云計算環(huán)境下的信息安全風險評估

韓欣 中電長城網(wǎng)際系統(tǒng)應用有限公司

引言

云計算成為信息技術(shù)及其應用的必然趨勢，對社會生產(chǎn)及發(fā)展帶來了重大的變革，但帶來的信息安全風險問題不容忽視，因此對云計算環(huán)境下的信息安全風險評估尤為重要。

一、云計算下的安全問題

根據(jù)CSA《云計算關鍵領域安全指南》及Gartner 發(fā)布的《云計算安全風險評估》，結(jié)合實際項目的情況，總結(jié)出云計算環(huán)境中主要面臨的一些安全問題，見表1。

表1 云計算環(huán)境中的安全問題

二、信息安全風險評估的必要性

信息安全風險評估是信息安全建設的起點和基礎，是加強信息安全保障體系建設和管理的關鍵環(huán)節(jié)，是傳統(tǒng)的風險理論和方法在信息系統(tǒng)中的運用，通過科學分析來理解信息與信息系統(tǒng)在保密性、完整性、可用性等方面所面臨的風險，并在風險的減少、轉(zhuǎn)移和規(guī)避等風險控制方法之間做出決策的過程。

三、云計算環(huán)境下的信息安全風險評估

進行云計算環(huán)境風險評估需要對包括對云環(huán)境里的資產(chǎn)、威脅及脆弱性進行賦值并考慮云計算環(huán)境網(wǎng)絡的安全風險值及現(xiàn)有的一些控制措施來進行風險計算。根據(jù)云計算環(huán)境可能遇到的威脅及自身的特性，參考ISO13335 中的核心安全風險模型信息安全評估風險函數(shù)為：

R 表示云計算環(huán)境下的風險值，V 表示云計算環(huán)境下的脆弱性，T表示云計算環(huán)境下的威脅，Tp表示云計算環(huán)境下威脅發(fā)生的可能性，I 表示云計算環(huán)境下威脅發(fā)生的后果。

若0 ＜R≤0.1，則表示目前云計算環(huán)境處于低風險狀態(tài)；若0.1＜R≤0.5，則表示目前云計算環(huán)境處于中風險狀態(tài)；若0.5 ＜R＜1，則表示目前云計算環(huán)境處于高風險狀態(tài)。

如云計算環(huán)境中明顯存在重大安全風險，則R=1。表示該情況下風險值為1，處于風險等級最高狀態(tài)，需要立即制定策略來規(guī)避風險。

Tp表示云計算環(huán)境下威脅發(fā)生的可能性，V 表示云計算環(huán)境下的脆弱性，T 表示云計算環(huán)境下的威脅，Ci表示云計算環(huán)境下采取的控制措施。Tp與所采取得控制措施有關系，適當?shù)牟扇∫欢ǖ目刂拼胧┛梢越档蚑p的值。

I 表示云計算環(huán)境下威脅發(fā)生的后果，V 表示云計算環(huán)境下的脆弱性，T 表示云計算環(huán)境下的威脅，Cx表示云計算環(huán)境下機密性受到破壞的程度及所造成的后果，Ix表示云計算環(huán)境下完整性受到破壞的程度及所造成的后果，Ax表示云計算環(huán)境下可用性受到破壞的程度及所造成的后果，Rx表示云計算環(huán)境下可信性受到破壞的程度及所造成的后果，Px表示云計算環(huán)境下可審性受到破壞的程度及所造成的后果。

四、結(jié)束語

文中總結(jié)了云計算環(huán)境下會遇到的安全威脅，明確云計算環(huán)境安全風險評估的重要性，根據(jù)云計算環(huán)境的安全特性，參考傳統(tǒng)的安全風險評估模型，設計出云計算信息安全評估風險函數(shù)。