云計(jì)算環(huán)境下信息安全風(fēng)險(xiǎn)評估流程探究

◆王雪莉 陳剛

數(shù)據(jù)安全與云計(jì)算

云計(jì)算環(huán)境下信息安全風(fēng)險(xiǎn)評估流程探究

◆王雪莉 陳剛

（國防科技大學(xué)信息通信學(xué)院 湖北 430010）

云計(jì)算以新的業(yè)務(wù)模式提供高性能和低成本的持續(xù)計(jì)算、存儲空間以及各種軟件服務(wù)，支撐各類信息化應(yīng)用。云計(jì)算提出后，云計(jì)算安全已成為阻礙云計(jì)算發(fā)展的首要因素，因此，為了促進(jìn)云計(jì)算的可持續(xù)發(fā)展，必須明確云計(jì)算面臨哪些安全風(fēng)險(xiǎn)，并及時(shí)降低風(fēng)險(xiǎn)，確保云計(jì)算信息系統(tǒng)的安全可靠。本文結(jié)合云計(jì)算特點(diǎn)，重點(diǎn)探討了云計(jì)算環(huán)境下信息安全風(fēng)險(xiǎn)評估流程。

云計(jì)算；信息安全；風(fēng)險(xiǎn)評估

近年來，云計(jì)算的優(yōu)勢使其發(fā)展前景非常可觀，并逐漸在政府、電信、教育、醫(yī)療、金融、石油石化、電力、軍隊(duì)等領(lǐng)域得到了廣泛應(yīng)用，但由于不同領(lǐng)域的核心資產(chǎn)、應(yīng)用場景、監(jiān)管需求各不相同，不同的云計(jì)算運(yùn)營模型面臨著不同的安全風(fēng)險(xiǎn)，并制約了云計(jì)算的應(yīng)用。信息安全風(fēng)險(xiǎn)評估是云計(jì)算安全體系的基礎(chǔ)，通過安全風(fēng)險(xiǎn)評估，明晰云計(jì)算信息系統(tǒng)安全狀況以及面臨的安全風(fēng)險(xiǎn)，有效實(shí)施風(fēng)險(xiǎn)管理和控制，為構(gòu)建云計(jì)算環(huán)境下安全體系提供支撐。

云計(jì)算信息系統(tǒng)安全風(fēng)險(xiǎn)評估包括評估指標(biāo)體系、評估模型、評估方法、評估流程等諸多內(nèi)容，其中評估流程是云計(jì)算信息系統(tǒng)安全風(fēng)險(xiǎn)評估的重要環(huán)節(jié)。與傳統(tǒng)信息系統(tǒng)相比，云計(jì)算平臺具有其特殊性，如服務(wù)模式的不同、資源的動(dòng)態(tài)分配、云服務(wù)提供商部分服務(wù)外包或購買其他服務(wù)等，其安全風(fēng)險(xiǎn)評估流程也具有特殊性。

1 風(fēng)險(xiǎn)評估準(zhǔn)備

1.1 確定風(fēng)險(xiǎn)評估的范圍

風(fēng)險(xiǎn)評估的范圍，包括分布式數(shù)據(jù)中心（如主機(jī)虛擬化、網(wǎng)絡(luò)虛擬化和存儲虛擬化）、云計(jì)算安全數(shù)據(jù)（如存儲備份、數(shù)據(jù)保護(hù)、數(shù)據(jù)隔離）、基于云平臺的應(yīng)用等。確定評估范圍時(shí)應(yīng)考慮以下三個(gè)方面的問題：一是評估范圍內(nèi)的評估對象應(yīng)具有一定的代表性；二是評估范圍應(yīng)包含那些曾發(fā)生過安全事故或存在嚴(yán)重安全隱患的系統(tǒng)要素；三是評估范圍應(yīng)該以確保評估工作完整準(zhǔn)確為標(biāo)準(zhǔn)，注意克服主觀隨意性。

1.2 組建評估團(tuán)隊(duì)

評估團(tuán)隊(duì)成員包括評估過程中的管理者以及具體評估活動(dòng)的實(shí)施者，采用扁平化組織結(jié)構(gòu)，一般由安全工作主管領(lǐng)導(dǎo)、工作人員和相關(guān)領(lǐng)域?qū)＜医M成。將評估團(tuán)隊(duì)劃分為不同的實(shí)施小組，以便于人員管理，提高工作效率。

