◆王雪莉 陳剛

數(shù)據(jù)安全與云計(jì)算

云計(jì)算環(huán)境下信息安全風(fēng)險(xiǎn)評(píng)估流程探究

◆王雪莉 陳剛

（國(guó)防科技大學(xué)信息通信學(xué)院 湖北 430010）

云計(jì)算以新的業(yè)務(wù)模式提供高性能和低成本的持續(xù)計(jì)算、存儲(chǔ)空間以及各種軟件服務(wù)，支撐各類信息化應(yīng)用。云計(jì)算提出后，云計(jì)算安全已成為阻礙云計(jì)算發(fā)展的首要因素，因此，為了促進(jìn)云計(jì)算的可持續(xù)發(fā)展，必須明確云計(jì)算面臨哪些安全風(fēng)險(xiǎn)，并及時(shí)降低風(fēng)險(xiǎn)，確保云計(jì)算信息系統(tǒng)的安全可靠。本文結(jié)合云計(jì)算特點(diǎn)，重點(diǎn)探討了云計(jì)算環(huán)境下信息安全風(fēng)險(xiǎn)評(píng)估流程。

云計(jì)算；信息安全；風(fēng)險(xiǎn)評(píng)估

近年來(lái)，云計(jì)算的優(yōu)勢(shì)使其發(fā)展前景非?？捎^，并逐漸在政府、電信、教育、醫(yī)療、金融、石油石化、電力、軍隊(duì)等領(lǐng)域得到了廣泛應(yīng)用，但由于不同領(lǐng)域的核心資產(chǎn)、應(yīng)用場(chǎng)景、監(jiān)管需求各不相同，不同的云計(jì)算運(yùn)營(yíng)模型面臨著不同的安全風(fēng)險(xiǎn)，并制約了云計(jì)算的應(yīng)用。信息安全風(fēng)險(xiǎn)評(píng)估是云計(jì)算安全體系的基礎(chǔ)，通過(guò)安全風(fēng)險(xiǎn)評(píng)估，明晰云計(jì)算信息系統(tǒng)安全狀況以及面臨的安全風(fēng)險(xiǎn)，有效實(shí)施風(fēng)險(xiǎn)管理和控制，為構(gòu)建云計(jì)算環(huán)境下安全體系提供支撐。

云計(jì)算信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估包括評(píng)估指標(biāo)體系、評(píng)估模型、評(píng)估方法、評(píng)估流程等諸多內(nèi)容，其中評(píng)估流程是云計(jì)算信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的重要環(huán)節(jié)。與傳統(tǒng)信息系統(tǒng)相比，云計(jì)算平臺(tái)具有其特殊性，如服務(wù)模式的不同、資源的動(dòng)態(tài)分配、云服務(wù)提供商部分服務(wù)外包或購(gòu)買其他服務(wù)等，其安全風(fēng)險(xiǎn)評(píng)估流程也具有特殊性。

1 風(fēng)險(xiǎn)評(píng)估準(zhǔn)備

1.1 確定風(fēng)險(xiǎn)評(píng)估的范圍

風(fēng)險(xiǎn)評(píng)估的范圍，包括分布式數(shù)據(jù)中心（如主機(jī)虛擬化、網(wǎng)絡(luò)虛擬化和存儲(chǔ)虛擬化）、云計(jì)算安全數(shù)據(jù)（如存儲(chǔ)備份、數(shù)據(jù)保護(hù)、數(shù)據(jù)隔離）、基于云平臺(tái)的應(yīng)用等。確定評(píng)估范圍時(shí)應(yīng)考慮以下三個(gè)方面的問(wèn)題：一是評(píng)估范圍內(nèi)的評(píng)估對(duì)象應(yīng)具有一定的代表性；二是評(píng)估范圍應(yīng)包含那些曾發(fā)生過(guò)安全事故或存在嚴(yán)重安全隱患的系統(tǒng)要素；三是評(píng)估范圍應(yīng)該以確保評(píng)估工作完整準(zhǔn)確為標(biāo)準(zhǔn)，注意克服主觀隨意性。

1.2 組建評(píng)估團(tuán)隊(duì)

