Sci论文 - 至繁归于至简,Sci论文网。 设为首页|加入收藏
当前位置:首页 > 计算机论文 > 正文

云计算环境下信息安全风险评估方法的研究与实践论文

发布时间:2021-12-21 13:31:31 文章来源:SCI论文网 我要评论














SCI论文(www.scipaper.net):
 
 摘   要:在互联网技术逐渐向集约化、专业化方向发展的过程中,云计算技术的形成和发展,使传统网络出现很大改变,影响着社会发展。当前云计算处在不断发展的过程中,在将其应用到工业、学术领域时会存在一些安全问题,所以开展信息安 全风险评估非常必要。本研究主要基于云计算环境,介绍了信息安全风险评估方法,分析了信息安全风险评估方法的实现,对 信息安全风险评估方法实践进行研究,以期从根本上处理好云安全问题,促进云计算技术的广泛运用。

关键词:云计算 ;信息安全 ;风险评估 ;研究与实践

Research and Practice of Information Security Risk Assessment Method in Cloud Computing Environment

HUANG Min
(Guangzhou Nanyang Polytechnic Vocational College, School of Information Engineering, Guangzhou  Guangdong 510925)

【Abstract】: Inthe process ofthe gradual development ofInternettechnologytowards intensification and specialization, the formation and development of cloud computing technology has greatly changed the traditional network and affected the social development. At present, cloud computing is in the process of continuous development, and there will be some security problems when it is applied to industrial and academic fields, so it is necessary to carry out information security risk assessment. Based on the cloud computing environment, this study mainly introduces the information security risk assessment method, analyzes the implementation of the information security risk assessment method, and studies the practice of the information security risk assessment method, in order to fundamentally deal with the cloud security problem and promote the wide application of cloud computing technology.

【Key words】: cloud computing;information security;risk assessment;research and practice

根据云计算特征,在博弈理论下对云计算环境下网 络安全风险值进行运算,能够更加清晰体现云计算网络 安全状况,便于掌握存在的安全风险问题,总结出有效 的安全风险评估方法。通过开展云计算环境下信息安全 风险评估方法的研究与实践,能够增强使用者对云计算 环境安全性的信任度,指导了云计算环境安全管理工作 的开展,对深化云服务的发展极为有利。

\

1 云计算环境下信息安全风险评估方法的研究
 
结合云计算特点,在开展云计算信息安全评估时, 具体流程主要为 :识别资产、识别威胁、识别脆弱、构建博弈模型、计算风险 [1]。在统计风险数据之后,构建 相应的评估模型,就能够获得云计算系统安全风险值。 云计算环境下信息安全风险评估流程详见下图 1。

\

1.1 资产识别阶段

开展云计算安全风险评估的根本在于识别云计算资 产,但是云计算资产类型、总量较多,涉及到路由集线 器、服务器及主机等多种网络存储设施。所以对于云计 算系统安全风险评估而言,仅依据实际经济价格评估云 计算系统资产价值远远不够,仍需分析系统安全属性。 云计算系统安全风险评估应针对五大安全属性,对不同 安全属性中资产表现程度进行分析,包括 :可审性、可 用性、可信性、机密性以及安全性,同时借助安全属性 值开展描述处理。随着资产安全属性值的增大,对于恶 意攻击,资产安全属性影响系统的程度越大。

通常仅面向信息流、业务资产识别及资产表现形 式,采用现场勘查、查阅资料及调查问卷等不同方式进 行资产识别。实施云计算系统安全风险评估时,结合传 统安全属性标准,可以基于可审性、可用性、可信性、 机密性以及安全性角度赋值云计算资产 [2]。此外,还能 够对科学云计算资产价值评价标准进行构建,统一、精 确云计算系统安全风险评估流程。

1.2 威胁识别阶段

在云计算系统安全风险评估方面,识别云计算资产 的威胁也至关重要。威胁云计算资产和系统的状况、实 体即为云计算的安全威胁,例如 :人为性破坏和大自然 灾害等。对于威胁来源,在追溯时可以发挥云计算入侵 检测系统(IDS)和系统日志等方式的作用。应用最为 普遍的威胁识别方法就是 IDS,其能够对云计算系统网 络和其自身状态进行监控,面对恶意攻击行为能够进行 警报和自主防御。在实施云计算系统安全风险评估时, 借助轻量级的 IDS-Snort,能够有效的识别威胁 [3]。

