دومین کنفرانس بین المللی رویکردهای نوین در علوم، مهندسی و تکنولوژی - پاریس 2017

1. 1165
‫بررسی‬‫مدل‬‫امنیت‬ ‫ریسک‬ ‫ارزیابی‬ ‫های‬‫سیستم‬ ‫برای‬ ‫اطالعات‬‫ابری‬ ‫رایانش‬ ‫های‬
‫ناصری‬ ‫آیدین‬‫فرد‬
‫تهران‬ ‫تحقیقات‬ ‫و‬ ‫علوم‬ ‫دانشگاه‬ ‫اطالعات‬ ‫فناوری‬ ‫مدیریت‬ ‫ارشد‬ ‫کارشناسی‬ ‫دانشجوی‬
Naserifard.naserifard@gmail.com
‫چکیده‬
‫در‬‫روش‬ ‫بررسی‬ ‫به‬ ‫مقاله‬ ‫این‬‫پیشرفته‬ ‫و‬ ‫جدید‬ ‫های‬‫امنیت‬ ‫ریسک‬ ‫ارزیابی‬ ‫در‬‫سیستم‬‫ا‬ ‫رایانش‬ ‫های‬‫می‬ ‫بری‬‫پرد‬.‫ازیم‬‫در‬
‫ابتدا‬‫ب‬‫ه‬‫مدل‬ ‫کامل‬ ‫طور‬‫امنیت‬ ‫ریسک‬ ‫ارزیابی‬ ‫ّی‬‫م‬‫ک‬ ‫های‬‫زمینه‬ ‫در‬ ‫که‬‫سیستم‬‫یافته‬ ‫توسعه‬ ‫ابری‬ ‫رایانش‬ ‫های‬‫انتخاب‬ ‫را‬ ‫اند‬‫و‬
‫بررسی‬‫کرده‬‫بر‬ ‫سپس‬ ‫و‬،‫هدف‬ ‫حسب‬‫ریسک‬ ‫مدیریت‬ ‫مراحل‬‫می‬ ‫قرار‬ ‫تحلیل‬ ‫مورد‬.‫گیرند‬‫این‬ ‫بر‬ ‫عالوه‬‫اساسی‬ ‫مفاهیم‬
‫داده‬ ‫پوشش‬ ‫را‬ ‫ریسک‬ ‫مدیریت‬‫داده‬ ‫منابع‬ ‫و‬‫احتمال‬ ‫های‬‫ی‬‫بررسی‬ ‫را‬‫می‬‫کنیم‬.‫اساس‬ ‫بر‬‫نتایج‬‫تحلیل‬،‫ها‬‫م‬‫قایسه‬‫بین‬ ‫ای‬‫این‬
‫مدل‬‫انجام‬ ‫ها‬‫می‬‫محدودیت‬ ‫شده‬ ‫ارائه‬ ‫مدل‬ ‫هر‬ ‫برای‬ ‫تا‬ ‫دهیم‬‫مزایای‬ ‫و‬ ‫ها‬‫مشاهده‬ ‫را‬ ‫آن‬.‫کنیم‬
:‫کلیدی‬ ‫کلمات‬،‫ابری‬ ‫رایانش‬‫معیارهای‬،‫سایبری‬ ‫امنیت‬،‫اطالعات‬ ‫امنیت‬‫مدل‬،‫ریسک‬ ‫ارزیابی‬ ‫ّی‬‫م‬‫ک‬ ‫های‬‫ریس‬ ‫ارزیابی‬‫ک‬
‫امنیت‬‫مقایسه‬ ،‫مدل‬‫امنیت‬ ‫ریسک‬ ‫های‬.

2. 1166
1‫مقدمه‬ .
‫سیستم‬ ‫بررسی‬ ‫و‬ ‫توسعه‬ ‫در‬ ‫امنیتی‬ ‫مسائل‬‫داشته‬ ‫اهمیت‬ ‫همیشه‬ ‫اطالعات‬ ‫های‬‫در‬ .‫است‬‫سیستم‬ ،‫حقیقت‬‫های‬
‫اطالعاتی‬‫هدف‬ ‫با‬‫اطالعات‬ ‫امنیت‬ ‫حمالت‬‫سازمان‬ ،‫افراد‬ ‫توسط‬ ‫هرجایی‬ ‫در‬ ‫امروزه‬‫دول‬ ،‫ها‬‫ت‬‫سیستم‬ ‫و‬ ‫ها‬‫است‬ ‫ها‬‫فاده‬‫می‬‫شو‬‫ند‬
‫و‬‫پر‬‫سبب‬ ‫است‬ ‫ممکن‬ ‫امر‬ ‫این‬ ‫که‬ ‫است‬ ‫واضح‬‫هزینه‬ ‫رفتن‬ ‫دست‬ ‫از‬‫زی‬ ‫بسیار‬ ‫حد‬ ‫در‬ ‫منابع‬ ‫سایر‬ ‫و‬ ‫زمان‬ ،‫د‬ .‫شود‬ ‫اد‬،‫نتیجه‬ ‫ر‬
‫سازمان‬‫ن‬ ‫است‬ ‫ممکن‬ ‫ها‬‫میلیون‬ ‫تنها‬ ‫ه‬‫دیواره‬ ‫مانند‬ ‫فنی‬ ‫امنیتی‬ ‫تجهیزات‬ ‫صرف‬ ‫دالر‬ ‫ها‬‫سیس‬ ،‫آتش‬ ‫های‬‫تم‬‫تش‬ ‫های‬‫نفو‬ ‫خیص‬‫ذ‬
‫رمزنگار‬ ‫ابزارهای‬ ‫و‬‫ی‬‫تهدیدها‬ ‫برابر‬ ‫در‬ ‫خود‬ ‫از‬ ‫حفاظت‬ ‫برای‬‫مشکالت‬ ‫با‬ ‫بلکه‬ ،‫بکنند‬ ‫هزینه‬‫در‬ ‫زیادی‬‫چگونگ‬‫ی‬‫ارزیابی‬
‫سرمایه‬‫گذاری‬‫فناوری‬ ‫روی‬ ‫بر‬ ‫ها‬‫وا‬ ‫در‬ .‫هستند‬ ‫مواجه‬ ‫امنیتی‬ ‫های‬‫قع‬‫شرکت‬ ‫هدف‬ ،‫سیستم‬ ‫امنیتی‬ ‫نقض‬ ‫تخمین‬ ‫ها‬‫ه‬‫ایشان‬
‫است‬‫؛‬‫سازمان‬ ‫زیرا‬‫به‬ ‫که‬ ‫هایی‬‫ریسک‬ ‫خوبی‬‫می‬ ‫کنترل‬ ‫را‬ ‫سایبری‬‫تشویق‬ ‫مورد‬ ‫رقابتی‬ ‫بازار‬ ‫توسط‬ ‫کنند‬‫می‬ ‫قرار‬.‫گیرند‬
‫بنابراین‬‫انتظار‬ ‫شرکتی‬ ‫و‬ ‫شخصی‬ ‫کاربران‬‫سیستم‬ ‫تا‬ ‫دارند‬‫ای‬ ‫اطالعاتی‬ ‫های‬‫بتوانند‬ ‫و‬ ‫باشند‬ ‫من‬‫ر‬‫یسک‬‫راهبرد‬ ‫و‬ ‫ها‬‫های‬
‫ریسک‬ ‫این‬ ‫کاهش‬ ‫در‬ ‫را‬ ‫خود‬‫پیش‬ ‫ها‬‫بینی‬‫امن‬ ‫برای‬ ‫انگیزه‬ .‫کنند‬‫آغازگر‬ ‫سازمانی‬ ‫اطالعات‬ ‫سازی‬‫ایجاد‬ ‫به‬ ‫نیاز‬‫توسعه‬ ‫و‬
‫وضعی‬ ‫درک‬ ‫برای‬ ‫بهتر‬ ‫معیارهای‬‫نگرش‬ ‫ت‬.‫است‬ ‫شده‬ ‫سازمان‬ ‫امنیتی‬
‫موسسه‬‫استاندارد‬ ‫ملی‬ ‫ی‬‫ها‬‫فن‬ ‫و‬‫اوری‬1‫ب‬ ‫را‬ ‫ریسک‬ ‫مدیریت‬‫ه‬‫صورت‬«‫شناسایی‬ ‫فرآیند‬‫ری‬ ‫ارزیابی‬ ،‫ریسک‬‫و‬ ،‫سک‬
