本發(fā)明涉及云計(jì)算技術(shù)領(lǐng)域,尤其涉及一種云計(jì)算系統(tǒng)安全性評估方法及裝置。
背景技術(shù):
目前現(xiàn)有的云計(jì)算中的信息安全風(fēng)險(xiǎn)評估方法,包含有從云計(jì)算服務(wù)提供商和使用云計(jì)算服務(wù)的客戶兩個(gè)角度進(jìn)行云計(jì)算系統(tǒng)安全性評估的過程。
1.服務(wù)提供商角度的云計(jì)算安全性評估
從服務(wù)提供商角度即從云計(jì)算系統(tǒng)整體角度來進(jìn)行信息安全風(fēng)險(xiǎn)評估,目前評估方法以傳統(tǒng)信息安全風(fēng)險(xiǎn)評估的流程進(jìn)行,將風(fēng)險(xiǎn)評估分為安全風(fēng)險(xiǎn)評估準(zhǔn)備階段、資產(chǎn)識別階段、脆弱性識別階段、威脅識別階段、已有安全措施識別階段、風(fēng)險(xiǎn)分析與和風(fēng)險(xiǎn)報(bào)告階段和綜合風(fēng)險(xiǎn)等級階段共七個(gè)階段。
其中脆弱性識別階段中提出的云計(jì)算脆弱性識別包括技術(shù)脆弱性和管理脆弱性。技術(shù)脆弱性方面參考等級保護(hù)基本要求中的技術(shù)要求內(nèi)容,主要包括物理環(huán)境安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、和數(shù)據(jù)安全。管理脆弱性方面參考信息安全管理體系,重點(diǎn)關(guān)注云計(jì)算組織與普通組織的差別,針對其特點(diǎn)進(jìn)行特殊關(guān)注。
2.客戶角度的云計(jì)算安全性評估
從客戶角度對云計(jì)算安全性評估的關(guān)注點(diǎn)主要在數(shù)據(jù)流入云和流出云的接口處。從客戶角度的信息安全風(fēng)險(xiǎn)評估方法主要參考軟件測試中的黑盒測試?yán)砟?,將服?wù)端看作一個(gè)黑盒子,只對黑盒子開口處的安全風(fēng)險(xiǎn)進(jìn)行評估。
目前云計(jì)算系統(tǒng)安全性評估中僅對脆弱性識別階段提出了安全評估方法, 沒有結(jié)合云計(jì)算自身特點(diǎn),也沒有細(xì)節(jié)化的評估方案。同時(shí)目前云計(jì)算系統(tǒng)安全性評估僅提出云計(jì)算安全風(fēng)險(xiǎn)評估思路,沒有具體技術(shù)實(shí)現(xiàn)方案。
技術(shù)實(shí)現(xiàn)要素:
本發(fā)明要解決的技術(shù)問題是,提供一種云計(jì)算系統(tǒng)安全性評估方法及裝置,克服現(xiàn)有的云計(jì)算系統(tǒng)安全性評估方法缺乏具體實(shí)現(xiàn)方案的缺陷。
本發(fā)明采用的技術(shù)方案是,所述云計(jì)算系統(tǒng)安全性評估方法,包括:
步驟一,建立云計(jì)算系統(tǒng)安全性評估指標(biāo),并對被評估目標(biāo)云計(jì)算系統(tǒng)的安全性評估指標(biāo)分配相應(yīng)的權(quán)重;所述云計(jì)算系統(tǒng)安全性評估指標(biāo)包括:第一級安全性評估指標(biāo)的集合、第二級安全性評估指標(biāo)的集合和第三級安全性評估指標(biāo)的集合;
