重點(diǎn)解決的前提和基礎(chǔ)。

2 設(shè)備智能化發(fā)展關(guān)鍵技術(shù)趨勢(shì)

提高輸變電設(shè)備智能化發(fā)展，涉及到規(guī)劃、設(shè)計(jì)、建設(shè)、運(yùn)行、電網(wǎng)調(diào)度和生產(chǎn)管理等多個(gè)環(huán)節(jié)，必須綜合具備智能運(yùn)營(yíng)、智能診斷、智能決策、智能控制、智能分析等能力，重點(diǎn)提升七個(gè)方面的技術(shù)水平。

2.1 設(shè)備信息的感知和一體化融合技術(shù)

研究適于現(xiàn)場(chǎng)運(yùn)行要求的傳感器是設(shè)備智能化的關(guān)鍵技術(shù)之一。一方面，傳感器的小型化、與高壓設(shè)備的一體化、集成化，實(shí)現(xiàn)一次設(shè)備與二次設(shè)備高度集成，支持可測(cè)、可知、可控的高安全電網(wǎng)設(shè)計(jì)理念是未來(lái)重要的研究發(fā)展方向。另一方面，提高傳感器的靈敏度、長(zhǎng)期穩(wěn)定性和選擇性，其發(fā)展趨勢(shì)是從新材料、新工藝入手，探索新型傳感結(jié)構(gòu)與測(cè)量原理，利用光、化學(xué)等多種物理效應(yīng)研究開(kāi)發(fā)具有高靈敏度、高穩(wěn)定性及超高帶寬的新型傳感器，準(zhǔn)確可靠地現(xiàn)場(chǎng)提取和識(shí)別重要運(yùn)行狀態(tài)特征量。

2.2 基于多源信息融合分析的智能狀態(tài)評(píng)估與診斷技術(shù)

根據(jù)監(jiān)測(cè)種類和參量的不同（ 如局部放電、介損、油中溶解氣體含量等） ，研究軟件模塊化組合和硬件集成化、小型化，提高運(yùn)行的穩(wěn)定性、可靠性，實(shí)現(xiàn)監(jiān)測(cè)、診斷系統(tǒng)與輸變電設(shè)備一體化。利用輸變電設(shè)備的各類狀態(tài)信息，實(shí)現(xiàn)多功能、多參數(shù)的綜合監(jiān)測(cè)與診斷，重點(diǎn)研究不同類型（ 聲、光、電、熱、力等） 多物理量的傳感信息及其關(guān)聯(lián)關(guān)系，建立基于多特征參量和多維判據(jù)的輸變電設(shè)備狀態(tài)自評(píng)估診斷模型，其中一些智能分析方法特別是信息融合、數(shù)據(jù)挖掘、神經(jīng)網(wǎng)絡(luò)、專家系統(tǒng)、數(shù)字影像分析等技術(shù)可以在輸變電設(shè)備評(píng)估診斷中得到更好的應(yīng)用。綜合利用SCADA、WAMS 等運(yùn)行工況數(shù)據(jù)與在線監(jiān)測(cè)數(shù)據(jù)、帶電檢測(cè)、試驗(yàn)數(shù)據(jù)、設(shè)備臺(tái)賬等實(shí)現(xiàn)基于多源信息融合的輸變電設(shè)備綜合狀態(tài)評(píng)估、故障診斷和壽命預(yù)估也是需要研究的關(guān)鍵技術(shù)。

2.3 運(yùn)行風(fēng)險(xiǎn)控制和安全預(yù)警的智能決策技術(shù)

提高輸變電設(shè)備的故障防御能力以及故障的自愈能力（ 如惡劣氣象條件、外部雷電閃絡(luò)故障等） ，需要根據(jù)獲得的設(shè)備狀態(tài)信息、變化發(fā)展過(guò)程以及設(shè)備本身的特性，采用智能方法預(yù)測(cè)故障發(fā)生的可能性，達(dá)到提前預(yù)警和故障控制的目的。研究?jī)?nèi)容包括輸變電設(shè)備運(yùn)行安全分析理論和技術(shù)； 輸變電設(shè)備運(yùn)行風(fēng)險(xiǎn)水平評(píng)價(jià)指標(biāo)體系和評(píng)價(jià)理論； 輸變電設(shè)備運(yùn)行風(fēng)險(xiǎn)源辨識(shí)、安全預(yù)警方法； 輸變電設(shè)備預(yù)想事故推演方法與仿真技術(shù)等。另外，需要研究多參量綜合診斷的電力裝備壽命評(píng)估方法及剩余壽命預(yù)測(cè)理論，結(jié)合可靠性和經(jīng)濟(jì)性分析，研究設(shè)備的維修策略，實(shí)現(xiàn)設(shè)備的壽命預(yù)測(cè)及全壽命周期管理。

