云计算环境下的信息安全风险评估

韩欣 中电长城网际系统应用有限公司

引言

云计算成为信息技术及其应用的必然趋势，对社会生产及发展带来了重大的变革，但带来的信息安全风险问题不容忽视，因此对云计算环境下的信息安全风险评估尤为重要。

一、云计算下的安全问题

根据CSA《云计算关键领域安全指南》及Gartner 发布的《云计算安全风险评估》，结合实际项目的情况，总结出云计算环境中主要面临的一些安全问题，见表1。

表1 云计算环境中的安全问题

二、信息安全风险评估的必要性

信息安全风险评估是信息安全建设的起点和基础，是加强信息安全保障体系建设和管理的关键环节，是传统的风险理论和方法在信息系统中的运用，通过科学分析来理解信息与信息系统在保密性、完整性、可用性等方面所面临的风险，并在风险的减少、转移和规避等风险控制方法之间做出决策的过程。

三、云计算环境下的信息安全风险评估

进行云计算环境风险评估需要对包括对云环境里的资产、威胁及脆弱性进行赋值并考虑云计算环境网络的安全风险值及现有的一些控制措施来进行风险计算。根据云计算环境可能遇到的威胁及自身的特性，参考ISO13335 中的核心安全风险模型信息安全评估风险函数为：

R 表示云计算环境下的风险值，V 表示云计算环境下的脆弱性，T表示云计算环境下的威胁，Tp表示云计算环境下威胁发生的可能性，I 表示云计算环境下威胁发生的后果。

若0 ＜R≤0.1，则表示目前云计算环境处于低风险状态；若0.1＜R≤0.5，则表示目前云计算环境处于中风险状态；若0.5 ＜R＜1，则表示目前云计算环境处于高风险状态。

如云计算环境中明显存在重大安全风险，则R=1。表示该情况下风险值为1，处于风险等级最高状态，需要立即制定策略来规避风险。

Tp表示云计算环境下威胁发生的可能性，V 表示云计算环境下的脆弱性，T 表示云计算环境下的威胁，Ci表示云计算环境下采取的控制措施。Tp与所采取得控制措施有关系，适当的采取一定的控制措施可以降低Tp的值。

I 表示云计算环境下威胁发生的后果，V 表示云计算环境下的脆弱性，T 表示云计算环境下的威胁，Cx表示云计算环境下机密性受到破坏的程度及所造成的后果，Ix表示云计算环境下完整性受到破坏的程度及所造成的后果，Ax表示云计算环境下可用性受到破坏的程度及所造成的后果，Rx表示云计算环境下可信性受到破坏的程度及所造成的后果，Px表示云计算环境下可审性受到破坏的程度及所造成的后果。

四、结束语

文中总结了云计算环境下会遇到的安全威胁，明确云计算环境安全风险评估的重要性，根据云计算环境的安全特性，参考传统的安全风险评估模型，设计出云计算信息安全评估风险函数。