步驟二,計(jì)算第三級安全性評估指標(biāo)的評分,基于所述被評估目標(biāo)云計(jì)算系統(tǒng)的安全性評估指標(biāo)的權(quán)重,對第三級安全性評估指標(biāo)的評分進(jìn)行加權(quán)平均得到第二級安全性評估指標(biāo)的評分;基于第二級安全性評估指標(biāo)的權(quán)重,對所述第二級安全性評估指標(biāo)的評分進(jìn)行加權(quán)平均得到所述第一級安全性評估指標(biāo)的評分;所述第一安級全性評估指標(biāo)的評分即為被評估目標(biāo)云計(jì)算系統(tǒng)安全性評分;
步驟三,通過所述被評估目標(biāo)云計(jì)算系統(tǒng)安全性評分與預(yù)設(shè)的安全性評估標(biāo)準(zhǔn)對比,得到被評估目標(biāo)云計(jì)算系統(tǒng)安全性評估結(jié)論;
所述第一級安全性評估指標(biāo)的集合包括:技術(shù)要求評估指標(biāo);
其中,所述技術(shù)要求評估指標(biāo)的評分由以下第二級安全性評估指標(biāo)的評分加權(quán)平均得到:iaas評估指標(biāo)、paas評估指標(biāo)、saas評估指標(biāo)和共有安全評估指標(biāo);
所述iaas評估指標(biāo)的評分由以下第三級安全性評估指標(biāo)的評分加權(quán)平均得到:物理與環(huán)境安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、虛擬化安全和存儲(chǔ)安全;
所述paas評估指標(biāo)的評分由以下第三級安全性評估指標(biāo)的評分加權(quán)平均得 到:運(yùn)行安全、接口安全和系統(tǒng)安全;
所述saas評估指標(biāo)的評分由以下第三級安全性評估指標(biāo)的評分加權(quán)平均得到:應(yīng)用安全和信息安全;
所述安全評估指標(biāo)的評分由以下第三級安全性評估指標(biāo)的評分加權(quán)平均得到:數(shù)據(jù)安全和備份恢復(fù)與數(shù)據(jù)移植。
進(jìn)一步的,步驟二中,所述分配云計(jì)算系統(tǒng)安全性評估指標(biāo)權(quán)重,包括:
若所述被評估云計(jì)算系統(tǒng)的各安全性評估指標(biāo)之間相互獨(dú)立,則根據(jù)反復(fù)云計(jì)算系統(tǒng)安全實(shí)驗(yàn)和云計(jì)算系統(tǒng)仿真安全實(shí)驗(yàn)結(jié)果,分配所述云計(jì)算系統(tǒng)安全性評估指標(biāo)權(quán)重;
若所述被評估云計(jì)算系統(tǒng)的各安全性評估指標(biāo)之間不相互獨(dú)立,則通過網(wǎng)絡(luò)分析法分配所述云計(jì)算系統(tǒng)安全性評估指標(biāo)權(quán)重。
進(jìn)一步的,所述計(jì)算第三級安全性評估指標(biāo)的評分,包括:
通過監(jiān)視所述被評估目標(biāo)云計(jì)算系統(tǒng)的網(wǎng)絡(luò)接口,獲得被評估目標(biāo)云計(jì)算系統(tǒng)的源數(shù)據(jù);
根據(jù)所述被評估目標(biāo)云計(jì)算系統(tǒng)的源數(shù)據(jù),計(jì)算所述云計(jì)算系統(tǒng)安全性評估指標(biāo)的第三級安全性評估指標(biāo)的評分;所述被評估目標(biāo)云計(jì)算系統(tǒng)的源數(shù)據(jù)類型包括布爾型、整數(shù)和小數(shù);
其中,所述布爾型的數(shù)值直接轉(zhuǎn)化為0或1的分值;其它類型的數(shù)據(jù)則根據(jù)預(yù)設(shè)的云計(jì)算系統(tǒng)安全性評估指標(biāo)統(tǒng)計(jì)數(shù)據(jù)區(qū)間進(jìn)行線性或非線性映射求得0至1之間的分值;