2.4 設(shè)備輸送容量提高及其安全控制技術(shù)

智能輸變電設(shè)備主要研究基于運(yùn)行狀態(tài)和實(shí)時(shí)環(huán)境參數(shù)實(shí)現(xiàn)動(dòng)態(tài)增容的技術(shù)，未來(lái)關(guān)注的研究?jī)?nèi)容包括： 變壓器、斷路器、輸電線路動(dòng)態(tài)負(fù)荷能力評(píng)估理論和方法； 基于SCADA 和WAMS 數(shù)據(jù)的輸電線路運(yùn)行參數(shù)辨識(shí)原理和技術(shù)； 考慮輸變電設(shè)備實(shí)際運(yùn)行狀態(tài)以及負(fù)荷預(yù)測(cè)的調(diào)度輔助決策等。在此基礎(chǔ)上，需研究輸變電設(shè)備負(fù)載實(shí)時(shí)安全控制技術(shù)，提高短時(shí)高峰或故障時(shí)設(shè)備過(guò)負(fù)載運(yùn)行的能力。

2.5 高壓開(kāi)關(guān)電器的智能操作和控制技術(shù)

不同運(yùn)行工況下（ 空載變壓器、空載線路、故障電流特性不同等） 開(kāi)關(guān)電器需要采用不同的操作特性，要實(shí)現(xiàn)絕緣介質(zhì)恢復(fù)的綜合調(diào)控，也需要考慮開(kāi)關(guān)電器運(yùn)動(dòng)對(duì)電弧形態(tài)以及弧后介質(zhì)恢復(fù)過(guò)程的影響，以滿足快速限流分?jǐn)唷⒌筒僮鬟^(guò)電壓等要求。因此，未來(lái)需關(guān)注不同介質(zhì)中開(kāi)關(guān)電弧發(fā)生和熄滅機(jī)理、弧后介質(zhì)恢復(fù)過(guò)程，開(kāi)關(guān)電器智能操作的控制理論與方法及新型操作機(jī)構(gòu)，開(kāi)關(guān)電器操作過(guò)程中的電磁兼容特性等。另外，智能開(kāi)關(guān)設(shè)備的選相控制技術(shù)也是降低電網(wǎng)事故風(fēng)險(xiǎn)的有效手段。

2.6 設(shè)備智能化互動(dòng)分析技術(shù)

智能輸變電設(shè)備的信息化系統(tǒng)的發(fā)展趨勢(shì)是與生產(chǎn)管理系統(tǒng)、運(yùn)行維護(hù)系統(tǒng)、數(shù)字化設(shè)計(jì)系統(tǒng)以及SCADA、WAMS 系統(tǒng)等進(jìn)行數(shù)據(jù)交互，需要研究各類不同信息的融合分析和輔助決策技術(shù)，包括基于風(fēng)險(xiǎn)評(píng)估和全壽命周期管理的設(shè)備狀態(tài)檢修優(yōu)化決策、設(shè)備運(yùn)行狀態(tài)對(duì)大電網(wǎng)安全穩(wěn)定影響的輔助分析等。

2.7 物聯(lián)網(wǎng)技術(shù)和云計(jì)算及其應(yīng)用

輸變電設(shè)備狀態(tài)、運(yùn)行和故障等信息的網(wǎng)絡(luò)化共享是實(shí)現(xiàn)電力網(wǎng)中各設(shè)備之間的信息交互、遠(yuǎn)程控制、遠(yuǎn)程診斷等的必然要求。物聯(lián)網(wǎng)利用智能傳感器、RFID 技術(shù)、無(wú)線傳感網(wǎng)絡(luò)、GPS 等技術(shù)實(shí)現(xiàn)物體之間的信息交互，作為“智能信息感知末梢”，將推動(dòng)設(shè)備智能化的發(fā)展。通過(guò)輸變電設(shè)備物聯(lián)網(wǎng)感知層傳感器的共享，網(wǎng)絡(luò)層的融合，應(yīng)用層系統(tǒng)的安全互訪，實(shí)現(xiàn)設(shè)備各種監(jiān)測(cè)狀態(tài)信息的共享互通，提高設(shè)備狀態(tài)評(píng)估和智能診斷水平，為周期成本最優(yōu)提供輔助決策。其中，輸變電設(shè)備信息模型、網(wǎng)絡(luò)架構(gòu)、感知體系、通訊模型與接口規(guī)范、網(wǎng)絡(luò)與信息安全、設(shè)備間的信息共享與交互策略等問(wèn)題都是需要深入研究。