上述評估團(tuán)隊(duì)組織結(jié)構(gòu)中的某些角色，并不全程參與評估工作。例如專家顧問，只有在評估工作出現(xiàn)難以解決的問題時(shí)，才為評估工作提供必要的技術(shù)支持。評估團(tuán)隊(duì)組織結(jié)構(gòu)可根據(jù)評估對象復(fù)雜程度和工作量大小而進(jìn)行增減或合并，具體組成人員數(shù)量和專業(yè)結(jié)構(gòu)根據(jù)實(shí)際工作需要確定。評估團(tuán)隊(duì)有了合理的組織結(jié)構(gòu)只是建立評估團(tuán)隊(duì)的一個(gè)重要方面，除了確定組織結(jié)構(gòu)外，還要對成員的工作進(jìn)行合理分工，使團(tuán)隊(duì)成員熟悉自己的職責(zé)，使每一項(xiàng)評估工作落實(shí)到人。

當(dāng)然，也可以由用戶發(fā)起風(fēng)險(xiǎn)評估活動(dòng)，在這種情況下，則需要由用戶牽頭，云服務(wù)提供商配合完成承載用戶數(shù)據(jù)或業(yè)務(wù)系統(tǒng)的云平臺的安全風(fēng)險(xiǎn)評估活動(dòng)。

1.3 準(zhǔn)備相關(guān)評估工具

為保證風(fēng)險(xiǎn)評估的組織實(shí)施，需提前準(zhǔn)備漏洞掃描、滲透性測試、數(shù)據(jù)及文檔管理等評估工具，來收集和管理評估所需要的數(shù)據(jù)和資料，并根據(jù)需要的格式生成各種報(bào)表，提供輔助支持決策。此外，還需要代碼掃描、反編譯審計(jì)、模糊測試等輔助工具。

1.4 進(jìn)行系統(tǒng)調(diào)研

系統(tǒng)調(diào)研內(nèi)容主要包括組織管理、云計(jì)算網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)環(huán)境、軟硬件信息、系統(tǒng)操作人員等。通常可采用問卷調(diào)查、現(xiàn)場訪談等方法進(jìn)行，根據(jù)調(diào)研結(jié)果來確定評估方法和工具等。

2 風(fēng)險(xiǎn)識別

2.1 資產(chǎn)識別

資產(chǎn)是云計(jì)算信息系統(tǒng)中具有重要價(jià)值的資源和安全風(fēng)險(xiǎn)評估的對象，也是被攻擊的目標(biāo)和系統(tǒng)脆弱點(diǎn)的載體，因此，云計(jì)算資產(chǎn)識別是風(fēng)險(xiǎn)識別的必要環(huán)節(jié)。

云計(jì)算資產(chǎn)識別的任務(wù)就是對確定的云計(jì)算評估對象所涉及或包含的資產(chǎn)進(jìn)行詳細(xì)的標(biāo)識，由于它以多種形式存在，有無形資產(chǎn)和有形資產(chǎn)。資產(chǎn)識別過程中要特別注意對無形資產(chǎn)的識別。資產(chǎn)識別的方法主要有訪談、現(xiàn)場調(diào)查、問卷、文檔查閱等。

云計(jì)算信息系統(tǒng)的資產(chǎn)價(jià)值不僅要考慮資產(chǎn)的經(jīng)濟(jì)價(jià)值，更重要的是要考慮資產(chǎn)的安全價(jià)值，即資產(chǎn)的機(jī)密性、完整性和可用性，對組織信息安全性的影響程度。資產(chǎn)賦值是對資產(chǎn)的機(jī)密性、完整性和可用性分別進(jìn)行分析，并最終得出資產(chǎn)的價(jià)值。

2.2 威脅識別

云計(jì)算信息系統(tǒng)面臨數(shù)據(jù)破壞和丟失、賬戶或業(yè)務(wù)流量被劫持、通過應(yīng)用程序接口進(jìn)行的攻擊、拒絕服務(wù)攻擊、網(wǎng)絡(luò)監(jiān)聽、內(nèi)部人員攻擊、云服務(wù)濫用等各種威脅，這些威脅是造成云計(jì)算資產(chǎn)損失的主要原因。威脅識別是對資產(chǎn)面臨的各種威脅進(jìn)行標(biāo)識并賦值，可以通過云計(jì)算信息系統(tǒng)日志、入侵檢測系統(tǒng)等方法追溯威脅來源。入侵檢測系統(tǒng)可以通過監(jiān)控云計(jì)算系統(tǒng)狀態(tài)以及網(wǎng)絡(luò)狀態(tài)，監(jiān)測網(wǎng)絡(luò)上流過的數(shù)據(jù)包，進(jìn)行實(shí)時(shí)檢測和分析，從而發(fā)現(xiàn)網(wǎng)絡(luò)攻擊或異常行為，并且執(zhí)行告警、阻斷等。

識別威脅后，需對威脅頻率進(jìn)行賦值。通常根據(jù)經(jīng)驗(yàn)和相關(guān)統(tǒng)計(jì)數(shù)據(jù)對云計(jì)算信息系統(tǒng)面臨的威脅頻率進(jìn)行賦值，在進(jìn)行威脅賦值時(shí)需要綜合考慮威脅曾經(jīng)出現(xiàn)的次數(shù)、已被檢測出的威脅及頻率、最新發(fā)布的威脅預(yù)警等因素。

