基于STRIDE威脅模型的教育云安全風(fēng)險評估研究

陳 平，雙 鍇，皇甫大鵬

（1.北京師范大學(xué) 信息網(wǎng)絡(luò)中心，北京 100875；2.北京郵電大學(xué) 網(wǎng)絡(luò)與交換技術(shù)國家重點實驗室，北京100876）

基于STRIDE威脅模型的教育云安全風(fēng)險評估研究

陳 平1，雙 鍇2，皇甫大鵬1

（1.北京師范大學(xué) 信息網(wǎng)絡(luò)中心，北京 100875；2.北京郵電大學(xué) 網(wǎng)絡(luò)與交換技術(shù)國家重點實驗室，北京100876）

教育領(lǐng)域云計算平臺是教育行業(yè)對云計算技術(shù)的應(yīng)用，為教育行業(yè)提供IT，存儲，應(yīng)用等服務(wù)，在行業(yè)內(nèi)部日常工作中占據(jù)重要地位。隨著教育云的廣泛應(yīng)用，其安全性的問題也越來越突出。安全風(fēng)險分析是教育云安全研究的重要的環(huán)節(jié)。通過對云平臺各部分進(jìn)行全面的風(fēng)險分析和挖掘，可以對教育云安全體系的設(shè)計提供重要的數(shù)據(jù)支撐和安全策略。本文通過構(gòu)建STRIDE安全威脅模型，對系統(tǒng)可能受到的風(fēng)險通過分類、識別、量化等過程對系統(tǒng)威脅風(fēng)險進(jìn)行評價。本文基于風(fēng)險分析結(jié)果，結(jié)合云計算安全技術(shù)的發(fā)展趨勢，提出了教育云系統(tǒng)安全防護(hù)架構(gòu)，為教育云計算安全問題提供數(shù)據(jù)支撐和安全策略的參考。

STRIDE威脅模型；教育云計算；云安全

一、引言

云計算主要是通過網(wǎng)絡(luò)將IT服務(wù)、平臺服務(wù)及應(yīng)用服務(wù)交付給用戶。一般云計算平臺包含三個層次：基礎(chǔ)實施即服務(wù) （IaaS），平臺即服務(wù) （PaaS），應(yīng)用即服務(wù)（SaaS）。[1]基礎(chǔ)設(shè)施即服務(wù)主要通過虛擬化技術(shù)將包括服務(wù)器，存儲設(shè)備，網(wǎng)絡(luò)設(shè)備等物理資源抽象成虛擬主機(jī)和虛擬設(shè)備，并對外提供服務(wù)接口。平臺即服務(wù)包括了操作系統(tǒng)，開發(fā)平臺，數(shù)據(jù)庫及可供應(yīng)用開發(fā)的實驗環(huán)境。應(yīng)用即服務(wù)主要包括一系列應(yīng)用軟件及交互平臺，通過網(wǎng)絡(luò)的方式面相用戶。

云計算平臺是特殊的信息系統(tǒng)，相比傳統(tǒng)信息系統(tǒng)有著相同的安全需求，面臨著相同的安全風(fēng)險。信息安全領(lǐng)域的發(fā)展已經(jīng)多次證明，信息技術(shù)的重大變革將直接影響安全領(lǐng)域的發(fā)展進(jìn)程。[2]隨著云計算技術(shù)的發(fā)展，云計算平臺不斷引入新的技術(shù)，如軟件定義網(wǎng)絡(luò)（SDN），網(wǎng)絡(luò)功能虛擬化（NFV）等新技術(shù)，這必將推動云計算技術(shù)更加普及和完善。同時隨著新技術(shù)的引入，云計算也會面臨著不同于傳統(tǒng)信息系統(tǒng)新的安全風(fēng)險和挑戰(zhàn)。根據(jù)云安全聯(lián)盟發(fā)布的統(tǒng)計數(shù)據(jù)，云計算面臨的幾大安全威脅分別是數(shù)據(jù)破壞、數(shù)據(jù)丟失、資源共享風(fēng)險[3]、賬戶或業(yè)務(wù)流量被劫持、不安全的接口和API，拒絕服務(wù)、惡意的內(nèi)部人員、云服務(wù)的濫用等。

