[发明专利]一种云计算系统安全性评估方法及装置在审

专利信息
申请号: 201610196547.2 申请日: 2016-03-31
公开(公告)号: CN107292174A 公开(公告)日: 2017-10-24
发明(设计)人: 王辰;雷璟;徐心毅;焦栋;敖乃翔;张纬栋;李志鹏;姜雅文;郭静 申请(专利权)人: 中国电子科技集团公司电子科学研究院
主分类号: G06F21/57 分类号: G06F21/57
代理公司: 工业和信息化部电子专利中心11010 代理人: 田卫平
地址: 100041 *** 国省代码: 北京;11
权利要求书: 查看更多 说明书: 查看更多
摘要:
搜索关键词: 一种 计算 系统 安全性 评估 方法 装置
【说明书】:

技术领域

发明涉及云计算技术领域,尤其涉及一种云计算系统安全性评估方法及装置。

背景技术

目前现有的云计算中的信息安全风险评估方法,包含有从云计算服务提供商和使用云计算服务的客户两个角度进行云计算系统安全性评估的过程。

1.服务提供商角度的云计算安全性评估

从服务提供商角度即从云计算系统整体角度来进行信息安全风险评估,目前评估方法以传统信息安全风险评估的流程进行,将风险评估分为安全风险评估准备阶段、资产识别阶段、脆弱性识别阶段、威胁识别阶段、已有安全措施识别阶段、风险分析与和风险报告阶段和综合风险等级阶段共七个阶段。

其中脆弱性识别阶段中提出的云计算脆弱性识别包括技术脆弱性和管理脆弱性。技术脆弱性方面参考等级保护基本要求中的技术要求内容,主要包括物理环境安全、网络安全、主机安全、应用安全、和数据安全。管理脆弱性方面参考信息安全管理体系,重点关注云计算组织与普通组织的差别,针对其特点进行特殊关注。

2.客户角度的云计算安全性评估

从客户角度对云计算安全性评估的关注点主要在数据流入云和流出云的接口处。从客户角度的信息安全风险评估方法主要参考软件测试中的黑盒测试理念,将服务端看作一个黑盒子,只对黑盒子开口处的安全风险进行评估。

目前云计算系统安全性评估中仅对脆弱性识别阶段提出了安全评估方法, 没有结合云计算自身特点,也没有细节化的评估方案。同时目前云计算系统安全性评估仅提出云计算安全风险评估思路,没有具体技术实现方案。

发明内容

本发明要解决的技术问题是,提供一种云计算系统安全性评估方法及装置,克服现有的云计算系统安全性评估方法缺乏具体实现方案的缺陷。

本发明采用的技术方案是,所述云计算系统安全性评估方法,包括:

步骤一,建立云计算系统安全性评估指标,并对被评估目标云计算系统的安全性评估指标分配相应的权重;所述云计算系统安全性评估指标包括:第一级安全性评估指标的集合、第二级安全性评估指标的集合和第三级安全性评估指标的集合;

步骤二,计算第三级安全性评估指标的评分,基于所述被评估目标云计算系统的安全性评估指标的权重,对第三级安全性评估指标的评分进行加权平均得到第二级安全性评估指标的评分;基于第二级安全性评估指标的权重,对所述第二级安全性评估指标的评分进行加权平均得到所述第一级安全性评估指标的评分;所述第一安级全性评估指标的评分即为被评估目标云计算系统安全性评分;

步骤三,通过所述被评估目标云计算系统安全性评分与预设的安全性评估标准对比,得到被评估目标云计算系统安全性评估结论;

所述第一级安全性评估指标的集合包括:技术要求评估指标;

其中,所述技术要求评估指标的评分由以下第二级安全性评估指标的评分加权平均得到:IaaS评估指标、PaaS评估指标、SaaS评估指标和共有安全评估指标;

所述IaaS评估指标的评分由以下第三级安全性评估指标的评分加权平均得到:物理与环境安全、网络安全、主机系统安全、虚拟化安全和存储安全;

所述PaaS评估指标的评分由以下第三级安全性评估指标的评分加权平均得 到:运行安全、接口安全和系统安全;

所述SaaS评估指标的评分由以下第三级安全性评估指标的评分加权平均得到:应用安全和信息安全;

所述安全评估指标的评分由以下第三级安全性评估指标的评分加权平均得到:数据安全和备份恢复与数据移植。

进一步的,步骤二中,所述分配云计算系统安全性评估指标权重,包括:

若所述被评估云计算系统的各安全性评估指标之间相互独立,则根据反复云计算系统安全实验和云计算系统仿真安全实验结果,分配所述云计算系统安全性评估指标权重;

若所述被评估云计算系统的各安全性评估指标之间不相互独立,则通过网络分析法分配所述云计算系统安全性评估指标权重。

进一步的,所述计算第三级安全性评估指标的评分,包括:

通过监视所述被评估目标云计算系统的网络接口,获得被评估目标云计算系统的源数据;

根据所述被评估目标云计算系统的源数据,计算所述云计算系统安全性评估指标的第三级安全性评估指标的评分;所述被评估目标云计算系统的源数据类型包括布尔型、整数和小数;

其中,所述布尔型的数值直接转化为0或1的分值;其它类型的数据则根据预设的云计算系统安全性评估指标统计数据区间进行线性或非线性映射求得0至1之间的分值;

下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。

该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国电子科技集团公司电子科学研究院,未经中国电子科技集团公司电子科学研究院许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服

本文链接:http://www.vipzhuanli.com/pat/books/201610196547.2/2.html,转载请声明来源钻瓜专利网。

×

专利文献下载

说明:

1、专利原文基于中国国家知识产权局专利说明书;

2、支持发明专利 、实用新型专利、外观设计专利(升级中);

3、专利数据每周两次同步更新,支持Adobe PDF格式;

4、内容包括专利技术的结构示意图流程工艺图技术构造图

5、已全新升级为极速版,下载速度显著提升!欢迎使用!

请您登陆后,进行下载,点击【登陆】 【注册】

关于我们 寻求报道 投稿须知 广告合作 版权声明 网站地图 友情链接 企业标识 联系我们

钻瓜专利网在线咨询

周一至周五 9:00-18:00

咨询在线客服咨询在线客服
tel code back_top