2.3 脆弱點(diǎn)識別

云計(jì)算信息系統(tǒng)的脆弱點(diǎn)識別以需要保護(hù)的資產(chǎn)為對象，識別可能被威脅利用的脆弱點(diǎn)，并對脆弱點(diǎn)進(jìn)行等級評估；也可從物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層進(jìn)行識別。云計(jì)算信息系統(tǒng)所采用的協(xié)議、應(yīng)用流程的完備與否、與其他網(wǎng)絡(luò)的互聯(lián)等也應(yīng)考慮在內(nèi)。

脆弱點(diǎn)識別可采用問卷調(diào)查、文檔查閱、人工檢查、漏洞掃描、模擬滲透測試等方法，前三種適于識別云計(jì)算環(huán)境下虛擬化后管理員的角色和管理方式、云服務(wù)用戶系統(tǒng)的安全管理等脆弱點(diǎn)；后兩者適于發(fā)現(xiàn)云計(jì)算物理環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)軟件、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全與備份恢復(fù)等脆弱點(diǎn)。

2.4 已有安全措施的確認(rèn)

與傳統(tǒng)安全措施相比，云計(jì)算環(huán)境下的安全措施有訪問控制、審計(jì)和可追蹤、配置管理、標(biāo)識和鑒別、事件響應(yīng)、介質(zhì)保護(hù)、物理和環(huán)境保護(hù)、系統(tǒng)和服務(wù)獲取、系統(tǒng)和通信保護(hù)、系統(tǒng)和完整性等。通常，云計(jì)算環(huán)境下的安全措施體現(xiàn)在兩個(gè)方面，一方面是有關(guān)控制措施的存在性，另一方面是控制措施的有效性或健壯性。例如，云平臺與外部用戶之間建立了加密的信息傳輸通道，此時(shí)需要對該加密通道進(jìn)行安全評估，確定該解密通道是否有效以及實(shí)施過程中是否經(jīng)過妥善的設(shè)計(jì)，體現(xiàn)了安全評估的目的所在。

3 風(fēng)險(xiǎn)分析

風(fēng)險(xiǎn)分析是利用資產(chǎn)、威脅、脆弱點(diǎn)識別與評估結(jié)果以及已有安全措施的確認(rèn)與分析結(jié)果，對云計(jì)算環(huán)境下資產(chǎn)面臨的風(fēng)險(xiǎn)進(jìn)行分析。由于安全風(fēng)險(xiǎn)總是以威脅利用脆弱點(diǎn)導(dǎo)致一系列安全事件的形式體現(xiàn)出來，風(fēng)險(xiǎn)的大小是由安全事件造成的影響以及其發(fā)生的可能性來決定。

3.1 風(fēng)險(xiǎn)計(jì)算

利用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用資產(chǎn)脆弱點(diǎn)發(fā)生安全事件的可能性，并結(jié)合資產(chǎn)的安全屬性受到破壞后的影響來得出資產(chǎn)的安全風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)計(jì)算原理形式化描述為：R=f（A,V,T）=f（Ia,L（Va,T））

式中，R表示風(fēng)險(xiǎn)；A表示資產(chǎn)；V表示脆弱點(diǎn)；T表示威脅；Ia表示資產(chǎn)重要程度；Va表示某一資產(chǎn)本身的脆弱點(diǎn)；L表示安全事件發(fā)生的可能性。

（1）計(jì)算威脅利用資產(chǎn)脆弱點(diǎn)發(fā)生安全事件的可能性；

（2）計(jì)算安全事件發(fā)生后造成的損失；

（3）根據(jù)安全事件發(fā)生的可能性以及安全事件的損失大小，計(jì)算云計(jì)算信息系統(tǒng)的風(fēng)險(xiǎn)值。

目前常用的風(fēng)險(xiǎn)計(jì)算方法有矩陣法或相乘法。其中，風(fēng)險(xiǎn)矩陣測量方法的特點(diǎn)是事先建立資產(chǎn)價(jià)值、威脅等級和脆弱點(diǎn)等級的一個(gè)對應(yīng)矩陣，預(yù)先將風(fēng)險(xiǎn)等級進(jìn)行了確定，然后根據(jù)不同資產(chǎn)的賦值從矩陣中確定不同的風(fēng)險(xiǎn)。資產(chǎn)風(fēng)險(xiǎn)判別矩陣如表1所示。