云計(jì)算利用網(wǎng)絡(luò)將各種廣域異構(gòu)計(jì)算資源整合，以形成一個(gè)抽象的、虛擬的和可動(dòng)態(tài)擴(kuò)展的計(jì)算資源池，再通過(guò)網(wǎng)絡(luò)向用戶按需提供計(jì)算能力、存儲(chǔ)能力、軟件平臺(tái)和應(yīng)用軟件等服務(wù)。通過(guò)建立云計(jì)算平臺(tái)，有效整合系統(tǒng)中現(xiàn)有的計(jì)算資源，為各種分析計(jì)算任務(wù)提供強(qiáng)大的計(jì)算與存儲(chǔ)能力支持，有助于實(shí)現(xiàn)輸變電設(shè)備的大范圍實(shí)時(shí)監(jiān)控和信息采集，提高實(shí)時(shí)分析和智能處理能力。需要研究與云計(jì)算相適應(yīng)的輸變電設(shè)備數(shù)據(jù)融合、智能分析以及評(píng)估診斷的并行算法等。

3 輸變電智能化設(shè)備發(fā)展對(duì)策及建議

改變我國(guó)輸變電設(shè)備智能化方面的落后狀態(tài)，加強(qiáng)相關(guān)技術(shù)突破和應(yīng)用，需要國(guó)家、行業(yè)和企業(yè)的共同努力。

3.1 國(guó)家層面

加大技術(shù)進(jìn)步和技術(shù)改造投資力度，支持使用國(guó)產(chǎn)首臺(tái)（套）重大技術(shù)裝備，支持目錄內(nèi)裝備的自主化、節(jié)能節(jié)材減排改造等。重視示范工程和產(chǎn)業(yè)培育，通過(guò)投資和技術(shù)輻射帶動(dòng)產(chǎn)業(yè)的技術(shù)創(chuàng)新和發(fā)展，打造一批具有國(guó)際競(jìng)爭(zhēng)力的科技型企業(yè)。調(diào)整稅收優(yōu)惠政策，研究制定新的稅收扶持政策，鼓勵(lì)開(kāi)展引進(jìn)消化吸收再創(chuàng)新，引導(dǎo)發(fā)展高技術(shù)產(chǎn)品。

3.2 行業(yè)層面

進(jìn)一步加強(qiáng)輸變電設(shè)備制造產(chǎn)業(yè)的技術(shù)研究。鼓勵(lì)企業(yè)與具有較強(qiáng)研究基礎(chǔ)的高校、科研機(jī)構(gòu)以及電網(wǎng)合作，推進(jìn)產(chǎn)學(xué)研一體化，加快技術(shù)升級(jí)。增強(qiáng)企業(yè)間合作，通過(guò)具有不同比較優(yōu)勢(shì)的企業(yè)之間建立合作關(guān)系，互相借鑒外部先進(jìn)技術(shù)與管理經(jīng)驗(yàn)，提高技術(shù)與管理水平。

加強(qiáng)產(chǎn)業(yè)重組整合，提高資源配置效率。我國(guó)輸變電設(shè)備產(chǎn)業(yè)已形成部分具有優(yōu)勢(shì)領(lǐng)域，但在影響行業(yè)發(fā)展的重大技術(shù)領(lǐng)域不能聯(lián)合攻關(guān)，行業(yè)資源總體配置效率較低。需要制定合理的產(chǎn)業(yè)政策，適度提高產(chǎn)業(yè)集中度，通過(guò)產(chǎn)業(yè)縱向與橫向的聯(lián)合，實(shí)現(xiàn)不同企業(yè)間的優(yōu)勢(shì)互補(bǔ)。同時(shí)，充分發(fā)揮大型企業(yè)示范引領(lǐng)作用，促進(jìn)產(chǎn)業(yè)技術(shù)融合，推進(jìn)技術(shù)創(chuàng)新中的作用。

3.3 企業(yè)層面

加強(qiáng)基礎(chǔ)研究。在開(kāi)展產(chǎn)品研制與工藝技術(shù)升級(jí)的同時(shí)，還要根據(jù)科技縱深發(fā)展需要，合理安排基礎(chǔ)研究和應(yīng)用研究。加強(qiáng)對(duì)關(guān)鍵材料服役特性的研究，包括絕緣、電磁、熱場(chǎng)和多物理場(chǎng)耦合模擬等基礎(chǔ)技術(shù)的研發(fā)。加強(qiáng)實(shí)驗(yàn)研究基地、設(shè)施和科研梯隊(duì)建設(shè)。

