云计算风险识别

云计算风险识别

 

一 Policy and organizational risks（政策和组织风险）

1）Lock-in （锁定，服务锁定 无替代者）

2）Loss of governance （失去治理）

3）Compliance challenges（合规挑战）

4）Loss of business reputation due to co-tenant activities（由于共享活动而导致的商业信誉损失）

5）Cloud service termination or failure（云服务终止或失败）

6）Cloud provider acquisition （云服务提供者的获得）

7）Supply chain failure（供应链断裂）

 

二 Technical risks （技术风险）

1）Resource exhaustion (under or over provisioning) （资源枯竭）

2）Isolation failure （孤立）

3）Cloud provider malicious insider - abuse of high privilege roles（云供应商的内部恶意攻击者——滥用特权） 

4）Management interface compromise (manipulation, availability of infrastructure）（管理界面的危害——基础设施可获得性，操纵）

5）Intercepting data in transit（传输中的数据截取）

6）Data leakage on up/download, intra-cloud（数据泄漏）

7）Insecure or ineffective deletion of data （不安全的或无效的数据删除）

8）Distributed denial of service (DDoS 分布式拒绝服务攻击)

9）Economic denial of service (EDOS经济拒绝服务)

10)Loss of encryption keys（密钥丢失）

11)Undertaking malicious probes or scans（进行恶意探测或扫描）

12)Compromise service engine （危害服务引擎）

13)Conflicts between customer hardening procedures and cloud environment（客户强化程序与云环境之间的冲突）

 

三 Legal risks（法律风险）

1）Subpoena and e-discovery

2）Risk from changes of jurisdiction（管辖变更风险）

3）Data protection risks （数据保护风险）

4）Licensing risks（许可风险）

 

四 Risks not specific to the cloud（非云服务特定风险）

1）Network breaks（网络中断）

2）Network management (ie, network congestion / mis-connection / non-optimal use) （网络管理）

3）Modifying network traffic（网络流量变化）

4）Privilege escalation（权限扩大）

5）Social engineering attacks (ie, impersonation)（社会工程攻击）

6）Loss or compromise of operational logs（丢失或泄漏操作日志）

7）Loss or compromise of security logs (manipulation of forensic investigation)（修饰或泄漏安全日志）

8）Backups lost, stolen（备份丢失、被盗）

9）Unauthorized access to premises (including physical access to machines and other facilities)（未授权访问）

10）Theft of computer equipment （计算机设备失窃）

11）Natural disasters（自然灾害）