一、等保2.0對(duì)云計(jì)算發(fā)展提出“新要求”
與等保1.0的標(biāo)準(zhǔn)體系相比���,等保2.0在適用性���、時(shí)效性、易用性���、可操作性上得到進(jìn)一步擴(kuò)充和完善���,以適應(yīng)云計(jì)算、物聯(lián)網(wǎng)���、工業(yè)控制系統(tǒng)等新技術(shù)的發(fā)展���。如下表給出了等保2.0發(fā)生的重要變化���。針對(duì)等保2.0標(biāo)準(zhǔn)提出的新要求,要在分析研究云計(jì)算面臨的威脅的基礎(chǔ)上���,對(duì)云計(jì)算平臺(tái)的安全風(fēng)險(xiǎn)加以有效評(píng)估���,確保云計(jì)算平臺(tái)安全。
表等保1.0與等保2.0的區(qū)別對(duì)比表
二���、云計(jì)算面臨的“主要威脅”
IaaS���、PaaS���、SaaS是云計(jì)算的三種服務(wù)模式���。
1、 IaaS面臨的主要威脅
采用IaaS服務(wù)時(shí)���,客戶(hù)可以用鏡像模板來(lái)創(chuàng)建虛擬機(jī)實(shí)例���,并在虛擬機(jī)上部署自己的應(yīng)用軟件���。客戶(hù)不需要負(fù)責(zé)底層的硬件資源和虛擬化軟件���。因此除了硬件層和虛擬化軟件層的安全措施由云服務(wù)商負(fù)責(zé)實(shí)施外���,位于其他層的安全措施由客戶(hù)負(fù)責(zé)實(shí)施,需要對(duì)這些安全措施實(shí)施有效監(jiān)管���,其中包括鏡像篡改���、虛擬機(jī)隔離、資源遷移���、虛擬機(jī)逃逸以及主機(jī)越權(quán)等���。
2、PaaS面臨的主要威脅
利用PaaS來(lái)開(kāi)發(fā)和部署自己的軟件���,需要對(duì)應(yīng)用的運(yùn)行環(huán)境進(jìn)行配置���,控制自己部署的應(yīng)用���。客戶(hù)需要對(duì)自己部署���、自己使用的系統(tǒng)和應(yīng)用負(fù)責(zé)���,制定相應(yīng)的安全策略,實(shí)施必要的安全措施���。
3���、 SaaS面臨的主要威脅
SaaS是采用先進(jìn)技術(shù)上云的最好途徑,它消除了企業(yè)購(gòu)買(mǎi)���、構(gòu)建和維護(hù)基礎(chǔ)設(shè)施和應(yīng)用程序的需要。但隨著SaaS的日益普遍���,關(guān)于SaaS的安全問(wèn)題也隨之而來(lái)���,主要包括存儲(chǔ)數(shù)據(jù)泄露���、傳輸數(shù)據(jù)泄露和鑒別信息泄露等安全問(wèn)題。
三���、云計(jì)算平臺(tái)的“風(fēng)險(xiǎn)評(píng)估”
為了確?��?蛻?hù)實(shí)施的安全措施安全有效,客戶(hù)可自行或委托第三方評(píng)估機(jī)構(gòu)對(duì)自己實(shí)施的安全策略進(jìn)行評(píng)估���。
1���、云安全標(biāo)準(zhǔn)體系
目前,國(guó)內(nèi)外多個(gè)標(biāo)準(zhǔn)化組織和機(jī)構(gòu)都在開(kāi)展云計(jì)算安全標(biāo)準(zhǔn)化工作���,除此之外���,各國(guó)也開(kāi)展了云安全管理和合規(guī)方面的工作。下圖給出了國(guó)內(nèi)外在云安全標(biāo)準(zhǔn)方面的成果���。
云計(jì)算標(biāo)準(zhǔn)發(fā)布
2 ���、云平臺(tái)風(fēng)險(xiǎn)評(píng)估
1) 評(píng)估框架
云計(jì)算平臺(tái)安全風(fēng)險(xiǎn)評(píng)估關(guān)注云計(jì)算平臺(tái)業(yè)務(wù)層面的風(fēng)險(xiǎn)���,其評(píng)估對(duì)象為云服務(wù)業(yè)務(wù)流程涉及的組件及設(shè)備,評(píng)估范圍覆蓋了云服務(wù)業(yè)務(wù)在信息系統(tǒng)層面的數(shù)據(jù)流���、數(shù)據(jù)處理活動(dòng)及其關(guān)聯(lián)關(guān)系���。云平臺(tái)風(fēng)險(xiǎn)評(píng)估的框架如下圖所示。
云平臺(tái)風(fēng)險(xiǎn)評(píng)估模型
評(píng)估過(guò)程覆蓋了基礎(chǔ)設(shè)施���、虛擬化控制���、管理平臺(tái)和安全防護(hù)等多種類(lèi)型的對(duì)象,針對(duì)多種指標(biāo)進(jìn)行綜合風(fēng)險(xiǎn)分析���,并且在監(jiān)管���、業(yè)務(wù)和客戶(hù)的要求下做出相應(yīng)的調(diào)整。
2)云安全評(píng)估方法的特殊性
在對(duì)云平臺(tái)開(kāi)展風(fēng)險(xiǎn)評(píng)估工作時(shí)���,需要結(jié)合多種評(píng)估方法���,比如配置檢查、漏洞掃描���,但云平臺(tái)引入了更多的有價(jià)值的資源���,且與租戶(hù)存在服務(wù)水平約定,所以一些評(píng)估方法要結(jié)合云計(jì)算的特征做出調(diào)整���,主要包括問(wèn)卷調(diào)查���、現(xiàn)場(chǎng)訪(fǎng)談、安全滲透測(cè)試���、安全漏洞掃描以及安全配置檢查等五種常見(jiàn)評(píng)估方法���。
云計(jì)算已有控制措施識(shí)別框架
四、結(jié)束語(yǔ)
本文在對(duì)云計(jì)算發(fā)展趨勢(shì)及等保2.0的新要求進(jìn)行分析的基礎(chǔ)上���,結(jié)合三種云計(jì)算服務(wù)模式的特點(diǎn)和傳統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估方法���,對(duì)如何在云計(jì)算模式下進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估進(jìn)行了闡述���,論述了云平臺(tái)安全風(fēng)險(xiǎn)評(píng)估中對(duì)資產(chǎn)、威脅和脆弱性進(jìn)行評(píng)估時(shí)���,要考慮到的一些指標(biāo)���。相信隨著云計(jì)算的深入發(fā)展,國(guó)內(nèi)云計(jì)算安全標(biāo)準(zhǔn)化工作的推進(jìn)���,各種安全實(shí)踐會(huì)不斷成熟���,將進(jìn)一步豐富云計(jì)算平臺(tái)及云服務(wù)風(fēng)險(xiǎn)評(píng)估理論。
