云安全深度剖析:技術(shù)原理及應(yīng)用實(shí)踐-第6章-云服務(wù)風(fēng)險(xiǎn)評估課件_第1頁
云安全深度剖析:技術(shù)原理及應(yīng)用實(shí)踐-第6章-云服務(wù)風(fēng)險(xiǎn)評估課件_第2頁
云安全深度剖析:技術(shù)原理及應(yīng)用實(shí)踐-第6章-云服務(wù)風(fēng)險(xiǎn)評估課件_第3頁
云安全深度剖析:技術(shù)原理及應(yīng)用實(shí)踐-第6章-云服務(wù)風(fēng)險(xiǎn)評估課件_第4頁
云安全深度剖析:技術(shù)原理及應(yīng)用實(shí)踐-第6章-云服務(wù)風(fēng)險(xiǎn)評估課件_第5頁
已閱讀5頁,還剩46頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、 第6章 云服務(wù)風(fēng)險(xiǎn)評估內(nèi) 容6.1概述6.2云服務(wù)風(fēng)險(xiǎn)與措施6.3面向云服務(wù)的測試方法6.4云服務(wù)風(fēng)險(xiǎn)評測示例6.5SAAS云服務(wù)評估6.1概述風(fēng)險(xiǎn)的含義強(qiáng)調(diào)風(fēng)險(xiǎn)表現(xiàn)為不確定性;強(qiáng)調(diào)風(fēng)險(xiǎn)表現(xiàn)為損失的不確定性6.1概述風(fēng)險(xiǎn)的特征客觀性不確定性可變性可預(yù)測性相對性無形性6.1概述術(shù)語與定義資產(chǎn)(Asset)威脅(Threat)脆弱性(Vulnerability)風(fēng)險(xiǎn)(Risk)可能性(Likelihood)6.1概述術(shù)語與定義影響(Impact)安全措施(Safeguard)殘留風(fēng)險(xiǎn)(Residual Risk)資產(chǎn)價(jià)值(Asset Value)安全需求(Security Requirement

2、)安全事件(Security Event)6.1概述風(fēng)險(xiǎn)要素關(guān)系圖6.1概述風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)控制6.1概述6.1概述風(fēng)險(xiǎn)分析方法定性風(fēng)險(xiǎn)分析定量風(fēng)險(xiǎn)分析混合分析方法6.1概述信息安全風(fēng)險(xiǎn)評估方法風(fēng)險(xiǎn)矩陣測量法6.1概述信息安全風(fēng)險(xiǎn)評估方法威脅分級(jí)計(jì)算法6.1概述信息資產(chǎn)分級(jí)及風(fēng)險(xiǎn)評估從定性角度講:機(jī)密性(C):此信息資產(chǎn)所包含信息為組織或法律所規(guī)范的機(jī)密信息。完整性(I):資產(chǎn)具有完整性要求,且完整性被破壞會(huì)對組織造成傷害,甚至?xí)斐蓸I(yè)務(wù)終止??捎眯?A):容許該信息資產(chǎn)失效的時(shí)間長短。6.1概述信息資產(chǎn)分級(jí)及風(fēng)險(xiǎn)評估對信息資產(chǎn)價(jià)值的機(jī)密性按照如下標(biāo)準(zhǔn)進(jìn)行定量評估。信息資產(chǎn)

3、無特殊的機(jī)密性要求,設(shè)定其值為0。信息資產(chǎn)僅供組織內(nèi)部人員或被授權(quán)的單位及人員使用,設(shè)定其值為1。信息資產(chǎn)僅供組織內(nèi)部相關(guān)業(yè)務(wù)承辦人員及其主管,或被授權(quán)的單位及人員使用,設(shè)定其值為2。信息資產(chǎn)所包含信息為組織或法律所規(guī)定的機(jī)密信息,設(shè)定其值為3。6.1概述信息資產(chǎn)分級(jí)及風(fēng)險(xiǎn)評估對信息資產(chǎn)價(jià)值的可用性按照如下標(biāo)準(zhǔn)進(jìn)行定量評估。如果某信息資產(chǎn)可容許失效4個(gè)工作日以上,設(shè)定其值為0。如果某信息資產(chǎn)可容許失效4個(gè)工作日以下,8個(gè)工作小時(shí)以上,設(shè)定其值為1。如果某信息資產(chǎn)可容許失效8個(gè)工作小時(shí)以下,4個(gè)工作小時(shí)以上,設(shè)定其值為2。如果某信息資產(chǎn)可容許失效4個(gè)工作小時(shí)以下,設(shè)定其值為36.1概述信息資產(chǎn)分

