亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        云安全審計(jì)及相關(guān)文獻(xiàn)述評(píng)

        2021-08-16 03:33:56陳希暉副教授博士侯良格南京審計(jì)大學(xué)政府審計(jì)學(xué)院江蘇南京211815
        商業(yè)會(huì)計(jì) 2021年14期
        關(guān)鍵詞:機(jī)密性完整性日志

        陳希暉(副教授/博士) 侯良格(南京審計(jì)大學(xué)政府審計(jì)學(xué)院 江蘇南京 211815)

        一、引言

        審計(jì)人員與信息安全人員對(duì)“云審計(jì)”的看法各有不同,審計(jì)人員將云審計(jì)理解為借助云計(jì)算、大數(shù)據(jù)等技術(shù)提高審計(jì)取證的效率與質(zhì)量,信息安全人員則認(rèn)為云審計(jì)是指對(duì)“云”中利益相關(guān)者交互關(guān)系的審計(jì)。從技術(shù)上看,將“審計(jì)技術(shù)”搭載在云端的模式早已能夠?qū)崿F(xiàn),但困擾云審計(jì)發(fā)展的還是安全問(wèn)題。云審計(jì)不僅僅是利用“云”進(jìn)行審計(jì)工作,更需要將“審計(jì)思維”——監(jiān)督機(jī)制,運(yùn)用在云計(jì)算安全問(wèn)題上,實(shí)現(xiàn)對(duì)云數(shù)據(jù)存儲(chǔ)、隱私安全、操作過(guò)程及基礎(chǔ)設(shè)施合規(guī)性的審計(jì)驗(yàn)證。

        云存儲(chǔ)作為云計(jì)算不可或缺的一部分,以多租戶(hù)的服務(wù)模式為個(gè)人和組織提供大規(guī)模、分布式的存儲(chǔ)服務(wù)。公有云存儲(chǔ)憑借規(guī)模效應(yīng)、彈性可擴(kuò)展、經(jīng)濟(jì)高效的優(yōu)勢(shì)吸引著云用戶(hù)將數(shù)據(jù)外包給云供應(yīng)商管理。但當(dāng)我們只關(guān)注數(shù)據(jù)安全性時(shí)不難發(fā)現(xiàn),數(shù)據(jù)外包雖然減輕了數(shù)據(jù)所有者(云用戶(hù))本地存儲(chǔ)和維護(hù)的負(fù)擔(dān),但同時(shí)也弱化了云用戶(hù)對(duì)數(shù)據(jù)的物理控制。由于數(shù)據(jù)異地存儲(chǔ)的特性,云服務(wù)器上的數(shù)據(jù)時(shí)刻面臨著內(nèi)部和外部的攻擊,數(shù)據(jù)的完整性、機(jī)密性、可用性可能遭受?chē)?yán)重的損害,傳統(tǒng)的本地?cái)?shù)據(jù)安全保護(hù)措施已不可直接使用。

        云安全審計(jì)模式分為私有審計(jì)和第三方審計(jì)。兩種審計(jì)模式的區(qū)別在于,私有審計(jì)是云用戶(hù)自己檢驗(yàn)數(shù)據(jù)的完整性,只涉及云服務(wù)用戶(hù)和云服務(wù)供應(yīng)商兩類(lèi)實(shí)體。第三方審計(jì)主要涉及云用戶(hù)、云服務(wù)供應(yīng)商以及可信的第三方審計(jì)機(jī)構(gòu)(TPA)三類(lèi)實(shí)體。由于私有審計(jì)對(duì)用戶(hù)端計(jì)算能力要求極高且通信開(kāi)銷(xiāo)十分巨大,現(xiàn)實(shí)可行性較低;第三方審計(jì)則憑借獨(dú)立客觀、高效專(zhuān)業(yè)、經(jīng)濟(jì)便捷的優(yōu)勢(shì)廣受青睞。TPA是受云用戶(hù)和云供應(yīng)商信任的第三方機(jī)構(gòu),面對(duì)海量數(shù)據(jù)擁有用戶(hù)所不具備的計(jì)算能力,云用戶(hù)將數(shù)據(jù)完整性審計(jì)需求委托給TPA,TPA接受審計(jì)委托后,代表云用戶(hù)對(duì)云數(shù)據(jù)、云供應(yīng)商進(jìn)行審計(jì)驗(yàn)證。第三方審計(jì)過(guò)程可以大致描述為,云用戶(hù)預(yù)處理數(shù)據(jù)并生成數(shù)據(jù)標(biāo)簽后上傳數(shù)據(jù)到云端服務(wù)器中,TPA獲取用戶(hù)授權(quán)后從云服務(wù)器獲取待測(cè)數(shù)據(jù)并對(duì)該數(shù)據(jù)進(jìn)行完整性檢驗(yàn),最后將檢驗(yàn)結(jié)果發(fā)送給云用戶(hù)。

