云计算环境下信息安全风险评估流程探究

2020-11-14王雪莉陈刚

网络安全技术与应用 2020年11期

关键词：计算环境安全事件安全措施

◆王雪莉陈刚

数据安全与云计算

云计算环境下信息安全风险评估流程探究

◆王雪莉陈刚

（国防科技大学信息通信学院湖北 430010）

云计算以新的业务模式提供高性能和低成本的持续计算、存储空间以及各种软件服务，支撑各类信息化应用。云计算提出后，云计算安全已成为阻碍云计算发展的首要因素，因此，为了促进云计算的可持续发展，必须明确云计算面临哪些安全风险，并及时降低风险，确保云计算信息系统的安全可靠。本文结合云计算特点，重点探讨了云计算环境下信息安全风险评估流程。

云计算；信息安全；风险评估

近年来，云计算的优势使其发展前景非常可观，并逐渐在政府、电信、教育、医疗、金融、石油石化、电力、军队等领域得到了广泛应用，但由于不同领域的核心资产、应用场景、监管需求各不相同，不同的云计算运营模型面临着不同的安全风险，并制约了云计算的应用。信息安全风险评估是云计算安全体系的基础，通过安全风险评估，明晰云计算信息系统安全状况以及面临的安全风险，有效实施风险管理和控制，为构建云计算环境下安全体系提供支撑。

云计算信息系统安全风险评估包括评估指标体系、评估模型、评估方法、评估流程等诸多内容，其中评估流程是云计算信息系统安全风险评估的重要环节。与传统信息系统相比，云计算平台具有其特殊性，如服务模式的不同、资源的动态分配、云服务提供商部分服务外包或购买其他服务等，其安全风险评估流程也具有特殊性。

1 风险评估准备

1.1 确定风险评估的范围

风险评估的范围，包括分布式数据中心（如主机虚拟化、网络虚拟化和存储虚拟化）、云计算安全数据（如存储备份、数据保护、数据隔离）、基于云平台的应用等。确定评估范围时应考虑以下三个方面的问题：一是评估范围内的评估对象应具有一定的代表性；二是评估范围应包含那些曾发生过安全事故或存在严重安全隐患的系统要素；三是评估范围应该以确保评估工作完整准确为标准，注意克服主观随意性。

1.2 组建评估团队

评估团队成员包括评估过程中的管理者以及具体评估活动的实施者，采用扁平化组织结构，一般由安全工作主管领导、工作人员和相关领域专家组成。将评估团队划分为不同的实施小组，以便于人员管理，提高工作效率。

上述评估团队组织结构中的某些角色，并不全程参与评估工作。例如专家顾问，只有在评估工作出现难以解决的问题时，才为评估工作提供必要的技术支持。评估团队组织结构可根据评估对象复杂程度和工作量大小而进行增减或合并，具体组成人员数量和专业结构根据实际工作需要确定。评估团队有了合理的组织结构只是建立评估团队的一个重要方面，除了确定组织结构外，还要对成员的工作进行合理分工，使团队成员熟悉自己的职责，使每一项评估工作落实到人。

当然，也可以由用户发起风险评估活动，在这种情况下，则需要由用户牵头，云服务提供商配合完成承载用户数据或业务系统的云平台的安全风险评估活动。

1.3 准备相关评估工具

为保证风险评估的组织实施，需提前准备漏洞扫描、渗透性测试、数据及文档管理等评估工具，来收集和管理评估所需要的数据和资料，并根据需要的格式生成各种报表，提供辅助支持决策。此外，还需要代码扫描、反编译审计、模糊测试等辅助工具。

1.4 进行系统调研

系统调研内容主要包括组织管理、云计算网络拓扑结构和网络环境、软硬件信息、系统操作人员等。通常可采用问卷调查、现场访谈等方法进行，根据调研结果来确定评估方法和工具等。

2 风险识别

2.1 资产识别

资产是云计算信息系统中具有重要价值的资源和安全风险评估的对象，也是被攻击的目标和系统脆弱点的载体，因此，云计算资产识别是风险识别的必要环节。

云计算资产识别的任务就是对确定的云计算评估对象所涉及或包含的资产进行详细的标识，由于它以多种形式存在，有无形资产和有形资产。资产识别过程中要特别注意对无形资产的识别。资产识别的方法主要有访谈、现场调查、问卷、文档查阅等。

云计算信息系统的资产价值不仅要考虑资产的经济价值，更重要的是要考虑资产的安全价值，即资产的机密性、完整性和可用性，对组织信息安全性的影响程度。资产赋值是对资产的机密性、完整性和可用性分别进行分析，并最终得出资产的价值。

2.2 威胁识别

云计算信息系统面临数据破坏和丢失、账户或业务流量被劫持、通过应用程序接口进行的攻击、拒绝服务攻击、网络监听、内部人员攻击、云服务滥用等各种威胁，这些威胁是造成云计算资产损失的主要原因。威胁识别是对资产面临的各种威胁进行标识并赋值，可以通过云计算信息系统日志、入侵检测系统等方法追溯威胁来源。入侵检测系统可以通过监控云计算系统状态以及网络状态，监测网络上流过的数据包，进行实时检测和分析，从而发现网络攻击或异常行为，并且执行告警、阻断等。