教育云平臺是對典型云計算平臺的繼承和發(fā)展。出于大規(guī)模教育管理和教育教學(xué)的要求，教育云具有規(guī)模大、并發(fā)性高、可靠性高等特點。同時由于各級各類教育機(jī)構(gòu)龐大，分布廣[4]，這也使得教育云系統(tǒng)的種類和結(jié)構(gòu)復(fù)雜[5]。教育行業(yè)同時又是作為國家重要的基礎(chǔ)，信息系統(tǒng)的安全問題的重要性不言而喻，教育云平臺面臨的挑戰(zhàn)也日益嚴(yán)峻。

二、教育云平臺結(jié)構(gòu)分析和數(shù)據(jù)流分析

本章將對教育云平臺的體系結(jié)構(gòu)進(jìn)行介紹和分析，并歸納云平臺主要過程的數(shù)據(jù)流。

1.教育云平臺的體系結(jié)構(gòu)（如圖1所示）

圖1 教育云體系結(jié)構(gòu)

一般在教育領(lǐng)域，云平臺云端由云基礎(chǔ)設(shè)施、云平臺組件組成。云基礎(chǔ)設(shè)施包括基礎(chǔ)硬件、虛擬化平臺、云操作系統(tǒng)和負(fù)載均衡控制，主要提供計算、存儲和網(wǎng)絡(luò)通信能力以及對各種資源的封裝和抽象，同時提供數(shù)據(jù)中心間的負(fù)載均衡，提高業(yè)務(wù)系統(tǒng)災(zāi)備能力。云平臺組件提供計算服務(wù)，存儲服務(wù)，鏡像服務(wù)，和認(rèn)證服務(wù)。其中計算服務(wù)是整個平臺組件的計算控制器，用于完成云實例生命周期的各種動作。存儲服務(wù)提供一種分布式對象存儲，同時具備歸檔能力，可處理大數(shù)據(jù)集。鏡像服務(wù)主要提供虛擬機(jī)鏡像注冊，檢索，存儲系統(tǒng)。認(rèn)證服務(wù)是對云平臺用戶進(jìn)行驗證鑒權(quán)等操作。

2.教育云平臺的數(shù)據(jù)流分析

由于云計算平臺是相對很復(fù)雜的信息系統(tǒng)，為了方便之后的威脅分析，我們著重分析幾個主要的數(shù)據(jù)流。

（1）認(rèn)證

認(rèn)證是用戶訪問云平臺必須經(jīng)歷的過程，用戶通過命令行或UI界面等客戶端API登錄云平臺，會經(jīng)過賬戶口令驗證。登錄云平臺后在操作云平臺組件或設(shè)備之前還要經(jīng)過身份認(rèn)證，鑒權(quán)等過程。

圖2 認(rèn)證流程

（2）存儲服務(wù)

存儲服務(wù)是提供給用戶將文件對象存儲在云端的一種存儲容器。存儲服務(wù)過程包括一部分認(rèn)證的過程，經(jīng)過認(rèn)證后用戶會對計算中心發(fā)送存儲服務(wù)的請求，計算中心會發(fā)送請求消息給存儲節(jié)點，最后返回用戶請求的信息。這一部分?jǐn)?shù)據(jù)流涉及到云端外和云端內(nèi)的數(shù)據(jù)交互，收到安全的威脅更大。另外，用戶信息安全也是云計算安全的重要研究問題。存儲服務(wù)過程如圖3所示。

圖3 存儲服務(wù)流程

（3）鏡像服務(wù)

鏡像安全涉及到系統(tǒng)安全，虛擬機(jī)鏡像容易遭到惡意攻擊者的篡改或非法獲取。鏡像過程包括用戶鑒權(quán)，之后通過計算中心獲取相應(yīng)的鏡像文件。

圖4 鏡像服務(wù)流程

（4）創(chuàng)建虛擬機(jī)實例

啟動一個實例時操作云平臺過程中最常發(fā)生的動作。雖然它包含之前的一些過程，不是原子操作，但在很多應(yīng)用中都是頻繁出現(xiàn)。首先是用戶身份驗證，鑒權(quán)。經(jīng)過驗證后，用戶就可以與計算節(jié)點API和數(shù)據(jù)庫建立通信，通過計算節(jié)點API請求創(chuàng)建虛擬資源消息，請求消息進(jìn)入消息隊列，之后消息進(jìn)入鑒權(quán)，查找相應(yīng)服務(wù)，檢查合法性并請求鏡像。之后查找相應(yīng)鏡像的位置信息，到存儲節(jié)點查找鏡像文件。訪問存儲容器之前同樣要經(jīng)過鑒權(quán)。獲取鏡像文件后，就可以返回給計算節(jié)點，計算節(jié)點分配用戶要求的虛擬資源，并加載鏡像。至此，啟動實例的過程基本結(jié)束。這一過程數(shù)據(jù)從云端外流入，經(jīng)過云端內(nèi)大部分組件，同樣受到大量的安全威脅。

