首页 理论教育云安全风险评估流程-云安全深度剖析

云安全风险评估流程-云安全深度剖析

2023-11-18 理论教育 版权反馈
【摘要】:信息系统安全风险评估的主要内容就是在充分识别风险要素的基础上。界定评估范围 风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构,也可能是某个独立的系统、关键业务流程的系统或部门。

按照《信息技术安全评估准则》,信息系统安全风险与信息资产、威胁、脆弱性以及安全措施等相关因素有关。

信息系统安全风险评估的主要内容就是在充分识别风险要素的基础上。综合考虑各要素间的内在关联性,重现实际存在或潜在的威胁场景,分析和确定其可能造成的影响,以及造成后果的可能性,从而确定风险,为风险控制提供合理的依据。

风险评估的实施流程包括评估准备、风险因素识别、风险分析以及风险控制等步骤[6]

1.评估准备

为了确保评估过程的可控性以及评估结果的客观性,在风险评估实施前,一般应做到以下几点:

(1)确定评估目标 应明确风险评估对象的机密性、完整性和可用性等目标,为风险评估的过程提供导向。

(2)界定评估范围 风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构,也可能是某个独立的系统、关键业务流程的系统或部门。

(3)组建评估团队 组建风险评估管理与实施团队,支持整个评估工作的推进,如成立由管理层、相关业务骨干和技术人员等组成的风险评估小组。

(4)选择评估方法和工具 应依据评估范围、目的、时间和人员素质等因素,选取能够与具体组织环境和安全要求相适应的评估方法和工具。

(5)争取领导支持 所有内容确定后应得到组织最高管理者的支持和批准,对管理层和技术人员进行传达,并对风险评估内容进行培训,以明确相关人员在风险评估中的具体任务。

2.资产识别

此阶段的主要工作是识别信息安全风险要素的风险,以及已有的安全措施的效果。机密性、完整性和可用性是评价资产的三个安全属性。安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性以及已采取的安全措施都将对资产安全属性的达成程度产生影响。

资产识别工作主要包括:①资产分类,风险评估中,资产大多属于不同的信息系统,其支持业务持续运行的系统数量可能更多,这时需要将信息系统及相关的资产进行恰当的分类,为下一步的风险评估做准备;②资产赋值,对资产的赋值不仅要考虑资产本身的价值,还要考虑资产的安全状况对于组织的重要性。为确保资产赋值时的一致性和准确性,应建立统一的资产价值评价尺度,以指导资产赋值。资产赋值的过程也是对资产在机密性、完整性和可用性上的达成程度进行分析。(www.chuimin.cn)

3.威胁识别

造成威胁的因素可分为人为因素和环境因素。根据威胁的动机,人为因素又可分为恶意和无意两种。威胁作用形式可以是对信息系统直接或间接的攻击,如非授权的泄露、篡改和删除等,在机密性、完整性或可用性等方面造成损害。

威胁识别工作主要包括:①威胁分类,分类的依据很多,如依据威胁来源进行分类;②威胁赋值,判断威胁出现的频率是威胁识别的重要工作,评估者应根据经验和有关的统计数据来进行判断,如按照威胁频率等级将威胁划分为三级,分别代表威胁出现的频率高低。等级数值越大,威胁出现的频率越高。

4.脆弱性识别

脆弱性识别将针对每一项需要保护的资产,找出可能被威胁利用的弱点,并对脆弱性的严重程度进行评估。脆弱性识别时的数据应来自于资产的所有者,以及相关业务领域的专家等。资产的脆弱性具有隐蔽性,有些弱点只有在一定条件和环境下才能显现,这是脆弱性识别中最为困难的部分。

脆弱性识别所采用的方法主要有问卷调查、工具检测、人工核查、文档查阅和渗透性测试等。

主要任务有:①脆弱性识别,对每个资产分别识别其存在的脆弱性;②脆弱性赋值,根据资产损害程度、技术实现的难易程度和脆弱性程度,采用等级方式对已识别的脆弱性的严重程度进行赋值。

5.风险分析

风险分析涉及资产、威胁和脆弱性等基本要素。每个要素有各自的属性,资产的属性是资产价值,威胁的属性是威胁出现的频率,脆弱性的属性是资产弱点的严重程度。

风险分析的主要内容为:①对资产进行识别,并对资产的重要性进行赋值;②对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;③对资产的脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值;④根据威胁和脆弱性的识别结果判断安全事件发生的可能性;⑤根据脆弱性的严重程度及安全事件所作用资产的重要性计算安全事件的损失;⑥根据安全事件发生的可能性以及可能造成的损失,计算安全事件发生时对组织的影响,即风险值。