評(píng)估團(tuán)隊(duì)成員包括評(píng)估過(guò)程中的管理者以及具體評(píng)估活動(dòng)的實(shí)施者，采用扁平化組織結(jié)構(gòu)，一般由安全工作主管領(lǐng)導(dǎo)、工作人員和相關(guān)領(lǐng)域?qū)＜医M成。將評(píng)估團(tuán)隊(duì)劃分為不同的實(shí)施小組，以便于人員管理，提高工作效率。

上述評(píng)估團(tuán)隊(duì)組織結(jié)構(gòu)中的某些角色，并不全程參與評(píng)估工作。例如專家顧問(wèn)，只有在評(píng)估工作出現(xiàn)難以解決的問(wèn)題時(shí)，才為評(píng)估工作提供必要的技術(shù)支持。評(píng)估團(tuán)隊(duì)組織結(jié)構(gòu)可根據(jù)評(píng)估對(duì)象復(fù)雜程度和工作量大小而進(jìn)行增減或合并，具體組成人員數(shù)量和專業(yè)結(jié)構(gòu)根據(jù)實(shí)際工作需要確定。評(píng)估團(tuán)隊(duì)有了合理的組織結(jié)構(gòu)只是建立評(píng)估團(tuán)隊(duì)的一個(gè)重要方面，除了確定組織結(jié)構(gòu)外，還要對(duì)成員的工作進(jìn)行合理分工，使團(tuán)隊(duì)成員熟悉自己的職責(zé)，使每一項(xiàng)評(píng)估工作落實(shí)到人。

當(dāng)然，也可以由用戶發(fā)起風(fēng)險(xiǎn)評(píng)估活動(dòng)，在這種情況下，則需要由用戶牽頭，云服務(wù)提供商配合完成承載用戶數(shù)據(jù)或業(yè)務(wù)系統(tǒng)的云平臺(tái)的安全風(fēng)險(xiǎn)評(píng)估活動(dòng)。

1.3 準(zhǔn)備相關(guān)評(píng)估工具

為保證風(fēng)險(xiǎn)評(píng)估的組織實(shí)施，需提前準(zhǔn)備漏洞掃描、滲透性測(cè)試、數(shù)據(jù)及文檔管理等評(píng)估工具，來(lái)收集和管理評(píng)估所需要的數(shù)據(jù)和資料，并根據(jù)需要的格式生成各種報(bào)表，提供輔助支持決策。此外，還需要代碼掃描、反編譯審計(jì)、模糊測(cè)試等輔助工具。

1.4 進(jìn)行系統(tǒng)調(diào)研

系統(tǒng)調(diào)研內(nèi)容主要包括組織管理、云計(jì)算網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)環(huán)境、軟硬件信息、系統(tǒng)操作人員等。通常可采用問(wèn)卷調(diào)查、現(xiàn)場(chǎng)訪談等方法進(jìn)行，根據(jù)調(diào)研結(jié)果來(lái)確定評(píng)估方法和工具等。

2 風(fēng)險(xiǎn)識(shí)別

2.1 資產(chǎn)識(shí)別

資產(chǎn)是云計(jì)算信息系統(tǒng)中具有重要價(jià)值的資源和安全風(fēng)險(xiǎn)評(píng)估的對(duì)象，也是被攻擊的目標(biāo)和系統(tǒng)脆弱點(diǎn)的載體，因此，云計(jì)算資產(chǎn)識(shí)別是風(fēng)險(xiǎn)識(shí)別的必要環(huán)節(jié)。

云計(jì)算資產(chǎn)識(shí)別的任務(wù)就是對(duì)確定的云計(jì)算評(píng)估對(duì)象所涉及或包含的資產(chǎn)進(jìn)行詳細(xì)的標(biāo)識(shí)，由于它以多種形式存在，有無(wú)形資產(chǎn)和有形資產(chǎn)。資產(chǎn)識(shí)別過(guò)程中要特別注意對(duì)無(wú)形資產(chǎn)的識(shí)別。資產(chǎn)識(shí)別的方法主要有訪談、現(xiàn)場(chǎng)調(diào)查、問(wèn)卷、文檔查閱等。