‫گام‬ ‫برداشتن‬‫قبول‬ ‫قابل‬ ‫حد‬ ‫تا‬ ‫ریسک‬ ‫کاهش‬ ‫راستای‬ ‫در‬ ‫هایی‬»‫می‬ ‫تعریف‬.‫کند‬NIST‫را‬ ‫ریسک‬ ‫ارزیابی‬‫عنوان‬ ‫تحت‬
‫شناسایی‬ ‫فرآیند‬‫اولو‬ ‫و‬ ‫ارزیابی‬ ،‫ی‬‫ت‬‫ریسک‬ ‫بندی‬‫می‬ ‫تعریف‬ ‫اطالعاتی‬ ‫امنیت‬ ‫های‬‫اطالعات‬ ‫دقیق‬ ‫تحلیل‬ ‫مستلزم‬ ‫که‬ ‫کند‬
‫و‬ ‫تهدید‬‫آسیب‬‫تعی‬ ‫در‬ ‫پذیری‬‫شرایط‬ ‫که‬ ‫است‬ ‫میزانی‬ ‫ین‬‫پیامدها‬ ‫و‬‫ب‬ ‫است‬ ‫ممکن‬‫ه‬‫ت‬ ‫سازمان‬ ‫روی‬ ‫نامطلوبی‬ ‫صورت‬‫بگذارند‬ ‫اثیر‬
‫و‬ ‫پیامدها‬ ‫این‬ ً‫ال‬‫احتما‬ ‫و‬‫رخ‬ ‫شرایط‬‫ب‬.‫دهند‬
‫مدل‬‫امنیتی‬ ‫ریسک‬ ‫ارزیابی‬ ‫ّی‬‫م‬‫ک‬ ‫های‬‫اندازه‬ ‫در‬ ‫موثر‬ ‫ابزاری‬‫سیست‬ ‫امنیتی‬ ‫سطوح‬ ‫ارزیابی‬ ‫و‬ ‫گیری‬‫م‬‫مح‬ ،‫ها‬،‫صوالت‬
‫آن‬ ‫آمادگی‬ ‫و‬ ‫فرآیندها‬‫ها‬‫با‬ ‫مواجهه‬ ‫در‬‫مسائل‬‫اس‬ ‫امنیتی‬‫شناسایی‬ ‫به‬ ‫است‬ ‫ممکن‬ ‫معیارها‬ .‫ت‬‫آسیب‬‫پذی‬‫ری‬‫س‬ ‫های‬‫و‬ ‫یستم‬
‫همچنین‬‫اولویت‬ ‫برای‬ ‫راهنمایی‬‫کم‬ ‫نیز‬ ‫اصالحی‬ ‫اقدامات‬ ‫بندی‬‫می‬ ‫معیارها‬ .‫کنند‬ ‫ک‬‫توانند‬‫هدا‬ ‫و‬ ‫توجیه‬ ‫برای‬‫سرمایه‬ ‫یت‬-
‫آ‬ ‫گذاری‬‫معیارها‬ .‫شوند‬ ‫برده‬ ‫بکار‬ ‫نیز‬ ‫امنیت‬ ‫روی‬ ‫تی‬ّ‫م‬‫ک‬ ‫امنیتی‬ ‫ی‬‫ریسک‬ ‫میزان‬ ‫تعیین‬ ‫برای‬ ‫ابزاری‬ ‫ی‬‫ه‬‫از‬ ‫ا‬‫ن‬‫ر‬ ‫مالی‬ ‫ظر‬‫ارائه‬ ‫ا‬
‫می‬‫ب‬ ‫دهند‬‫ه‬‫تصمیم‬ ‫طوریکه‬‫گیری‬‫های‬.‫گردد‬ ‫میسر‬ ‫منطقی‬
‫اندازه‬ ‫برای‬ ‫معیارها‬ ‫از‬ ‫تعدادی‬ ،‫ریسک‬ ‫ارزیابی‬ ‫با‬ ‫مرتبط‬ ‫منابع‬ ‫به‬ ‫توجه‬ ‫با‬‫ریسک‬ ‫گیری‬‫امن‬ ‫های‬‫ایج‬ ‫یتی‬‫شده‬ ‫اد‬‫در‬ .‫اند‬
‫دار‬ ‫معیار‬ ‫نوع‬ ‫دو‬ ،‫حقیقت‬‫ی‬‫مدل‬ ‫روی‬ ‫ما‬ ‫تمرکز‬ ‫مقاله‬ ‫این‬ ‫در‬ .‫کمی‬ ‫و‬ ‫کیفی‬ ‫معیارهای‬ :‫م‬‫های‬‫ارزی‬ ‫ّی‬‫م‬‫ک‬‫ریس‬ ‫ابی‬‫امنیت‬ ‫ک‬
‫سیستم‬ ‫برای‬‫فن‬ ‫ابری‬ ‫رایانش‬ ،‫حقیقت‬ ‫در‬ .‫است‬ ‫ابری‬ ‫رایانش‬ ‫های‬‫رای‬ ‫منابع‬ ‫تأمین‬ ‫برای‬ ‫را‬ ‫جدیدی‬ ‫اوری‬‫ابر‬ ‫انش‬‫به‬ ‫ی‬‫عنوان‬
‫می‬ ‫ارائه‬ ‫نیاز‬ ‫مورد‬ ‫خدمات‬‫دهد‬‫؛‬‫محدودیت‬ ‫اما‬‫امنیت‬ ‫مانند‬ ‫هایی‬‫به‬ ‫که‬ ‫دارد‬ ‫وجود‬‫اصلی‬ ‫مانع‬ ‫عنوان‬‫استف‬ ‫برای‬‫اب‬ ‫از‬ ‫اده‬‫ر‬
‫می‬ ‫قلمداد‬.‫شود‬
‫ّی‬‫م‬‫ک‬ ‫مدل‬ ‫چند‬‫مدل‬ ‫که‬ ‫دارد‬ ‫وجود‬‫امنیت‬ ‫ریسک‬ ‫های‬‫سیستم‬ ‫برای‬ ‫را‬‫می‬ ‫برآورد‬ ‫ابری‬ ‫رایانش‬ ‫های‬‫کند‬‫مانند‬FCM،
MFCE،extMFC،intMFC،FC2M.‫مدل‬ ‫کامل‬ ‫بررسی‬ ‫به‬ ‫تحقیقی‬ ‫کار‬ ‫این‬ ‫در‬‫ا‬ ‫ریسک‬ ‫ارزیابی‬ ‫ّی‬‫م‬‫ک‬ ‫های‬‫منیت‬
‫سیستم‬ ‫برای‬‫ابری‬ ‫رایانش‬ ‫های‬‫می‬‫پردازیم‬‫مقایسه‬ ‫سپس‬ ‫و‬‫هایی‬‫ما‬ ‫را‬‫این‬ ‫بین‬‫مدل‬‫ارائه‬ ‫ها‬.‫داد‬ ‫خواهیم‬
‫بخش‬ ‫سایر‬‫مق‬ ‫این‬ ‫های‬‫به‬ ‫اله‬‫می‬ ‫ارائه‬ ‫زیر‬ ‫شرح‬‫بخش‬ ‫در‬ .‫شود‬2‫مساله‬ ،‫می‬ ‫ارائه‬ ‫را‬ ‫ای‬‫که‬ ‫دهیم‬‫د‬‫آن‬ ‫روی‬ ‫مقاله‬ ‫این‬ ‫ر‬
‫می‬ ‫کار‬‫بخش‬ .‫شود‬3‫پ‬ ‫مباحث‬ ‫از‬ ‫برخی‬‫یش‬‫زمینه‬‫سیستم‬ ‫مفاهیم‬ ‫روی‬ ‫را‬ ‫ای‬‫چالش‬ ‫و‬ ‫ابری‬ ‫رایانش‬ ‫های‬‫های‬‫امنیتی‬‫آن‬‫ها‬
‫می‬ ‫ارائه‬‫بخش‬ ‫در‬ .‫کند‬4‫مدل‬ ،‫های‬‫ّی‬‫م‬‫ک‬‫ارزیابی‬‫امنیت‬ ‫ریسک‬‫سیستم‬ ‫برای‬ ‫را‬‫های‬‫ابری‬ ‫رایانش‬‫ارائه‬‫می‬‫بخش‬ ‫در‬ .‫دهیم‬5
‫مدل‬‫می‬ ‫مقایسه‬ ‫و‬ ‫تحلیل‬ ‫شده‬ ‫ارائه‬ ‫های‬.‫شوند‬‫نتیجه‬‫گیری‬‫نکات‬ ‫برخی‬ ‫و‬‫بخش‬ ‫در‬ ‫را‬6.‫داشت‬ ‫خواهیم‬
1 National Institute of Standards and Technology

3. 1167
2‫مساله‬ ‫بیان‬ .