        國(guó)內(nèi)外學(xué)者就如何審計(jì)云存儲(chǔ)安全問(wèn)題進(jìn)行了大量的研究。本文將從數(shù)據(jù)、云用戶(hù)、云供應(yīng)商三方面對(duì)現(xiàn)有云安全審計(jì)方案進(jìn)行歸納分析,并以審計(jì)對(duì)事件的干預(yù)進(jìn)程為視角,對(duì)云安全審計(jì)的未來(lái)研究進(jìn)行展望。

        二、云安全風(fēng)險(xiǎn)及審計(jì)需求分析

        (一)云安全事故。Cybersecurity Insiders發(fā)布的全球《2020年云安全報(bào)告》稱(chēng),隨著公有云業(yè)務(wù)的不斷擴(kuò)大,云服務(wù)的安全性是企業(yè)或個(gè)人采用云存儲(chǔ)的首要考慮因素,然而由于相關(guān)安全措施的滯后,導(dǎo)致云安全事故頻發(fā),大多數(shù)(69%)組織和用戶(hù)對(duì)云安全狀況完全沒(méi)有信心或僅有中度信心。表1為2020年云安全聯(lián)盟CSA發(fā)布的《云計(jì)算的11類(lèi)頂級(jí)威脅》 (中文版)提出的11類(lèi)云安全主要威脅。表2列舉了近年云供應(yīng)商安全事故。

        表1 云安全聯(lián)盟列舉的11類(lèi)云計(jì)算安全威脅

        表2 云供應(yīng)商安全事故

        (二)云安全風(fēng)險(xiǎn)及審計(jì)需求分析。云安全主要是指數(shù)據(jù)存儲(chǔ)、加密、傳輸、訪問(wèn)安全,即保證數(shù)據(jù)的完整性、機(jī)密性、可用性。第三方審計(jì)機(jī)構(gòu)開(kāi)展云安全審計(jì)時(shí),必須依據(jù)風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的原理,從這三個(gè)方面認(rèn)真分析云安全風(fēng)險(xiǎn),明確審計(jì)需求并制定相應(yīng)的審計(jì)方案。

        首先,對(duì)云數(shù)據(jù)的安全審計(jì)需重點(diǎn)關(guān)注完整性與機(jī)密性。云存儲(chǔ)服務(wù)中數(shù)據(jù)所有權(quán)和管理權(quán)分離,使得云端數(shù)據(jù)安全面臨極大的威脅。一方面,軟件硬件故障、外來(lái)黑客侵入、內(nèi)部人員篡改、刪除數(shù)據(jù)等破壞行為會(huì)嚴(yán)重?fù)p害數(shù)據(jù)的完整性;另一方面,用戶(hù)加密意識(shí)薄弱,云供應(yīng)商可能為求牟利出賣(mài)用戶(hù)隱私信息,嚴(yán)重?fù)p害云用戶(hù)信息的機(jī)密性。

        其次,對(duì)云用戶(hù)的安全審計(jì)需重點(diǎn)關(guān)注機(jī)密性。云存儲(chǔ)采用多租戶(hù)技術(shù)(多個(gè)租戶(hù)共用同一塊存儲(chǔ)介質(zhì)),盡管云供應(yīng)商會(huì)提供一些數(shù)據(jù)隔離技術(shù)(如身份授權(quán)訪問(wèn)控制)來(lái)防止不同用戶(hù)間非授權(quán)交互訪問(wèn),但非授權(quán)的訪問(wèn)仍可能利用系統(tǒng)漏洞實(shí)現(xiàn)。因此,為保證機(jī)密性還需對(duì)用戶(hù)實(shí)施身份訪問(wèn)控制、日志審計(jì)和身份追溯性審計(jì)。