4、級(jí)及風(fēng)險(xiǎn)評估對信息資產(chǎn)價(jià)值的完整性按照如下標(biāo)準(zhǔn)進(jìn)行定量評估。如果某信息資產(chǎn)本身對完整性要求非常低,設(shè)定其值為0。如果某信息資產(chǎn)本身具有完整性要求,但當(dāng)完整性遭受破壞時(shí),不會(huì)對組織造成傷害,設(shè)定其值為1。如果某信息資產(chǎn)本身具有完整性要求,當(dāng)完整性遭受破壞時(shí),會(huì)對組織造成傷害,但不太嚴(yán)重,設(shè)定其值為2。如果某信息資產(chǎn)本身具有完整性要求,當(dāng)完整性遭受破壞時(shí),會(huì)對組織造成嚴(yán)重傷害,設(shè)定其值為36.1概述信息資產(chǎn)分級(jí)及風(fēng)險(xiǎn)評估結(jié)論:當(dāng)對信息資產(chǎn)的機(jī)密性、完整性及可用性進(jìn)行評估后,可以取三者中的最大值,作為信息資產(chǎn)的價(jià)值,即信息資產(chǎn)價(jià)值 = MAX(C,I,A)。6.1概述信息資產(chǎn)風(fēng)險(xiǎn)評估威脅、弱點(diǎn)與風(fēng)險(xiǎn)

5、之間的關(guān)系:風(fēng)險(xiǎn)=F(資產(chǎn)價(jià)值,威脅等級(jí),弱點(diǎn)等級(jí))信息資產(chǎn)的風(fēng)險(xiǎn)估計(jì)值的計(jì)算方法:風(fēng)險(xiǎn)估計(jì)值=(信息資產(chǎn)價(jià)值威脅等級(jí)弱點(diǎn)等級(jí))信息資產(chǎn)的風(fēng)險(xiǎn)估計(jì)值的計(jì)算方法:風(fēng)險(xiǎn)估計(jì)值=(信息資產(chǎn)價(jià)值威脅等級(jí)弱點(diǎn)等級(jí)事件的影響程度)6.1概述信息資產(chǎn)風(fēng)險(xiǎn)評估6.1概述信息資產(chǎn)風(fēng)險(xiǎn)評估6.1概述信息資產(chǎn)風(fēng)險(xiǎn)評估6.1概述信息資產(chǎn)風(fēng)險(xiǎn)評估6.2云服務(wù)風(fēng)險(xiǎn)與措施云服務(wù)面臨的風(fēng)險(xiǎn)用戶驗(yàn)證和授權(quán)風(fēng)險(xiǎn)數(shù)據(jù)機(jī)密性風(fēng)險(xiǎn)數(shù)據(jù)完整性風(fēng)險(xiǎn)可用性風(fēng)險(xiǎn)不可抵賴性風(fēng)險(xiǎn)資源共享可能引發(fā)的風(fēng)險(xiǎn)6.2云服務(wù)風(fēng)險(xiǎn)與措施云服務(wù)存在的7大潛在安全風(fēng)險(xiǎn)優(yōu)先訪問風(fēng)險(xiǎn)管理權(quán)限風(fēng)險(xiǎn)數(shù)據(jù)處所風(fēng)險(xiǎn)數(shù)據(jù)隔離風(fēng)險(xiǎn)數(shù)據(jù)恢復(fù)風(fēng)險(xiǎn)調(diào)查支持風(fēng)險(xiǎn)長期發(fā)展風(fēng)險(xiǎn)6.2云服務(wù)風(fēng)