加強(qiáng)科研投入。建立完善的科研投入機(jī)制，持續(xù)增強(qiáng)科研投入力度，確?？蒲匈Y金落實(shí)到位。瞄準(zhǔn)行業(yè)發(fā)展的技術(shù)前沿，以自主創(chuàng)新和引進(jìn)消化吸收再創(chuàng)新結(jié)合，搶占行業(yè)技術(shù)制高點(diǎn)。

加強(qiáng)人才隊(duì)伍建設(shè)，造就一支門類齊全、梯次合理、素質(zhì)優(yōu)良、規(guī)模適度的科技創(chuàng)新人才隊(duì)伍。采用靈活多樣的吸引人才政策，吸引國(guó)內(nèi)外一流科技人才到企業(yè)創(chuàng)業(yè)。鼓勵(lì)競(jìng)爭(zhēng)，敢為人先，爭(zhēng)創(chuàng)一流，努力營(yíng)造人盡其才、人才輩出的創(chuàng)新環(huán)境。

4 結(jié)語(yǔ)

隨著計(jì)算機(jī)技術(shù)、通信技術(shù)、功率電子技術(shù)和控制技術(shù)的發(fā)展，電力設(shè)備數(shù)字化、智能化技術(shù)逐步成熟，這也是解決電網(wǎng)智能化運(yùn)作的前提和基礎(chǔ)，未來(lái)會(huì)越來(lái)越多的在電力生產(chǎn)、傳輸、分配和應(yīng)用領(lǐng)域不斷被加以推廣應(yīng)用。有理由相信，隨著電力設(shè)備智能化發(fā)展，電網(wǎng)的運(yùn)行將帶來(lái)巨大的革命性變化，將更好的推進(jìn)電網(wǎng)服務(wù)社會(huì)發(fā)展，服務(wù)國(guó)民經(jīng)濟(jì)發(fā)展的需要。

參考文獻(xiàn)

[1] 許婧，王晶，高峰，束洪春.電力設(shè)備狀態(tài)檢修技術(shù)研究綜述[J].電網(wǎng)技術(shù)，2000（8）.

[2] 趙文清，朱永利.電力變壓器狀態(tài)評(píng)估綜述[J].變壓器，2007（11）.

[3] 麻秀范，鮑海，張粒子，劉曉明.智能化供電設(shè)備狀態(tài)檢修決策支持系統(tǒng)設(shè)計(jì)[J].東北電力學(xué)院學(xué)報(bào)，2002（2）.

[4] 馬飛.數(shù)字化變電站設(shè)備狀態(tài)監(jiān)測(cè)系統(tǒng)[J].電工技術(shù)，2010（5）.

[5] 吳立增.變壓器狀態(tài)評(píng)估方法的研究[D].華北電力大學(xué)（河北），2005.

[6] 黃弦超.配電網(wǎng)檢修計(jì)劃優(yōu)化問(wèn)題的研究[D].華北電力大學(xué)（北京），2007.

[7] 丁旭峰.輸電線路狀態(tài)檢修研究[D].鄭州大學(xué)，2010.

[8] 趙強(qiáng).基于物聯(lián)網(wǎng)技術(shù)的電力設(shè)備狀態(tài)檢修[D].華北電力大學(xué)（北京），2011.

[9] 楊卓.淺析電力系統(tǒng)及其自動(dòng)化的現(xiàn)狀與發(fā)展趨勢(shì)[J].城市建設(shè)理論研究，2012（18）.

第8篇：云計(jì)算服務(wù)安全評(píng)估方法范文

中國(guó)社會(huì)目前正處在一個(gè)信息化飛速發(fā)展的階段，但是仍然不能滿足快速的經(jīng)濟(jì)發(fā)展速度，存在著諸如信息化發(fā)展不平衡，信息安全漏洞等問(wèn)題?！笆濉币?guī)劃將信息技術(shù)作為國(guó)家重點(diǎn)培育和發(fā)展戰(zhàn)略性新興產(chǎn)業(yè)之一，提出加快建設(shè)寬帶、融合、安全、泛在的國(guó)家信息技術(shù)設(shè)施，推動(dòng)信息化和工業(yè)化深度融合，推進(jìn)經(jīng)濟(jì)社會(huì)各領(lǐng)域信息化，全面提高信息化水平。對(duì)信息建設(shè)領(lǐng)域的企業(yè)來(lái)說(shuō)，能否抓住全球信息化發(fā)展趨勢(shì)以及中國(guó)信息技術(shù)產(chǎn)業(yè)的發(fā)展契機(jī)，機(jī)遇與挑戰(zhàn)并存。