        再次,對(duì)云供應(yīng)商的審計(jì)主要目標(biāo)需重點(diǎn)關(guān)注可用性、機(jī)密性和隱私性。由于云用戶(hù)和云供應(yīng)商之間存在信任博弈,審計(jì)人員需對(duì)云供應(yīng)商進(jìn)行安全評(píng)估及合規(guī)性審計(jì),評(píng)價(jià)云供應(yīng)商的服務(wù)是否達(dá)到安全標(biāo)準(zhǔn),能夠保證信息資產(chǎn)的持續(xù)可用性,以證實(shí)云供應(yīng)商聲稱(chēng)的安全措施是否可靠。另外,需關(guān)注客戶(hù)機(jī)密信息(含個(gè)人信息)的收集、使用、保留、披露和銷(xiāo)毀是否受到所承諾或預(yù)設(shè)的系統(tǒng)保護(hù),并符合隱私聲明中的承諾以及相關(guān)行業(yè)組織(如AICPA/CICA)發(fā)布的通用隱私原則中規(guī)定的標(biāo)準(zhǔn)。

        三、云安全審計(jì)研究現(xiàn)狀

        根據(jù)風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的原則,第三方審計(jì)機(jī)構(gòu)需針對(duì)云的關(guān)鍵風(fēng)險(xiǎn)領(lǐng)域開(kāi)展云安全審計(jì)。完整性審計(jì)主要以數(shù)據(jù)為研究對(duì)象,機(jī)密性審計(jì)需兼顧數(shù)據(jù)安全和用戶(hù)身份隔離,因此以數(shù)據(jù)和用戶(hù)為研究對(duì)象;可用性審計(jì)則以供應(yīng)商為主要研究對(duì)象。因此本文選取數(shù)據(jù)、云用戶(hù)、云供應(yīng)商作為研究對(duì)象,對(duì)現(xiàn)有云安全審計(jì)研究進(jìn)行述評(píng)。

        (一)數(shù)據(jù)安全審計(jì)。云審計(jì)最早的研究是對(duì)云數(shù)據(jù)的完整性進(jìn)行遠(yuǎn)程檢驗(yàn),審計(jì)人員或用戶(hù)通過(guò)某種協(xié)議或算法驗(yàn)證服務(wù)器中的數(shù)據(jù)完整性,即數(shù)據(jù)是否被篡改、刪除或丟失。特別地,由于網(wǎng)絡(luò)傳輸?shù)某杀臼职嘿F,將云中所有數(shù)據(jù)下載并審計(jì)驗(yàn)證并不是經(jīng)濟(jì)可行的審計(jì)方案。理想的第三方審計(jì)方案應(yīng)具有以下功能特性:

        1.數(shù)據(jù)批處理。數(shù)據(jù)批處理是指支持同一時(shí)間處理多個(gè)審計(jì)請(qǐng)求。Wang(2010)[1][2]提出了支持?jǐn)?shù)據(jù)批處理的完整性審計(jì)方案。該方案的優(yōu)點(diǎn)在于無(wú)需獲取數(shù)據(jù)本身、利用雙線性聚合簽名技術(shù)支持批量審計(jì),但卻沒(méi)有較好地解決云用戶(hù)隱私保護(hù)問(wèn)題。Wang(2011)[3]基于哈希樹(shù)提出支持動(dòng)態(tài)數(shù)據(jù)更新、數(shù)據(jù)批處理的完整性審計(jì)方案,但只適合存儲(chǔ)中小型文件,文件越大,該方案的審計(jì)開(kāi)銷(xiāo)越大。在此基礎(chǔ)上,秦志光(2015)[4]通過(guò)引入分層索引結(jié)構(gòu)優(yōu)化哈希樹(shù),成功節(jié)省了審計(jì)人員的通信開(kāi)銷(xiāo)。

        2.數(shù)據(jù)動(dòng)態(tài)更新。對(duì)于數(shù)據(jù)動(dòng)態(tài)更新的支持方面,秦志光(2015)[4]發(fā)現(xiàn)通過(guò)降低哈希樹(shù)的高度,可以實(shí)現(xiàn)多粒度的動(dòng)態(tài)操作。但隨著數(shù)據(jù)增多,哈希樹(shù)結(jié)構(gòu)越趨復(fù)雜,審計(jì)效率也隨之降低。周堅(jiān)等(2019)[5]認(rèn)為,由多審計(jì)實(shí)體組成的區(qū)塊鏈審計(jì)網(wǎng)絡(luò)能夠解決單點(diǎn)失效和計(jì)算瓶頸問(wèn)題。采用變色龍哈希算法和嵌套MHT結(jié)構(gòu),能實(shí)現(xiàn)云數(shù)據(jù)標(biāo)簽在區(qū)塊鏈上的動(dòng)態(tài)操作,并支持追溯錯(cuò)誤數(shù)據(jù)。Li等(2020)[6]提出一種支持?jǐn)?shù)據(jù)動(dòng)態(tài)的安全可審計(jì)的云存儲(chǔ)方案,輕量級(jí)的信息加密操作使得數(shù)據(jù)外包速度提升了一個(gè)數(shù)量級(jí)并且在檢查數(shù)據(jù)完整性方面快了兩倍,彌補(bǔ)了傳統(tǒng)云存儲(chǔ)審計(jì)方案只審計(jì)數(shù)據(jù)完整性但不支持?jǐn)?shù)據(jù)動(dòng)態(tài)功能的缺陷。