根據(jù)所述源數(shù)據(jù)與所述第三安全性評估指標(biāo)之間的映射關(guān)系,計(jì)算所述第三級安全性評估指標(biāo)的評分:
若所述第三級安全性評估指標(biāo)為預(yù)設(shè)的關(guān)鍵指標(biāo),則所述第三級安全性評估指標(biāo)評分為第三級安全性評估指標(biāo)的相關(guān)源數(shù)據(jù)中的最低分值;
若與所述第三級安全性評估指標(biāo)相關(guān)的源數(shù)據(jù)的重要等級相同,則所述第三級安全性評估指標(biāo)評分為所述第三級安全性評估指標(biāo)的相關(guān)源數(shù)據(jù)分值的算 術(shù)平均值;
若與所述第三級安全性評估指標(biāo)相關(guān)的源數(shù)據(jù)的重要等級不相同,則根據(jù)預(yù)設(shè)的源數(shù)據(jù)權(quán)值,對所述第三級安全性評估指標(biāo)得相關(guān)源數(shù)據(jù)分值通過加權(quán)平均算法計(jì)算所述第三級安全性評估指標(biāo)評分。
進(jìn)一步的,所述預(yù)設(shè)的安全性評估標(biāo)準(zhǔn),包括:
第一安全性評估標(biāo)準(zhǔn)安全等級分值范圍:0分~60分,所述第一安全性評估標(biāo)準(zhǔn)安全等級對應(yīng)的預(yù)設(shè)安全性評估結(jié)論為安全等級不符合標(biāo)準(zhǔn);
第二安全性評估標(biāo)準(zhǔn)安全等級分值范圍:61分~70分,所述第二安全性評估標(biāo)準(zhǔn)安全等級對應(yīng)的預(yù)設(shè)安全性評估結(jié)論為安全等級較低;
第三安全性評估標(biāo)準(zhǔn)安全等級分值范圍:71分~80分,所述第三安全性評估標(biāo)準(zhǔn)安全等級對應(yīng)的預(yù)設(shè)安全性評估結(jié)論為安全等級較高;
第四安全性評估標(biāo)準(zhǔn)安全等級分值范圍:81分~90分,所述第四安全性評估標(biāo)準(zhǔn)安全等級對應(yīng)的預(yù)設(shè)安全性評估結(jié)論為安全等級高;
第五安全性評估標(biāo)準(zhǔn)安全等級分值范圍:91分~100分,所述第五安全性評估標(biāo)準(zhǔn)安全等級對應(yīng)的預(yù)設(shè)安全性評估結(jié)論為安全等級非常高;
所述步驟三,具體包括:通過所述被評估目標(biāo)云計(jì)算系統(tǒng)安全性評分與所述預(yù)設(shè)的安全性評估標(biāo)準(zhǔn)匹配,若所述被評估目標(biāo)云計(jì)算系統(tǒng)安全性評分在對應(yīng)的安全性評估標(biāo)準(zhǔn)安全等級分值范圍內(nèi),則安全性評估標(biāo)準(zhǔn)安全等級對應(yīng)的預(yù)設(shè)安全性評估結(jié)論即為所述被評估目標(biāo)云計(jì)算系統(tǒng)安全性評估結(jié)論。
進(jìn)一步的,還包括:
根據(jù)所述安全性評估指標(biāo)評分與所述云計(jì)算系統(tǒng)評估指標(biāo)的映射關(guān)系,若所述安全性評估指標(biāo)評分低于預(yù)設(shè)的云計(jì)算系統(tǒng)安全性評估指標(biāo)標(biāo)準(zhǔn),則所述云計(jì)算系統(tǒng)安全性評估指標(biāo)評分對應(yīng)的所述云計(jì)算系統(tǒng)評估指標(biāo)為所述被評估目標(biāo)云計(jì)算系統(tǒng)存在的脆弱點(diǎn);通過所述脆弱點(diǎn)對應(yīng)的預(yù)設(shè)整改措施對所述脆弱點(diǎn)進(jìn)行整改。
