[发明专利]一种云计算系统安全性评估方法及装置

说明书

技术领域

本发明涉及云计算技术领域，尤其涉及一种云计算系统安全性评估方法及装置。

背景技术

目前现有的云计算中的信息安全风险评估方法，包含有从云计算服务提供商和使用云计算服务的客户两个角度进行云计算系统安全性评估的过程。

1.服务提供商角度的云计算安全性评估

从服务提供商角度即从云计算系统整体角度来进行信息安全风险评估，目前评估方法以传统信息安全风险评估的流程进行，将风险评估分为安全风险评估准备阶段、资产识别阶段、脆弱性识别阶段、威胁识别阶段、已有安全措施识别阶段、风险分析与和风险报告阶段和综合风险等级阶段共七个阶段。

其中脆弱性识别阶段中提出的云计算脆弱性识别包括技术脆弱性和管理脆弱性。技术脆弱性方面参考等级保护基本要求中的技术要求内容，主要包括物理环境安全、网络安全、主机安全、应用安全、和数据安全。管理脆弱性方面参考信息安全管理体系，重点关注云计算组织与普通组织的差别，针对其特点进行特殊关注。

2.客户角度的云计算安全性评估

从客户角度对云计算安全性评估的关注点主要在数据流入云和流出云的接口处。从客户角度的信息安全风险评估方法主要参考软件测试中的黑盒测试理念，将服务端看作一个黑盒子，只对黑盒子开口处的安全风险进行评估。

目前云计算系统安全性评估中仅对脆弱性识别阶段提出了安全评估方法， 没有结合云计算自身特点，也没有细节化的评估方案。同时目前云计算系统安全性评估仅提出云计算安全风险评估思路，没有具体技术实现方案。

发明内容

本发明要解决的技术问题是，提供一种云计算系统安全性评估方法及装置，克服现有的云计算系统安全性评估方法缺乏具体实现方案的缺陷。

本发明采用的技术方案是，所述云计算系统安全性评估方法，包括：

步骤一，建立云计算系统安全性评估指标，并对被评估目标云计算系统的安全性评估指标分配相应的权重；所述云计算系统安全性评估指标包括：第一级安全性评估指标的集合、第二级安全性评估指标的集合和第三级安全性评估指标的集合；

步骤二，计算第三级安全性评估指标的评分，基于所述被评估目标云计算系统的安全性评估指标的权重，对第三级安全性评估指标的评分进行加权平均得到第二级安全性评估指标的评分；基于第二级安全性评估指标的权重，对所述第二级安全性评估指标的评分进行加权平均得到所述第一级安全性评估指标的评分；所述第一安级全性评估指标的评分即为被评估目标云计算系统安全性评分；

步骤三，通过所述被评估目标云计算系统安全性评分与预设的安全性评估标准对比，得到被评估目标云计算系统安全性评估结论；

所述第一级安全性评估指标的集合包括：技术要求评估指标；

其中，所述技术要求评估指标的评分由以下第二级安全性评估指标的评分加权平均得到：IaaS评估指标、PaaS评估指标、SaaS评估指标和共有安全评估指标；

所述IaaS评估指标的评分由以下第三级安全性评估指标的评分加权平均得到：物理与环境安全、网络安全、主机系统安全、虚拟化安全和存储安全；

所述PaaS评估指标的评分由以下第三级安全性评估指标的评分加权平均得 到：运行安全、接口安全和系统安全；

所述SaaS评估指标的评分由以下第三级安全性评估指标的评分加权平均得到：应用安全和信息安全；

所述安全评估指标的评分由以下第三级安全性评估指标的评分加权平均得到：数据安全和备份恢复与数据移植。

进一步的，步骤二中，所述分配云计算系统安全性评估指标权重，包括：

若所述被评估云计算系统的各安全性评估指标之间相互独立，则根据反复云计算系统安全实验和云计算系统仿真安全实验结果，分配所述云计算系统安全性评估指标权重；

若所述被评估云计算系统的各安全性评估指标之间不相互独立，则通过网络分析法分配所述云计算系统安全性评估指标权重。

进一步的，所述计算第三级安全性评估指标的评分，包括：

通过监视所述被评估目标云计算系统的网络接口，获得被评估目标云计算系统的源数据；

根据所述被评估目标云计算系统的源数据，计算所述云计算系统安全性评估指标的第三级安全性评估指标的评分；所述被评估目标云计算系统的源数据类型包括布尔型、整数和小数；

其中，所述布尔型的数值直接转化为0或1的分值；其它类型的数据则根据预设的云计算系统安全性评估指标统计数据区间进行线性或非线性映射求得0至1之间的分值；