        3.數(shù)據(jù)機(jī)密性與隱私保護(hù)。數(shù)據(jù)機(jī)密性與用戶(hù)隱私安全涉及到加密技術(shù)、用戶(hù)身份授權(quán)與驗(yàn)證,加密技術(shù)包括加密算法和密鑰兩大元素。Li(2016)[7]設(shè)計(jì)了兩個(gè)云安全審計(jì)系統(tǒng),即SecureCloud和SecureCloud+。SecureCloud側(cè)重審計(jì)云數(shù)據(jù)的完整性,SecureCloud+則更關(guān)注保護(hù)數(shù)據(jù)的機(jī)密性和隱私數(shù)據(jù)。Anbuchelian等(2019)[8]對(duì)文件加密方法進(jìn)行創(chuàng)新,使用改進(jìn)的RSA加密算法(稱(chēng)為MRSAC算法)生成密鑰。云用戶(hù)上傳數(shù)據(jù)后,將獲得一個(gè)私鑰和公鑰以便于安全地檢索數(shù)據(jù)文件。TPA采用多級(jí)哈希樹(shù)算法對(duì)云數(shù)據(jù)信息的完整性進(jìn)行審計(jì)驗(yàn)證??紤]到公有云存儲(chǔ)審計(jì)過(guò)程中如果TPA是惡意或假裝的,可能在未經(jīng)許可的情況下威脅數(shù)據(jù)的隱私安全,Shen(2017)[9]提出了一種新型云存儲(chǔ)審計(jì)方案,引入第三方媒介(TPM)替代TPA角色,TPM為用戶(hù)生成身份驗(yàn)證器并代表用戶(hù)驗(yàn)證數(shù)據(jù)完整性??紤]到數(shù)據(jù)隱私保護(hù)的需求,在數(shù)據(jù)上傳和數(shù)據(jù)審計(jì)階段使用簡(jiǎn)單的操作將敏感信息進(jìn)行盲化。如此一來(lái)只需要確保使用的TPM在有效期內(nèi)且獲得用戶(hù)授權(quán),即可在保證隱私性的前提下進(jìn)行數(shù)據(jù)的完整性審計(jì),既可以解決云用戶(hù)隱私問(wèn)題,又可以規(guī)避耗時(shí)且計(jì)算復(fù)雜的加密、解密操作。

        綜上所述,現(xiàn)有的云安全審計(jì)方案及工具在性能上均未能實(shí)現(xiàn)理想的輕量級(jí)狀態(tài);功能實(shí)現(xiàn)方面各有側(cè)重,例如有些審計(jì)方案支持?jǐn)?shù)據(jù)動(dòng)態(tài)更新但不支持批量處理,支持批量處理后又無(wú)法節(jié)約計(jì)算開(kāi)銷(xiāo)等;從應(yīng)用角度看,復(fù)雜場(chǎng)景的綜合云審計(jì)尚有研究空間,如跨云審計(jì)、分布式協(xié)同審計(jì)等。