進(jìn)一步的,還包括:基于所述被評估目標(biāo)云計(jì)算系統(tǒng)安全性評估的安全性評分,構(gòu)建云計(jì)算系統(tǒng)安全性評估知識庫;
當(dāng)計(jì)算所有安全性評估指標(biāo)評分時(shí),將所述所有安全性評估指標(biāo)評分記錄到所述云計(jì)算系統(tǒng)安全性評估知識庫中,所述云計(jì)算系統(tǒng)安全性評估知識庫在所述安全性評估指標(biāo)評分計(jì)算過程中不斷更新所有安全性評估指標(biāo)評分,為后續(xù)云計(jì)算系統(tǒng)安全性評估做知識積累。
本發(fā)明還提供一種云計(jì)算系統(tǒng)安全性評估裝置,包括:
評估指標(biāo)模塊,用于建立所述云計(jì)算系統(tǒng)安全性評估指標(biāo),并對所述被評估目標(biāo)云計(jì)算系統(tǒng)的所述安全性評估指標(biāo)分配相應(yīng)的權(quán)重;所述云計(jì)算系統(tǒng)安全性評估指標(biāo)包括:所述第一級安全性評估指標(biāo)的集合、所述第二級安全性評估指標(biāo)的集合和所述第三級安全性評估指標(biāo)的集合;
評估指標(biāo)評分模塊,用于計(jì)算所述第三級安全性評估指標(biāo)的評分,基于所述被評估目標(biāo)云計(jì)算系統(tǒng)的安全性評估指標(biāo)的權(quán)重,對所述第三級安全性評估指標(biāo)的評分進(jìn)行加權(quán)平均得到所述第二級安全性評估指標(biāo)的評分;基于第二級安全性評估指標(biāo)的權(quán)重,對所述第二級安全性評估指標(biāo)的評分進(jìn)行加權(quán)平均得到所述第一級安全性評估指標(biāo)的評分;所述第一安級全性評估指標(biāo)的評分即為被評估目標(biāo)云計(jì)算系統(tǒng)安全性評分;
安全性評估模塊,用于通過所述被評估目標(biāo)云計(jì)算系統(tǒng)安全性評分與預(yù)設(shè)的安全性評估標(biāo)準(zhǔn)對比,得到被評估目標(biāo)云計(jì)算系統(tǒng)安全性評估結(jié)論;
所述第一級安全性評估指標(biāo)的集合包括:技術(shù)要求評估指標(biāo);
其中,所述技術(shù)要求評估指標(biāo)的評分由以下第二級安全性評估指標(biāo)的評分加權(quán)平均得到:iaas評估指標(biāo)、paas評估指標(biāo)、saas評估指標(biāo)和共有安全評估指標(biāo);
所述iaas評估指標(biāo)的評分由以下第三級安全性評估指標(biāo)的評分加權(quán)平均得到:物理與環(huán)境安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、虛擬化安全和存儲(chǔ)安全;
所述paas評估指標(biāo)的評分由以下第三級安全性評估指標(biāo)的評分加權(quán)平均得 到:運(yùn)行安全、接口安全和系統(tǒng)安全;
所述saas評估指標(biāo)的評分由以下第三級安全性評估指標(biāo)的評分加權(quán)平均得到:應(yīng)用安全和信息安全;
所述共有安全評估指標(biāo)的評分由以下第三級安全性評估指標(biāo)的評分加權(quán)平均得到:數(shù)據(jù)安全和備份恢復(fù)與數(shù)據(jù)移植。
進(jìn)一步的,所述評估指標(biāo)評分模塊,具體用于:
