本節主要工作是要找出有哪些高等級弱點、風險、資產與他們間 的對應關係(參考圖 3-1 研究流程)。見圖 4-1,本研究以 ENISA 提出的 雲端服務風險評估報告(Cloud Computing Security Risk Assessment, CCSRA)中相關專家評估為高等級(High)的風險以及對應弱點和資產作 為模式建立之用(原本報告中有 53 項弱點、35 項風險、23 項資產,屬 於高等級風險有 9 項,此 9 風險對應 29 項弱點及 12 項資產)
圖 4-1.ENISA 報告中第一個高等級風險
資料來源:ENISA(2009), ‘Cloud Computing Security Risk Assessment’, European Network and Information Security Agency
經過萃取後詳細內容,資產對應相對危險度(表 4-1)、弱點對風險(表 4-2)、
風險對資產(表 4-3)分別如下:
表 4-1-1.資產對相對危險度的皮爾森相關式 資產
相 對 危 險 度 A1 使用者的商譽(Company reputation) → A2 使用者的顧客信賴(Customer trust) → A3
使 用 者 的 員 工 忠 誠 與 經 驗 (Employee loyalty and
experience) →
本研究繪製
表 4-1-2.資產對相對危險度的皮爾森相關式
A4 使用者的智慧財產(Intellectual property) →
相對
資料來源:ENISA(2009), ‘Cloud Computing Security Risk Assessment’, European Network and Information Security Agency
表 4-2-2 弱點對風險的皮爾森相關式 資料來源:ENISA(2009), ‘Cloud Computing Security Risk Assessment’, European Network and Information Security Agency
表 4-3-1. 風險對資產的皮爾森相關式
風險 資產
R10 惡意的內部員工
A1 使用者的商譽 R1 套牢
R2 失去對資料和系統控制權 R9 隔離失效
R26 網路管理風險
R21 作為證物或電子蒐證 R22 行政區的風險
R23 資料保護處理風險 R1 套牢
A10 服務提供 R2 失去對資料和系統控制權
R9 隔離失效
R10 惡意的內部員工 R26 網路管理風險
R21 作為證物或電子蒐證 R22 行政區的風險
R23 資料保護處理風險
R26 網路管理風險 A16 網路 R10 惡意的內部員工
A2 使用者的顧客信賴 R2 失去對資料和系統控制權
R9 隔離失效 R26 網路管理風險
R21 作為證物或電子蒐證 R22 行政區的風險
R23 資料保護處理風險
R3 承諾風險 A20 認證
R2 失去對資料和系統控制權
A3 使用者的員工忠誠與經驗 R10 惡意的內部員工
R26 網路管理風險
R10 惡意的內部員工 A4 使用者的智慧財產
資料來源:ENISA(2009), ‘Cloud Computing Security Risk Assessment’, European Network and Information Security Agency
表 4-3-2. 風險對資產的皮爾森相關式 R1 套牢
A5 敏感的個人資料 R2 失去對資料和系統控制權
R9 隔離失效
R10 惡意的內部員工 R21 作為證物或電子蒐證 R22 行政區的風險
R23 資料保護處理風險 R1 套牢
A6 使用者及服務商的個人資料 R2 失去對資料和系統控制權
R9 隔離失效
R10 惡意的內部員工 R21 作為證物或電子蒐證 R22 行政區的風險
R23 資料保護處理風險 R1 套牢
A7 使用者及服務商的關鍵個人資 料
R2 失去對資料和系統控制權 R9 隔離失效
R10 惡意的內部員工 R21 作為證物或電子蒐證 R22 行政區的風險
R23 資料保護處理風險
R10 惡意的內部員工 A8 日常資料 R1 套牢
A9 需要即時提供的服務 R2 失去對資料和系統控制權
R9 隔離失效
R10 惡意的內部員工 R26 網路管理風險
R21 作為證物或電子蒐證 R22 行政區的風險
R23 資料保護處理風險
資料來源:ENISA(2009), ‘Cloud Computing Security Risk Assessment’, European Network and Information Security Agency