‫ری‬ ‫ارزیابی‬ ‫به‬ ‫پرداختن‬ ‫برای‬ ‫قوی‬ ‫انگیزش‬ ‫چند‬‫نقطه‬ ‫از‬ ‫امنیتی‬ ‫سک‬‫ب‬ ‫جدید‬ ‫نظر‬‫ه‬‫مدیری‬ ‫برای‬ ‫خصوص‬‫ریس‬ ‫ت‬‫امنیت‬ ‫ک‬
‫اطالعات‬‫شرکت‬ ‫در‬ ‫را‬ ‫تغییراتی‬ ‫که‬ ‫دارد‬ ‫وجود‬ ‫خاص‬ ‫عامل‬ ‫چند‬ ،‫حقیقت‬ ‫در‬ .‫دارد‬ ‫وجود‬‫ب‬ ‫ها‬‫ه‬‫و‬‫می‬ ‫جود‬‫آو‬‫نم‬ ‫برای‬ .‫رند‬‫ونه‬
‫فن‬ ‫از‬ ‫استفاده‬‫ا‬‫وری‬‫نوآ‬ ‫فشار‬ ،‫جدید‬ ‫های‬‫هزینه‬ ‫کاهش‬ ‫در‬ ‫فشار‬ ‫و‬ ‫وری‬‫شرکت‬ ‫ها‬‫نظر‬ ‫در‬ ‫به‬ ‫وادار‬ ‫را‬ ‫ها‬‫ای‬ ‫گرفتن‬‫جنبه‬ ‫ن‬‫ها‬‫ک‬‫رده‬
‫چشم‬ ‫و‬ ‫است‬.‫بزند‬ ‫لطمه‬ ‫مشتری‬ ‫اعتماد‬ ‫و‬ ‫سازمان‬ ‫اعتبار‬ ‫بر‬ ‫است‬ ‫ممکن‬ ‫عوامل‬ ‫این‬ ‫از‬ ‫پوشی‬
‫اطالعات‬ ‫امنیت‬ ‫ریسک‬ ‫ارزیابی‬‫آسیب‬ ‫اگر‬ ،‫حقیقت‬ ‫در‬ .‫است‬ ‫دشوار‬ ‫و‬ ‫پرهزینه‬ ‫بسیار‬‫جدید‬ ‫پذیری‬‫ی‬ ‫و‬‫بدافزا‬ ‫ا‬‫ری‬‫جدید‬
‫بسی‬ ‫است‬ ‫ممکن‬ ‫نتایج‬ ،‫شود‬ ‫کشف‬‫همچنین‬ .‫باشد‬ ‫پرهزینه‬ ‫ار‬‫واکنش‬ ‫تأمین‬ ‫برای‬ ،‫رخد‬ ‫برای‬ ‫مناسب‬ ‫و‬ ‫سریع‬‫ادهای‬‫ا‬‫و‬ ‫منیتی‬
‫دارایی‬ ‫از‬ ‫حفاظت‬‫آن‬ ‫های‬‫ها‬‫سازمان‬ ،‫رویکرد‬ ‫به‬ ‫نیاز‬ ‫ها‬‫امنیت‬ ‫ریسک‬ ‫ارزیابی‬ ‫سیستماتیک‬.‫دارند‬‫کار‬‫شخصی‬ ‫بران‬‫شرکتی‬ ‫یا‬
‫سیستم‬ ‫تا‬ ‫دارند‬ ‫انتظار‬‫ریسک‬ ‫بتوانند‬ ‫و‬ ‫باشند‬ ‫ایمن‬ ‫اطالعاتی‬ ‫های‬‫استراتژی‬ ‫و‬ ‫ها‬‫هایشان‬‫کاه‬ ‫در‬ ‫را‬‫ش‬‫ریسک‬ ‫این‬‫پیش‬ ‫ها‬-
.‫کنند‬ ‫بینی‬‫امن‬ ‫برای‬ ‫انگیزه‬‫د‬ ‫برای‬ ‫بهتر‬ ‫معیارهای‬ ‫توسعه‬ ‫و‬ ‫ایجاد‬ ‫به‬ ‫نیاز‬ ‫آغازگر‬ ‫سازمانی‬ ‫اطالعات‬ ‫سازی‬‫ن‬ ‫وضعیت‬ ‫رک‬‫گرش‬
.‫است‬ ‫شده‬ ‫سازمان‬ ‫امنیتی‬‫ارزیابی‬ ،‫دیگر‬ ‫بیان‬ ‫به‬‫ریسک‬‫م‬ ‫از‬ ‫یکی‬‫ؤ‬‫لفه‬‫اصلی‬ ‫های‬‫ریسک‬ ‫مدیریت‬ ‫فرآیند‬‫سازمانی‬‫این‬ .‫است‬
‫معیاره‬ ‫بر‬ ‫مبتنی‬ ‫امر‬‫ریسک‬ ‫ارزیابی‬ ‫در‬ ‫امنیتی‬ ‫ای‬.‫است‬ ‫امنیتی‬ ‫های‬
3‫سیستم‬ .‫چالش‬ ‫و‬ ‫ابری‬ ‫رایانش‬ ‫های‬‫سایبری‬ ‫امنیت‬ ‫های‬
‫فن‬ ‫ابری‬ ‫رایانش‬‫ا‬‫جدیدی‬ ‫وری‬‫است‬‫برای‬ ‫را‬ ‫نوآوری‬ ‫که‬‫از‬ ‫بسیاری‬‫شرکت‬‫می‬ ‫میسر‬ ‫ها‬‫امر‬ ‫این‬ .‫سازد‬‫باعث‬‫بهبو‬‫د‬
‫قابلیت‬‫به‬ ‫ابری‬ ‫رایانش‬ ‫های‬‫آن‬ ‫نوآوری‬ ‫فرآیند‬ ‫از‬ ‫بخشی‬ ‫عنوان‬‫ها‬‫در‬‫ت‬‫أ‬‫م‬‫تنوع‬ ،‫خدمات‬ ‫و‬ ‫محصوالت‬ ‫ین‬‫س‬‫ازی‬،‫تکا‬‫رشد‬ ‫و‬ ‫مل‬
‫کل‬‫ی‬‫سازمان‬‫ی‬‫می‬.‫گردد‬
‫ابری‬ ‫رایانش‬‫الگویی‬‫ب‬ ‫که‬ ‫است‬ ‫رایانش‬ ‫از‬ ‫نوظهور‬‫ه‬‫به‬ ‫رایانش‬ ‫جای‬‫عنوان‬‫موضوع‬‫به‬ ‫رایانش‬ ‫از‬ ‫شخصی‬‫عنوان‬‫خدمات‬
‫عمومی‬‫می‬ ‫استفاده‬‫می‬ .‫کند‬‫ب‬ ‫را‬ ‫امر‬ ‫این‬ ‫توان‬‫ه‬‫صورت‬‫منابع‬‫رایانشی‬‫درخواست‬ ‫برحسب‬2‫طریق‬ ‫از‬‫ا‬‫پرداخت‬ ‫مبنای‬ ‫بر‬ ‫ینترنت‬
‫حسب‬ ‫بر‬‫استفاده‬3‫تعریف‬‫محاسبه‬ ‫زمان‬ ‫(مانند‬ ‫منابع‬ .‫کرد‬‫پ‬‫ردازنده‬‫ذخیره‬ ‫و‬‫داده‬ ‫سازی‬‫ب‬ )‫ها‬‫ه‬‫اینترنت‬ ‫در‬ ‫پویا‬ ‫صورت‬‫تأمین‬
‫می‬‫شوند‬‫هزینه‬ ‫و‬‫اشتراکی‬‫آ‬‫است‬ ‫اساس‬ ‫بر‬ ‫ن‬‫می‬ ‫محاسبه‬ ‫رایانشی‬ ‫منابع‬ ‫از‬ ‫فاده‬.‫گردد‬
‫ب‬ .‫دارد‬ ‫وجود‬ ‫ابری‬ ‫رایانش‬ ‫برای‬ ‫زیادی‬ ‫تعاریف‬‫نمو‬ ‫رای‬‫موسسه‬ ،‫نه‬‫استاندارد‬ ‫ملی‬ ‫ی‬‫ها‬‫فن‬ ‫و‬‫ا‬‫وری‬،‫ر‬‫ا‬ ‫ایانش‬‫را‬ ‫بری‬
‫به‬‫صورت‬‫می‬ ‫تعریف‬ ‫زیر‬:‫کند‬«‫مجموعه‬ ‫به‬ ‫بالدرنگ‬ ‫و‬ ‫راحت‬ ،‫فراگیر‬ ‫دسترسی‬ ‫ایجاد‬ ‫برای‬ ‫است‬ ‫مدلی‬‫ای‬‫ر‬ ‫منابع‬ ‫از‬‫ایانشی‬
‫پیکربندی‬ ‫قابل‬‫(م‬‫انند‬‫شبکه‬‫ذخیره‬ ،‫سرورها‬ ،‫ها‬‫برنامه‬ ،‫سازی‬)‫خدمات‬ ‫و‬ ‫کاربردی‬ ‫های‬‫می‬ ‫که‬‫توان‬‫آن‬‫به‬ ‫را‬ ‫ها‬‫تأمین‬ ‫سرعت‬
‫فراهم‬ ‫دخالت‬ ‫یا‬ ‫و‬ ‫مدیریتی‬ ‫تالش‬ ‫کمترین‬ ‫با‬ ‫و‬ ‫نموده‬‫کرد‬ ‫آزاد‬ ‫سرویس‬ ‫کننده‬.»
‫ب‬ ‫را‬ ‫خود‬ ‫خدمات‬ ‫ابری‬ ‫رایانش‬‫ه‬‫الیه‬ ‫صورت‬‫خدمات‬ ‫از‬ ‫هایی‬‫می‬ ‫فراهم‬ ‫مشتریان‬ ‫برای‬.‫نماید‬‫الیه‬ ‫این‬‫ها‬‫شامل‬‫منابع‬
،‫زیرساختی‬‫بستر‬‫برنامه‬‫نرم‬ ‫و‬ ‫کاربردی‬‫افزار‬‫به‬‫م‬ ‫خدمت‬ ‫عنوان‬‫ی‬‫باش‬‫ن‬‫د‬.‫الیه‬‫زیرساخت‬‫به‬‫عنوان‬‫خدمت‬4‫زیرساخت‬‫پایه‬‫ای‬