若所述被評估云計(jì)算系統(tǒng)的各安全性評估指標(biāo)之間相互獨(dú)立,則根據(jù)反復(fù)云計(jì)算系統(tǒng)安全實(shí)驗(yàn)和云計(jì)算系統(tǒng)仿真安全實(shí)驗(yàn)結(jié)果,分配所述云計(jì)算系統(tǒng)安全性評估指標(biāo)權(quán)重;
若所述被評估云計(jì)算系統(tǒng)的各安全性評估指標(biāo)之間不相互獨(dú)立,則通過網(wǎng)絡(luò)分析法分配所述云計(jì)算系統(tǒng)安全性評估指標(biāo)權(quán)重。
進(jìn)一步的,所述評估指標(biāo)評分模塊,具體用于:
通過監(jiān)視所述被評估目標(biāo)云計(jì)算系統(tǒng)的網(wǎng)絡(luò)接口,獲得被評估目標(biāo)云計(jì)算系統(tǒng)的源數(shù)據(jù);
根據(jù)所述被評估目標(biāo)云計(jì)算系統(tǒng)的源數(shù)據(jù),計(jì)算所述云計(jì)算系統(tǒng)安全性評估指標(biāo)的第三級安全性評估指標(biāo)的評分;所述被評估目標(biāo)云計(jì)算系統(tǒng)的源數(shù)據(jù)類型包括布爾型、整數(shù)和小數(shù);
其中,所述布爾型的數(shù)值直接轉(zhuǎn)化為0或1的分值;其它類型的數(shù)據(jù)則根據(jù)預(yù)設(shè)的云計(jì)算系統(tǒng)安全性評估指標(biāo)統(tǒng)計(jì)數(shù)據(jù)區(qū)間進(jìn)行線性或非線性映射求得0至1之間的分值;
根據(jù)所述源數(shù)據(jù)與所述第三安全性評估指標(biāo)之間的映射關(guān)系,計(jì)算所述第三級安全性評估指標(biāo)的評分:
若所述第三級安全性評估指標(biāo)為預(yù)設(shè)的關(guān)鍵指標(biāo),則所述第三級安全性評估指標(biāo)評分為第三級安全性評估指標(biāo)的相關(guān)源數(shù)據(jù)中的最低分值;
若與所述第三級安全性評估指標(biāo)相關(guān)的源數(shù)據(jù)的重要等級相同,則所述第三級安全性評估指標(biāo)評分為所述第三級安全性評估指標(biāo)的相關(guān)源數(shù)據(jù)分值的算 術(shù)平均值;
若與所述第三級安全性評估指標(biāo)相關(guān)的源數(shù)據(jù)的重要等級不相同,則根據(jù)預(yù)設(shè)的源數(shù)據(jù)權(quán)值,對所述第三級安全性評估指標(biāo)得相關(guān)源數(shù)據(jù)分值通過加權(quán)平均算法計(jì)算所述第三級安全性評估指標(biāo)評分。
進(jìn)一步的,所述預(yù)設(shè)的安全性評估標(biāo)準(zhǔn),包括:
第一安全性評估標(biāo)準(zhǔn)安全等級分值范圍:0分~60分,所述第一安全性評估標(biāo)準(zhǔn)安全等級對應(yīng)的預(yù)設(shè)安全性評估結(jié)論為安全等級不符合標(biāo)準(zhǔn);
第二安全性評估標(biāo)準(zhǔn)安全等級分值范圍:61分~70分,所述第二安全性評估標(biāo)準(zhǔn)安全等級對應(yīng)的預(yù)設(shè)安全性評估結(jié)論為安全等級較低;
第三安全性評估標(biāo)準(zhǔn)安全等級分值范圍:71分~80分,所述第三安全性評估標(biāo)準(zhǔn)安全等級對應(yīng)的預(yù)設(shè)安全性評估結(jié)論為安全等級較高;
第四安全性評估標(biāo)準(zhǔn)安全等級分值范圍:81分~90分,所述第四安全性評估標(biāo)準(zhǔn)安全等級對應(yīng)的預(yù)設(shè)安全性評估結(jié)論為安全等級高;