圖5 創(chuàng)建實例流程

（5）虛擬機(jī)之間的數(shù)據(jù)流

一般情況底層虛擬機(jī)之間的數(shù)據(jù)流是不可見的，但虛擬機(jī)安全同樣是云平臺安全的重要部分，這里加以討論。

這種情況主要涉及虛擬機(jī)對其他虛擬機(jī)的監(jiān)控問題。虛擬機(jī)可通過交換機(jī)或虛擬網(wǎng)絡(luò)訪問其他物理機(jī)上的虛擬機(jī)。入侵者攻破虛擬機(jī)后能夠使用一些攻擊技術(shù)來嗅探其它虛擬機(jī)，從而向其發(fā)送和接受數(shù)據(jù)包，進(jìn)而監(jiān)控甚至控制其它虛擬機(jī)。

一般情況下，一個虛擬機(jī)不能直接訪問同一物理機(jī)上的其它虛擬機(jī)。同一物理機(jī)上的虛擬機(jī)互訪安全問題主要是通過hypervisor。通過hypervisor漏洞訪問其它虛擬機(jī)。同時還需防止非法登陸hypervisor后進(jìn)入虛擬機(jī)。因此要考慮hypervisor和物理機(jī)的配置管理，操作和物理安全。同時還要考慮虛擬機(jī)后門，虛擬機(jī)和宿主機(jī)的因通道能夠讓入侵者執(zhí)行潛在的危險操作。另一種情況，在虛擬機(jī)從一個物理機(jī)遷移至另一個物理機(jī)后，殘留數(shù)據(jù)的安全問題，存儲磁盤回收和再分配，數(shù)據(jù)擦洗等。

三、基于威脅模型的安全風(fēng)險評估

威脅是攻擊者針對系統(tǒng)的安全漏洞展開的潛在攻擊風(fēng)險[6]。威脅建?？梢詫ψ羁赡苡跋裣到y(tǒng)的威脅進(jìn)行系統(tǒng)的識別和評價。云計算威脅建模是建立云安全統(tǒng)一防護(hù)體系過程中的重要部分。

STRIDE[7]是六種威脅類型英文字母的縮寫：

（1）身份欺騙（Spoofing），非法使用其他用戶的認(rèn)證信息。

（2）篡改數(shù)據(jù)（Tampering），未經(jīng)授權(quán)變更數(shù)據(jù)，惡意修改數(shù)據(jù)。

（3）否認(rèn)（Repudiation），用戶拒絕從事活動，并且沒有任何辦法可以證明他在拒絕履約。

（4）信息泄露（Information Disclosure），信息泄露給沒有讀取權(quán)限的個人。

（5）拒絕服務(wù)（Denial of Service），拒絕為正當(dāng)權(quán)限的用戶服務(wù)。

（6）提高權(quán)限（Elevation of Privilege），使非法使用者或用戶獲得高于自己權(quán)限的操作，從而危害系統(tǒng)安全。

利用STRIDE模型對系統(tǒng)進(jìn)行威脅風(fēng)險分析主要過程是：分析系統(tǒng)的體系結(jié)構(gòu)及有關(guān)數(shù)據(jù)流，考慮上述類別的安全威脅是否會對數(shù)據(jù)流關(guān)聯(lián)的節(jié)點造成危害，記錄識別這些安全威脅，并對威脅發(fā)生的可能性及其對系統(tǒng)的危害嚴(yán)重程度進(jìn)行量化，進(jìn)而對系統(tǒng)的風(fēng)險進(jìn)行評估。為了遵循STRIDE威脅模型，需要將系統(tǒng)分解為相關(guān)的組件，并分析每個組件是否易受到威脅攻擊，從而找到減輕威脅所帶來的影響的方法。[8]

1.教育云平臺安全風(fēng)險分析

針對上一章描述的數(shù)據(jù)流過程，對數(shù)據(jù)流關(guān)聯(lián)的節(jié)點可能受到的風(fēng)險進(jìn)行總結(jié)。