‫رایانش‬‫برای‬‫ذخیره‬ ،‫پردازش‬ ،‫سرورها‬‫شبکه‬ ‫و‬ ‫سازی‬‫می‬ ‫تامین‬ ‫را‬ ‫ها‬.‫کند‬‫الیه‬‫بستر‬‫به‬‫خدمت‬ ‫عنوان‬5‫الیه‬‫می‬ ‫ارائه‬ ‫را‬ ‫ای‬‫دهد‬
‫می‬ ‫کاربران‬ ‫آن‬ ‫در‬ ‫که‬‫برنامه‬ ‫توانند‬‫پیاده‬ ‫را‬ ‫خود‬ ‫کاربردی‬ ‫های‬‫نرم‬ .‫کنند‬ ‫نصب‬ ‫و‬ ‫سازی‬‫افزار‬‫به‬‫خدمت‬ ‫عنوان‬6‫برنامه‬‫های‬
‫آن‬ ‫کامپیوترهای‬ ‫روی‬ ‫نصب‬ ‫بدون‬ ‫مشتری‬ ‫هزاران‬ ‫خدمت‬ ‫در‬ ‫وب‬ ‫مرورگر‬ ‫طریق‬ ‫از‬ ‫را‬ ‫کاربردی‬‫می‬ ‫فراهم‬ ‫ها‬.‫کند‬
2
On-Demand
3
Pay-for-Use
4
Infrastructure as a Service
5
Platform as a Service
6
Software as a Service

4. 1168
‫مزا‬ ‫تمامی‬ ‫ابری‬ ‫رایانش‬‫یای‬‫سیستم‬‫عمومی‬ ‫خدمات‬7‫مقیاس‬ ‫اقتصاد‬ ‫حسب‬ ‫بر‬ ‫را‬‫پذیر‬‫انعطاف‬ ،‫فراهم‬ ‫راحتی‬ ‫و‬ ‫پذیری‬
‫می‬‫رفت‬ ‫دست‬ ‫از‬ ‫مانند‬ ‫مسائلی‬ ‫اما‬ ‫کند‬‫کنت‬ ‫ن‬‫ر‬.‫دارد‬ ‫پی‬ ‫در‬ ‫هم‬ ‫را‬ ‫امنیت‬ ‫و‬ ‫ل‬
‫به‬ ‫توجه‬ ‫با‬ ‫اما‬‫افزون‬ ‫روز‬ ‫اطالعات‬ ‫گرفتن‬ ‫قرار‬‫شرکت‬ ‫و‬ ‫افراد‬‫ها‬‫ابر‬ ‫روی‬ ‫بر‬،‫با‬ ‫مرتبط‬ ‫مسائل‬‫در‬ ‫امنیت‬‫افزای‬ ‫حال‬‫ش‬
‫برون‬ ،‫حقیقت‬ ‫در‬ .‫هستند‬‫سازی‬‫کاربران‬ ‫اطالعات‬‫دا‬ ‫یکپارچگی‬ ‫حفظ‬‫ده‬،‫حریم‬‫دسترس‬ ‫و‬ ‫خصوصی‬‫می‬ ‫دشوار‬ ‫را‬ ‫پذیری‬‫س‬‫ازد‬
‫و‬‫عواق‬ ‫باعث‬‫می‬ ‫جدی‬ ‫ب‬‫سیستم‬ ‫در‬ ‫بزرگ‬ ‫چالشی‬ ‫امنیت‬ .‫گردد‬‫ها‬‫ی‬.‫است‬ ‫ابری‬ ‫رایانش‬‫انج‬ ‫نظرسنجی‬ ‫مطابق‬‫شده‬ ‫ام‬‫توس‬‫ط‬
‫شرکت‬International Data Group (IDG)‫در‬‫سال‬2014‫برای‬ ‫اصلی‬ ‫نگرانی‬ ‫امنیت‬ ،‫ابری‬ ‫رایانش‬.‫است‬‫در‬
،‫حقیقت‬78%‫سازمان‬ ‫از‬‫نگرانی‬ ‫ها‬‫امنیت‬ ‫مورد‬ ‫در‬ ‫هایی‬‫ر‬.‫دارند‬ ‫ابری‬ ‫ایانش‬
4.‫مدل‬‫اطالعات‬ ‫امنیت‬ ‫ریسک‬ ‫ارزیابی‬ ‫های‬
‫مدل‬ ،‫بخش‬ ‫این‬ ‫در‬‫های‬‫می‬ ‫معرفی‬ ‫ابری‬ ‫رایانش‬ ‫سیستم‬ ‫برای‬ ‫را‬ ‫امنیت‬ ‫ریسک‬ ‫ارزیابی‬.‫کنیم‬‫مدل‬ ‫این‬‫ک‬ ‫ها‬ّ‫ی‬‫م‬‫ت‬‫فاکتور‬
‫را‬ ‫رایانشی‬ ‫سیستم‬ ‫امنیت‬‫یک‬ ‫توسط‬‫می‬ ‫تعیین‬ ‫تصادفی‬ ‫متغیر‬‫کن‬‫ن‬‫د‬‫تا‬‫تلفاتی‬ ‫میزان‬‫تهدید‬ ‫از‬ ‫ناشی‬ ‫که‬‫و‬ ‫ات‬
‫آسیب‬‫پذیری‬‫سیستم‬ ‫های‬‫هستند‬‫برای‬ ‫را‬.‫کند‬ ‫مشخص‬ ‫ذینفعان‬‫مدل‬ ‫پنج‬ ،‫نتیجه‬ ‫در‬‫زیر‬‫ک‬ ‫تعیین‬ ‫برای‬ ‫را‬ّ‫ی‬‫م‬‫ت‬‫حفره‬‫های‬
‫امنیتی‬‫ابری‬ ‫رایانش‬‫ارائه‬‫می‬.‫کنیم‬
4.1.SecAgreement‫امنیت‬ ‫ریسک‬ ‫ارزیابی‬ ‫مدل‬ :
Hale‫همکاران‬ ‫و‬(Hale et al., 2012)‫ب‬ ‫مدلی‬‫ه‬‫ن‬‫ام‬SecAgreement‫را‬‫تا‬ ‫دادند‬ ‫ارائه‬‫فراهم‬‫کنندگان‬‫خدم‬‫ات‬
‫بتوان‬ ‫ابری‬‫ن‬‫احتما‬ ‫د‬‫خدمات‬ ‫از‬ ‫استفاده‬ ‫ل‬‫خود‬ ‫رایانشی‬.‫دهد‬ ‫افزایش‬ ‫را‬‫تط‬ ‫الگوریتم‬ ‫روش‬ ‫این‬‫ا‬‫بق‬‫سازی‬‫ا‬ ‫خدمات‬‫بر‬ ‫را‬ ‫بری‬‫ای‬
‫رتبه‬ ‫و‬ ‫دسترسی‬‫بندی‬‫توافق‬‫یافته‬ ‫بهبود‬ ‫خدمات‬ ‫سطح‬ ‫نامه‬‫با‬SecAg‫می‬ ‫ارائه‬ ‫ریسکشان‬ ‫توسط‬‫دهد‬.‫بناب‬‫راین‬‫سازمان‬‫ها‬
‫می‬‫توانند‬‫ک‬‫میت‬،‫کنند‬ ‫تعیین‬ ‫را‬ ‫ریسک‬‫گونه‬ ‫هر‬‫با‬ ‫انطباق‬ ‫عدم‬‫را‬ ‫سیاست‬‫که‬‫اس‬ ‫ممکن‬‫با‬ ‫داشته‬ ‫وجود‬ ‫ت‬‫ش‬‫شناسایی‬ ،‫د‬
‫کنند‬‫را‬ ‫خود‬ ‫امنیتی‬ ‫نیازهای‬ ‫شکل‬ ‫بهترین‬ ‫به‬ ‫که‬ ‫کنند‬ ‫انتخاب‬ ‫را‬ ‫ابری‬ ‫خدمات‬ ‫نتیجه‬ ‫در‬ ‫و‬‫کنن‬ ‫برآورد‬.‫د‬
4.2.‫متوسط‬‫هزینه‬‫ی‬( ‫خرابی‬8
MFC)
Ben Aissa‫همکاران‬ ‫و‬(Ben Asia et al., 2010)‫یک‬‫امنیت‬ ‫معیار‬‫هزین‬ ‫متوسط‬ ‫عنوان‬ ‫تحت‬ ‫سایبری‬‫ه‬‫ی‬
( ‫خرابی‬MFC)‫ک‬ ‫که‬ ‫کردند‬ ‫معرفی‬ ‫را‬‫میت‬‫رایانش‬ ‫سیستم‬ ‫امنیت‬‫ی‬‫تصادفی‬ ‫متغیر‬ ‫آماری‬ ‫میانگین‬ ‫با‬ ‫را‬‫مشخ‬‫می‬ ‫ص‬.‫کند‬
‫روش‬ ‫این‬‫هر‬ ‫برای‬‫ذینفع‬‫تلفات‬ ‫میزان‬‫آسیب‬ ‫و‬ ‫امنیتی‬ ‫تهدیدات‬ ‫از‬ ‫ناشی‬‫پذیری‬‫سیستمی‬ ‫های‬‫می‬ ‫بیان‬ ‫را‬.‫کند‬MFC‫برای‬
‫هر‬‫ذینفع‬‫دارد‬ ‫فرق‬‫سهام‬ ‫واریانس‬ ‫و‬‫ها‬‫ی‬‫یک‬‫سهامدار‬‫که‬ ‫را‬‫ت‬ ‫در‬‫أ‬‫هر‬ ‫مین‬‫نیازمندی‬‫امنیتی‬‫اختیار‬ ‫در‬‫نظ‬ ‫در‬ ،‫دارد‬‫می‬ ‫ر‬‫گیرد‬.