第五安全性評估標(biāo)準(zhǔn)安全等級分值范圍:91分~100分,所述第五安全性評估標(biāo)準(zhǔn)安全等級對應(yīng)的預(yù)設(shè)安全性評估結(jié)論為安全等級非常高;
所述安全性評估模塊,具體用于:通過所述被評估目標(biāo)云計(jì)算系統(tǒng)安全性評分與所述預(yù)設(shè)的安全性評估標(biāo)準(zhǔn)匹配,若所述被評估目標(biāo)云計(jì)算系統(tǒng)安全性評分在對應(yīng)的安全性評估標(biāo)準(zhǔn)安全等級分值范圍內(nèi),則安全性評估標(biāo)準(zhǔn)安全等級對應(yīng)的預(yù)設(shè)安全性評估結(jié)論即為所述被評估目標(biāo)云計(jì)算系統(tǒng)安全性評估結(jié)論。
進(jìn)一步的,所述安全性評估模塊,還用于:
根據(jù)所述安全性評估指標(biāo)評分與所述云計(jì)算系統(tǒng)評估指標(biāo)的映射關(guān)系,若所述安全性評估指標(biāo)評分低于預(yù)設(shè)的云計(jì)算系統(tǒng)安全性評估指標(biāo)標(biāo)準(zhǔn),則所述云計(jì)算系統(tǒng)安全性評估指標(biāo)評分對應(yīng)的所述云計(jì)算系統(tǒng)評估指標(biāo)為所述被評估目標(biāo)云計(jì)算系統(tǒng)存在的脆弱點(diǎn);對所述脆弱點(diǎn)對應(yīng)的預(yù)設(shè)整改措施進(jìn)行整改。
進(jìn)一步的,所述裝置,還包括:
知識庫模塊,用于基于所述被評估目標(biāo)云計(jì)算系統(tǒng)安全性評估的安全性評 分,構(gòu)建云計(jì)算系統(tǒng)安全性評估知識庫;
當(dāng)計(jì)算所有安全性評估指標(biāo)評分時(shí),將所述所有安全性評估指標(biāo)評分記錄到所述云計(jì)算系統(tǒng)安全性評估知識庫中,所述云計(jì)算系統(tǒng)安全性評估知識庫在所述安全性評估指標(biāo)評分計(jì)算過程中不斷更新所有安全性評估指標(biāo)評分,為后續(xù)云計(jì)算系統(tǒng)安全性評估做知識積累。
采用上述技術(shù)方案,本發(fā)明至少具有下列優(yōu)點(diǎn):
本發(fā)明所述云計(jì)算系統(tǒng)安全性評估方法及裝置,建立完善和科學(xué)的云計(jì)算安全評估指標(biāo),適用于不同云計(jì)算平臺中的不同服務(wù)商、開發(fā)商和用戶需求。提出清晰可行的云計(jì)算平臺系統(tǒng)級安全評估技術(shù)實(shí)現(xiàn)方案,有力推進(jìn)高安全云計(jì)算平臺建設(shè)進(jìn)程。
附圖說明
圖1為本發(fā)明第一實(shí)施例的云計(jì)算系統(tǒng)安全性評估方法流程圖;
圖2為本發(fā)明第二實(shí)施例的云計(jì)算系統(tǒng)安全性評估裝置組成結(jié)構(gòu)示意圖;
圖3為本發(fā)明第三實(shí)施例的云計(jì)算系統(tǒng)安全性評估方法流程圖。
具體實(shí)施方式
為更進(jìn)一步闡述本發(fā)明為達(dá)成預(yù)定目的所采取的技術(shù)手段及功效,以下結(jié)合附圖及較佳實(shí)施例,對本發(fā)明進(jìn)行詳細(xì)說明如后。
本發(fā)明第一實(shí)施例,一種云計(jì)算系統(tǒng)安全性評估方法,如圖1所示,包括以下具體步驟:
