大數(shù)據(jù)平臺(tái)中電子商務(wù)系統(tǒng)的風(fēng)險(xiǎn)評(píng)估問(wèn)題

韓喜君

摘 要：在經(jīng)濟(jì)網(wǎng)絡(luò)化時(shí)代，電子商務(wù)與大數(shù)據(jù)平臺(tái)的結(jié)合，能夠創(chuàng)造一個(gè)更為安全、穩(wěn)定的網(wǎng)絡(luò)環(huán)境?；谠朴?jì)算中平臺(tái)即服務(wù)、軟件即服務(wù)、應(yīng)用即服務(wù)的思想，引伸到安全即服務(wù)。研究電子商務(wù)系統(tǒng)在大數(shù)據(jù)平臺(tái)中部署時(shí)，通過(guò)建立合理的安全風(fēng)險(xiǎn)評(píng)估模型，有效規(guī)避電子商務(wù)系統(tǒng)運(yùn)行的各類風(fēng)險(xiǎn)。

關(guān)鍵詞：電子商務(wù) 大數(shù)據(jù)平臺(tái) 風(fēng)險(xiǎn)評(píng)估 安全即服務(wù)

中圖分類號(hào)：F724.6 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2096-0298（2017）11（a）-010-02

本文以描述信息安全風(fēng)險(xiǎn)評(píng)估的概念、標(biāo)準(zhǔn)、方法為出發(fā)點(diǎn)，結(jié)合實(shí)際情況分析大數(shù)據(jù)環(huán)境下的電子商務(wù)模式面臨的各種風(fēng)險(xiǎn)；針對(duì)實(shí)際的風(fēng)險(xiǎn)問(wèn)題，構(gòu)建迭代式的風(fēng)險(xiǎn)評(píng)估框架，應(yīng)對(duì)服務(wù)的連續(xù)可靠性、存儲(chǔ)數(shù)據(jù)安全性、病毒攻擊的隱蔽性，不斷豐富商務(wù)信息資產(chǎn)、安全策略、漏洞、安全等信息，構(gòu)建安全分析知識(shí)庫(kù)。

基于安全即服務(wù)的思想，將安全知識(shí)庫(kù)部署在大數(shù)據(jù)分析平臺(tái)中，形成不斷積累的風(fēng)險(xiǎn)評(píng)估云平臺(tái)分析系統(tǒng)，電子商務(wù)系統(tǒng)在大數(shù)據(jù)平臺(tái)中運(yùn)行時(shí)，分析系統(tǒng)可以對(duì)實(shí)時(shí)遇到的風(fēng)險(xiǎn)、威脅進(jìn)行實(shí)時(shí)監(jiān)控與管理，對(duì)各個(gè)風(fēng)險(xiǎn)進(jìn)行分類，并記錄有效的處理、防范措施，最終建立一個(gè)有效、全面的風(fēng)險(xiǎn)評(píng)估模型。

1 安全風(fēng)險(xiǎn)評(píng)估定義

信息系統(tǒng)所面臨的風(fēng)險(xiǎn)主要來(lái)源于系統(tǒng)資產(chǎn)、漏洞威脅、不穩(wěn)定性。

信息系統(tǒng)中的資產(chǎn)擁有資產(chǎn)價(jià)值屬性，資產(chǎn)價(jià)值越高則增加了風(fēng)險(xiǎn)值，對(duì)安全需求的成本也越高。資產(chǎn)本身的特性暴露出了脆弱性，從而容易被網(wǎng)絡(luò)環(huán)境中的各類威脅所利用，危險(xiǎn)的升級(jí)則演變成了安全事件。針對(duì)風(fēng)險(xiǎn)的分析形成了相應(yīng)的安全需求，為了滿足安全需求，形成了各類安全措施。安全措施在抗擊威脅過(guò)程中降低了風(fēng)險(xiǎn)，在未被控制或接觸到的風(fēng)險(xiǎn)定義為殘余風(fēng)險(xiǎn)，這些殘余風(fēng)險(xiǎn)可能誘發(fā)新的安全事件。風(fēng)險(xiǎn)、威脅、資產(chǎn)、安全措施等基本因素構(gòu)成了風(fēng)險(xiǎn)評(píng)估的基本關(guān)系。

2 大數(shù)據(jù)平臺(tái)中的電子商務(wù)系統(tǒng)

2.1 電子商務(wù)模式云化

云計(jì)算以及大數(shù)據(jù)平臺(tái)化的興起改變了傳統(tǒng)電子商務(wù)運(yùn)作模式。眾多中小型電商企業(yè)通過(guò)向云服務(wù)、數(shù)據(jù)中心供應(yīng)商租用各類服務(wù)的形式，快速搭建電子商務(wù)平臺(tái)。云計(jì)算強(qiáng)大的計(jì)算能力能夠滿足各類電商用戶的定制需求，同時(shí)更好的促進(jìn)電商企業(yè)間的協(xié)作與共享。

