Skip to main content
QUICK REVIEW

[论文解读] Cloud Security Challenges: Investigating Policies, Standards, and Guidelines in a Fortune 500 Organization

George Grispos, William Bradley Glisson|arXiv (Cornell University)|Jun 11, 2013
Cloud Data Security Solutions参考文献 20被引用 24
一句话总结

本文通过分析一家财富500强企业的1,123份安全文档陈述,调查了其在云计算环境下的安全策略漏洞,发现其中175份不适用于云计算。研究揭示了现有策略中的关键缺陷,并为未来关于企业云计算实施挑战的研究奠定了基础。

ABSTRACT

Cloud computing is quickly becoming pervasive in today's globally integrated networks. The cloud offers organizations opportunities to potentially deploy software and data solutions that are accessible through numerous mechanisms, in a multitude of settings, at a reduced cost with increased reliability and scalability. The increasingly pervasive and ubiquitous nature of the cloud creates an environment that is potentially conducive to security risks. While previous discussions have focused on security and privacy issues in the cloud from the end-users perspective, minimal empirical research has been conducted from the perspective of a corporate environment case study. This paper presents the results of an initial case study identifying real-world information security documentation issues for a Global Fortune 500 organization, should the organization decide to implement cloud computing services in the future. The paper demonstrates the importance of auditing policies, standards and guidelines applicable to cloud computing environments along with highlighting potential corporate concerns. The results from this case study has revealed that from the 1123 'relevant' statements found in the organization's security documentation, 175 statements were considered to be 'inadequate' for cloud computing. Furthermore, the paper provides a foundation for future analysis and research regarding implementation concerns for corporate cloud computing applications and services

研究动机与目标

  • 识别并分析大型企业环境中与云计算相关的现有信息安全策略、标准和指南中的漏洞。
  • 评估现有安全文档在应对云计算采用特有风险方面的充分性。
  • 突出政策制定中的系统性问题,这些问题是企业环境中安全云计算部署的障碍。
  • 为未来关于企业云计算实施挑战与政策改进的研究提供基础。

提出的方法

  • 对一家全球财富500强企业的安全文档进行案例研究分析。
  • 从该企业的安全文档中识别并提取了1,123条被认为与云计算相关的陈述。
  • 使用预设标准,评估每条陈述在应对云计算特定安全需求方面的充分性。
  • 若某条陈述未能涵盖关键的云计算安全控制、合规性或风险管理方面,则将其归类为“不充分”。
  • 采用定性与定量分析相结合的方法,对缺陷进行分类,并评估其对云计算采用的影响。
  • 提供一个用于审计和改进安全策略的框架,以应对云计算迁移。

实验结果

研究问题

  • RQ1现有企业安全策略、标准和指南在多大程度上解决了云计算的特有风险?
  • RQ2在应用于云计算环境时,当前信息安全文档中存在哪些具体缺陷?
  • RQ3大型企业中的政策漏洞如何阻碍安全的云计算采用与合规?
  • RQ4在政策制定中,哪些关键领域需要修订以实现云计算就绪?
  • RQ5实证案例研究如何能为开发更健全的云计算安全策略框架提供支持?

主要发现

  • 在1,123条相关安全陈述中,有175条被归类为不适用于云计算环境。
  • 大多数不充分的陈述在访问控制、数据驻留和第三方风险管理方面缺乏具体性。
  • 许多政策未能涵盖共享责任模型、合规性框架遵守或云计算部署中的加密标准。
  • 研究揭示了传统本地部署安全策略与云原生架构需求之间存在显著脱节。
  • 现有文档中明显缺乏关于云环境中监控、日志记录和事件响应的指导。
  • 研究结果强调了政策现代化的紧迫性,以支持大型企业安全且合规的云计算采用。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。