NEC所做的是，不斷加強(qiáng)技術(shù)的發(fā)展、產(chǎn)品的制定，以及服務(wù)的提供，能夠針對(duì)本地市場(chǎng)企業(yè)各方面的需求，提供具有競(jìng)爭(zhēng)能力的技術(shù)，提供可持續(xù)發(fā)展的技術(shù)支援，幫助本地各種各樣的企業(yè)進(jìn)一步縮小存在的差距，提升企業(yè)管理的質(zhì)量。

新平臺(tái)新目標(biāo)

NEC中國(guó)希望通過(guò)該項(xiàng)目達(dá)成對(duì)各個(gè)層面的發(fā)展目標(biāo)：在國(guó)家層面，能夠支撐“十二五”規(guī)劃制定的對(duì)信息技術(shù)產(chǎn)業(yè)的發(fā)展要求；在社會(huì)層面，通過(guò)物聯(lián)網(wǎng)、云計(jì)算等新技術(shù)三網(wǎng)融合、3C融合，打造更好的支撐網(wǎng)絡(luò)；行業(yè)層面，通過(guò)信息技術(shù)促進(jìn)產(chǎn)業(yè)調(diào)整和升級(jí)；在企業(yè)層面，希望通過(guò)信息、技術(shù)改造幫助企業(yè)提高生產(chǎn)效率，增強(qiáng)企業(yè)競(jìng)爭(zhēng)力；在個(gè)人方面，利用全方位的信息透明便利每個(gè)個(gè)體的工作和生活。

項(xiàng)目的具體發(fā)展指標(biāo)是：自發(fā)起整個(gè)的倡議和規(guī)劃起，在第一年有50家企業(yè)加盟；第三年進(jìn)一步建立交流平臺(tái)，征集加盟企業(yè)1000家企業(yè)，并挖掘不同行業(yè)的成功案例，帶動(dòng)各行業(yè)利益相關(guān)方參與；而到2020年，通過(guò)有效的平臺(tái)，征集加盟10000家企業(yè)一起促進(jìn)國(guó)家信息化的發(fā)展。

未來(lái)行動(dòng)

構(gòu)建網(wǎng)絡(luò)交流平臺(tái)。通過(guò)企業(yè)社會(huì)責(zé)任中國(guó)網(wǎng)(http：///)建立“促進(jìn)信息化社會(huì)”主題倡議專頁(yè)，搭建信息交流平臺(tái)并提供網(wǎng)上實(shí)踐路徑。

第9篇：云計(jì)算服務(wù)安全評(píng)估方法范文

【 關(guān)鍵詞 】 Web安全;滲透測(cè)試;Kali Linux

Study of Kali Linux Web based on Penetration Testing

Xu Guang

（Fuzhou Central Branch of People's Bank of China FujianFuzhou 350003）

【 Abstract 】 With the widespread of Internet applications， the Internet is playing an increasingly important role in all aspects of social life; at the same time， the application of Web system security is facing a severe test， Web penetration testing technology has become an important means to ensure the security of Web. In this paper，based on the research of the weak in Web system security and the common vulnerability ， by the analysis of the basic steps of Web attack， proposes a method of Web based on penetration test Kali Linux， in order to achieve the purpose to evaluate and improve the security of Web application system.

【 Keywords 】 web security; penetration testing; kali linux

1 引言

隨著Web技術(shù)的日益成熟，Web應(yīng)用系統(tǒng)已被廣泛應(yīng)用于電子政務(wù)、電子商務(wù)等領(lǐng)域，不斷向公眾提供各種信息和服務(wù)。Web 技術(shù)極大地改變了人們工作和生活方式，網(wǎng)上購(gòu)物已成為人們?nèi)粘Ｉ罘浅Ｖ匾囊徊糠?。根?jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心的數(shù)據(jù)，截至2014年6月，中國(guó)網(wǎng)民已經(jīng)達(dá)到6.32億，網(wǎng)站273萬(wàn)家，國(guó)內(nèi)域名數(shù)1915萬(wàn)個(gè)，2013年，我國(guó)網(wǎng)絡(luò)購(gòu)物用戶超過(guò)了3億，交易金額達(dá)到了1.85萬(wàn)億元人民幣。然而，在Web 應(yīng)用技術(shù)迅猛發(fā)展的同時(shí)，由于Web應(yīng)用及其運(yùn)行環(huán)境先天的脆弱性，Web 應(yīng)用系統(tǒng)容易出現(xiàn)安全問(wèn)題。