        (二)云用戶(hù)安全審計(jì)。云計(jì)算提供的是租賃共享式的數(shù)據(jù)集中存儲(chǔ)服務(wù),“共享”特性體現(xiàn)在云用戶(hù)是以一個(gè)組的形式共享數(shù)據(jù)塊,作為組內(nèi)成員,云用戶(hù)可以訪問(wèn)、修改這些共享數(shù)據(jù)。因此必須實(shí)施云用戶(hù)之間的安全隔離,即除所有者和授權(quán)用戶(hù)外的任何人不能訪問(wèn)、修改數(shù)據(jù)。保證云用戶(hù)間的安全隔離,最基礎(chǔ)的方法包括訪問(wèn)控制和身份認(rèn)證機(jī)制,例如云中的單點(diǎn)登錄(SSO)、基于角色的訪問(wèn)控制(RBAC)、基于屬性的訪問(wèn)控制(ABAC)。Majumdar(2018)[10]利用OpenStack中的攔截檢查方法,審計(jì)各種身份驗(yàn)證和授權(quán)插件的正確部署。除了訪問(wèn)控制、身份授權(quán)等事中保護(hù)措施之外,對(duì)云用戶(hù)實(shí)施事后審計(jì)也很重要。TPA主要從以下兩方面對(duì)云用戶(hù)實(shí)施事后審計(jì):

        1.日志審計(jì)。云日志記錄了云用戶(hù)所有操作活動(dòng)的過(guò)程,是安全事件追溯、取證和責(zé)任界定的重要依據(jù)。Shetty(2014)[11]等提出了一種審計(jì)惡意云租戶(hù)的技術(shù),通過(guò)IP定位和路由器IP分析技術(shù),根據(jù)網(wǎng)絡(luò)度量和社會(huì)特征等因素確定云租戶(hù)真實(shí)地理位置,但該方案也忽視了對(duì)租戶(hù)關(guān)鍵隱私信息的保護(hù)。趙春曄等(2017)[12]基于用戶(hù)行為提出日志分析的審計(jì)解決方案,利用改進(jìn)后的關(guān)聯(lián)規(guī)則挖掘算法實(shí)現(xiàn)了云安全審計(jì)中隱私數(shù)據(jù)泄露的追蹤與取證。郭濤敏(2019)[13]進(jìn)一步利用關(guān)聯(lián)規(guī)則Apriori算法對(duì)比挖掘安全日志和用戶(hù)行為異常信息,結(jié)合典型惡意入侵行為建立預(yù)測(cè)模型,以高水平的置信策略有效識(shí)別云安全事故類(lèi)型。上述日志審計(jì)方法都能夠較為有效地幫助審計(jì)人員追蹤或預(yù)測(cè)惡意租戶(hù)信息流的傳播過(guò)程??偟膩?lái)說(shuō),日志審計(jì)就是集數(shù)據(jù)采集與存儲(chǔ)為一體,便于審計(jì)人員根據(jù)日志記錄監(jiān)控云上的異常行為,及時(shí)進(jìn)行安全分析、行為預(yù)測(cè)、資源跟蹤、身份追溯等工作。

        2.身份追溯性審計(jì)。為保護(hù)云用戶(hù)的隱私安全,目前云存儲(chǔ)共享數(shù)據(jù)的審計(jì)方案都很好地隱藏了組成員的身份,但身份的匿名性也造成同一組的云用戶(hù)能夠惡意篡改共享數(shù)據(jù)而不被發(fā)現(xiàn)。一旦數(shù)據(jù)被篡改,那么能否實(shí)現(xiàn)“竊取者”身份追溯就成為審計(jì)的關(guān)鍵。Wang(2012)[14]提出靈活的分布式存儲(chǔ)完整性審計(jì)機(jī)制,采用糾刪碼和冗余存儲(chǔ)技術(shù)保證數(shù)據(jù)的正確性和可恢復(fù)性。該審計(jì)機(jī)制適用于有大量數(shù)據(jù)和任何需要容錯(cuò)的云存儲(chǔ)系統(tǒng),驗(yàn)證數(shù)據(jù)存儲(chǔ)正確性的同時(shí)也能快速追溯錯(cuò)誤數(shù)據(jù)塊的具體位置。但該審計(jì)機(jī)制的不足在于:計(jì)算量大、通信成本高;審計(jì)次數(shù)有限且需預(yù)設(shè)。金瑜等(2017)[15]提出支持用戶(hù)追溯的審計(jì)方案,該方案的優(yōu)點(diǎn)是利用安全中介者代替用戶(hù)簽名,支持共享數(shù)據(jù)塊身份的可追溯,并利用新的數(shù)據(jù)塊致盲技術(shù),減少用戶(hù)端計(jì)算量。Tian(2018)[16]提出了不同的解決方案,將數(shù)據(jù)塊上的身份簽名轉(zhuǎn)換為組管理員的簽名;采用了隨機(jī)屏蔽技術(shù)將用戶(hù)身份信息適當(dāng)盲化,保護(hù)云用戶(hù)的隱私;設(shè)計(jì)了一個(gè)修改記錄表來(lái)記錄操作信息,支持身份的可追溯性;擴(kuò)展動(dòng)態(tài)哈希表以支持?jǐn)?shù)據(jù)動(dòng)態(tài)操作,并提出了一種批處理審計(jì)策略。該方案集成了數(shù)據(jù)動(dòng)態(tài)更新、批處理、身份可追溯、隱私保護(hù)等多項(xiàng)功能更具實(shí)用性。