‫زیر‬‫م‬ ‫نظر‬ ‫مورد‬ ‫ساخت‬‫هر‬ ‫در‬ ‫سهامداران‬ ‫که‬ ‫را‬ ‫قادیری‬‫نیازمندی‬‫امنیتی‬‫وابستگی‬ ،‫دارند‬‫نیازمندی‬‫های‬‫امنیتی‬‫به‬‫بهره‬‫برداری‬
‫مؤلفه‬ ‫از‬‫های‬‫امنیتی‬ ‫تهدیدات‬ ‫تاثیر‬ ‫و‬ ‫معماری‬‫بر‬‫این‬ ‫روی‬‫مؤلفه‬‫ها‬‫می‬ ‫نشان‬ ‫را‬.‫دهد‬
‫فرآیند‬MFC‫می‬ ‫گام‬ ‫چهار‬ ‫شامل‬:‫باشد‬
‫ایجاد‬‫سهام‬ ‫ماتریس‬‫کنید‬ ‫فرض‬ :‫ها‬ST(S،R)‫سهام‬ ‫ماتریس‬‫بعد‬ ‫از‬ ‫ها‬(i*j)‫آن‬ ‫در‬ ‫که‬ ‫باشد‬S‫سهام‬‫های‬
‫و‬ ‫سیستم‬R‫نیازمندی‬‫های‬‫می‬ ‫نشان‬ ‫را‬ ‫سیستم‬ ‫این‬‫المان‬ .‫دهند‬A(Si, Rj)‫هزینه‬‫می‬ ‫نشان‬ ‫را‬ ‫ای‬‫که‬ ‫دهد‬‫ممک‬‫است‬ ‫ن‬
‫سهامدار‬Si‫در‬‫صورتی‬‫امنیتی‬ ‫شرط‬ ‫نتواند‬ ‫سیستم‬ ‫که‬Ri‫نکند‬ ‫تامین‬ ‫را‬.‫بدهد‬ ‫دست‬ ‫از‬ ،
‫ایجاد‬‫ماتری‬‫وابستگی‬ ‫ماتریس‬ :‫وابستگی‬ ‫س‬‫تخمین‬ ‫چگونگی‬‫می‬ ‫نشان‬ ‫را‬ ‫احتمالی‬‫که‬ ‫دهد‬‫نیازمند‬‫ی‬‫امنیتی‬
‫دوره‬ ‫برخی‬ ‫برای‬ ‫سیستم‬ ‫عملیات‬ ‫زمان‬ ‫در‬ ‫خاصی‬‫می‬ ‫نقض‬ ‫زمانی‬ ‫های‬.‫گردد‬
7
Public Utility
8
The Mean Failure Cost

5. 1169
‫ایجاد‬‫اث‬ ‫ماتریس‬‫ب‬ ‫نتوانند‬ ‫که‬ ‫دهد‬ ‫نشان‬ ‫را‬ ‫اجزایی‬ ‫است‬ ‫ممکن‬ ‫سیستم‬ ‫معماری‬ :‫ر‬‫ه‬‫طور‬‫مناسبی‬‫د‬‫نتیجه‬ ‫ر‬
‫نقض‬‫های‬‫فعالی‬ ‫از‬ ‫ناشی‬ ‫امنیتی‬‫ت‬.‫کنند‬ ‫عمل‬ ‫خرابکارانه‬‫مجموعه‬ ‫باید‬ ،‫لذا‬‫تهدیدات‬ ‫از‬ ‫ای‬‫با‬ ‫مرتبط‬‫ا‬‫سیستم‬ ‫ین‬‫را‬‫مشخص‬
‫نماییم‬‫ماتریس‬ ‫این‬ .‫می‬ ‫تعیین‬‫کن‬‫کدام‬ ‫که‬ ‫د‬‫تهدیدات‬‫تاثیر‬ ‫اجزا‬ ‫کدام‬ ‫بر‬‫می‬‫گذارند‬‫موفق‬ ‫احتمال‬ ‫و‬‫تهدید‬ ‫هر‬ ‫یت‬‫را‬‫مطابق‬‫با‬
‫مهاجم‬ ‫رفتار‬‫ارزیابی‬ ‫ممکن‬ ‫متقابل‬ ‫اقدامات‬ ‫و‬‫می‬‫کن‬.‫د‬
‫بیان‬ ‫را‬ ‫احتمالی‬ ‫تهدید‬ ‫بردار‬ :‫تهدید‬ ‫بردار‬ ‫ایجاد‬‫می‬‫دوره‬ ‫طول‬ ‫در‬ ‫تهدید‬ ‫یک‬ ‫که‬ ‫کند‬‫زما‬‫عم‬ ‫واحد‬ ‫نی‬‫را‬ ‫لیات‬
‫می‬ ‫تحقق‬.‫بخشد‬
4.3‫هزینه‬ ‫متوسط‬ .‫خارجی‬ ‫خرابی‬ ‫ی‬9(extMFC)‫هزینه‬ ‫متوسط‬ ‫و‬‫داخلی‬ ‫خرابی‬ ‫ی‬10(intMFC)
Jouini‫همکاران‬ ‫و‬(Jouini et al., 2012)‫ک‬ ‫تعیین‬ ‫برای‬ ‫را‬ ‫جدیدی‬ ‫مدل‬‫میت‬‫ریسک‬‫های‬‫ام‬ ‫تهدیدات‬‫در‬ ‫با‬ ‫نیتی‬
‫گرفتن‬ ‫نظر‬‫طبقه‬‫بند‬‫تهدیدات‬ ‫ی‬‫شده‬ ‫شناسایی‬:‫دادند‬ ‫ارائه‬MFC‫و‬ ‫داخلی‬MFC‫خارجی‬.‫تهدی‬ ،‫حقیقت‬ ‫در‬‫ب‬ ‫دات‬‫اساس‬ ‫ر‬
‫منابعشان‬‫و‬‫به‬‫من‬‫ظور‬‫درک‬‫منش‬‫اء‬‫طبقه‬ ‫تهدیدات‬‫می‬ ‫بندی‬‫شوند‬‫تا‬‫سیستم‬‫ب‬ ‫و‬ ‫اطالعاتی‬ ‫های‬‫ه‬‫سیس‬ ‫خصوص‬‫تم‬‫رایانش‬ ‫های‬
‫برای‬ ‫را‬ ‫ابری‬‫استراتژی‬ ‫توسعه‬‫های‬‫اثرات‬ ‫کاهش‬ ‫یا‬ ‫جلوگیری‬ ‫برای‬ ‫و‬ ‫مناسب‬‫تهدیدات‬‫سوق‬‫د‬.‫هند‬‫این‬ ‫در‬‫م‬‫اساس‬ ‫دل‬‫ا‬‫بعاد‬
‫تهدید‬ ‫منابع‬‫می‬‫باشد‬‫منشا‬ ‫تا‬‫ء‬‫وقوع‬‫تهدیدات‬‫شوند‬ ‫کشف‬.‫مبنای‬ ‫بر‬‫فضای‬ ،‫مدل‬ ‫این‬‫نفوذ‬‫تهدید‬‫امنیتی‬‫زیرفضاها‬ ‫به‬‫یی‬
‫بعد‬ ‫دو‬ ‫مدل‬ ‫بر‬ ‫مطابق‬‫ی‬‫می‬ ‫تقسیم‬‫می‬ ‫داده‬ ‫نشان‬ ‫خارجی‬ ‫و‬ ‫داخلی‬ ‫با‬ ‫که‬ ‫شود‬‫طبقه‬ ‫این‬ .‫شوند‬‫باعث‬ ‫بندی‬‫می‬‫شود‬‫ت‬‫ا‬‫بتوانیم‬
‫دو‬‫نوع‬‫افزونه‬‫از‬‫تهدید‬ ‫بردار‬‫اساس‬ ‫بر‬‫معیار‬MFC‫دو‬ ‫با‬ ‫اقداماتی‬ ،‫نتیجه‬ ‫در‬ .‫دهیم‬ ‫ارائه‬ ‫را‬‫افزو‬‫نه‬‫می‬ ‫از‬‫هزینه‬ ‫انگین‬‫ی‬‫خ‬‫رابی‬
(MFC)‫می‬ .‫داشت‬ ‫خواهد‬ ‫وجود‬‫هزینه‬ ‫متوسط‬ ‫توانیم‬‫هزینه‬ ‫متوسط‬ ‫و‬ ‫خارجی‬ ‫خرابی‬ ‫ی‬‫داخلی‬ ‫خرابی‬ ‫ی‬‫ب‬ ‫را‬‫بر‬ ‫به‬ ‫سته‬‫دار‬
‫حمله‬ ‫فضای‬‫محاسبه‬‫می‬‫می‬ ‫بیان‬ ‫را‬ ‫احتمالی‬ ‫که‬ ‫کنیم‬‫باشد‬ ‫خارجی‬ ‫یا‬ ‫داخلی‬ ‫است‬ ‫ممکن‬ ‫خطر‬ ‫یک‬ ‫که‬ ‫کند‬.
‫این‬‫افزونه‬‫های‬‫مدل‬ ‫جدید‬MFC‫آسیب‬ ‫تحلیل‬‫می‬ ‫بهبود‬ ‫را‬ ‫سیستم‬ ‫پذیری‬‫آن‬ .‫بخشند‬‫ماهیت‬ ‫ها‬‫راهکار‬‫را‬ ‫امنیتی‬
‫می‬ ‫تعیین‬‫هزینه‬ ‫متوسط‬ ‫که‬ ‫کنند‬‫می‬ ‫کمینه‬ ‫را‬ ‫خرابی‬ ‫ی‬.‫کند‬
4.4‫مدل‬ .‫یافته‬ ‫تعمیم‬MFC11(MFCE)
Jouini‫همکاران‬ ‫و‬(Jouini et al., 2015)‫یافته‬ ‫تعمیم‬ ‫مدل‬‫هزینه‬ ‫متوسط‬( ‫خرابی‬ ‫ی‬MFCE‫به‬ ‫را‬ )‫م‬ ‫عنوان‬‫عیار‬
‫سیستم‬ ‫برای‬ ‫سایبری‬ ‫امنیت‬‫ب‬ ‫و‬ ‫اطالعاتی‬ ‫های‬‫ه‬‫طبقه‬ ‫مدل‬ ‫مبنای‬ ‫بر‬ ‫مدل‬ ‫این‬ .‫دادند‬ ‫ارائه‬ ‫ابری‬ ‫رایانش‬ ‫محیط‬ ‫برای‬ ‫خصوص‬-
‫طبقه‬ ‫مدل‬ ‫که‬ ‫است‬ ‫تهدید‬ ‫بندی‬‫تهدید‬ ‫بندی‬‫ترکیبی‬12(HTC)‫می‬ ‫نامیده‬‫شود‬.HTC‫ع‬ ‫مدل‬‫معیار‬ ‫چند‬ ‫که‬ ‫است‬ ‫مومی‬
‫مشخصه‬ ‫یا‬،‫تهدید‬ ‫منبع‬ ‫مانند‬ ‫تهدید‬‫مجرمان‬‫تهدی‬‫انگیزش‬ ،‫د‬‫تهدیدات‬ ‫عواقب‬ ‫و‬ ،‫هدف‬ ،‫را‬‫می‬ ‫ترکیب‬.‫کند‬
‫هزینه‬ ‫متوسط‬ ‫مدل‬ ‫در‬ ‫تهدید‬ ‫بردار‬ ‫و‬ ‫اثر‬ ‫ماتریس‬ ‫تخمین‬ ‫پاالیش‬ ‫بر‬ ‫مدل‬ ‫این‬‫دارد‬ ‫تمرکز‬ ‫خرابی‬ ‫ی‬‫در‬ ‫که‬‫ب‬‫قبلی‬ ‫خش‬
‫مطالعه‬ ‫مدل‬ ‫این‬ .‫است‬ ‫شده‬ ‫معرفی‬‫اثر‬‫طبقه‬ ‫کل‬‫ب‬ ‫را‬ ‫تهدیدات‬‫ه‬‫می‬ ‫میسر‬ ‫تهدید‬ ‫صرفا‬ ‫جای‬.‫سازد‬‫حق‬ ‫در‬‫تهدیدات‬ ،‫یقت‬‫و‬
‫امنیتی‬ ‫راهکارهای‬‫بر‬‫می‬ ‫تغییر‬ ‫زمان‬ ‫حسب‬‫کنند‬.
‫اثر‬ ‫ماتریس‬ ‫برای‬‫اثر‬ ‫ماتریس‬ :‫شد‬ ‫ایجاد‬ ‫جدید‬ ‫ماتریس‬ ‫دو‬ ،‫طبقات‬13‫تهدید‬‫طبقات‬ ‫ماتریس‬ ‫و‬14‫تهدید‬.