眾多中小型電商企業(yè)通過(guò)向云服務(wù)、數(shù)據(jù)中心供應(yīng)商租用各類服務(wù)的形式，快速搭建電子商務(wù)平臺(tái)。云計(jì)算強(qiáng)大的計(jì)算能力能夠滿足各類電商用戶的定制需求，同時(shí)更好的促進(jìn)電商企業(yè)間的協(xié)作與共享。

2.2 云端數(shù)據(jù)中心安全問(wèn)題研究

大數(shù)據(jù)平臺(tái)化是云計(jì)算、云存儲(chǔ)等關(guān)鍵技術(shù)的綜合產(chǎn)物，云計(jì)算技術(shù)本身所存在的安全性問(wèn)題，也給電子商務(wù)企業(yè)帶來(lái)了新的風(fēng)險(xiǎn)?；谠朴?jì)算的電子商務(wù)信息的存儲(chǔ)、傳輸以及處理，都在云端完成，當(dāng)非本地的云端系統(tǒng)發(fā)生問(wèn)題時(shí)，其故障恢復(fù)、數(shù)據(jù)泄露等風(fēng)險(xiǎn)也隨之增加。

數(shù)據(jù)中心的數(shù)據(jù)存儲(chǔ)風(fēng)險(xiǎn)是電商企業(yè)最關(guān)注的安全問(wèn)題。基于云計(jì)算的電子商務(wù)系統(tǒng)，企業(yè)運(yùn)行的大部分業(yè)務(wù)數(shù)據(jù)都存儲(chǔ)在云端，如何對(duì)企業(yè)自身的敏感信息進(jìn)行有效監(jiān)控成為企業(yè)最頭疼的問(wèn)題。這些問(wèn)題除了需要云服務(wù)供應(yīng)商進(jìn)行有效的入侵檢測(cè)、數(shù)據(jù)隔離措施、數(shù)據(jù)防護(hù)手段、數(shù)據(jù)動(dòng)態(tài)遷移管理等機(jī)制。此外還包括云端服務(wù)連續(xù)性以及遭受病毒和黑客攻擊的隱蔽性問(wèn)題。

因此，在電商企業(yè)將電商系統(tǒng)部署在大數(shù)據(jù)平臺(tái)中時(shí)，必須對(duì)其潛在的風(fēng)險(xiǎn)進(jìn)行全面有效的評(píng)估，并且在評(píng)估成果上制定有效的安全風(fēng)險(xiǎn)管理策略，通過(guò)不斷迭代的策略執(zhí)行反饋，最終確定相應(yīng)的安全策略以保障電子商務(wù)系統(tǒng)安全平穩(wěn)的運(yùn)行。

3 大數(shù)據(jù)平臺(tái)中電商系統(tǒng)風(fēng)險(xiǎn)評(píng)估框架

3.1 風(fēng)險(xiǎn)評(píng)估框架描述

目前主流的風(fēng)險(xiǎn)評(píng)估方式都要預(yù)見(jiàn)性的靜態(tài)評(píng)估，面對(duì)云端電子商務(wù)系統(tǒng)中不斷更新的威脅與發(fā)現(xiàn)新的脆弱性的現(xiàn)狀時(shí)，靜態(tài)評(píng)估方法難以有效的限制風(fēng)險(xiǎn)并進(jìn)行有效管理。

本文在考察云計(jì)算環(huán)境下電子商務(wù)的搭建平臺(tái)與運(yùn)行模式，綜合大數(shù)據(jù)中心數(shù)據(jù)動(dòng)態(tài)性的特征，提出以資產(chǎn)識(shí)別為基礎(chǔ)，迭代式循環(huán)的增量評(píng)估模型，如圖1所示。

該框架要求電商企業(yè)根據(jù)自身情況制定符合初始的安全目標(biāo)，組織內(nèi)部評(píng)估人員對(duì)電商系統(tǒng)的信息資源進(jìn)行分析。各中小電商企業(yè)的現(xiàn)狀為采用租賃形式在云服務(wù)提供商的大數(shù)據(jù)平臺(tái)中搭建電子商務(wù)平臺(tái)，其信息資產(chǎn)的識(shí)別包括云端存儲(chǔ)相關(guān)的數(shù)據(jù)等。在將資產(chǎn)價(jià)值分類為云端虛擬資產(chǎn)和自有數(shù)據(jù)資產(chǎn)后，對(duì)資產(chǎn)信息內(nèi)容進(jìn)行威脅和脆弱性分析。對(duì)威脅事件發(fā)生的概率進(jìn)行估算，分析已有安全策略的風(fēng)險(xiǎn)影響，得出系統(tǒng)的主要風(fēng)險(xiǎn)并定義風(fēng)險(xiǎn)等級(jí)。

在整個(gè)風(fēng)險(xiǎn)評(píng)估的循環(huán)過(guò)程中，在遇到新的威脅、風(fēng)險(xiǎn)并獲得新的風(fēng)險(xiǎn)措施時(shí)，增量跟新風(fēng)險(xiǎn)評(píng)估框架，不斷豐富安全知識(shí)庫(kù)。

