云计算安全风险评估的模型分析
?85?
云计算安全风险评估的模型分析
龚德忠
(湖北警官学院信息技术系,湖北武汉430034)
【摘要】本文分析了云计算环境中存在的安全风险,借鉴传统的信息安全风险评估方法,设计了云计算环境下的安全风险评估的形式化模型,以期丰富云计算环境下信息安全风险评估方法。
【关键词】云计算;信息安全;风险评估【中图分类号】TP309【文献标识码】A 【文章编号】1673―2391(2011)06―0085―02
一、云计算概述(一)云计算定义
云计算就是基于网络的服务,即通过网络为用户提供其所需资源和应用。从架构上来讲,云计算由管理和服务两大部分组成。云服务包括:基础设施即服务(IaaS ),平台
即服务(PaaS )和软件即服务(SaaS )。基础设施作为服务交付有时也称为硬件即服务(IaaS ),或等效计算(Utility Computing ),指的是将最基本的计算资源和存贮资源,通过虚拟化的方法以服务的形式提供给客户。平台即服务是(PaaS )把计算环境、开发环境等平台作为一种服务提供的商业模式。云计算服务提供商可以将操作系统、应用开发环境等平台级产品通过Web 以服务的方式提供给用户。软件即服务(SaaS )交付通过浏览器把应用程序作为服务提供给成千上万的用户。
(二)云计算的潜在风险
云计算的安全性主要包括两个方面内容:一是信息不会被泄露,二是需要时能保证准确无误地获取信息。总结起来,可把云计算安全归纳为以下四个方面问题:数据计算、存储、传输和安全风险控制策略,本文将从这四个方面考虑云计算的安全评估办法。
1.数据计算安全。对于利用统一平台实现(如Windows Auzre )的计算,要保证平台的安全;对于租赁计算设备实现(如IBM ,EC2等)的计算,要保证设备运行的可靠性。
2.数据存储安全。在云计算模式下,数据存储是建立网络上的高效分布式存储。如何确保数据不会泄露以及对托管数据进行备份和恢复等都是需要考虑的。
3.数据传输安全。对于数据传输,一是如何确保数据在网络传输过程中不被窃取;二是如何保证云计算服务商在得到数据时不将数据泄露出去;三是是否有网络接入设
备的备份,以满足计算和存储的需要等。
4.云计算服务的安全风险控制策略。安全风险控制策略是用来规避云计算风险的方法,包括技术方法和管理方法。由于云框架的不同,其安全管制策略也各自不同。
二、云计算的安全风险评估要素分析
云计算是一个尚处于起步阶段的计算方式,其标准还未统一,其业务应用能力和商业运作模式还未成熟,其安全还面临许多挑战。但基于其强大的运算能力和相对较小的代价,云计算受到越来越多IT 巨头的青睐,如亚马逊、Google 、微软等纷纷推出自己的云服务。这些公司提供的
云计算服务,由于发展思路不同,采取的安全对策也千差万别,故而就存在安全风险。
基于对云计算安全问题分析,本文借鉴传统的信息安全风险评估方法,结合云计算特点,从以下九个要素来探讨云计算的安全风险评估:资产、威胁、脆弱性、安全措施、风险、残余风险、标准化、法律法规。
1.资产:是指云计算系统中的各种资源。一般来说,资产价值越高,业务战略要求越高,风险越大。
2.脆弱性:是指云计算系统中每一个资产存在的漏洞。
3.威胁:是指云计算系统中因结构、技术、管理等原因而引起安全问题的可能。
4.安全措施:是针对引起云计算安全事故的原因而采取的技术、管理的手段。
5.风险:是指云计算系统存在安全事故的可能性。
6.残余风险:是指采取安全措施后,云计算系统存在安全事故的可能性。
7.安全需求:为达到业务战略的目标,而对云计算系统信息安全提出的要求(保护等级)。8.标准化:当前云计算缺乏统一的计算标准,各个云产
【收稿日期】2011—09—01
【作者简介】龚德忠(1969—),男,湖北鄂州人,湖北警官学院信息技术系副教授。
Nov.2011No.6Ser.No.123
湖北警官学院学报
Journal of Hubei University of Police 2011年11月第6期总第123期
?86?
品在互操作上难以兼容。为了更方便、安全、快捷地在不同云之间实现切换和数据迁移,同时避免服务提供商对用户的锁定,以及在出现安全事件时进行证据采集和责任划分,有必要对云计算服务实现标准化。
9.法律法规:云作为一种服务,用户数据应该受到法律的保护,而在云中数据的物理存储可能跨越不同国家和地区。但不同国家法律系统不同,这就会带来潜在的法律风险。
以上九个要素之间关系如图1所示,其中方框为评估的基本要素,椭圆为这些要素的属性,也是评估要素的一部分。
图1云计算风险评估中各种要素的关系
三、云计算安全风险评估模型
(一)云计算安全风险评估的流程根据云计算中各要素之间的关系,借鉴传统信息安全风险评估方法,本文设计基于云计算的风险评估流程,如图2所示。
图2云计算风险评估流程
首先资产拥有者根据其重要程度(I )和法律法规(L )及标准化(S )的规定,要求某资产(A )应达到的保护等级,根据资产因其脆弱性(V )受到威胁(T )的风险(R ),评估风险
级别,并制定相应安全措施(P ),以对资产的脆弱性进行弥补,降低威胁利用资产脆弱性的而发生安全事件的可能。如果残余风险未达到保护等级的要求,则继续评估并修改安全措施,直到满足对资产的保护等级要求。
(二)云计算风险评估的形式化模型
作为一种特殊的信息系统,云计算系统的风险评估方法与传统的信息系统风险评估方法有其一致性,但有其自身的特殊性,并且不同的云也有不同的侧重点。因此,在风险的定性和定量方面,不同云有不同的方法和要求。本文是以一般信息安全评估模型为基础,通过分析云计算的特殊性,得出云计算安全风险评估的一般形式化模型。
云计算风险评估的形式化模型为:
R=F (A ,V ,T ,S ,L ,P )。
对于含n 个资产的云系统,其每个资产的残余风险为:R i =F (A i ,V i ,T i ,S i ,L i ,P i )
=F1(A i ,Vi ,T i )-F2(A i ,S i ,L i ,P i ),其中i ∈N 。其中F1(Ai ,Vi ,Ti )是由某资产的所有威胁利用该资产
脆弱性而对资产产生的破坏强度。F2(A i ,S i ,L i ,P i )是根据由法律法规和标准化要求对该资产进行规范,再经过采取安全措施后对该资产的保护能力。
资产可接受风险值为:
RR i =F3(A i ,S i ,L i ,P i ),
i ∈N RR i 表示根据资产的重要程度,法律法规和标准化要求对该资产能够容忍的风险值。
如果R i <=RR i ,则表示该资产的残余风险是安全的,否则,应继续评估加强安全措施,降低风险值。
云系统总体残余风险为:
R=
1
1
1
1
法律法规要求
风险评估准备资产识别
标准化要求威胁识别
脆弱性识别
可接受风险值
风险计算
实施风险管理
保护等级