一、等保2.0對(duì)云計(jì)算發(fā)展提出“新要求”
與等保1.0的標(biāo)準(zhǔn)體系相比�����,等保2.0在適用性�、時(shí)效性、易用性����、可操作性上得到進(jìn)一步擴(kuò)充和完善,以適應(yīng)云計(jì)算���、物聯(lián)網(wǎng)�、工業(yè)控制系統(tǒng)等新技術(shù)的發(fā)展�。如下表給出了等保2.0發(fā)生的重要變化。針對(duì)等保2.0標(biāo)準(zhǔn)提出的新要求���,要在分析研究云計(jì)算面臨的威脅的基礎(chǔ)上���,對(duì)云計(jì)算平臺(tái)的安全風(fēng)險(xiǎn)加以有效評(píng)估,確保云計(jì)算平臺(tái)安全��。
表等保1.0與等保2.0的區(qū)別對(duì)比表
二、云計(jì)算面臨的“主要威脅”
IaaS��、PaaS�����、SaaS是云計(jì)算的三種服務(wù)模式���。
1���、 IaaS面臨的主要威脅
采用IaaS服務(wù)時(shí),客戶可以用鏡像模板來創(chuàng)建虛擬機(jī)實(shí)例���,并在虛擬機(jī)上部署自己的應(yīng)用軟件�?���?蛻舨恍枰?fù)責(zé)底層的硬件資源和虛擬化軟件。因此除了硬件層和虛擬化軟件層的安全措施由云服務(wù)商負(fù)責(zé)實(shí)施外�����,位于其他層的安全措施由客戶負(fù)責(zé)實(shí)施����,需要對(duì)這些安全措施實(shí)施有效監(jiān)管,其中包括鏡像篡改��、虛擬機(jī)隔離�、資源遷移、虛擬機(jī)逃逸以及主機(jī)越權(quán)等�����。
2��、PaaS面臨的主要威脅
利用PaaS來開發(fā)和部署自己的軟件�����,需要對(duì)應(yīng)用的運(yùn)行環(huán)境進(jìn)行配置��,控制自己部署的應(yīng)用�����?�?蛻粜枰獙?duì)自己部署、自己使用的系統(tǒng)和應(yīng)用負(fù)責(zé)�����,制定相應(yīng)的安全策略��,實(shí)施必要的安全措施����。
3、 SaaS面臨的主要威脅
SaaS是采用先進(jìn)技術(shù)上云的最好途徑�,它消除了企業(yè)購(gòu)買、構(gòu)建和維護(hù)基礎(chǔ)設(shè)施和應(yīng)用程序的需要����。但隨著SaaS的日益普遍,關(guān)于SaaS的安全問題也隨之而來���,主要包括存儲(chǔ)數(shù)據(jù)泄露�、傳輸數(shù)據(jù)泄露和鑒別信息泄露等安全問題����。
三、云計(jì)算平臺(tái)的“風(fēng)險(xiǎn)評(píng)估”
為了確?����?蛻魧?shí)施的安全措施安全有效�����,客戶可自行或委托第三方評(píng)估機(jī)構(gòu)對(duì)自己實(shí)施的安全策略進(jìn)行評(píng)估��。
1�、云安全標(biāo)準(zhǔn)體系
目前,國(guó)內(nèi)外多個(gè)標(biāo)準(zhǔn)化組織和機(jī)構(gòu)都在開展云計(jì)算安全標(biāo)準(zhǔn)化工作�����,除此之外�����,各國(guó)也開展了云安全管理和合規(guī)方面的工作��。下圖給出了國(guó)內(nèi)外在云安全標(biāo)準(zhǔn)方面的成果���。
云計(jì)算標(biāo)準(zhǔn)發(fā)布
2 ����、云平臺(tái)風(fēng)險(xiǎn)評(píng)估
1) 評(píng)估框架
云計(jì)算平臺(tái)安全風(fēng)險(xiǎn)評(píng)估關(guān)注云計(jì)算平臺(tái)業(yè)務(wù)層面的風(fēng)險(xiǎn),其評(píng)估對(duì)象為云服務(wù)業(yè)務(wù)流程涉及的組件及設(shè)備����,評(píng)估范圍覆蓋了云服務(wù)業(yè)務(wù)在信息系統(tǒng)層面的數(shù)據(jù)流、數(shù)據(jù)處理活動(dòng)及其關(guān)聯(lián)關(guān)系�。云平臺(tái)風(fēng)險(xiǎn)評(píng)估的框架如下圖所示。
云平臺(tái)風(fēng)險(xiǎn)評(píng)估模型
評(píng)估過程覆蓋了基礎(chǔ)設(shè)施���、虛擬化控制����、管理平臺(tái)和安全防護(hù)等多種類型的對(duì)象�����,針對(duì)多種指標(biāo)進(jìn)行綜合風(fēng)險(xiǎn)分析�,并且在監(jiān)管、業(yè)務(wù)和客戶的要求下做出相應(yīng)的調(diào)整���。
2)云安全評(píng)估方法的特殊性
在對(duì)云平臺(tái)開展風(fēng)險(xiǎn)評(píng)估工作時(shí)����,需要結(jié)合多種評(píng)估方法����,比如配置檢查��、漏洞掃描�����,但云平臺(tái)引入了更多的有價(jià)值的資源,且與租戶存在服務(wù)水平約定�����,所以一些評(píng)估方法要結(jié)合云計(jì)算的特征做出調(diào)整����,主要包括問卷調(diào)查、現(xiàn)場(chǎng)訪談�、安全滲透測(cè)試、安全漏洞掃描以及安全配置檢查等五種常見評(píng)估方法��。
云計(jì)算已有控制措施識(shí)別框架
四�、結(jié)束語
本文在對(duì)云計(jì)算發(fā)展趨勢(shì)及等保2.0的新要求進(jìn)行分析的基礎(chǔ)上,結(jié)合三種云計(jì)算服務(wù)模式的特點(diǎn)和傳統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估方法����,對(duì)如何在云計(jì)算模式下進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估進(jìn)行了闡述�����,論述了云平臺(tái)安全風(fēng)險(xiǎn)評(píng)估中對(duì)資產(chǎn)����、威脅和脆弱性進(jìn)行評(píng)估時(shí)�,要考慮到的一些指標(biāo)。相信隨著云計(jì)算的深入發(fā)展����,國(guó)內(nèi)云計(jì)算安全標(biāo)準(zhǔn)化工作的推進(jìn),各種安全實(shí)踐會(huì)不斷成熟����,將進(jìn)一步豐富云計(jì)算平臺(tái)及云服務(wù)風(fēng)險(xiǎn)評(píng)估理論。