‫ماتریس‬ICM‫ای‬‫طبقه‬ ‫هرگاه‬ ‫که‬ ‫دارد‬ ‫را‬ ‫احتمال‬ ‫ن‬‫تهدید‬Cl1,Cl2,Cl3,…,Clr‫یابد‬ ‫تحقق‬‫مؤلفه‬
9
The Mean Failure Cost External
1 0
The Mean Failure Cost Internal
1 1
The MFC Extension Model
1 2
Hybrid Threat Classification Model
1 3
Impact Classes Matrix
1 4
Classes Matrix

6. 1170
C1,C2,C3,…,Ck‫می‬ ‫خراب‬‫هرگا‬ ‫و‬ ‫شود‬‫تهدید‬ ‫ه‬T1,T2,T3,…,Tq‫ماتریس‬ ‫دهد‬ ‫رخ‬CM‫طبقه‬ ‫داشتن‬ ‫احتمال‬
‫تهدید‬Clr‫می‬ ‫ارائه‬ ‫را‬.‫دهد‬
‫شکل‬1( :a‫طبقات‬ ‫اثر‬ ‫ماتریس‬ ‫ساختار‬ )( ‫تهدید؛‬b‫تهدید‬ ‫طبقات‬ ‫ماتریس‬ ‫ساختار‬ )
‫مدل‬MFCE‫به‬ ‫را‬ ‫سایبری‬ ‫امنیت‬ ‫معیار‬‫تصمیم‬ ‫روش‬ ‫عنوان‬‫برای‬ ‫گیری‬‫استخراج‬ ‫در‬ ‫ابری‬ ‫رایانش‬ ‫محیط‬‫راهکاره‬‫ا‬‫ی‬
‫امنیت‬‫می‬ ‫ارائه‬ ‫مربوطه‬.‫دهد‬‫تصمیم‬ ‫معیار‬‫گیری‬‫کمی‬‫ت‬ ‫از‬ ‫طبقه‬ ‫هر‬ ‫در‬ ‫متقابل‬ ‫اقدامات‬ ‫انتخاب‬ ‫باعث‬‫هدیدات‬‫و‬‫ش‬‫ناسایی‬
‫می‬ ‫امنیتی‬ ‫تهدیدات‬.‫گردد‬
4.5‫هزینه‬ ‫میانگین‬ ‫مدل‬ .‫خرابی‬15(FC2
M‫بعدی‬ ‫چند‬ )
Jouini‫همکاران‬ ‫و‬(Jouini et al., 2015)‫بعدی‬ ‫چند‬ ‫رویکرد‬ ‫از‬‫برای‬‫تهدی‬ ‫ارزیابی‬‫استفاده‬ ‫امنیتی‬ ‫دات‬.‫کردند‬
‫آن‬‫م‬ ‫ها‬‫هزینه‬ ‫ارزیابی‬ ‫برای‬ ‫را‬ ‫جدیدی‬ ‫دل‬‫ارزیابی‬ ‫برای‬ ‫را‬ ‫تهدیدات‬ ‫ابعاد‬ ‫که‬ ‫دادند‬ ‫ارائه‬ ‫اطالعاتی‬ ‫سیستم‬ ‫امنیت‬ ‫در‬ ‫خرابی‬
‫ریسک‬ ‫بهتر‬‫می‬ ‫نظر‬ ‫در‬ ‫تهدیدات‬ ‫های‬.‫گیرد‬‫هزینه‬ ‫متوسط‬ ‫که‬ ‫مدلی‬‫خرابی‬ ‫ی‬(FC2
M)‫بعدی‬ ‫چند‬‫می‬ ‫نامیده‬‫فرض‬ ‫و‬ ‫شود‬
‫که‬ ‫است‬ ‫این‬ ‫بر‬‫می‬ ‫تقسیم‬ ‫تهدیدات‬ ‫از‬ ‫جنبه‬ ‫چند‬ ‫به‬ ‫تهدید‬ ‫دنیای‬.‫دارند‬ ‫مرسوم‬ ‫بعد‬ ‫چند‬ ‫یک‬ ‫هر‬ ‫که‬ ‫گردد‬،‫حقیقت‬ ‫در‬
‫که‬ ‫دارد‬ ‫جنبه‬ ‫چند‬ ‫امنیتی‬ ‫تهدید‬‫دیدگاه‬16‫می‬ ‫نامیده‬‫سطح‬ ‫که‬ ‫شود‬‫ریسک‬‫می‬ ‫افزایش‬ ‫را‬ ‫سیستم‬ ‫با‬ ‫رودرو‬‫این‬ .‫دهد‬
‫دیدگاه‬‫ش‬ ‫تقسیم‬ ‫بخش‬ ‫چند‬ ‫به‬ ‫است‬ ‫ممکن‬ ‫ها‬‫آن‬ ‫به‬ ‫که‬ ‫وند‬‫می‬ ‫ابعاد‬ ‫ها‬‫گوین‬.‫د‬
‫پیشرو‬ ‫بعد‬ ‫مدل‬ ‫این‬17‫می‬ ‫نظر‬ ‫در‬ ‫را‬‫که‬ ‫گیرد‬‫بیش‬ ‫تمرکز‬‫ب‬ ‫بعد‬ ‫یک‬ ‫روی‬ ‫تر‬‫ه‬‫میسر‬ ‫را‬ ‫تهدید‬ ‫دنیای‬ ‫ابعاد‬ ‫سایر‬ ‫جای‬
‫می‬‫هزینه‬ ‫میانگین‬ ‫ارزیابی‬ ‫برای‬ ،‫نمونه‬ ‫برای‬ .‫سازد‬‫ب‬ ،‫خرابی‬ ‫ی‬‫عد‬‫به‬ ‫را‬ ‫اجزاء‬‫می‬ ‫انتخاب‬ ‫پیشرو‬ ‫جزء‬ ‫عنوان‬‫سایر‬ ‫در‬ .‫کنیم‬
‫بلکه‬ ‫اجزاء‬ ‫بر‬ ‫تنها‬ ‫نه‬ ‫است‬ ‫ممکن‬ ،‫شرایط‬‫محل‬ ‫بر‬‫پیاده‬‫دا‬ ‫تمرکز‬ ‫نیز‬ ‫شرکت‬ ‫سازی‬‫باشیم‬ ‫شته‬‫هزینه‬ ‫متوسط‬ ‫سپس‬ ،‫خرابی‬ ‫ی‬
.‫داشت‬ ‫خواهیم‬ ‫را‬ ‫محل‬ ‫هر‬ ‫در‬
‫مدل‬FC2M‫هزینه‬ ‫روی‬ ‫سهامداران‬ ‫ارزیابی‬‫با‬ ‫مرتبط‬ ‫ی‬‫نیازمندی‬‫های‬‫آن‬‫اجزای‬ ‫به‬ ‫توجه‬ ‫با‬ ‫را‬ ‫ها‬‫د‬‫ن‬ ‫در‬ ‫بعد‬ ‫و‬‫می‬ ‫ظر‬-
‫مجموعه‬ ‫مدل‬ ‫این‬ ،‫لذا‬ .‫گیرد‬‫ی‬H‫می‬ ‫نظر‬ ‫در‬ ‫را‬ ‫سهامداران‬ ‫از‬‫مجموعه‬ ‫و‬ ‫گیرد‬‫ی‬R‫از‬‫نیازمندی‬‫های‬‫آن‬‫مجموعه‬ ‫از‬ ‫ها‬‫از‬ ‫ای‬
‫پیش‬ ‫بعد‬‫تاز‬‫مجموعه‬ ‫و‬،‫(زمان‬ ‫شده‬ ‫گرفته‬ ‫نظر‬ ‫در‬ ‫بعدهای‬ ‫دیگر‬‫مؤلفه‬‫سی‬)... ‫و‬ ‫ستم‬‫می‬ ‫تفکیک‬.‫سازد‬
1 5
Multi-Dimensional Mean Failure Cost Model
1 6
Perspective
1 7
Leading Dimension

7. 1171
5‫مطالع‬ .‫ۀ‬‫مقایسه‬‫ای‬
‫مطالعه‬ ‫از‬ ‫هدف‬‫پنج‬‫مدل‬‫تحلیل‬ ‫کمی‬‫امنیت‬ ‫ریسک‬‫سیستم‬ ‫برای‬‫های‬‫ابری‬ ‫رایانش‬،‫مقایسه‬‫کامل‬‫تر‬‫رویکرد‬ ‫سه‬
‫ارائه‬ ‫همچنین‬ ‫و‬ ‫مختلف‬‫محدودیت‬‫از‬ ‫یک‬ ‫هر‬ ‫مزایای‬ ‫و‬ ‫ها‬‫این‬‫مدل‬.‫است‬ ‫ها‬
‫مدل‬SecAgreement‫ک‬ ‫رویکرد‬‫می‬‫مقایسه‬ ‫برای‬ ‫که‬ ‫است‬‫ارائه‬ ‫بین‬‫بهترین‬ ‫انتخاب‬ ‫برای‬ ‫ابری‬ ‫دهندگان‬‫ارائه‬‫دهنده‬
‫محاسبات‬ ‫اساس‬ ‫بر‬‫ریسک‬ ‫فاکتور‬‫ریسک‬ ‫و‬ ‫است‬ ‫یک‬ ‫هر‬‫محی‬ ‫برای‬ ‫امنیتی‬ ‫نقض‬ ‫از‬ ‫ناشی‬ ‫های‬‫نمی‬ ‫برآورد‬ ‫را‬ ‫ابری‬ ‫رایانش‬ ‫ط‬-
.‫کند‬
‫هزینه‬ ‫متوسط‬ ‫مدل‬( ‫خرابی‬MFC‫مدل‬ ‫این‬ ،‫حقیقت‬ ‫در‬ .‫دارد‬ ‫مزیت‬ ‫چند‬ )‫کمیت‬‫مالی‬ ‫نظر‬ ‫از‬ ‫را‬ ‫سیستم‬ ‫امنیت‬
‫می‬ ‫تعیین‬‫ب‬ ‫کند‬‫ه‬‫سهامدار‬ ‫هر‬ ‫اینکه‬ ‫خصوص‬‫اندازه‬ ‫چه‬ ‫تا‬ ‫سیستم‬‫نتیجه‬ ‫در‬ ‫ای‬‫آسیب‬ ‫و‬ ‫امنیتی‬ ‫تهدیدات‬‫پذیری‬‫سیستم‬ ‫های‬
‫می‬ ‫ضرر‬،‫حقیقت‬ ‫در‬ .‫کند‬‫معیار‬ ‫این‬‫اساس‬ ‫بر‬‫سهام‬‫می‬ ‫تغییر‬ ‫هایی‬‫بر‬ ‫در‬ ‫سهامدار‬ ‫هر‬ ‫که‬ ‫کند‬‫آورد‬‫نیازمندی‬‫امنیتی‬‫اختیار‬ ‫در‬
‫این‬ ‫با‬ .‫دارد‬‫مطالعه‬ ‫از‬ ‫بعد‬ .‫دارد‬ ‫هم‬ ‫ایراد‬ ‫چند‬ ،‫حال‬‫معیار‬ ‫و‬ ‫امنیتی‬ ‫تهدیدات‬ ‫تحلیل‬ ‫و‬MFC‫محدودیت‬ ،‫های‬MFC‫را‬ ‫زیر‬
‫مشاهده‬:‫شدند‬
‫زما‬ ‫طول‬ ‫در‬ ‫و‬ ‫هستند‬ ‫تکاملی‬ ‫امنیتی‬ ‫تهدیدات‬‫می‬ ‫تغییر‬ ‫ن‬‫بردار‬ ‫در‬ ‫و‬ ‫دارند‬ ‫مشخصه‬ ‫چند‬ ‫و‬ ‫کنند‬‫تهدید‬‫هیچ‬ ،
‫سلسله‬ ‫یا‬ ‫منطقی‬ ‫ساختار‬‫مرا‬‫طبقه‬ ‫تهدیدات‬ ‫بین‬ ‫تبی‬‫شد‬ ‫بندی‬‫ۀ‬‫ندارد‬ ‫وجود‬ ‫مختلف‬.