認(rèn)證過程是客戶端到云端的入口，涉及到跨越云端邊界，是攻擊者入侵的重要途徑，也是安全威脅最多的部分。這部分的威脅主要包括客戶端接口的安全性問題，賬戶泄露導(dǎo)致非法登錄；身份欺騙；業(yè)務(wù)高峰時段導(dǎo)致的網(wǎng)絡(luò)擁堵，甚至遭到DDoS攻擊導(dǎo)致網(wǎng)絡(luò)癱瘓。越權(quán)訪問，越權(quán)操作；對服務(wù)器的Web應(yīng)用入侵，上傳木馬等行為。

存儲服務(wù)主要關(guān)系到數(shù)據(jù)安全。在虛擬環(huán)境中傳文件數(shù)據(jù)被監(jiān)聽；云用戶從虛擬機(jī)逃逸后獲取其他用戶隱私數(shù)據(jù)；物理災(zāi)難導(dǎo)致的數(shù)據(jù)不可用；數(shù)據(jù)安全隔離漏洞導(dǎo)致惡意用戶訪問其他用戶數(shù)據(jù)。越權(quán)操作，對數(shù)據(jù)庫入侵。數(shù)據(jù)密鑰泄露，和數(shù)據(jù)密鑰丟失后無法訪問數(shù)據(jù)；竊取數(shù)據(jù)后的數(shù)據(jù)劫持。

鏡像安全威脅類似數(shù)據(jù)安全，主要涉及越權(quán)獲取，非法篡改。

操作虛擬機(jī)的過程包括前三個過程的一些步驟，除了上述的安全威脅外，還包括服務(wù)器、宿主機(jī)、虛擬機(jī)的操作系統(tǒng)和數(shù)據(jù)庫暴力破解，補(bǔ)丁更新不及時導(dǎo)致的漏洞；單臺虛擬機(jī)被入侵后對區(qū)域虛擬機(jī)的滲透攻擊，并導(dǎo)致病毒和惡意行為在網(wǎng)絡(luò)內(nèi)傳播。通過虛擬機(jī)漏洞逃逸到hypervisor，獲得物理主機(jī)的控制，進(jìn)而訪問其他虛擬機(jī)；攻破虛擬系統(tǒng)后進(jìn)行任意的破壞行為，對其他賬戶潛伏破解。

虛擬機(jī)之間交互時的安全問題更加重要，這部分底層的數(shù)據(jù)流量對上層不可見，同一宿主機(jī)上的虛擬機(jī)之間通信不會通過傳統(tǒng)的防火墻，失去了對這部分流量的安全效果。共享剪切板技術(shù)提供了宿主機(jī)和虛擬機(jī)之間的數(shù)據(jù)交換方式，同時也給惡意程序提供了數(shù)據(jù)傳輸方法；虛擬機(jī)可通過ARP中毒的方式嗅探其它虛擬機(jī)發(fā)送或接收數(shù)據(jù)；虛擬機(jī)遷移過程后的數(shù)據(jù)清除；不同等級的數(shù)據(jù)混雜在一臺宿主機(jī)中，平衡多租戶的安全級別問題；虛擬機(jī)間可以通過硬件直接通信，這部分流量缺少防護(hù)，hypervisor也可能被入侵。虛擬機(jī)和宿主機(jī)之間的后門和隱通道能夠讓入侵者執(zhí)行潛在的危險操作。虛擬機(jī)在動態(tài)變化擴(kuò)容縮容過程中，錯誤的配置或操作可能導(dǎo)致安全漏洞，同時也可導(dǎo)致資源競爭和濫用。虛擬機(jī)遷移過程缺少安全審計和安全檢測，虛擬機(jī)可能在不產(chǎn)生警告或?qū)徲嫺櫟那闆r下被部署在另一個物理機(jī)上。

2.教育云系統(tǒng)存在的安全威脅（如表1所示）

3.威脅評估

通過之前的過程，對云平臺的威脅已經(jīng)有了分析和歸納，現(xiàn)在要做的是對威脅進(jìn)行量化，對威脅造成的危險進(jìn)行評價，這樣在后續(xù)解決這些安全威脅時有所側(cè)重。威脅量化公式是：威脅量化值（R）=威脅發(fā)生的概率（P）×威脅發(fā)生的嚴(yán)重程度（D），其中變量威脅發(fā)生概率P和變量威脅發(fā)生的嚴(yán)重程度D包含多種因素，下面分別說明其各自含義。