6.风险控制

信息系统的安全风险具有危害严重和不可转移等特性。因此,信息系统安全风险的处理方式包括以下三种[7]:①降低风险,对于不能接受的风险,采取适当的控制措施,如系统安全加固和漏洞修补等,减少风险发生的可能性,降低风险发生的影响;②避免风险,对于可以通过技术措施或管理措施避免的风险,应当采取措施予以避免;③接受风险,对于已采取措施避免的风险,出于某方面的原因,若其残余风险在组织可接受的范围内,可以考虑接受风险。

有关云安全深度剖析:技术原理及应用实践的文章

  • 云服务风险概述:云安全深度剖析 云服务风险概述:云安全深度剖析

    从用户角度来看,云计算意味着数据、计算及应用均通过网络被转移到用户掌控范围之外的云服务提供商手中,因此,用户隐私信息和云服务风险等问题随之而来。从技术层面来看,传统信息安全存在的问题在云端上同样存在,而且还因为云计算的商业模式及虚拟化等技术的引入,使得云服务面临新的服务风险问题。用户必须明确使用云计算所引入的各种风险。......

    2023-11-18

    详细阅读
  • 云计算特点:安全深度剖析 云计算特点:安全深度剖析

    资源通常包括存储、CPU、内存、网络带宽以及虚拟机等。云系统之所以能够自动控制优化某种服务的资源使用,是因为云系统利用了经过某种程度抽象的测量能力,如存储、CPU、带宽或者活动用户账号等。从云计算的概念中还可以得出云计算的特性是大规模、多用户、虚拟化、高可靠性及成本低廉等。所以无论是从云计算本身的规模,还是其处理数据的规模,云计算的一大主要特性就是大规模。云计算平台使用虚拟化技术满足不同的用户需求。......

    2023-11-18

    详细阅读
  • 云计算发展历程-云安全深度剖析 云计算发展历程-云安全深度剖析

    了解云计算的发展历程,可以洞悉云计算的发展规律,从中可以更好地洞察云计算技术的发展趋势。下面是对云计算发展历程的简要回顾[12]。2008年2月1日,IBM公司决定将在中国无锡建立世界上首个云计算中心。2008年5月10日,此云计算中心投入运营。2008年7月29日,Yahoo、Intel和HP公司宣布一项橫跨新加坡、德国和美国的联合研究计划,以此来推动云计算的发展。2009年1月,阿里软件在江苏南京建立首个“电子商务云计算中心”。......

    2023-11-18

    详细阅读
  • 云计算实体:云安全深度剖析及实践 云计算实体:云安全深度剖析及实践

    由图1-16可知,NIST的云计算参考架构定义了云计算中的5个主要参与者:云消费者、云提供者、云审计者、云代理和云载体。每个参与者都是参与云计算中事务或流程以及执行任务的一个实体。云代理 云代理是一个能够协调云提供者和云消费者两者关系的实体。......

    2023-11-18

    详细阅读
  • 云安全技术风险剖析-云安全深度剖析 云安全技术风险剖析-云安全深度剖析

    技术上的风险主要是指云服务的构建和功能缺陷所带来的风险。......

    2023-11-18

    详细阅读
  • 云基础设施架构分析-云安全深度剖析 云基础设施架构分析-云安全深度剖析

    图3-1 云基础设施栈结构图1.云数据中心网络结构对于数据中心而言,传统的数据中心架构和服务方式已经逐渐落后于时代需求,用户对安全、高效及节能等方面的要求也越来越迫切。......

    2023-11-18

    详细阅读
  • 云存储缓存系统设计-安全云技术剖析 云存储缓存系统设计-安全云技术剖析

    同时为了提高访问第三方云存储空间的效率,本系统将常用的文件在本地预留一份作为缓存。进行文件下载时,会先由缓存系统检查文件是否存在本地的服务器,若不存在,将会从DropBox上下载文件至本地服务器。所有的缓存文件都会记录于数据库内的缓存数据表中,缓存数据表内设置两个字段,Fileid与Counter。......

    2023-11-18

    详细阅读
  • 云安全深度剖析:虚拟化与云计算应用实践 云安全深度剖析:虚拟化与云计算应用实践

    正是因为虚拟化技术的种种优势,虚拟化技术已经逐步成为云计算服务的主要支撑技术。可以说,虚拟化和云计算正在共同重塑数据中心格局,云数据中心通过服务器虚拟化和应用虚拟化等形式,不但能有效提高各种资源的利用率,同时也赋予了业务管理更大的灵活性。随着需求的增长与云计算技术的出现,虚拟化和云计算聚焦于统一存储。......

    2023-11-18

    详细阅读