表1 資產(chǎn)風(fēng)險(xiǎn)判別矩陣

對于每一資產(chǎn)的風(fēng)險(xiǎn)，都將考慮資產(chǎn)價(jià)值、威脅等級和脆弱點(diǎn)等級。例如，如果資產(chǎn)值為3，威脅等級為“高”，脆弱點(diǎn)為“低”。查表可知風(fēng)險(xiǎn)值為5。如果資產(chǎn)值為2，威脅為“低”，脆弱點(diǎn)為“高”，則風(fēng)險(xiǎn)值為4。由1可以推知，風(fēng)險(xiǎn)矩陣會(huì)隨著資產(chǎn)值的增加、威脅等級的增加和脆弱點(diǎn)等級的增加而擴(kuò)大。

使用本方法需要首先確定資產(chǎn)、威脅和脆弱點(diǎn)的賦值，要完成這些賦值，需要組織內(nèi)部管理人員、技術(shù)人員、后勤人員等方面的配合。

3.2 風(fēng)險(xiǎn)等級確定

風(fēng)險(xiǎn)等級劃分是對云計(jì)算環(huán)境下的不同風(fēng)險(xiǎn)值進(jìn)行比較，以便明確云計(jì)算信息系統(tǒng)安全策略。通常要綜合考慮風(fēng)險(xiǎn)控制成本與風(fēng)險(xiǎn)造成的影響，提出一個(gè)可接受的風(fēng)險(xiǎn)范圍。通常可將風(fēng)險(xiǎn)劃分為5級或3級，等級越高，風(fēng)險(xiǎn)越高。評估者也可以根據(jù)被評云計(jì)算信息系統(tǒng)的實(shí)際情況自定義風(fēng)險(xiǎn)的等級。表2可供參考。

表2 風(fēng)險(xiǎn)等級劃分

評估者應(yīng)根據(jù)所采用的風(fēng)險(xiǎn)計(jì)算方法，計(jì)算每種資產(chǎn)面臨的風(fēng)險(xiǎn)值，根據(jù)風(fēng)險(xiǎn)值的分布狀況，為每個(gè)等級設(shè)定風(fēng)險(xiǎn)值范圍，并對所有風(fēng)險(xiǎn)計(jì)算結(jié)果進(jìn)行等級處理。

3.3 風(fēng)險(xiǎn)處理

依據(jù)風(fēng)險(xiǎn)評估的結(jié)果選取適當(dāng)?shù)陌踩胧瑢L(fēng)險(xiǎn)降低到可接受的程度。安全措施可以降低安全事件造成的影響，也可以降低安全事件發(fā)生的可能性，在對組織面臨的安全風(fēng)險(xiǎn)有全面認(rèn)識后，應(yīng)根據(jù)風(fēng)險(xiǎn)的性質(zhì)選取合適的安全措施，并對可能的殘余風(fēng)險(xiǎn)進(jìn)行分析，直到殘余風(fēng)險(xiǎn)為可接受風(fēng)險(xiǎn)為止。例如，修補(bǔ)漏洞、匯總數(shù)據(jù)、備份數(shù)據(jù)、撰寫評估報(bào)告。

風(fēng)險(xiǎn)處理主要包括降低風(fēng)險(xiǎn)、接受風(fēng)險(xiǎn)、回避風(fēng)險(xiǎn)和轉(zhuǎn)移風(fēng)險(xiǎn)等方式。各種風(fēng)險(xiǎn)處理方式的選擇應(yīng)該兼顧管理與技術(shù)，具體針對各類風(fēng)險(xiǎn)應(yīng)根據(jù)云計(jì)算信息系統(tǒng)應(yīng)用的實(shí)際情況考慮。例如，當(dāng)云計(jì)算信息系統(tǒng)自身安全保障技術(shù)能力較弱時(shí)，可將安全技術(shù)保障（即信息載體部分）外包給滿足安全保障要求的第三方機(jī)構(gòu)，從而避免技術(shù)風(fēng)險(xiǎn)，或轉(zhuǎn)嫁給第三方（如云服務(wù)供應(yīng)商）。

4 結(jié)束語

基于云計(jì)算特點(diǎn)，全面評估云計(jì)算信息系統(tǒng)存在的安全風(fēng)險(xiǎn)，研究云計(jì)算環(huán)境下安全風(fēng)險(xiǎn)評估流程，既可以提高用戶對云計(jì)算服務(wù)的安全認(rèn)可度，又能及時(shí)發(fā)現(xiàn)云計(jì)算中的安全隱患，通過安全整改后提高云計(jì)算的整體安全防護(hù)能力，對用戶選擇云服務(wù)具有指導(dǎo)意義。

[1]范紅，馮登國，吳亞非.信息安全風(fēng)險(xiǎn)評估方法與應(yīng)用[M].北京：清華大學(xué)出版社，2006.

[2]鄒濤. 云計(jì)算環(huán)境下信息安全風(fēng)險(xiǎn)評估方法研究[D].南昌大學(xué)，2017.

[3]陳馳，于晶.云計(jì)算安全體系[M].北京：科學(xué)出版社， 2014.