威脅可能性考慮的因素有威脅難易程度（Tq）的量化值和攻擊因子（A）。計算公式為P=Tq×A。Tq是威脅重現(xiàn)性，威脅可發(fā)性，威脅可利用性的量化值之和。攻擊因子A是攻擊技術(shù)流行度，攻擊技術(shù)難易程度及攻擊后果三個量化值得平均值。[9]根據(jù)STRIDE模型量化評價方法，上述所有子因素的量化值取值范圍是1~5。由于這部分?jǐn)?shù)值表現(xiàn)的是威脅發(fā)生概率，故將最后計算數(shù)值做線性歸一化處理，最終威脅發(fā)生概率公式為：

表1 威脅識別

圖6 威脅風(fēng)險量化值

威脅發(fā)生的嚴(yán)重程度是威脅損失量（E）和損失權(quán)重（v）的乘積。即D=E×v。這其中威脅損失量E是威脅潛在損失，影響用戶數(shù)量和資產(chǎn)價值之和。同樣的，所有子因素的量化值取值范圍是1~5。損失權(quán)重v描述的是威脅在教育云系統(tǒng)中發(fā)生的位置嚴(yán)重程度的量化值，我們按安全等級從高到低將教育云平臺分為多個個安全工作區(qū)，如實時控制區(qū)、非控制生產(chǎn)區(qū)、生產(chǎn)管理區(qū)、管理信息區(qū)。[10]根據(jù)STRIDE威脅量化方法，損失權(quán)重可以用等級0-10來衡量。由于損失權(quán)重數(shù)量級遠(yuǎn)大于威脅發(fā)生概率，使得概率對結(jié)果影響過小，在此對損失權(quán)重用sigmoid函數(shù)做歸一化處理。此處使用sigmoid函數(shù)的原因是，sigmoid函數(shù)輸入在-5~5之間近似映射到[0，1]區(qū)間，同時在sigmoid函數(shù)的S曲線在趨近于0和1的兩端很平緩，符合我們描述的在教育云在核心區(qū)域重要性程度都很高的特點。因此此處最后威脅量化值得公式是：

表2 變量數(shù)據(jù)

我們通過對不同教育云系統(tǒng)的滲透測試數(shù)據(jù)對以上列舉的主要威脅進(jìn)行風(fēng)險量化，量化結(jié)果如下圖所示。各威脅的變量數(shù)據(jù)如表2所示。

四、教育云系統(tǒng)安全防護(hù)架構(gòu)設(shè)計

針對以上安全威脅和隱患，教育云安全需要在傳統(tǒng)信息系統(tǒng)安全措施的基礎(chǔ)上，考慮云平臺的特點，加入先進(jìn)的安全技術(shù)，提高云平臺的安全性。

本文提出的安全防護(hù)體系按云邊界和物理邊界劃分為三層。根據(jù)之前的威脅分析，在應(yīng)用接入層，平臺組件層，基礎(chǔ)設(shè)施層分別進(jìn)行安全防護(hù)。同時設(shè)置安全管理主要負(fù)責(zé)對安全事件的處理策略以及安全日志的管理。如圖7所示。

圖7 教育云安全防護(hù)體系

1.基礎(chǔ)設(shè)施層安全

基礎(chǔ)設(shè)施層主要涉及物理設(shè)備安全，虛擬化安全以及網(wǎng)絡(luò)安全。物理設(shè)備安全涉及的地理物理環(huán)境安全不再加以敘述。在網(wǎng)絡(luò)安全方面，由于物理機(jī)安全直接關(guān)系到虛擬機(jī)的安全，因此需要用防火墻，IPS入侵防護(hù)系統(tǒng)等方式進(jìn)行訪問控制，同時部署入侵檢測系統(tǒng)，以檢測網(wǎng)絡(luò)攻擊并警報。對進(jìn)出流量同樣需要部署流量監(jiān)測系統(tǒng)，防止受到DDoS攻擊，也要防止大量資源被攻擊者控制而發(fā)動的DDoS攻擊。為防止物理機(jī)系統(tǒng)的入侵，需要部署惡意代碼防護(hù)系統(tǒng)，保證物理機(jī)系統(tǒng)以及Hypervisor層的安全。在平臺內(nèi)虛擬機(jī)或物理機(jī)之間的通信同樣需要流量監(jiān)測及惡意代碼防護(hù)，防止入侵的蔓延。虛擬化安全主要防護(hù)思路是，在防止通過物理機(jī)入侵虛擬機(jī)的同時，要防止虛擬機(jī)橫向地攻擊其他虛擬機(jī)，也要防止縱向地入侵操作系統(tǒng)，虛擬機(jī)硬件甚至物理機(jī)操作系統(tǒng)。