云計(jì)算信息系統(tǒng)的資產(chǎn)價(jià)值不僅要考慮資產(chǎn)的經(jīng)濟(jì)價(jià)值，更重要的是要考慮資產(chǎn)的安全價(jià)值，即資產(chǎn)的機(jī)密性、完整性和可用性，對(duì)組織信息安全性的影響程度。資產(chǎn)賦值是對(duì)資產(chǎn)的機(jī)密性、完整性和可用性分別進(jìn)行分析，并最終得出資產(chǎn)的價(jià)值。

2.2 威脅識(shí)別

云計(jì)算信息系統(tǒng)面臨數(shù)據(jù)破壞和丟失、賬戶或業(yè)務(wù)流量被劫持、通過(guò)應(yīng)用程序接口進(jìn)行的攻擊、拒絕服務(wù)攻擊、網(wǎng)絡(luò)監(jiān)聽(tīng)、內(nèi)部人員攻擊、云服務(wù)濫用等各種威脅，這些威脅是造成云計(jì)算資產(chǎn)損失的主要原因。威脅識(shí)別是對(duì)資產(chǎn)面臨的各種威脅進(jìn)行標(biāo)識(shí)并賦值，可以通過(guò)云計(jì)算信息系統(tǒng)日志、入侵檢測(cè)系統(tǒng)等方法追溯威脅來(lái)源。入侵檢測(cè)系統(tǒng)可以通過(guò)監(jiān)控云計(jì)算系統(tǒng)狀態(tài)以及網(wǎng)絡(luò)狀態(tài)，監(jiān)測(cè)網(wǎng)絡(luò)上流過(guò)的數(shù)據(jù)包，進(jìn)行實(shí)時(shí)檢測(cè)和分析，從而發(fā)現(xiàn)網(wǎng)絡(luò)攻擊或異常行為，并且執(zhí)行告警、阻斷等。

識(shí)別威脅后，需對(duì)威脅頻率進(jìn)行賦值。通常根據(jù)經(jīng)驗(yàn)和相關(guān)統(tǒng)計(jì)數(shù)據(jù)對(duì)云計(jì)算信息系統(tǒng)面臨的威脅頻率進(jìn)行賦值，在進(jìn)行威脅賦值時(shí)需要綜合考慮威脅曾經(jīng)出現(xiàn)的次數(shù)、已被檢測(cè)出的威脅及頻率、最新發(fā)布的威脅預(yù)警等因素。

2.3 脆弱點(diǎn)識(shí)別

云計(jì)算信息系統(tǒng)的脆弱點(diǎn)識(shí)別以需要保護(hù)的資產(chǎn)為對(duì)象，識(shí)別可能被威脅利用的脆弱點(diǎn)，并對(duì)脆弱點(diǎn)進(jìn)行等級(jí)評(píng)估；也可從物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層進(jìn)行識(shí)別。云計(jì)算信息系統(tǒng)所采用的協(xié)議、應(yīng)用流程的完備與否、與其他網(wǎng)絡(luò)的互聯(lián)等也應(yīng)考慮在內(nèi)。

脆弱點(diǎn)識(shí)別可采用問(wèn)卷調(diào)查、文檔查閱、人工檢查、漏洞掃描、模擬滲透測(cè)試等方法，前三種適于識(shí)別云計(jì)算環(huán)境下虛擬化后管理員的角色和管理方式、云服務(wù)用戶系統(tǒng)的安全管理等脆弱點(diǎn)；后兩者適于發(fā)現(xiàn)云計(jì)算物理環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)軟件、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全與備份恢復(fù)等脆弱點(diǎn)。

2.4 已有安全措施的確認(rèn)

與傳統(tǒng)安全措施相比，云計(jì)算環(huán)境下的安全措施有訪問(wèn)控制、審計(jì)和可追蹤、配置管理、標(biāo)識(shí)和鑒別、事件響應(yīng)、介質(zhì)保護(hù)、物理和環(huán)境保護(hù)、系統(tǒng)和服務(wù)獲取、系統(tǒng)和通信保護(hù)、系統(tǒng)和完整性等。通常，云計(jì)算環(huán)境下的安全措施體現(xiàn)在兩個(gè)方面，一方面是有關(guān)控制措施的存在性，另一方面是控制措施的有效性或健壯性。例如，云平臺(tái)與外部用戶之間建立了加密的信息傳輸通道，此時(shí)需要對(duì)該加密通道進(jìn)行安全評(píng)估，確定該解密通道是否有效以及實(shí)施過(guò)程中是否經(jīng)過(guò)妥善的設(shè)計(jì)，體現(xiàn)了安全評(píng)估的目的所在。