1.3 脆弱识别阶段

云计算系统安全状况同其脆弱识别密切相关,所以 云计算信息安全评估中脆弱识别也占据着重要地位。模 糊测试、反编译审计、代码扫描以及漏洞扫描是当前应 用较多的脆弱识别检测方式。云计算信息安全评估选 用了 Nessus 工具,可以扫描并分析系统漏洞,该软件 不仅拥有全面的系统漏洞扫描服务,基于远程遥控和本 机来扫描分析系统漏洞,还具备自定义空间和自主调 控运行效率的优势。依据通用漏洞评分系统(CVSS), 对系统脆弱性的评分可以从安全认证、攻击、可用性、 机密性和完整性等不同层面入手。在 CVSS 评估标准、 Nessus 的基础上,评估云计算系统漏洞的内容主要包 括可用性、可审性、可信性、完整性和机密性。

2 云计算环境下信息安全风险评估方法实现

结合博弈研究云计算信息安全风险评估,可以将云计算安全看作系统安全防御、恶意攻击间的博弈,即云 计算系统需要探寻最优防御措施,而恶意攻击者也要找 到相应优化攻击途径。

若用 G · {P,A,U} 代表云计算风险评估博弈模型,则 参与者集合为 P={PD,PA},且 A=AD ×AA。参与者 PD 和PA 的行为集合表示为 AD=(Defense,NotDefense) 和 AA= (Attack,NotAttack)。参与者 PD 以及 PA 的支付函数表 示为 UD 和 UA,存在 U=UD ×UA

参与者 P、效用函数、行为集 A 共同组成了云计 算风险评估博弈模型,云计算网络防御者 PD、云计算 攻击者 PA 是两大博弈主体,行为集指的是二者防御 及攻击行为。基于云计算系统风险评估博弈模型,参 与者结合彼此的对策合理调整行为方式。若博弈过程 中,攻击、不攻击是恶意攻击者的两大行为,表示为 AA={Attack, Not Attack}, 而防御、不防御则为系统 防御者的行为, 表示为 AD={Defense, Not Defens},对 此云计算风险评估博弈所涉及的状态主要包括 :(No Attack, Defense)、(Attack, Defense)、(Not Attack, Not Defense) 以及(Attack, Not Defense) [4]。用 Attack= {A1,A2,A3,A4,A5} 代表恶意攻击者在博弈模型中的 攻击方式,具体详见下表 1。

\
 
借助下述公式来表达云计算风险评估博弈模型内防 御者、恶意攻击者二者的支付函数 :

          \

云计算防御者、恶意攻击者的收益依次是 BD、BA, 防御者成本为 CD,恶意攻击者所消耗资源为 CA。其中 系统破坏文件修复的消耗(CDR)、攻击防御资源消耗 (CDE)共同组成了 CD

云计算系统的损害函数表示如下 :

     \

其中,某类型攻击特定危害程度为 ALi。结合相关 研究中心所推出的攻击危害评定标准,通过 0-10 的数 值体现危害度 [5]。完整性、机密性、可信性、可用性及 可审性角度下,云计算系统的资产属性值依次表示为 : VI、Vc、VT、VA 和 VAu 表示,对应安全属性下的恶意攻 击者损害系数依次为 :LI、Lc、LT、LA 和 LAu

若云计算系统中防御者对恶意攻击者进行成功检测 之后,系统恢复函数如下 :

       \

云计算系统防御者对上述系统五大安全属性的恢复 系数表示为 RI、Rc、RT、RA 和 RAu

防御者如果能够对攻击行为进行检测,将防御者对 攻击者的惩罚系数表示为 α,则相应惩罚函数表示为 :

                \

3 云计算环境下信息安全风险评估方法的实践

3.1 系统环境搭建


依托 Hadoop 对云计算环境进行搭建,利用 Snort、 Nusses 软件工具扫描云计算环境风险威胁和漏洞。合 理设置云计算系统中的网路配置及相关参数,资产拓扑 图详见下图 2 :
 
\
 
3.2 云计算系统资产识别
在云计算信息安全风险评估系统内,价值评估、信 息数据采集组成了系统资产识别。五大资产属性值、信 息数据采集信息都属于云计算系统资产,在完成采集处理后能够存储在系统数据库内 [6]。参考资产属性评估问 卷、资产软硬件信息,来综合给出资产属性值的分数。 资产数据管理详见图 3 和表 2。
 