2.平臺組件安全

云平臺組件主要涉及的是云實例整個生命周期的各種操作和數(shù)據(jù)處理過程的安全問題。認(rèn)證授權(quán)過程主要涉及加密算法的應(yīng)用和密鑰管理，可利用UUID和PKI的方式進(jìn)行授權(quán)認(rèn)證。存儲服務(wù)涉及從數(shù)據(jù)的產(chǎn)生，傳輸，存儲，使用，遷移，銷毀，備份和恢復(fù)的整個生命周期。在生命周期的不同階段對數(shù)據(jù)進(jìn)行分類分級，標(biāo)識，加密，審計，銷毀等手段。

3.應(yīng)用安全

首先需要身份認(rèn)證鑒別，對訪問者進(jìn)行過濾，部署嚴(yán)格的訪問控制策略，和權(quán)限管理策略，對安全域內(nèi)外的通信進(jìn)行有效監(jiān)控。Web應(yīng)用防火墻根據(jù)預(yù)設(shè)的安全規(guī)則檢查流量，并對流量統(tǒng)計分析，實時監(jiān)控云平臺流量的地域分布，應(yīng)用組成分布，變化趨勢，并生成統(tǒng)計表[11]。建立異常流量檢測分析系統(tǒng)，實現(xiàn)流量的分析和過濾。

4.安全管理

安全管理負(fù)責(zé)提供安全策略，保障業(yè)務(wù)的連續(xù)性。安全事件，安全日志的管理。管理云平臺，云服務(wù)，云數(shù)據(jù)，云設(shè)備的生命周期，運行維護(hù)和檢測，并進(jìn)行安全評估。云平臺的管理者可以配備專門的安全管理組織以及管理人員，保障系統(tǒng)的良好運轉(zhuǎn)。

五、結(jié)束語

威脅建模能夠幫助系統(tǒng)安全評估人員理解系統(tǒng)可能面臨的安全威脅[12]，本文希望通過威脅識別為建立統(tǒng)一的云計算安全防護(hù)體系提供數(shù)據(jù)支撐和安全策略的參考。

[1]黃高攀,張明明,宋滸.企業(yè)云平臺架構(gòu)研究[J].數(shù)字通信世界,2015(12).

[2]馬軍偉,羅紅波,栗秀琴.云計算信息安全問題研究[C].中國電機(jī)工程學(xué)會電力通信專業(yè)委員會第九屆學(xué)術(shù)會議論文集,中國電機(jī)學(xué)會,2014:840.

[3]張偉.企業(yè)云計算信息安全風(fēng)險評估探討[J].廣東科技,2013(20):49.

[4]馬鐵牛.云計算在電力信息系統(tǒng)中的應(yīng)用[J].網(wǎng)友世界-云教育,2014(19):82.

[5]楊旭昕,劉俊勇.電力系統(tǒng)云計算初探[J].四川電力技術(shù),2010,33(3):72-73.

[6]姜莉.一種基于STRIDE模型的Web服務(wù)安全評估方法研究[D].湖南大學(xué),2010.

[7]儲穎,郝林.STRIDE威脅模型在認(rèn)證中心CA設(shè)計中的應(yīng)用[J].云南大學(xué)學(xué)報,2004(26增刊):54-57

[8]周延.改進(jìn)的STRIDE威脅模型研究[D].華中科技大學(xué),2015(17).

[9]何偉,譚曙光,陳平.一種基于STRIDE威脅模型的風(fēng)險評估方法[J].信息安全與通信保密,2009(10):48-49.

[10]王利賽,楊明玉,孫月琴.電力云研究綜述[J].電力信息化,2011,9(5):3.

[11]李國軍,劉文懋.綠盟科技云安全解決方案[DB/ OL].2015.http://www.nsfocus.com.cn/content/details_62_ 2051.html.

[12]佟鑫,班曉芳.基于STRIDE威脅模型的網(wǎng)銀安全威脅分析[C].第五屆信息安全漏洞分析與風(fēng)險評估大會論文集,上海,2014:604.

（編輯：王曉明）

TP393

A

1673-8454（2017）05-0015-05