3.2 風(fēng)險(xiǎn)評(píng)估過(guò)程模型

風(fēng)險(xiǎn)評(píng)估分析模型對(duì)單個(gè)信息資產(chǎn)所面臨的威脅及相關(guān)脆弱性進(jìn)行識(shí)別。威脅可能來(lái)自于系統(tǒng)、人為、自然環(huán)境等多方面因素。脆弱性是風(fēng)險(xiǎn)產(chǎn)生的內(nèi)因，不同的大數(shù)據(jù)平臺(tái)對(duì)應(yīng)不同的基礎(chǔ)架構(gòu)；從平臺(tái)規(guī)模、是否允許特權(quán)用戶接入、數(shù)據(jù)存儲(chǔ)位置、數(shù)據(jù)隔離與恢復(fù)措施等方面對(duì)可能引起安全事件的脆弱性進(jìn)行識(shí)別。單個(gè)脆弱性對(duì)應(yīng)單個(gè)威脅，單個(gè)威脅可反應(yīng)出多個(gè)脆弱點(diǎn)。評(píng)估人員逐個(gè)分析出信息資產(chǎn)面臨的所有威脅—脆弱性鍵值對(duì)并納入安全知識(shí)庫(kù)進(jìn)行管理，統(tǒng)計(jì)各個(gè)鍵值所發(fā)生的頻率、關(guān)聯(lián)性，如圖2所示。

風(fēng)險(xiǎn)評(píng)估的過(guò)程模型重點(diǎn)可描述為將單個(gè)資產(chǎn)的風(fēng)險(xiǎn)評(píng)估，以增量權(quán)重的分析方法，納入全域風(fēng)險(xiǎn)綜合評(píng)估。在單個(gè)資產(chǎn)風(fēng)險(xiǎn)評(píng)估環(huán)節(jié)中，依據(jù)評(píng)估人員逐個(gè)的記錄威脅、脆弱性，結(jié)合具備的安全策略知識(shí)，計(jì)算資產(chǎn)相關(guān)的風(fēng)險(xiǎn)概率值。待單個(gè)風(fēng)險(xiǎn)評(píng)估結(jié)束，將威脅—脆弱性鍵值對(duì)、實(shí)際安全配置情況作為中間產(chǎn)出物，記錄在安全知識(shí)庫(kù)中。安全知識(shí)庫(kù)是存儲(chǔ)綜合風(fēng)險(xiǎn)推理、知識(shí)管理、綜合風(fēng)險(xiǎn)評(píng)估、各事件結(jié)果的大數(shù)據(jù)存儲(chǔ)數(shù)據(jù)倉(cāng)庫(kù)。在不斷迭代、增量的進(jìn)行風(fēng)險(xiǎn)評(píng)估與總結(jié)后，形成逐步完善的綜合評(píng)價(jià)庫(kù)（評(píng)估框架）。

4 結(jié)語(yǔ)

本文研究了大數(shù)據(jù)平臺(tái)中電子商務(wù)系統(tǒng)的安全風(fēng)險(xiǎn)的增量式評(píng)估管理，初步構(gòu)建了一個(gè)動(dòng)態(tài)的風(fēng)向評(píng)估框架。電商系統(tǒng)在大數(shù)據(jù)平臺(tái)中部署時(shí)，主要面臨著數(shù)據(jù)遠(yuǎn)端存儲(chǔ)、權(quán)重用戶未知、入侵檢測(cè)滯后等現(xiàn)實(shí)情況，應(yīng)重點(diǎn)分析這幾類情況內(nèi)部經(jīng)常發(fā)生的威脅與脆弱性，不斷豐富威脅—脆弱性鍵值對(duì)信息，補(bǔ)充相應(yīng)安全措施，從而解決云環(huán)境下動(dòng)態(tài)的風(fēng)險(xiǎn)評(píng)估問(wèn)題，促進(jìn)電商平臺(tái)和大數(shù)據(jù)平臺(tái)共同安全平穩(wěn)的發(fā)展。

參考文獻(xiàn)

[1] 劉召華.大數(shù)據(jù)時(shí)代個(gè)人信息安全危機(jī)及應(yīng)對(duì)策略[J].科技經(jīng)濟(jì)市場(chǎng)，2016（08）.

[2] 李 軍偉，姜學(xué)東.電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)的綜合評(píng)價(jià)模型[J].現(xiàn)代電子技術(shù)，2017（7）.

[3] 胡欣雨.大數(shù)據(jù)信息安全風(fēng)險(xiǎn)框架及應(yīng)對(duì)策略研究[J].無(wú)線互聯(lián)科技，2017（13）.

[4] 羅佳.基于云計(jì)算的信息安全風(fēng)險(xiǎn)評(píng)估[J].中國(guó)新通信，2016（10）.

[5] 潘宇.大數(shù)據(jù)時(shí)代信息安全的機(jī)遇與挑戰(zhàn)[J].科技創(chuàng)新與應(yīng)用， 2017（26）.