3 風(fēng)險(xiǎn)分析

風(fēng)險(xiǎn)分析是利用資產(chǎn)、威脅、脆弱點(diǎn)識(shí)別與評(píng)估結(jié)果以及已有安全措施的確認(rèn)與分析結(jié)果，對(duì)云計(jì)算環(huán)境下資產(chǎn)面臨的風(fēng)險(xiǎn)進(jìn)行分析。由于安全風(fēng)險(xiǎn)總是以威脅利用脆弱點(diǎn)導(dǎo)致一系列安全事件的形式體現(xiàn)出來(lái)，風(fēng)險(xiǎn)的大小是由安全事件造成的影響以及其發(fā)生的可能性來(lái)決定。

3.1 風(fēng)險(xiǎn)計(jì)算

利用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用資產(chǎn)脆弱點(diǎn)發(fā)生安全事件的可能性，并結(jié)合資產(chǎn)的安全屬性受到破壞后的影響來(lái)得出資產(chǎn)的安全風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)計(jì)算原理形式化描述為：R=f（A,V,T）=f（Ia,L（Va,T））

式中，R表示風(fēng)險(xiǎn)；A表示資產(chǎn)；V表示脆弱點(diǎn)；T表示威脅；Ia表示資產(chǎn)重要程度；Va表示某一資產(chǎn)本身的脆弱點(diǎn)；L表示安全事件發(fā)生的可能性。

（1）計(jì)算威脅利用資產(chǎn)脆弱點(diǎn)發(fā)生安全事件的可能性；

（2）計(jì)算安全事件發(fā)生后造成的損失；

（3）根據(jù)安全事件發(fā)生的可能性以及安全事件的損失大小，計(jì)算云計(jì)算信息系統(tǒng)的風(fēng)險(xiǎn)值。

目前常用的風(fēng)險(xiǎn)計(jì)算方法有矩陣法或相乘法。其中，風(fēng)險(xiǎn)矩陣測(cè)量方法的特點(diǎn)是事先建立資產(chǎn)價(jià)值、威脅等級(jí)和脆弱點(diǎn)等級(jí)的一個(gè)對(duì)應(yīng)矩陣，預(yù)先將風(fēng)險(xiǎn)等級(jí)進(jìn)行了確定，然后根據(jù)不同資產(chǎn)的賦值從矩陣中確定不同的風(fēng)險(xiǎn)。資產(chǎn)風(fēng)險(xiǎn)判別矩陣如表1所示。

表1 資產(chǎn)風(fēng)險(xiǎn)判別矩陣

對(duì)于每一資產(chǎn)的風(fēng)險(xiǎn)，都將考慮資產(chǎn)價(jià)值、威脅等級(jí)和脆弱點(diǎn)等級(jí)。例如，如果資產(chǎn)值為3，威脅等級(jí)為“高”，脆弱點(diǎn)為“低”。查表可知風(fēng)險(xiǎn)值為5。如果資產(chǎn)值為2，威脅為“低”，脆弱點(diǎn)為“高”，則風(fēng)險(xiǎn)值為4。由1可以推知，風(fēng)險(xiǎn)矩陣會(huì)隨著資產(chǎn)值的增加、威脅等級(jí)的增加和脆弱點(diǎn)等級(jí)的增加而擴(kuò)大。

使用本方法需要首先確定資產(chǎn)、威脅和脆弱點(diǎn)的賦值，要完成這些賦值，需要組織內(nèi)部管理人員、技術(shù)人員、后勤人員等方面的配合。