據(jù)《2014中國(guó)網(wǎng)絡(luò)空間安全發(fā)展分析報(bào)告》顯示，2014年上半年，我國(guó)大約有2.5萬(wàn)余個(gè)網(wǎng)站遭黑客入侵和篡改。近年來(lái)，網(wǎng)站信息泄露事件頻發(fā)，包括國(guó)內(nèi)最大的程序員網(wǎng)站CSDN、天涯社區(qū)、12306等知名網(wǎng)站的用戶信息外泄，在網(wǎng)上曝光的用戶信息條數(shù)過(guò)億。曝光的網(wǎng)站攻擊事件，僅是冰山一角，更令人不安的是，有33%的組織不知道自己的網(wǎng)站是否受到入侵。Web應(yīng)用系統(tǒng)的安全面臨著嚴(yán)峻的現(xiàn)實(shí)考驗(yàn)，如何保證Web網(wǎng)站安全已成為一個(gè)重要的研究熱點(diǎn)。Web 滲透測(cè)試因此成為評(píng)估Web 網(wǎng)站安全的一個(gè)重要的手段。

2 滲透測(cè)試相關(guān)概念

滲透測(cè)試（Penetration Testing）作為網(wǎng)絡(luò)安全防范的一種新技術(shù)，就是在實(shí)際網(wǎng)絡(luò)環(huán)境下，由高素質(zhì)的安全人員發(fā)起的，經(jīng)過(guò)客戶授權(quán)的高級(jí)安全檢測(cè)行為，通過(guò)模擬惡意黑客的攻擊方法，來(lái)評(píng)估計(jì)系統(tǒng)安全的一種評(píng)估方法。評(píng)估方法包括對(duì)系統(tǒng)的任何弱點(diǎn)、技術(shù)缺陷或漏洞的主動(dòng)分析，這個(gè)分析是從一個(gè)攻擊者可能存在的位置來(lái)進(jìn)行的，并且從這個(gè)位置有條件主動(dòng)利用安全漏洞。滲透測(cè)試可以高度仿真地反映客戶系統(tǒng)面臨的風(fēng)險(xiǎn)，在滲透測(cè)試的過(guò)程中，充分暴露和發(fā)掘潛在的漏洞，揭示目標(biāo)系統(tǒng)中存在的安全缺陷。

Kali Linux（前身是 Back Track）是一個(gè)基于Debian的高級(jí)滲透測(cè)試和安全審計(jì)Linux發(fā)行版。它集成了精心挑選的滲透測(cè)試和安全審計(jì)的工具，供滲透測(cè)試和安全設(shè)計(jì)人員使用。其預(yù)裝了許多滲透測(cè)試軟件，包括如Nmap （端口掃描器）、Wireshark （數(shù)據(jù)包分析器）、John the Ripper （密碼破解器），以及Aircrack-ng （一套用于對(duì)無(wú)線局域網(wǎng)進(jìn)行滲透測(cè)試的軟件）。

3 Web安全脆弱性分析及常見(jiàn)漏洞

在Web應(yīng)用程序出現(xiàn)之前，主要在網(wǎng)絡(luò)邊界上抵御外部攻擊，主要通過(guò)防火墻、IDS、SSL 加密、防篡改系統(tǒng)以及安全審計(jì)等手段保障網(wǎng)絡(luò)和系統(tǒng)的安全。Web應(yīng)用程序的廣泛應(yīng)用使得系統(tǒng)安全邊界發(fā)生了變化。用戶要訪問(wèn)應(yīng)用程序，邊界防火墻必須允許其通過(guò)HTTP/HTTPS連接內(nèi)部服務(wù)器;應(yīng)用程序要實(shí)現(xiàn)其功能，必須允許其連接服務(wù)器之后數(shù)據(jù)庫(kù)、大型主機(jī)等核心系統(tǒng)。如果Web應(yīng)用程序存在漏洞，那么互聯(lián)網(wǎng)上攻擊者只需從Web瀏覽器提交專門設(shè)計(jì)的數(shù)據(jù)就可以攻破其核心后端系統(tǒng)。這些數(shù)據(jù)會(huì)像傳送至Web應(yīng)用程序的正常、良性數(shù)據(jù)流一樣，穿透組織的所有網(wǎng)絡(luò)防御。由于應(yīng)用程序無(wú)法控制客戶端，用戶幾乎可向服務(wù)器端應(yīng)用程序提交任意輸入。如果應(yīng)用程序沒(méi)有對(duì)輸入進(jìn)行合法性確認(rèn)，攻擊者可以使用專門設(shè)計(jì)的輸入破壞應(yīng)用程序，干擾其邏輯結(jié)構(gòu)和行為，并最終達(dá)到非法訪問(wèn)其數(shù)據(jù)和功能的目的。系統(tǒng)與攻擊者的數(shù)據(jù)交換仍屬于正常訪問(wèn)，利用的只是應(yīng)用系統(tǒng)的一些潛在漏洞，在這類情況下，大部分傳統(tǒng)的安防手段就形同虛設(shè)了。