        綜上所述,根據(jù)審計(jì)方案對(duì)事件的干預(yù)進(jìn)程,對(duì)云用戶(hù)開(kāi)展的審計(jì)主要以事中審計(jì)(訪問(wèn)控制、身份驗(yàn)證)和事后審計(jì)(日志審計(jì)、身份追溯)為主。

        (三)云供應(yīng)商安全審計(jì)。越來(lái)越多的個(gè)人和企業(yè)正考慮使用云計(jì)算服務(wù)降低成本提高效率,但由于雙方信息不對(duì)稱(chēng),不僅云用戶(hù)難以確定云供應(yīng)商提供的服務(wù)是否安全合規(guī),而且云服務(wù)供應(yīng)商得不到權(quán)威的審計(jì)和認(rèn)證也會(huì)流失大量潛在的客戶(hù)。因此可信的第三方審計(jì)機(jī)構(gòu)能夠代表云用戶(hù)對(duì)云供應(yīng)商實(shí)施安全合規(guī)審計(jì),驗(yàn)證云服務(wù)的可用性以增強(qiáng)預(yù)期使用者對(duì)云的信任。

        1.事后審計(jì)。Ismail(2020)[17]提出了一個(gè)基于證據(jù)的云安全審計(jì)框架,利用審計(jì)工具自動(dòng)收集證據(jù)并評(píng)估云供應(yīng)商的服務(wù)是否符合預(yù)先設(shè)定的標(biāo)準(zhǔn),支持識(shí)別缺陷、收集證據(jù)、糾正措施的跟蹤等一套全面的審計(jì)流程以確保云服務(wù)的透明度(信息的可訪問(wèn)性)。由于云計(jì)算運(yùn)營(yíng)模式不成熟,當(dāng)前云租戶(hù)和云供應(yīng)商之間的責(zé)任界定不清晰,雙方權(quán)限沖突時(shí)就面臨責(zé)任認(rèn)定和問(wèn)責(zé)問(wèn)題。Mei(2014)[18]將可信的計(jì)算技術(shù)與可信的第三方審計(jì)結(jié)合,既支持事后審計(jì)對(duì)云服務(wù)提供商的問(wèn)責(zé),又能保護(hù)云用戶(hù)的利益。

        2.事前審計(jì)。(1)合規(guī)審計(jì)。Shetty(2014)[19]提出云審計(jì)的兩種關(guān)鍵技術(shù)——云數(shù)據(jù)地理定位技術(shù)和云網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估技術(shù),第三方審計(jì)機(jī)構(gòu)對(duì)云數(shù)據(jù)中心內(nèi)部和外部的安全級(jí)別進(jìn)行評(píng)估,以幫助用戶(hù)了解云數(shù)據(jù)與云網(wǎng)絡(luò)的安全性能。Rizvi等(2015)[20]開(kāi)發(fā)了一種審計(jì)工具,并將云計(jì)算安全的影響因素及其子因素量化成安全指數(shù),審計(jì)人員能據(jù)此安全指數(shù)來(lái)驗(yàn)證云供應(yīng)商的安全狀態(tài)。Ismail等(2016)[21]用一種基于博弈論的審計(jì)方法來(lái)驗(yàn)證云供應(yīng)商對(duì)數(shù)據(jù)備份的合規(guī)性。Rizvi(2018)[22]提出一種用于云安全審計(jì)的安全評(píng)估框架,能夠根據(jù)云服務(wù)用戶(hù)的安全偏好評(píng)估云服務(wù)供應(yīng)商的安全強(qiáng)度。(2)主動(dòng)安全審計(jì)。Majumdar(2020)[23]提出一個(gè)基于學(xué)習(xí)的主動(dòng)云安全審計(jì)系統(tǒng)(LeaPS),引入預(yù)測(cè)模型將安全審計(jì)工具(無(wú)論原始性質(zhì)如何,例如事后審計(jì)和事中審計(jì))轉(zhuǎn)化為主動(dòng)審計(jì)解決方案,該模型可以從云日志中自動(dòng)學(xué)習(xí)云事件之間的依賴(lài)關(guān)系并有助于預(yù)測(cè)未來(lái)事件。從對(duì)事件的干預(yù)進(jìn)程看,LeaPS屬于事前審計(jì),但與傳統(tǒng)事前審計(jì)側(cè)重合規(guī)性不同,LeaPS預(yù)先為關(guān)鍵事件(即可能違反安全屬性的事件)做好準(zhǔn)備并在事件發(fā)生時(shí)強(qiáng)制攔截。LeaPS的優(yōu)點(diǎn)在于審計(jì)結(jié)果更具客觀性,即不完全依賴(lài)云供應(yīng)商提供的數(shù)據(jù)進(jìn)行審計(jì),而是主動(dòng)參與目標(biāo)協(xié)議來(lái)驗(yàn)證安全屬性。LeaPS也存在兩大局限性,一是不適用對(duì)非結(jié)構(gòu)化數(shù)據(jù)的審計(jì),二是依賴(lài)人工提取事件之間的依賴(lài)關(guān)系。