识别威胁后，需对威胁频率进行赋值。通常根据经验和相关统计数据对云计算信息系统面临的威胁频率进行赋值，在进行威胁赋值时需要综合考虑威胁曾经出现的次数、已被检测出的威胁及频率、最新发布的威胁预警等因素。

2.3 脆弱点识别

云计算信息系统的脆弱点识别以需要保护的资产为对象，识别可能被威胁利用的脆弱点，并对脆弱点进行等级评估；也可从物理层、网络层、系统层、应用层进行识别。云计算信息系统所采用的协议、应用流程的完备与否、与其他网络的互联等也应考虑在内。

脆弱点识别可采用问卷调查、文档查阅、人工检查、漏洞扫描、模拟渗透测试等方法，前三种适于识别云计算环境下虚拟化后管理员的角色和管理方式、云服务用户系统的安全管理等脆弱点；后两者适于发现云计算物理环境、网络结构、系统软件、主机安全、应用安全、数据安全与备份恢复等脆弱点。

2.4 已有安全措施的确认

与传统安全措施相比，云计算环境下的安全措施有访问控制、审计和可追踪、配置管理、标识和鉴别、事件响应、介质保护、物理和环境保护、系统和服务获取、系统和通信保护、系统和完整性等。通常，云计算环境下的安全措施体现在两个方面，一方面是有关控制措施的存在性，另一方面是控制措施的有效性或健壮性。例如，云平台与外部用户之间建立了加密的信息传输通道，此时需要对该加密通道进行安全评估，确定该解密通道是否有效以及实施过程中是否经过妥善的设计，体现了安全评估的目的所在。

3 风险分析

风险分析是利用资产、威胁、脆弱点识别与评估结果以及已有安全措施的确认与分析结果，对云计算环境下资产面临的风险进行分析。由于安全风险总是以威胁利用脆弱点导致一系列安全事件的形式体现出来，风险的大小是由安全事件造成的影响以及其发生的可能性来决定。

3.1 风险计算

利用适当的方法与工具确定威胁利用资产脆弱点发生安全事件的可能性，并结合资产的安全属性受到破坏后的影响来得出资产的安全风险。

风险计算原理形式化描述为：R=f（A,V,T）=f（Ia,L（Va,T））

式中，R表示风险；A表示资产；V表示脆弱点；T表示威胁；Ia表示资产重要程度；Va表示某一资产本身的脆弱点；L表示安全事件发生的可能性。

（1）计算威胁利用资产脆弱点发生安全事件的可能性；

（2）计算安全事件发生后造成的损失；

（3）根据安全事件发生的可能性以及安全事件的损失大小，计算云计算信息系统的风险值。

目前常用的风险计算方法有矩阵法或相乘法。其中，风险矩阵测量方法的特点是事先建立资产价值、威胁等级和脆弱点等级的一个对应矩阵，预先将风险等级进行了确定，然后根据不同资产的赋值从矩阵中确定不同的风险。资产风险判别矩阵如表1所示。

表1 资产风险判别矩阵

对于每一资产的风险，都将考虑资产价值、威胁等级和脆弱点等级。例如，如果资产值为3，威胁等级为“高”，脆弱点为“低”。查表可知风险值为5。如果资产值为2，威胁为“低”，脆弱点为“高”，则风险值为4。由1可以推知，风险矩阵会随着资产值的增加、威胁等级的增加和脆弱点等级的增加而扩大。

使用本方法需要首先确定资产、威胁和脆弱点的赋值，要完成这些赋值，需要组织内部管理人员、技术人员、后勤人员等方面的配合。

3.2 风险等级确定

风险等级划分是对云计算环境下的不同风险值进行比较，以便明确云计算信息系统安全策略。通常要综合考虑风险控制成本与风险造成的影响，提出一个可接受的风险范围。通常可将风险划分为5级或3级，等级越高，风险越高。评估者也可以根据被评云计算信息系统的实际情况自定义风险的等级。表2可供参考。

表2 风险等级划分

评估者应根据所采用的风险计算方法，计算每种资产面临的风险值，根据风险值的分布状况，为每个等级设定风险值范围，并对所有风险计算结果进行等级处理。

3.3 风险处理

依据风险评估的结果选取适当的安全措施，将风险降低到可接受的程度。安全措施可以降低安全事件造成的影响，也可以降低安全事件发生的可能性，在对组织面临的安全风险有全面认识后，应根据风险的性质选取合适的安全措施，并对可能的残余风险进行分析，直到残余风险为可接受风险为止。例如，修补漏洞、汇总数据、备份数据、撰写评估报告。

风险处理主要包括降低风险、接受风险、回避风险和转移风险等方式。各种风险处理方式的选择应该兼顾管理与技术，具体针对各类风险应根据云计算信息系统应用的实际情况考虑。例如，当云计算信息系统自身安全保障技术能力较弱时，可将安全技术保障（即信息载体部分）外包给满足安全保障要求的第三方机构，从而避免技术风险，或转嫁给第三方（如云服务供应商）。