2013 年，OWASP（開(kāi)放式Web應(yīng)用程序安全項(xiàng)目，一個(gè)非盈利組織，旨在提高軟件安全）組織公布了Web 系統(tǒng)十大安全漏洞。1）注入：包括SQL注入、操作系統(tǒng)注入和LDAP注入;2）失效的身份認(rèn)證和會(huì)話管理;3）跨站腳本（XSS）;4）不安全的直接對(duì)象引用;5）安全配置錯(cuò)誤;6）敏感信息泄露;7）功能級(jí)訪問(wèn)控制缺失;8）跨站請(qǐng)求偽造（CSRF）;9）使用含有已知漏洞的組件;10）未驗(yàn)證的重定向和轉(zhuǎn)發(fā)。

4 Web攻擊的基本步驟

所謂“知己知彼，百戰(zhàn)不殆”。想要有效發(fā)現(xiàn)風(fēng)險(xiǎn)并保護(hù)網(wǎng)站的安全，首先我們要了解攻擊者是如何進(jìn)行Web攻擊，才能做到有針對(duì)性的防御。Web攻擊一般分為三個(gè)階段。1）預(yù)攻擊階段：通過(guò)踩點(diǎn)及掃描進(jìn)行信息收集;2）攻擊階段：漏洞分析與驗(yàn)證;3）后攻擊階段：嗅探，提權(quán)以及刪除日志處理等。

預(yù)攻擊階段：采用各種方法收集攻擊目標(biāo)的信息，包括Whois、媒體網(wǎng)絡(luò)、Google Hacking、社工庫(kù)等來(lái)進(jìn)行目標(biāo)系統(tǒng)踩點(diǎn)。這個(gè)階段，黑客需要對(duì)目標(biāo)系統(tǒng)進(jìn)行探查，了解其組織結(jié)構(gòu)、運(yùn)行模式、掌握目標(biāo)系統(tǒng)所屬的安全控制措施。如通過(guò)Whois了解目標(biāo)的網(wǎng)段，注冊(cè)信息等;通過(guò)DNS查詢，獲取域名信息，了解可能提供的服務(wù);通過(guò)Nmap掃描，了解服務(wù)器端口信息，提供的服務(wù)信息。

攻擊階段：在獲取目標(biāo)系統(tǒng)信息之后，需要分析可能攻破的路徑，配合漏洞掃描信息，定位最佳攻擊路線，確定系統(tǒng)的最薄弱的受攻擊面?！肮ァ迸c“防”是不對(duì)等的，“防”則意味著需要防護(hù)盡可能全的漏洞，而“攻”則往往只需要找到一個(gè)未防備好的弱點(diǎn)，就可以惡意利用，擴(kuò)大戰(zhàn)果了。攻擊過(guò)程可能不會(huì)像預(yù)想的那么順利，這個(gè)階段需要做大量的嘗試，可能會(huì)采用多種攻擊方式，很容易留下痕跡，如果最終沒(méi)取得目標(biāo)系統(tǒng)權(quán)限，很容易在目標(biāo)系統(tǒng)留下日志。所以攻擊過(guò)程中，事先應(yīng)要明確目標(biāo)系統(tǒng)的漏洞，不能漫無(wú)目的的掃描攻擊。

后攻擊階段：在獲取了目標(biāo)系統(tǒng)部分訪問(wèn)控制權(quán)限，比如一臺(tái)服務(wù)器權(quán)限，就可以開(kāi)始以特定業(yè)務(wù)系統(tǒng)為目標(biāo)，識(shí)別出關(guān)鍵的基礎(chǔ)設(shè)施，尋找目標(biāo)系統(tǒng)最具有價(jià)值的資產(chǎn)，通過(guò)提權(quán)、建立后門等手段保持后續(xù)的入侵。同時(shí)為了掩蓋攻擊痕跡，攻擊者還應(yīng)該進(jìn)行刪除日志等處理。后攻擊階段是Web攻擊過(guò)程中的關(guān)鍵環(huán)節(jié)，是最能體現(xiàn)高手和平庸小黑客區(qū)別的地方。