3.2 風(fēng)險(xiǎn)等級(jí)確定

風(fēng)險(xiǎn)等級(jí)劃分是對(duì)云計(jì)算環(huán)境下的不同風(fēng)險(xiǎn)值進(jìn)行比較，以便明確云計(jì)算信息系統(tǒng)安全策略。通常要綜合考慮風(fēng)險(xiǎn)控制成本與風(fēng)險(xiǎn)造成的影響，提出一個(gè)可接受的風(fēng)險(xiǎn)范圍。通?？蓪L(fēng)險(xiǎn)劃分為5級(jí)或3級(jí)，等級(jí)越高，風(fēng)險(xiǎn)越高。評(píng)估者也可以根據(jù)被評(píng)云計(jì)算信息系統(tǒng)的實(shí)際情況自定義風(fēng)險(xiǎn)的等級(jí)。表2可供參考。

表2 風(fēng)險(xiǎn)等級(jí)劃分

評(píng)估者應(yīng)根據(jù)所采用的風(fēng)險(xiǎn)計(jì)算方法，計(jì)算每種資產(chǎn)面臨的風(fēng)險(xiǎn)值，根據(jù)風(fēng)險(xiǎn)值的分布狀況，為每個(gè)等級(jí)設(shè)定風(fēng)險(xiǎn)值范圍，并對(duì)所有風(fēng)險(xiǎn)計(jì)算結(jié)果進(jìn)行等級(jí)處理。

3.3 風(fēng)險(xiǎn)處理

依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果選取適當(dāng)?shù)陌踩胧?，將風(fēng)險(xiǎn)降低到可接受的程度。安全措施可以降低安全事件造成的影響，也可以降低安全事件發(fā)生的可能性，在對(duì)組織面臨的安全風(fēng)險(xiǎn)有全面認(rèn)識(shí)后，應(yīng)根據(jù)風(fēng)險(xiǎn)的性質(zhì)選取合適的安全措施，并對(duì)可能的殘余風(fēng)險(xiǎn)進(jìn)行分析，直到殘余風(fēng)險(xiǎn)為可接受風(fēng)險(xiǎn)為止。例如，修補(bǔ)漏洞、匯總數(shù)據(jù)、備份數(shù)據(jù)、撰寫評(píng)估報(bào)告。

風(fēng)險(xiǎn)處理主要包括降低風(fēng)險(xiǎn)、接受風(fēng)險(xiǎn)、回避風(fēng)險(xiǎn)和轉(zhuǎn)移風(fēng)險(xiǎn)等方式。各種風(fēng)險(xiǎn)處理方式的選擇應(yīng)該兼顧管理與技術(shù)，具體針對(duì)各類風(fēng)險(xiǎn)應(yīng)根據(jù)云計(jì)算信息系統(tǒng)應(yīng)用的實(shí)際情況考慮。例如，當(dāng)云計(jì)算信息系統(tǒng)自身安全保障技術(shù)能力較弱時(shí)，可將安全技術(shù)保障（即信息載體部分）外包給滿足安全保障要求的第三方機(jī)構(gòu)，從而避免技術(shù)風(fēng)險(xiǎn)，或轉(zhuǎn)嫁給第三方（如云服務(wù)供應(yīng)商）。

4 結(jié)束語(yǔ)

基于云計(jì)算特點(diǎn)，全面評(píng)估云計(jì)算信息系統(tǒng)存在的安全風(fēng)險(xiǎn)，研究云計(jì)算環(huán)境下安全風(fēng)險(xiǎn)評(píng)估流程，既可以提高用戶對(duì)云計(jì)算服務(wù)的安全認(rèn)可度，又能及時(shí)發(fā)現(xiàn)云計(jì)算中的安全隱患，通過(guò)安全整改后提高云計(jì)算的整體安全防護(hù)能力，對(duì)用戶選擇云服務(wù)具有指導(dǎo)意義。

[1]范紅，馮登國(guó)，吳亞非.信息安全風(fēng)險(xiǎn)評(píng)估方法與應(yīng)用[M].北京：清華大學(xué)出版社，2006.

[2]鄒濤. 云計(jì)算環(huán)境下信息安全風(fēng)險(xiǎn)評(píng)估方法研究[D].南昌大學(xué)，2017.

[3]陳馳，于晶.云計(jì)算安全體系[M].北京：科學(xué)出版社， 2014.