韓欣 中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司

引言

云計(jì)算成為信息技術(shù)及其應(yīng)用的必然趨勢，對社會(huì)生產(chǎn)及發(fā)展帶來了重大的變革，但帶來的信息安全風(fēng)險(xiǎn)問題不容忽視，因此對云計(jì)算環(huán)境下的信息安全風(fēng)險(xiǎn)評估尤為重要。

一、云計(jì)算下的安全問題

根據(jù)CSA《云計(jì)算關(guān)鍵領(lǐng)域安全指南》及Gartner 發(fā)布的《云計(jì)算安全風(fēng)險(xiǎn)評估》，結(jié)合實(shí)際項(xiàng)目的情況，總結(jié)出云計(jì)算環(huán)境中主要面臨的一些安全問題，見表1。

表1 云計(jì)算環(huán)境中的安全問題

二、信息安全風(fēng)險(xiǎn)評估的必要性

信息安全風(fēng)險(xiǎn)評估是信息安全建設(shè)的起點(diǎn)和基礎(chǔ)，是加強(qiáng)信息安全保障體系建設(shè)和管理的關(guān)鍵環(huán)節(jié)，是傳統(tǒng)的風(fēng)險(xiǎn)理論和方法在信息系統(tǒng)中的運(yùn)用，通過科學(xué)分析來理解信息與信息系統(tǒng)在保密性、完整性、可用性等方面所面臨的風(fēng)險(xiǎn)，并在風(fēng)險(xiǎn)的減少、轉(zhuǎn)移和規(guī)避等風(fēng)險(xiǎn)控制方法之間做出決策的過程。

三、云計(jì)算環(huán)境下的信息安全風(fēng)險(xiǎn)評估

進(jìn)行云計(jì)算環(huán)境風(fēng)險(xiǎn)評估需要對包括對云環(huán)境里的資產(chǎn)、威脅及脆弱性進(jìn)行賦值并考慮云計(jì)算環(huán)境網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)值及現(xiàn)有的一些控制措施來進(jìn)行風(fēng)險(xiǎn)計(jì)算。根據(jù)云計(jì)算環(huán)境可能遇到的威脅及自身的特性，參考ISO13335 中的核心安全風(fēng)險(xiǎn)模型信息安全評估風(fēng)險(xiǎn)函數(shù)為：

R 表示云計(jì)算環(huán)境下的風(fēng)險(xiǎn)值，V 表示云計(jì)算環(huán)境下的脆弱性，T表示云計(jì)算環(huán)境下的威脅，Tp表示云計(jì)算環(huán)境下威脅發(fā)生的可能性，I 表示云計(jì)算環(huán)境下威脅發(fā)生的后果。

若0 ＜R≤0.1，則表示目前云計(jì)算環(huán)境處于低風(fēng)險(xiǎn)狀態(tài)；若0.1＜R≤0.5，則表示目前云計(jì)算環(huán)境處于中風(fēng)險(xiǎn)狀態(tài)；若0.5 ＜R＜1，則表示目前云計(jì)算環(huán)境處于高風(fēng)險(xiǎn)狀態(tài)。

如云計(jì)算環(huán)境中明顯存在重大安全風(fēng)險(xiǎn)，則R=1。表示該情況下風(fēng)險(xiǎn)值為1，處于風(fēng)險(xiǎn)等級最高狀態(tài)，需要立即制定策略來規(guī)避風(fēng)險(xiǎn)。

Tp表示云計(jì)算環(huán)境下威脅發(fā)生的可能性，V 表示云計(jì)算環(huán)境下的脆弱性，T 表示云計(jì)算環(huán)境下的威脅，Ci表示云計(jì)算環(huán)境下采取的控制措施。Tp與所采取得控制措施有關(guān)系，適當(dāng)?shù)牟扇∫欢ǖ目刂拼胧┛梢越档蚑p的值。

I 表示云計(jì)算環(huán)境下威脅發(fā)生的后果，V 表示云計(jì)算環(huán)境下的脆弱性，T 表示云計(jì)算環(huán)境下的威脅，Cx表示云計(jì)算環(huán)境下機(jī)密性受到破壞的程度及所造成的后果，Ix表示云計(jì)算環(huán)境下完整性受到破壞的程度及所造成的后果，Ax表示云計(jì)算環(huán)境下可用性受到破壞的程度及所造成的后果，Rx表示云計(jì)算環(huán)境下可信性受到破壞的程度及所造成的后果，Px表示云計(jì)算環(huán)境下可審性受到破壞的程度及所造成的后果。

四、結(jié)束語

文中總結(jié)了云計(jì)算環(huán)境下會(huì)遇到的安全威脅，明確云計(jì)算環(huán)境安全風(fēng)險(xiǎn)評估的重要性，根據(jù)云計(jì)算環(huán)境的安全特性，參考傳統(tǒng)的安全風(fēng)險(xiǎn)評估模型，設(shè)計(jì)出云計(jì)算信息安全評估風(fēng)險(xiǎn)函數(shù)。