6、險(xiǎn)與措施6.2云服務(wù)風(fēng)險(xiǎn)與措施SaaS風(fēng)險(xiǎn)數(shù)據(jù)安全風(fēng)險(xiǎn)數(shù)據(jù)隔離網(wǎng)絡(luò)安全管理風(fēng)險(xiǎn)身份和訪問管理安全潛在風(fēng)險(xiǎn)6.2云服務(wù)風(fēng)險(xiǎn)與措施IaaS風(fēng)險(xiǎn)傳統(tǒng)的安全風(fēng)險(xiǎn)特有的安全風(fēng)險(xiǎn)6.3面向云服務(wù)的測試方法性能評測云的性能評測主要是針對特定云平臺(tái)、云存儲(chǔ)服務(wù)性能和云應(yīng)用等進(jìn)行云計(jì)算性能測試的主要目標(biāo)是驗(yàn)證在各種負(fù)載情況下云服務(wù)的性能6.3面向云服務(wù)的測試方法安全評測云平臺(tái)自身安全虛機(jī)環(huán)境間安全區(qū)隔云上的數(shù)據(jù)保護(hù)云資源訪問控制6.3面向云服務(wù)的測試方法可用性評測云計(jì)算服務(wù)提供商有責(zé)任與用戶擬定好服務(wù)級(jí)別協(xié)議SLA以保障服務(wù)質(zhì)量SLA的重要特性之一就是服務(wù)的可用性99.999%的可用性和24*7經(jīng)營理念6.3面

7、向云服務(wù)的測試方法可維護(hù)性評測目前對于云計(jì)算平臺(tái)的可維護(hù)性評測研究比較少,許多研究人員將可維護(hù)性評價(jià)與可靠性評價(jià)聯(lián)系綜合到一起進(jìn)行研究6.3面向云服務(wù)的測試方法可靠性評測可靠性可以用來衡量云服務(wù)在一段時(shí)間內(nèi)維持指定水平功能的能力可靠性可以評估云計(jì)算系統(tǒng)在預(yù)算和時(shí)間的約束下從云端通過兩條路徑給用戶端發(fā)送單位數(shù)據(jù)的能力6.4 云服務(wù)風(fēng)險(xiǎn)評測示例云服務(wù)風(fēng)險(xiǎn)評估,至少需要:風(fēng)險(xiǎn)識(shí)別量化處理風(fēng)險(xiǎn)評估6.4 云服務(wù)風(fēng)險(xiǎn)評測示例圖6-4 云服務(wù)風(fēng)險(xiǎn)評估流程6.4 云服務(wù)風(fēng)險(xiǎn)評測示例風(fēng)險(xiǎn)辨識(shí)ENISA提出的云端服務(wù)風(fēng)險(xiǎn)評估報(bào)告CCSRA:整理出35項(xiàng)風(fēng)險(xiǎn)(包含政策與組織風(fēng)險(xiǎn)、技術(shù)風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)、非針對云端的風(fēng)

8、險(xiǎn))、53項(xiàng)弱點(diǎn)、23項(xiàng)可能受影響資產(chǎn)6.4 云服務(wù)風(fēng)險(xiǎn)評測示例九項(xiàng)高等級(jí)風(fēng)險(xiǎn)R1.鎖定(Lock-in)R2.失去治理(Loss of Governance)R3.合規(guī)風(fēng)險(xiǎn)(Compliance Risks)R9.隔離失效(Isolation Failure)R10.惡意內(nèi)部人員(Malicious Insider)6.4 云服務(wù)風(fēng)險(xiǎn)評測示例九項(xiàng)高等級(jí)風(fēng)險(xiǎn)R21.做為證物或電子憑證R22. 管轄變更風(fēng)險(xiǎn)R23.數(shù)據(jù)保護(hù)風(fēng)險(xiǎn)R26.網(wǎng)絡(luò)管理風(fēng)險(xiǎn)6.4 云服務(wù)風(fēng)險(xiǎn)評測示例與9項(xiàng)高風(fēng)險(xiǎn)相關(guān)的29項(xiàng)弱點(diǎn)V1. 授權(quán)認(rèn)證和計(jì)費(fèi)漏洞V5.虛擬化漏洞V6.使用者間資源隔離缺乏漏洞V7.使用者間缺乏商譽(yù)的獨(dú)