‫کمتر‬ ‫برآورد‬MFC:‫تهدید‬ ‫بردار‬ ‫در‬‫عبارت‬ ،‫به‬‫کار‬‫برای‬ ‫رفته‬‫باشد‬ ‫مبهم‬ ‫است‬ ‫ممکن‬ ‫تهدید‬ ‫تعریف‬،‫امر‬ ‫این‬
‫تهدیدا‬ ‫بین‬ ‫همپوشانی‬ ‫به‬ ‫است‬ ‫ممکن‬‫مختلف‬ ‫ت‬‫منجر‬،‫شود‬‫یعنی‬‫تعلق‬ ‫لحظه‬ ‫یک‬ ‫در‬ ‫طبقه‬ ‫چند‬ ‫به‬ ‫است‬ ‫ممکن‬ ‫تهدید‬ ‫هر‬
‫ب‬ ‫داشته‬‫محاسبه‬ ‫بار‬ ‫چند‬ ‫نتیجه‬ ‫در‬ ‫و‬ ‫اشد‬‫ب‬ ‫گردد‬‫ه‬‫طوریکه‬‫برآورد‬‫کمتری‬‫هزینه‬ ‫متوسط‬ ‫مورد‬ ‫در‬.‫داریم‬ ‫خرابی‬
‫کا‬ ‫نتایج‬ ‫دارد‬ ‫امکان‬ ‫کنند‬ ‫استفاده‬ ‫تهدیدات‬ ‫استخراج‬ ‫برای‬ ‫روش‬ ‫این‬ ‫از‬ ‫است‬ ‫ممکن‬ ‫که‬ ‫کاربرانی‬‫متفاوتی‬ ‫مال‬
.‫باشند‬ ‫داشته‬
‫نمی‬ ‫مدیران‬‫منشا‬ ‫توانند‬‫ء‬‫به‬ ‫را‬ ‫تهدیدات‬ ‫خطرات‬.‫کنند‬ ‫تعیین‬ ‫مناسب‬ ‫متقابل‬ ‫اقدامات‬ ‫بیان‬ ‫منظور‬
MFC‫و‬ ‫ساختار‬ ‫از‬‫ندار‬ ‫آگاهی‬ ‫امنیتی‬ ‫تهدیدات‬ ‫ابعاد‬.‫د‬MFC‫می‬ ‫فرض‬‫تهدید‬ ‫از‬ ‫ناشی‬ ‫خطر‬ ‫هرگونه‬ ‫که‬ ‫کند‬
‫سهامداران‬ ‫اما‬ .‫است‬ ‫مشخصات‬ ‫کل‬ ‫با‬ ‫ارتباط‬ ‫در‬ ‫خرابی‬‫سهام‬ ‫است‬ ‫ممکن‬‫جنبه‬ ‫و‬ ‫ابعاد‬ ‫در‬ ‫را‬ ‫مختلفی‬ ‫های‬‫مختلف‬ ‫های‬
‫امنی‬ ‫تهدیدات‬‫تی‬‫در‬ ‫که‬ ‫باشند‬ ‫داشته‬MFC.‫است‬ ‫نشده‬ ‫داده‬ ‫نشان‬
MFCext‫و‬MFCint‫برا‬ ‫مدیران‬ ‫به‬ ‫کمک‬ ‫برای‬ ‫را‬ ‫حساس‬ ‫تهدیدات‬ ‫فضای‬‫می‬ ‫ارائه‬ ‫متقابل‬ ‫اقدامات‬ ‫اتخاذ‬ ‫ی‬‫ده‬‫ن‬.‫د‬
‫مدل‬ ‫این‬‫ها‬‫آسیب‬ ‫تحلیل‬‫سیستم‬ ‫پذیری‬‫را‬‫می‬ ‫بهبود‬‫بخشند‬‫و‬‫راه‬ ‫نوع‬‫حل‬‫هزینه‬ ‫متوسط‬ ‫کردن‬ ‫کمینه‬ ‫برای‬ ‫را‬‫تعیین‬ ‫خرابی‬
‫می‬‫کن‬‫ن‬‫من‬ ‫بعد‬ ‫از‬ ‫استفاده‬ ‫با‬ ،‫حقیقت‬ ‫در‬ .‫د‬‫ش‬‫ا‬‫ء‬‫طبقه‬،‫تهدید‬ ‫بندی‬‫مدل‬ ‫این‬‫ها‬‫منشا‬ ‫تعیین‬‫ء‬( ‫تهدیدات‬ ‫فضای‬‫چه‬‫به‬‫صورت‬
‫منشا‬‫ء‬‫خارجی‬ ‫یا‬ ‫داخلی‬‫می‬ ‫میسر‬ ‫را‬ )‫می‬ ‫اجازه‬ ‫مدیران‬ ‫به‬ ‫که‬ ‫سازند‬‫دهد‬‫بر‬‫با‬ ‫نفوذ‬ ‫فضای‬ ‫روی‬‫هزینه‬ ‫متوسط‬‫خرابی‬ ‫های‬
‫شوند‬ ‫متمرکز‬ ‫باالتر‬‫اما‬ .‫مشخ‬‫نمی‬ ‫نظر‬ ‫در‬ ‫را‬ ‫تهدیدات‬ ‫تمامی‬ ‫صات‬‫می‬ ‫نظر‬ ‫در‬ ‫را‬ ‫معیارهایی‬ ‫تنها‬ ‫و‬ ‫گیرد‬‫که‬ ‫گیرد‬‫به‬‫صورت‬
‫تهدید‬ ‫دقیق‬‫می‬ ‫توضیح‬ ‫را‬‫دهد‬.‫دقیقی‬ ‫مقادیر‬ ‫لذا‬‫را‬‫هزینه‬ ‫روی‬‫امنیتی‬ ‫خرابی‬‫نمی‬ ‫ارائه‬‫نظر‬ ‫در‬ ‫معیارهای‬ ،‫همچنین‬ .‫دهد‬
‫(من‬ ‫شده‬ ‫گرفته‬‫طبقه‬ ‫مبنای‬ ‫بر‬ )‫بع‬‫در‬ ‫هستند‬ )‫خارجی‬ ‫یا‬ ‫(داخلی‬ ‫باینری‬ ‫بندی‬‫حالی‬‫که‬‫منشا‬‫ء‬‫زیر‬ ‫سه‬ ‫است‬ ‫ممکن‬ ‫تهدیدات‬
.‫باشد‬ ‫برداشته‬ ‫در‬ ‫را‬ ‫طبقه‬
‫مدل‬‫تعمیم‬‫یافتۀ‬‫متوسط‬‫هزینه‬( ‫خرابی‬MFCE‫طبقه‬ )‫طبقه‬ ‫مدل‬ ‫مبنای‬ ‫بر‬ ‫را‬ ‫تهدید‬ ‫بندی‬‫بن‬‫نظر‬ ‫در‬ ‫تهدیدات‬ ‫دی‬
‫می‬‫راه‬ ‫و‬ ‫گیرد‬‫تهدید‬ ‫کار‬‫به‬ ‫توجه‬ ‫با‬ ‫را‬‫می‬ ‫میسر‬ ‫طبقه‬‫سازد‬.‫را‬ ‫هزینه‬ ‫مدل‬ ‫این‬‫اساس‬ ‫بر‬‫جنبه‬ ‫و‬ ‫ابعاد‬‫امنیتی‬ ‫تهدیدات‬ ‫های‬
‫ب‬‫نمی‬ ‫یان‬‫اشار‬ ،‫همچنین‬ .‫کند‬‫ه‬‫طبقه‬ ‫مدل‬ ‫که‬ ‫کردیم‬‫تهدیدات‬ ‫بندی‬‫به‬،‫رفته‬ ‫کار‬.‫نیست‬ ‫اندازه‬ ‫حسب‬ ‫بر‬ ‫کامل‬ ‫مدلی‬
‫بع‬ ‫یا‬ ‫حساس‬ ‫معیارهای‬ ‫بخواهند‬ ‫مدیران‬ ‫اگر‬ ،‫همچنین‬‫هزینه‬ ‫مقادیر‬ ‫بر‬ ‫که‬ ‫بدانند‬ ‫را‬ ‫د‬‫خر‬‫می‬ ‫تاثیر‬ ‫امنیت‬ ‫ابی‬،‫گذارند‬‫نمی‬-
‫آن‬ ‫توانند‬‫مدل‬ ‫این‬ ‫از‬ ‫استفاده‬ ‫با‬ ‫را‬ ‫ها‬‫ب‬ ‫که‬ ‫کنیم‬ ‫ایجاد‬ ‫را‬ ‫معیاری‬ ‫باید‬ ،‫لذا‬ .‫کنند‬ ‫تعیین‬ ‫ها‬‫ه‬‫صورت‬‫برآورد‬ ‫را‬ ‫امنیت‬ ‫نقض‬ ‫دقیق‬
‫سیاست‬ ‫بهتر‬ ‫مدیریت‬ ‫برای‬ ‫را‬ ‫حساس‬ ‫بعد‬ ‫و‬ ‫کند‬‫سازمان‬ ‫در‬ ‫امنیتی‬ ‫های‬‫ارائه‬ ‫ها‬‫تصمیم‬ ‫اگر‬ ،‫نتیجه‬ ‫در‬ .‫دهد‬‫گیران‬‫بخواهند‬

8. 1172
‫د‬ ‫حساسی‬ ‫معیارهای‬ ‫یا‬ ‫ابعاد‬‫هزینه‬ ‫اقدامات‬ ‫بر‬ ‫که‬ ‫باشند‬ ‫اشته‬‫می‬ ‫تاثیر‬ ‫امنیت‬ ‫خرابی‬‫گذارند‬،‫نمی‬‫آن‬ ‫توانند‬‫از‬ ‫استفاده‬ ‫با‬ ‫را‬ ‫ها‬
‫مدل‬ ‫این‬.‫کنند‬ ‫تعیین‬ ‫ها‬
‫مدل‬ ‫نهایت‬ ‫در‬FC2M‫می‬ ‫خرابی‬ ‫هزینه‬ ‫متوسط‬ ‫یافته‬ ‫بهبود‬ ‫مدل‬.‫باشد‬‫مدل‬MFC‫هر‬ ‫برای‬‫ذینفع‬‫و‬ ‫دارد‬ ‫فرق‬
‫س‬ ‫واریانس‬‫هام‬‫ها‬‫ی‬‫یک‬‫سهامدار‬‫که‬ ‫را‬‫ت‬ ‫در‬‫أ‬‫هر‬ ‫مین‬‫نیازمندی‬‫امنیتی‬‫می‬ ‫نظر‬ ‫در‬ ،‫دارد‬ ‫اختیار‬ ‫در‬‫اماجنبه‬ ‫گیرد؛‬‫ابعاد‬ ‫و‬ ‫ها‬
‫نمی‬ ‫محاسبه‬ ‫را‬ ‫تهدید‬‫در‬ ‫تغییرات‬ ‫نظیر‬ ‫سیستم‬ ‫هر‬ ‫امنیتی‬ ‫ریسک‬ ‫کاهش‬ ‫برای‬ ‫تهدید‬ ‫ابعاد‬ ،‫یافته‬ ‫بهبود‬ ‫مدل‬ ‫در‬ .‫کند‬
‫مؤلفه‬‫سیاست‬ ‫در‬ ‫تغییرات‬ ‫و‬ ‫ها‬‫د‬ ‫کاربران‬ ‫دسترسی‬ ‫های‬‫می‬ ‫گرفته‬ ‫نظر‬ ‫ر‬‫که‬ ‫تهدید‬ ‫بحرانی‬ ‫ابعاد‬ ‫شناسایی‬ ‫امکان‬ ‫بنابراین‬ .‫شود‬
‫به‬ ‫منجر‬ ‫است‬ ‫ممکن‬‫خرابی‬‫و‬ ‫ها‬‫هزینه‬.‫دارد‬ ‫وجود‬ ،‫شوند‬ ‫زیادی‬ ‫های‬
6‫نتیجه‬ .‫گیری‬
‫می‬ ‫اطالعات‬ ‫امنیت‬ ‫مدیریت‬ ‫چرخه‬ ‫در‬ ‫مهمی‬ ‫مکانیزم‬ ‫ریسک‬ ‫ارزیابی‬‫شرکت‬ ‫برای‬ .‫باشد‬‫فرایند‬ ‫یک‬ ‫اتخاذ‬ ‫ها‬