5 基于Kali Linux的Web滲透測(cè)試

結(jié)合Patrick Engebretson在《The Basics of Hacking and Penetration Testing》中對(duì)滲透測(cè)試過(guò)程的定義，基于Kali Linux的滲透測(cè)試包括：偵查、掃描、滲透、維持訪問(wèn)、報(bào)告等五個(gè)階段，在滲透測(cè)試過(guò)程中可以利用Kali Linux預(yù)裝的滲透工具提高滲透測(cè)試效率。

偵查：這個(gè)階段的重點(diǎn)在于了解關(guān)于滲透目標(biāo)信息系統(tǒng)的一切網(wǎng)絡(luò)信息和組織信息。可以通過(guò)互聯(lián)網(wǎng)進(jìn)行搜素和對(duì)目標(biāo)網(wǎng)絡(luò)的可用連接進(jìn)行主動(dòng)掃描來(lái)完成。在這一階段，滲透測(cè)試人員并不真正滲透進(jìn)入網(wǎng)絡(luò)防御中，而是識(shí)別并收集相關(guān)目標(biāo)盡可能多的信息。這個(gè)階段中除了利用Google搜索、Google Hacking、社工庫(kù)、社交媒體、招聘網(wǎng)站等手段外，還可以使用Wget、Nslookup、DIG程序（Domain Internet Gopher）等Kali Linux預(yù)裝滲透工具。

掃描：測(cè)試人員利用第一階段獲取的信息，對(duì)目標(biāo)的網(wǎng)絡(luò)和信息系統(tǒng)進(jìn)行實(shí)際掃描。在這一階段通過(guò)利用工具，一個(gè)更加清晰的網(wǎng)絡(luò)和信息系統(tǒng)基礎(chǔ)設(shè)施將成為接下來(lái)的滲透目標(biāo)。可以用Kali Linux預(yù)裝的Nmap、Hping3、Nessus等工具完成這一階段的任務(wù)。

滲透：這對(duì)應(yīng)著黑客在滲透階段所做的工作。這個(gè)階段的目標(biāo)是在不被發(fā)覺(jué)的情況下通過(guò)運(yùn)用系統(tǒng)的漏洞和成熟的技術(shù)入侵目標(biāo)系統(tǒng)，并帶出相關(guān)信息。Metasploit是這一階段滲透人員最有力的工具之一。

維持訪問(wèn)：一旦系統(tǒng)被滲透后，可以通過(guò)留下后門和Rootkit（一種特殊的惡意軟件，在安裝目標(biāo)上隱藏自身及指定的文件、進(jìn)程和網(wǎng)絡(luò)鏈接等信息）以便將來(lái)進(jìn)行持續(xù)的滲透。使用Metasploit可以輕松創(chuàng)建特洛伊木馬和后門程序以維持訪問(wèn)被入侵的系統(tǒng)。

報(bào)告：滲透人員向目標(biāo)信息系統(tǒng)的主管和技術(shù)人員提交一份描述滲透過(guò)程的詳盡報(bào)告，包括入侵過(guò)程中的每個(gè)步驟、漏洞利用方式以及系統(tǒng)的缺陷。

6 結(jié)束語(yǔ)

Web應(yīng)用系統(tǒng)安全是一項(xiàng)動(dòng)態(tài)的、整體的系統(tǒng)工程，其防護(hù)手段主要包括了防病毒、防火墻、入侵檢測(cè)、漏洞掃描、數(shù)據(jù)備份與恢復(fù)等方面，但由于用戶端輸入的不可控，仍然存在來(lái)自應(yīng)用層方面的種種不安全因素。因此，在做好常規(guī)安防措施的基礎(chǔ)之上，應(yīng)定期對(duì)Web系統(tǒng)開(kāi)展?jié)B透測(cè)試，利用Kali Linux這類自動(dòng)化工具發(fā)現(xiàn)可能Web應(yīng)用系統(tǒng)漏洞，并做好相應(yīng)的安全加固和系統(tǒng)完善，以避免給企業(yè)造成嚴(yán)重的業(yè)務(wù)及虛擬資產(chǎn)上的損失。

參考文獻(xiàn)

[1] James Broad，Andrew Bindner.Kali滲透測(cè)試技術(shù)實(shí)戰(zhàn).

[2] Dafydd Stuttard，Marcus Pinto.黑客攻防技術(shù)寶典：Web實(shí)戰(zhàn)篇（第2版）.

[3] 王宜陽(yáng)，宋苑.淺談滲透測(cè)試在Web系統(tǒng)防護(hù)中的應(yīng)用[J].網(wǎng)絡(luò)信息安全，2010年第9期.