\

\
 
3.3 云计算系统威胁识别

利用 Snort 来识别云计算系统威胁,实验结果示意 图如图 4 :

3.4 云计算系统脆弱识别

开展云计算信息安全风险评估工作时,通过联合 Nessus、CVSS 的途径进行脆弱识别,参考专家给出的 分值,基于五大层面评估资产脆弱识别。其中,借助专 家评判测评资产可审性、可信性,利用 Nessus 和 CVSS测评资产完整性及机密性 [7]。节点 Node 3 在 Nessus支持下的具体扫描结果详见图 5。
 
\

针对节点 Node 3, 漏洞 <cpe>CVE-2012-1823</ cpe 在机密性、完整性、可用性的影响评价依次是完全 (C ),部分(P) 和完全(C),表示 :

         \

参考 CVSS 的漏洞评判标准,能够获得节点 Node 3 在 可用性、完整性和机密性的脆弱,依次表示为 0.660、 0.275 以及 0.660。在评估系统可审性、可信性方面, 可以借助专家评分或问卷调查的方式完成识别操作。

3.5 云计算系统风险评估

结合上述研究,在获得云计算系统脆弱识别、系统 威胁和资产识别的前提下,联合所构建的信息安全评估 模型,能够全面化、系统化的开展信息安全风险评估活 动,如图 6 所示。
 
\
 
针对云计算系统的资产进行分析,对应的孙志最大 值和最小值分别是 (FDamage)max 和 (FDamage)min,前者数 值为 16.5,后者数值为 0。由此能够得知云计算下资产 安全风险值都处在 0-2.541 的范围内。结合所搭建的云 计算信息安全风险评估实验环境,其中服务器数量为 七台,所以云计算系统风险值的范围是 0-17.787 之间。 划分好信息安全风险值之后,能够得知不同安全等级 下的风险值所处在的范畴,其中等级主要包括 :很低、低、中、高和很高, 对应范围分别是 :≤ 3、3-6、6-9、 9-12 和≥ 12。

结合实验结果能够得知,通过所构建的云计算系统 信息安全风险评估模型,系统整体安全风险值处在低的 级别中,这就表示云计算系统具有良好的安全性,同时 也具有安全风险。

4 结语

综上所述,当前在广泛应用云计算的过程中,所面 临的关键问题就是安全问题。作为云计算安全体系的关 键,云计算信息安全风险评估对开展安全管理工作起到 重要影响作用。借助云计算信息安全风险评估处理,能够深入了解云计算平台的安全性,这对明确云计算网络信息安全状况意义重大,可以精确掌握所存在的信息安全风 险,能够借助有效的策略进行应对,由此达到有效管控 信息安全风险、提高云计算系统风险管理效率的效果。

参考文献

[1] 韩欣.云计算环境下的信息安全风险评估[J].数码世界,2020 (4):73.
[2] 徐湖鹏,吴宗大,卢成浪,等.私有云的数据安全风险评估体 系的构建与应用[J].单片机与嵌入式系统应用,2019,19(12):23- 25+28.
[3] 周卫国.云计算平台全周期安全风险评估系统[J].电子技术 与软件工程,2019(19):187-188.
[4] 易发波.等保2.0标准要求下云计算安全与风险评估探究[J]. 保密科学技术,2019(7):44-52.
[5] 何宏伟,屈德建,杨永兴.解析云计算环境下信息安全风险评 估方法[J].数码世界,2018(7):54.
[6] 邹涛.云计算环境下信息安全风险评估方法研究[D].南昌:南
昌大学,2019.
[7] 张祥东.基于等级保护策略的云计算安全风险评估探讨分析 [J].网络安全技术与应用,2019(6):65-66.

关注SCI论文创作发表,寻求SCI论文修改润色、SCI论文代发表等服务支撑,请锁定SCI论文网!

文章出自SCI论文网转载请注明出处:https://www.scipaper.net/jisuanjilunwen/34603.html

发表评论

Sci论文网 - Sci论文发表 - Sci论文修改润色 - Sci论文期刊 - Sci论文代发
Copyright © Sci论文网 版权所有 | SCI论文网手机版 | 豫ICP备2022008342号-1 | 网站地图xml | 百度地图xml