9、立漏洞V10.不能在加密狀態(tài)下處理數(shù)據(jù)V13.缺乏技術(shù)標(biāo)準(zhǔn)與標(biāo)準(zhǔn)解決方案6.4 云服務(wù)風(fēng)險(xiǎn)評測示例與9項(xiàng)高風(fēng)險(xiǎn)相關(guān)的29項(xiàng)弱點(diǎn)V14.缺乏有源代碼托管協(xié)議V16.缺乏控制漏洞評估過程V17.可能在內(nèi)部/云網(wǎng)上發(fā)生的掃描V18.使用者可能會(huì)對鄰居的資源做偵測V21.合約沒有寫清楚責(zé)任歸屬6.4 云服務(wù)風(fēng)險(xiǎn)評測示例與9項(xiàng)高風(fēng)險(xiǎn)相關(guān)的29項(xiàng)弱點(diǎn)V22.跨云應(yīng)用隱含相依關(guān)系V23.服務(wù)水平協(xié)議可能會(huì)在不同利害關(guān)系人間產(chǎn)生互斥V25.對用戶不提供審核或認(rèn)證V26.認(rèn)證計(jì)劃不合適云端架構(gòu)6.4 云服務(wù)風(fēng)險(xiǎn)評測示例與9項(xiàng)高風(fēng)險(xiǎn)相關(guān)的29項(xiàng)弱點(diǎn)V29.數(shù)據(jù)被儲(chǔ)存在多個(gè)行政區(qū)域,而且缺乏透明度V30.缺少數(shù)據(jù)儲(chǔ)

10、存所在行政區(qū)域的相關(guān)信息V31.使用者條款缺乏完整性與透明度、V34.云服務(wù)提供商組織里的角色與責(zé)任定義不明確6.4 云服務(wù)風(fēng)險(xiǎn)評測示例與9項(xiàng)高風(fēng)險(xiǎn)相關(guān)的29項(xiàng)弱點(diǎn)V35.云服務(wù)提供組織里角色職責(zé)實(shí)行不確定V36.相關(guān)當(dāng)事人知道太多非必要的細(xì)節(jié)V37.不適當(dāng)?shù)奈锢戆踩幚鞻38.錯(cuò)誤配置V39.系統(tǒng)或操作系統(tǒng)漏洞6.4 云服務(wù)風(fēng)險(xiǎn)評測示例與9項(xiàng)高風(fēng)險(xiǎn)相關(guān)的29項(xiàng)弱點(diǎn)V41.缺乏或很差的持續(xù)營運(yùn)與災(zāi)難復(fù)原計(jì)劃漏洞V44.資產(chǎn)擁有權(quán)不確定V46.可供選擇的云服務(wù)商有限V47.缺乏供應(yīng)商冗余V48.應(yīng)用程序漏洞或失策的補(bǔ)丁管理6.4 云服務(wù)風(fēng)險(xiǎn)評測示例與9項(xiàng)高風(fēng)險(xiǎn)相關(guān)的12項(xiàng)資產(chǎn)A1.公司聲譽(yù)A2.用戶聲譽(yù)A3.員工忠誠度和經(jīng)驗(yàn)A4.知識(shí)產(chǎn)權(quán)A5.敏感的個(gè)人資料A6.使用者及服務(wù)提供者的個(gè)人資料6.4 云服務(wù)風(fēng)險(xiǎn)評測示例與9項(xiàng)高風(fēng)險(xiǎn)相關(guān)的12項(xiàng)資產(chǎn)A7.使用者及服務(wù)提供者的關(guān)鍵個(gè)人資料A8.日常資料A9.需要即時(shí)提供的服務(wù)A10.服務(wù)提供A16.網(wǎng)絡(luò)A20.認(rèn)證6.4 云服務(wù)風(fēng)險(xiǎn)評測示例風(fēng)險(xiǎn)、弱點(diǎn)與資產(chǎn)關(guān)系6.4 云服務(wù)風(fēng)險(xiǎn)評測示例相關(guān)性計(jì)算神經(jīng)網(wǎng)路邏輯回歸失誤樹分析和事件樹路

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論