【摘 要】
:
云计算自出现后就受到各国的热捧,可谓风起云涌,虽然云计算具有降低成本、提高效率、可扩展性等多个优点,但云计算的安全问题也很突出,如何帮助企业或机构更好的应用云计算,如何提高云计算使用的安全性和规范性,这已经成为亟待解决的问题.本文研究了国外云计算安全管理框架,并参考国内信息安全评估规范,建立了云计算风险管理框架,包括:用户自评估、云服务供应商自评估、云服务供应商安全评估计划、第三方机构评审、持续监
【机 构】
:
中国信息安全测评中心,北京 100085 北京理工大学,北京 100081
【出 处】
:
第五届信息安全漏洞分析与风险评估大会
论文部分内容阅读
云计算自出现后就受到各国的热捧,可谓风起云涌,虽然云计算具有降低成本、提高效率、可扩展性等多个优点,但云计算的安全问题也很突出,如何帮助企业或机构更好的应用云计算,如何提高云计算使用的安全性和规范性,这已经成为亟待解决的问题.本文研究了国外云计算安全管理框架,并参考国内信息安全评估规范,建立了云计算风险管理框架,包括:用户自评估、云服务供应商自评估、云服务供应商安全评估计划、第三方机构评审、持续监测阶段,对云计算的应用具有指导意义,也对避免云计算风险提供了有力的支撑,从而更好的发挥云计算的优势。
其他文献
在本文中,全面分析现有的浏览历史嗅探技术,发掘具有嗅探行为网页的共有特征.根据这些特征,提出了一种基于非干扰模型的浏览历史嗅探网页检测方法.该方法中,待测网页被建模为拥有不同安全级别(高和低)的输入和输出的系统.检测原理是:浏览正常的网页不应该违反非干扰特性,即正常的网页浏览输出不应被高级别的输入所影响.在有着相同的低级别输入(网页代码)和不同的高级别输入(浏览历史)的情况下,检测系统将记录低级别
漏洞分类是深入开展漏洞研究和分析的前提基础.国内外大量工作局限在词汇向量空间层面构建漏洞分类器,所采用的数据大多来自国外漏洞数据库.为了更深入了解中国信息安全漏洞的现状,本文以中国国家信息安全漏洞库(CNNVD)中的漏洞记录为实验数据,在主题向量空间层面,采用隐含狄利克雷分布主题模型(I_atent Dirichlet Allocation,LDA)和支持向量机(Support Vector Ma
针对当前Rootkits类型的恶意代码数目剧增且隐匿于系统内核而使传统反病毒技术难以检测的问题,受生物免疫系统的启发,提出了一种基于免疫机理的Rootkits检测模型IMRD(lmmunityinspired Model for RootkitsDetection).该模型将进程运行时在内核模式中所产生的动态IRP(I/() Request Packets)请求序列提取为抗原,将系统中干净正常的良
安全U盘近年来作为网络安全解决方案中重要的组成部分,承载着用户的重要信息,其可以通过应用协议数据单元( Application Protocols DataUnits APDU)与计算机设备通信.论文使用SPI演算对安全U盘与PC间的APDU数据交换协议进行分析,发现该协议存在可被重放攻击的安全缺陷.论文结合安全U盘的应用模型,提出了基于中间层的安全检测方法.通过该检测方法发现了某信息系统安全U盘
入侵响应是提高系统可生存性的主要措施,入侵响应系统自身的生存能力至关重要.提出了一个基于排队网的入侵响应系统生存性分析模型,并将其转化为对应的二维马尔可夫模型,通过拟生灭过程的构造实现了模型的化简,使用频谱扩展法求出了模型的稳态概率分布.最后,在此基础上分别从阻塞概率和平均队长两个方面来量化入侵响应系统的可生存性.量化结果不仅可以用来检验系统的设计是否符合生存性要求,也可为系统结构和系统参数的优化
作为漏洞挖掘和漏洞分析的重要手段之一,Fuzz测试技术的发展非常迅速,相关理论和工具不断完善,已经在不同平台、不同类型软件的安全分析工作中得到了广泛的应用.随着智能手机的普及,移动互联网平台的安全分析日益成为安全工作人员关注的焦点.在当前的智能手机平台,Android操作系统所占有的市场份额越来越多,其安全性也得到最为广泛的关注,针对Android系统的漏洞挖掘工作也成为了信息安全行业的一个热点.
大量的信息安全问题均与漏洞的存在有关,根据已有漏洞信息对未来漏洞发生状况进行预警值得研究.基于数据挖掘技术,运用Apriori算法进行漏洞与软件之间的关联分析,运用ARTrp和ARIMA时序算法对漏洞出现规律进行预测,采用BI Dev Studio建立挖掘结构和挖掘模型,针对Secuma安全漏洞库中的漏洞数据,实验得到了一组描述漏洞与软件之间存在关系的关联规则,以及漏洞数量的时序预测值,验证了方法
SCADA系统指监控与数据采集系统,它是广泛应用于国家关键基础设施中的一类重要工业控制系统.随着2010年“震网”病毒对SCADA系统的攻击,工业控制系统安全得到世界各国的重点关注.为了保护SCADA系统的通信和数据安全,通常的做法是利用密码技术,当前SCADA系统中应用的密码技术主要包含加密和密钥管理两类.本文,对SCADA系统采用的加密方案和密钥管理方案进行了总结和分析,阐述了两类技术在SCA
云计算是一种新兴的计算模型,它在提高信息资源利用率的同时,也带来了安全问题,这种安全问题不仅涉及到企业的利益,也涉及到国家战略的安全.因此建立典型云计算模拟仿真环境,评测诸多云计算面临的安全隐患成为了推广云计算过程中必不可少的一个环节.本文提出了建立典型云计算模拟仿真平台的方法,研究了云计算的关键技术链条、安全隐患评测方法及防控措施.研究对于用户选择云计算的具体服务模式具有重要指导意义,也对不同行
分析业务的信息安全要求是建立有效的信息安全保障体系的基础.本文从分析业务安全需求入手,提出了基于业务安全的信息安全风险评估方法.本评估方法使用企业架构模型(EA)和攻击树模型,通过归纳业务中的信息安全需求和控制目标,以系统化和工程化的攻击手段来分析目前系统和信息资产的常见威胁和风险.文章中以储值卡系统为例,通过面向业务的信息安全风险分析方法,提出了常见的风险和控制措施.