        綜上所述,根據(jù)審計(jì)方案對(duì)事件的干預(yù)進(jìn)程,對(duì)云供應(yīng)商開(kāi)展的審計(jì)大致分為事后審計(jì)與事前審計(jì)?,F(xiàn)有關(guān)于云供應(yīng)商的審計(jì)研究大多以事前審計(jì)(對(duì)云供應(yīng)商安全狀態(tài)的檢驗(yàn)與評(píng)估)與事后審計(jì)(取證問(wèn)責(zé)云供應(yīng)商)為主,事中審計(jì)研究相對(duì)較少。區(qū)別于傳統(tǒng)事前審計(jì),LeaPS更像是“預(yù)警儀”+“過(guò)濾器”,在關(guān)鍵事件發(fā)生前就做好應(yīng)對(duì)準(zhǔn)備,極大地節(jié)省了審計(jì)響應(yīng)時(shí)間,有助于及時(shí)阻止惡性事件的擴(kuò)大與傳播。

        四、研究總結(jié)與展望

        云安全事故頻發(fā),如何利用審計(jì)保證云服務(wù)的安全是云計(jì)算面臨的難題。本文首先列舉了云服務(wù)面臨的主要威脅,具體分析云安全風(fēng)險(xiǎn)及審計(jì)需求。其次,根據(jù)風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)原則,將云數(shù)據(jù)存儲(chǔ)、云用戶(hù)、云供應(yīng)商作為審計(jì)對(duì)象,對(duì)現(xiàn)有的云安全審計(jì)研究歸類(lèi)總結(jié)。最后,按照審計(jì)方案(工具)對(duì)事件的干預(yù)進(jìn)程,可將云安全審計(jì)分為事后審計(jì)、事中審計(jì)、事前審計(jì)。

        具體而言,云安全事后審計(jì)旨在界定責(zé)任、實(shí)施問(wèn)責(zé),比如審計(jì)人員通過(guò)調(diào)取云日志對(duì)云用戶(hù)、云供應(yīng)商操作過(guò)程的合規(guī)性進(jìn)行審計(jì)追蹤與取證,而事后審計(jì)的局限性也恰恰在于審計(jì)工作不能阻止關(guān)鍵事件的發(fā)生。云安全事中審計(jì)旨在驗(yàn)證事件的同時(shí)保證關(guān)鍵事件被阻止,例如云用戶(hù)企圖訪問(wèn)他人數(shù)據(jù)時(shí),驗(yàn)證訪問(wèn)者身份以及是否獲得授權(quán),但以攔截檢查審計(jì)為代表的事中審計(jì)存在嚴(yán)重的延遲現(xiàn)象。區(qū)別于事后審計(jì)和事中審計(jì),云安全事前審計(jì)的理論與實(shí)踐近年來(lái)都得到了長(zhǎng)足的發(fā)展。近十年,傳統(tǒng)的云安全事前審計(jì)都是以合規(guī)性審計(jì)為基礎(chǔ),評(píng)估云供應(yīng)商的安全狀態(tài)。合規(guī)性審計(jì)雖然穩(wěn)定性極強(qiáng)但主動(dòng)性不足。2020年以來(lái)云安全事前審計(jì)有了新發(fā)展,以LeaPS為代表的主動(dòng)云安全審計(jì)方案能夠從日志中捕獲異常行為,建立關(guān)聯(lián)模型提取概率依賴(lài)關(guān)系,通過(guò)學(xué)習(xí)關(guān)聯(lián)模型預(yù)先為關(guān)鍵事件做好準(zhǔn)備,以防止安全違規(guī)事件的發(fā)生。綜上所述,以LeaPS為代表的主動(dòng)安全審計(jì)能夠克服事后審計(jì)、事中審計(jì)的局限,是更加具有前瞻性的研究領(lǐng)域。

