1、大数据平台中电子商务系统的风险评估问题 韩喜君 江苏海事职业技术学院 摘 要: 在经济网络化时代, 电子商务与大数据平台的结合, 能够创造一个更为安全、稳定的网络环境。基于云计算中平台即服务、软件即服务、应用即服务的思想, 引伸到安全即服务。研究电子商务系统在大数据平台中部署时, 通过建立合理的安全风险评估模型, 有效规避电子商务系统运行的各类风险。关键词: 电子商务; 大数据平台; 风险评估; 安全即服务; 作者简介:韩喜君 (1981-) , 女, 汉族, 江苏南京人, 硕士, 江苏海事职业技术学院讲师, 主要从事电子商务方面的研究。本文以描述信息安全风险评估的概念、标准、方法为出发点,
2、结合实际情况分析大数据环境下的电子商务模式面临的各种风险;针对实际的风险问题, 构建迭代式的风险评估框架, 应对服务的连续可靠性、存储数据安全性、病毒攻击的隐蔽性, 不断丰富商务信息资产、安全策略、漏洞、安全等信息, 构建安全分析知识库。基于安全即服务的思想, 将安全知识库部署在大数据分析平台中, 形成不断积累的风险评估云平台分析系统, 电子商务系统在大数据平台中运行时, 分析系统可以对实时遇到的风险、威胁进行实时监控与管理, 对各个风险进行分类, 并记录有效的处理、防范措施, 最终建立一个有效、全面的风险评估模型。1 安全风险评估定义信息系统所面临的风险主要来源于系统资产、漏洞威胁、不稳定性
3、。信息系统中的资产拥有资产价值属性, 资产价值越高则增加了风险值, 对安全需求的成本也越高。资产本身的特性暴露出了脆弱性, 从而容易被网络环境中的各类威胁所利用, 危险的升级则演变成了安全事件。针对风险的分析形成了相应的安全需求, 为了满足安全需求, 形成了各类安全措施。安全措施在抗击威胁过程中降低了风险, 在未被控制或接触到的风险定义为残余风险, 这些残余风险可能诱发新的安全事件。风险、威胁、资产、安全措施等基本因素构成了风险评估的基本关系。2 大数据平台中的电子商务系统2.1 电子商务模式云化云计算以及大数据平台化的兴起改变了传统电子商务运作模式。众多中小型电商企业通过向云服务、数据中心供
4、应商租用各类服务的形式, 快速搭建电子商务平台。云计算强大的计算能力能够满足各类电商用户的定制需求, 同时更好的促进电商企业间的协作与共享。众多中小型电商企业通过向云服务、数据中心供应商租用各类服务的形式, 快速搭建电子商务平台。云计算强大的计算能力能够满足各类电商用户的定制需求, 同时更好的促进电商企业间的协作与共享。2.2 云端数据中心安全问题研究大数据平台化是云计算、云存储等关键技术的综合产物, 云计算技术本身所存在的安全性问题, 也给电子商务企业带来了新的风险。基于云计算的电子商务信息的存储、传输以及处理, 都在云端完成, 当非本地的云端系统发生问题时, 其故障恢复、数据泄露等风险也随
5、之增加。数据中心的数据存储风险是电商企业最关注的安全问题。基于云计算的电子商务系统, 企业运行的大部分业务数据都存储在云端, 如何对企业自身的敏感信息进行有效监控成为企业最头疼的问题。这些问题除了需要云服务供应商进行有效的入侵检测、数据隔离措施、数据防护手段、数据动态迁移管理等机制。此外还包括云端服务连续性以及遭受病毒和黑客攻击的隐蔽性问题。因此, 在电商企业将电商系统部署在大数据平台中时, 必须对其潜在的风险进行全面有效的评估, 并且在评估成果上制定有效的安全风险管理策略, 通过不断迭代的策略执行反馈, 最终确定相应的安全策略以保障电子商务系统安全平稳的运行。3 大数据平台中电商系统风险评估
6、框架3.1 风险评估框架描述目前主流的风险评估方式都要预见性的静态评估, 面对云端电子商务系统中不断更新的威胁与发现新的脆弱性的现状时, 静态评估方法难以有效的限制风险并进行有效管理。本文在考察云计算环境下电子商务的搭建平台与运行模式, 综合大数据中心数据动态性的特征, 提出以资产识别为基础, 迭代式循环的增量评估模型, 如图1 所示。图 1 电子商务系统风险评估框架 下载原图该框架要求电商企业根据自身情况制定符合初始的安全目标, 组织内部评估人员对电商系统的信息资源进行分析。各中小电商企业的现状为采用租赁形式在云服务提供商的大数据平台中搭建电子商务平台, 其信息资产的识别包括云端存储相关的数
7、据等。在将资产价值分类为云端虚拟资产和自有数据资产后, 对资产信息内容进行威胁和脆弱性分析。对威胁事件发生的概率进行估算, 分析已有安全策略的风险影响, 得出系统的主要风险并定义风险等级。在整个风险评估的循环过程中, 在遇到新的威胁、风险并获得新的风险措施时, 增量跟新风险评估框架, 不断丰富安全知识库。3.2 风险评估过程模型风险评估分析模型对单个信息资产所面临的威胁及相关脆弱性进行识别。威胁可能来自于系统、人为、自然环境等多方面因素。脆弱性是风险产生的内因, 不同的大数据平台对应不同的基础架构;从平台规模、是否允许特权用户接入、数据存储位置、数据隔离与恢复措施等方面对可能引起安全事件的脆弱
8、性进行识别。单个脆弱性对应单个威胁, 单个威胁可反应出多个脆弱点。评估人员逐个分析出信息资产面临的所有威胁脆弱性键值对并纳入安全知识库进行管理, 统计各个键值所发生的频率、关联性, 如图 2 所示。风险评估的过程模型重点可描述为将单个资产的风险评估, 以增量权重的分析方法, 纳入全域风险综合评估。在单个资产风险评估环节中, 依据评估人员逐个的记录威胁、脆弱性, 结合具备的安全策略知识, 计算资产相关的风险概率值。待单个风险评估结束, 将威胁脆弱性键值对、实际安全配置情况作为中间产出物, 记录在安全知识库中。安全知识库是存储综合风险推理、知识管理、综合风险评估、各事件结果的大数据存储数据仓库。在
9、不断迭代、增量的进行风险评估与总结后, 形成逐步完善的综合评价库 (评估框架) 。4 结语本文研究了大数据平台中电子商务系统的安全风险的增量式评估管理, 初步构建了一个动态的风向评估框架。电商系统在大数据平台中部署时, 主要面临着数据远端存储、权重用户未知、入侵检测滞后等现实情况, 应重点分析这几类情况内部经常发生的威胁与脆弱性, 不断丰富威胁脆弱性键值对信息, 补充相应安全措施, 从而解决云环境下动态的风险评估问题, 促进电商平台和大数据平台共同安全平稳的发展。图 2 风险评估过程模型 下载原图参考文献1刘召华.大数据时代个人信息安全危机及应对策略J.科技经济市场, 2016 (08) . 2李军伟, 姜学东.电子政务系统信息安全风险的综合评价模型J.现代电子技术, 2017 (7) . 3胡欣雨.大数据信息安全风险框架及应对策略研究J.无线互联科技, 2017 (13) . 4罗佳.基于云计算的信息安全风险评估J.中国新通信, 2016 (10) . 5潘宇.大数据时代信息安全的机遇与挑战J.科技创新与应用, 2017 (26) .