‫ساختار‬ ‫و‬ ‫سیستماتیک‬‫یاف‬‫دارایی‬ ‫اطالعات‬ ‫امنیت‬ ‫ریسک‬ ‫ارزیابی‬ ‫برای‬ ‫ته‬‫ویژه‬ ‫اهمیت‬ ‫از‬ ‫هایشان‬‫کلی‬ ‫هدف‬ .‫است‬ ‫برخوردار‬ ‫ای‬
‫مدل‬ ‫مقایسه‬ ‫و‬ ‫مطالعه‬ ،‫تحقیق‬ ‫این‬‫سیستم‬ ‫برای‬ ‫ریسک‬ ‫ارزیابی‬ ‫کمی‬ ‫های‬‫می‬ ‫ابری‬ ‫رایانش‬ ‫های‬‫به‬ ‫مقایسه‬ ‫نتیجه‬ .‫باشد‬
‫تصمیم‬‫می‬ ‫کمک‬ ‫گیرندگان‬‫مدل‬ ‫تا‬ ‫کند‬‫مناسب‬ ‫های‬‫ریسک‬ ‫ارزیابی‬ ‫برای‬ ‫را‬‫امنیت‬‫محیط‬‫کنند‬ ‫انتخاب‬ ‫ابری‬ ‫رایانش‬ ‫های‬‫در‬ .
‫می‬ ‫کمک‬ ‫مقاله‬ ‫این‬ ‫حقیقت‬‫مدل‬ ‫تا‬ ‫کند‬‫سازمان‬ ‫برای‬ ‫را‬ ‫کاربردی‬ ‫های‬.‫کنیم‬ ‫ارزیابی‬ ‫نیازشان‬ ‫حسب‬ ‫بر‬ ‫ها‬
7.‫منابع‬
1. Jouini M, Ben Arfa Rabai L. Mean Failure Cost Extension Model Towards A
Security Threats Assessment: A Cloud Computing Case Study, Journal of Computers
(JCP) 2015;10(3):184-194.
2. NIST. An introduction to computer security: The NIST handbook. Technical report,
National Institute of Standards and Technology (NIST), Special Publication 800-12,
Gaithersburg, MD: NIST 2012.
3. Jouini M, Ben Arfa Rabai L, A Security Risk Management Metric For Cloud
Computing Systems, International Journal of Organizational and Collective Intelligence
(IJOCI) 2014;4(3): 1-21.
4. Jouini M, Ben Arfa Rabai L. Surveying and Analyzing Security Problems in Cloud
Computing Environments, The 10th International Conference on Computational
Intelligence and Security (CIS 2014); 2014. p. 689-493.
5. Mell P, Grance T. Effectively and Securely Using the Cloud Computing Paradigm,
ACM Cloud Computing Security Workshop; 2009.
6. Saripalli, P., & Walters, B. QUIRC: A quantitative impact and risk assessment
framework for cloud security. Proceedings of the IEEE 3rd
International Conference on
Cloud Computing 2009, 280–288.
7. Jouini M, Ben Arfa Rabai L, Ben Aissa A, Mili A. Towards quantitative measures
of Information Security: A Cloud Computing case study, International Journal of Cyber-
Security and Digital Forensics (IJCSDF) 2012;1(3):265-279.

9. 1173
8. Ben Arfa Rabai L, Jouini M, Ben Aissa A, Mili A. A cybersecurity model in cloud
computing environments, Journal of King Saud University -Computer and Information
Sciences; 2013.
9. Jouini M, Ben Arfa Rabai L, Ben Aissa A. Classification of security threats in
information systems, ANT/SEIT 2014 2014:(32)489-496.
10. Jouini M, Ben Arfa Rabai L, Khedri R. A Multidimensional Approach Towards a
Quantitative Assessment of Security Threats, ANT/SEIT 2015 2015, 507-514.
11. Boehme R, Nowey T. Economic security metrics. In: Irene, E., Felix, F., Ralf, R.
(Eds.). Dependability Metrics 2008;(4909):176-187.
12. IDG Cloud Computing Survey, Cloud Continues to Transform Business
Landscape as CIOs Explore New Areas for Hosting,
http://www.idgenterprise.com/news/press-release/cloud-continues-to-transform-business-
landscape-as-cios-explore-new-areas-for-hosting/, (Accessed: 14 January 2016) 2014.
13. Wang JA, Xia M, Zhang F. Metrics for information security vulnerabilities.
Proceedings of Intellect base International Consortium 2009; (1)284-294.
14. Demchenko Y, Gommans L, De Laat C. Web Services and Grid Security
Vulnerabilities and Threats Analysis and Model, Bas Oudenaarde, Advanced Internet
Research Group, University of Amsterdam, Kruislaan 403, NL-1098 SJ Amsterdam, The
Netherlands 2000.
15. ISO/IEC 27005:2007 Information Technology-Security Techniques-Information
Security Risk Management, Int’l Org. Standardization 2007.
16. Emam A.H.M. Additional Authentication and Authorization using Registered
Email-ID for Cloud Computing. International Journal of Soft Computing and Engineering
2013; 3(2):110-113.
17. Ben Aissa A, Abercrombie RK, Sheldon FT, and Mili A. Quantifying security
threats and their potential impact: a case study. Innovation in systems and software
engineering 2010;6(1):269–281.
18. Hale, M., & Gamble, R. SecAgreement: Advancing security risk calculations in
cloud services. Proceedings of 8th IEEE World Congress on Services, 2012.