        當(dāng)然,上述研究還存在若干問(wèn)題值得進(jìn)一步研究:首先,云計(jì)算任務(wù)和環(huán)境是多變的,這就要求云安全審計(jì)方案更加靈活,兼顧數(shù)據(jù)批處理、數(shù)據(jù)塊追溯、數(shù)據(jù)動(dòng)態(tài)更新等多種需求。其次,復(fù)雜的云環(huán)境存在多個(gè)層次的審計(jì)需求,如基礎(chǔ)設(shè)施服務(wù)(IaaS)、平臺(tái)服務(wù)(PaaS)和軟件服務(wù)(SaaS),單一的審計(jì)解決方案并不能滿(mǎn)足云用戶(hù)的實(shí)際需求,能夠集成多個(gè)層次的審計(jì)解決方案將成為未來(lái)主要研究方向。最后,實(shí)踐中云安全審計(jì)可能面臨在多個(gè)云管理平臺(tái)調(diào)取數(shù)據(jù)、跨云審計(jì)、分布式協(xié)同審計(jì)等需求,因此還需考慮云安全審計(jì)方案的兼容性和可擴(kuò)展性,能夠在諸如OpenStack,Google GCP,Amazon EC2和 Microsoft Azure等主流云管理平臺(tái)上運(yùn)行。

        猜你喜歡
        機(jī)密性完整性日志
        稠油熱采水泥環(huán)完整性研究
        云南化工(2021年9期)2021-12-21 07:44:00
        一名老黨員的工作日志
        扶貧日志
        心聲歌刊(2020年4期)2020-09-07 06:37:14
        游學(xué)日志
        莫斷音動(dòng)聽(tīng) 且惜意傳情——論音樂(lè)作品“完整性欣賞”的意義
        一種協(xié)同工作環(huán)境中(分布式)的容錯(cuò)和安全數(shù)據(jù)存儲(chǔ)方法
        云計(jì)算中一種安全有效的數(shù)據(jù)存儲(chǔ)方案
        精子DNA完整性損傷的發(fā)生機(jī)制及診斷治療
        基于計(jì)算機(jī)的文書(shū)檔案科學(xué)化管理探索途徑
        卷宗(2014年2期)2014-03-31 04:08:05
        樁身完整性檢測(cè)中缺陷的綜合判別
        河南科技(2014年18期)2014-02-27 14:14:46
        亚洲精品久久7777777| 真人二十三式性视频(动)| 久久国产偷| 日韩精品有码在线视频| 美女脱掉内裤扒开下面让人插| 久久国产成人精品国产成人亚洲 | 国内精品久久久久久久久久影院| 尤物蜜芽福利国产污在线观看 | 丰满熟妇人妻av无码区| 亚洲精品456在线播放狼人| 精品无码一区二区三区爱欲| 麻豆tv入口在线看| 国产成人无码区免费内射一片色欲| 久久久久国产一级毛片高清版A| 国产成人激情视频在线观看| 国产乱理伦在线观看美腿丝袜| 欧美乱妇高清无乱码在线观看| 久久综合五月天| 加勒比特在线视频播放| 免费人成视频网站网址| 朋友的丰满人妻中文字幕| 亚洲中文字幕无码专区| 美女熟妇67194免费入口| 亚洲乱码中文字幕一线区| 尤物在线精品视频| 中国一级毛片在线观看| 中文字幕高清一区二区| 精品国产sm最大网站| 婷婷五月综合丁香在线| 亚洲AⅤ樱花无码| 亚洲熟女乱一区二区三区| 人妻少妇乱子伦精品无码专区电影| 精品亚洲欧美无人区乱码| 欧美日韩精品福利在线观看| 亚洲AV手机专区久久精品| 亚洲AV手机专区久久精品| 亚洲天堂av一区二区| 中文亚洲av片不卡在线观看| 无码久久精品国产亚洲av影片| 国产一区二区精品网站看黄| 男女啪啪视频高清视频|