云安全深度剖析:技术原理及应用实践 第6章 云服务风险评估
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
6.3面向云服务的测试方法
可靠性评测 可靠性可以用来衡量云服务在一段时间内维持指定
水平功能的能力 可靠性可以评估云计算系统在预算和时间的约束下
从云端通过两条路径给用户端发送单位数据的能力
6.4 云服务风险评测示例
云服务风险评估,至少需要:
风险识别 量化处理 风险评估
6.4 云服务风险评测示例
的影响程度)
6.1概述
信息资产风险评估
6.1概述
信息资产风险评估
6.1概述
信息资产风险评估
6.1概述
信息资产风险评估
Leabharlann Baidu
6.2云服务风险与措施
云服务面临的风险 用户验证和授权风险 数据机密性风险 数据完整性风险 可用性风险 不可抵赖性风险 资源共享可能引发的风险
6.2云服务风险与措施
IaaS风险 传统的安全风险 特有的安全风险
6.3面向云服务的测试方法
性能评测
云的性能评测主要是针对特定云平台、云存 储服务性能和云应用等进行
云计算性能测试的主要目标是验证在各种负 载情况下云服务的性能
6.3面向云服务的测试方法
安全评测
云平台自身安全 虚机环境间安全区隔 云上的数据保护 云资源访问控制
6.1概述
信息资产分级及风险评估
从定性角度讲: 机密性(C):此信息资产所包含信息为组织或法律所规范
的机密信息。 完整性(I):资产具有完整性要求,且完整性被破坏会对
组织造成伤害,甚至会造成业务终止。 可用性(A):容许该信息资产失效的时间长短。
6.1概述
信息资产分级及风险评估
内容 6.1概述 6.2云服务风险与措施 6.3面向云服务的测试方法 6.4云服务风险评测示例 6.5SAAS云服务评估
6.1概述
风险的含义
强调风险表现为不确定性; 强调风险表现为损失的不确定性
6.1概述
风险的特征 客观性 不确定性 可变性 可预测性 相对性 无形性
对信息资产价值的机密性按照如下标准进行定量评估。 信息资产无特殊的机密性要求,设定其值为0。 信息资产仅供组织内部人员或被授权的单位及人员使用,
设定其值为1。 信息资产仅供组织内部相关业务承办人员及其主管,或被
授权的单位及人员使用,设定其值为2。 信息资产所包含信息为组织或法律所规定的机密信息,设
图6-4 云服务风险评估流程
6.4 云服务风险评测示例
风险辨识
ENISA提出的云端服务风险评估报告CCSRA: 整理出35项风险(包含政策与组织风险、技术风险 、法律风险、非针对云端的风险)、53项弱点、23 项可能受影响资产
6.4 云服务风险评测示例
九项高等级风险
R1.锁定(Lock-in) R2.失去治理(Loss of Governance) R3.合规风险(Compliance Risks) R9.隔离失效(Isolation Failure)
,会对组织造成严重伤害,设定其值为3
6.1概述
信息资产分级及风险评估
结论: 当对信息资产的机密性、完整性及可用性进行评估后,可以取 三者中的最大值,作为信息资产的价值,即信息资产价值 = MAX(C,I,A)。
6.1概述
信息资产风险评估
威胁、弱点与风险之间的关系: 风险=F(资产价值,威胁等级,弱点等级) 信息资产的风险估计值的计算方法: 风险估计值=(信息资产价值×威胁等级×弱点等级) 信息资产的风险估计值的计算方法: 风险估计值=(信息资产价值×威胁等级×弱点等级×事件
定其值为3。
6.1概述
信息资产分级及风险评估
对信息资产价值的可用性按照如下标准进行定量评估。 如果某信息资产可容许失效4个工作日以上,设定其值为0。 如果某信息资产可容许失效4个工作日以下,8个工作小时以
上,设定其值为1。 如果某信息资产可容许失效8个工作小时以下,4个工作小时
以上,设定其值为2。 如果某信息资产可容许失效4个工作小时以下,设定其值为3
6.2云服务风险与措施
云服务存在的7大潜在安全风险 优先访问风险 管理权限风险 数据处所风险 数据隔离风险 数据恢复风险 调查支持风险 长期发展风险
6.2云服务风险与措施
6.2云服务风险与措施
SaaS风险 数据安全风险 数据隔离 网络安全 管理风险 身份和访问管理安全 潜在风险
6.1概述
风险要素关系图
风险管理 风险识别 风险分析 风险评估 风险控制
6.1概述
6.1概述
6.1概述
风险分析方法 定性风险分析 定量风险分析 混合分析方法
6.1概述
信息安全风险评估方法 风险矩阵测量法
6.1概述
信息安全风险评估方法 威胁分级计算法
6.3面向云服务的测试方法
可用性评测
云计算服务提供商有责任与用户拟定好服务 级别协议SLA以保障服务质量
SLA的重要特性之一就是服务的可用性 99.999%的可用性和24*7经营理念
6.3面向云服务的测试方法
可维护性评测
目前对于云计算平台的可维护性评测研究比较 少,许多研究人员将可维护性评价与可靠性评 价联系综合到一起进行研究
6.1概述
信息资产分级及风险评估
对信息资产价值的完整性按照如下标准进行定量评估。 如果某信息资产本身对完整性要求非常低,设定其值为0。 如果某信息资产本身具有完整性要求,但当完整性遭受破坏
时,不会对组织造成伤害,设定其值为1。 如果某信息资产本身具有完整性要求,当完整性遭受破坏时
,会对组织造成伤害,但不太严重,设定其值为2。 如果某信息资产本身具有完整性要求,当完整性遭受破坏时
6.1概述
术语与定义 资产(Asset) 威胁(Threat) 脆弱性(Vulnerability) 风险(Risk) 可能性(Likelihood)
6.1概述
术语与定义 影响(Impact) 安全措施(Safeguard) 残留风险(Residual Risk) 资产价值(Asset Value) 安全需求(Security Requirement) 安全事件(Security Event)