步驟s101,建立云計(jì)算系統(tǒng)安全性評估指標(biāo),并對被評估目標(biāo)云計(jì)算系統(tǒng)的安全性評估指標(biāo)分配相應(yīng)的權(quán)重;所述云計(jì)算系統(tǒng)安全性評估指標(biāo)包括:第一級安全性評估指標(biāo)的集合、第二級安全性評估指標(biāo)的集合和第三級安全性評估指標(biāo)的集合。
具體的,步驟s101,包括:
云計(jì)算系統(tǒng)安全性評估指標(biāo),包括第一級安全性評估指標(biāo)的集合:技術(shù)要求評估指標(biāo)。
其中,技術(shù)要求評估指標(biāo)的評分由以下第二級安全性評估指標(biāo)的評分加權(quán)平均得到:iaas評估指標(biāo)、paas評估指標(biāo)、saas評估指標(biāo)和共有安全評估指標(biāo)。
iaas評估指標(biāo)的評分由以下第三級安全性評估指標(biāo)的評分加權(quán)平均得到:物理與環(huán)境安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、虛擬化安全和存儲(chǔ)安全;
paas評估指標(biāo)的評分由以下第三級安全性評估指標(biāo)的評分加權(quán)平均得到:運(yùn)行安全、接口安全和系統(tǒng)安全;
saas評估指標(biāo)的評分由以下第三級安全性評估指標(biāo)的評分加權(quán)平均得到:應(yīng)用安全和信息安全。
共有安全評估指標(biāo)的評分由以下第三級安全性評估指標(biāo)的評分加權(quán)平均得到:數(shù)據(jù)安全和備份恢復(fù)與數(shù)據(jù)移植。
根據(jù)被評估目標(biāo)云計(jì)算系統(tǒng)安全要求,分配云計(jì)算系統(tǒng)安全性評估指標(biāo)權(quán)重。
若被評估云計(jì)算系統(tǒng)的各安全性評估指標(biāo)之間相互獨(dú)立,則根據(jù)反復(fù)云計(jì)算系統(tǒng)安全實(shí)驗(yàn)和云計(jì)算系統(tǒng)仿真安全實(shí)驗(yàn)結(jié)果,分配云計(jì)算系統(tǒng)安全性評估指標(biāo)權(quán)重;
若被評估云計(jì)算系統(tǒng)的各安全性評估指標(biāo)之間不相互獨(dú)立,則通過網(wǎng)絡(luò)分析法(networkanalysis,anp)分配云計(jì)算系統(tǒng)安全性評估指標(biāo)權(quán)重。
其中,網(wǎng)絡(luò)分析法是層次分析法(analytichierarchyprocess,ahp)的新發(fā)展,網(wǎng)絡(luò)分析法可以更好地處理指標(biāo)間的相關(guān)性,比層次分析法更合理,更準(zhǔn)確可靠。網(wǎng)絡(luò)分析法為現(xiàn)有技術(shù),在此不做贅述。
步驟s102,計(jì)算第三級安全性評估指標(biāo)的評分,基于被評估目標(biāo)云計(jì)算系統(tǒng)的安全性評估指標(biāo)的權(quán)重,對第三級安全性評估指標(biāo)的評分進(jìn)行加權(quán)平均得到第二級安全性評估指標(biāo)的評分;基于第二級安全性評估指標(biāo)的權(quán)重,對第二 級安全性評估指標(biāo)的評分進(jìn)行加權(quán)平均得到第一級安全性評估指標(biāo)的評分;第一安級全性評估指標(biāo)的評分即為被評估目標(biāo)云計(jì)算系統(tǒng)安全性評分。
具體的,步驟s102,包括:
通過監(jiān)視被評估目標(biāo)云計(jì)算系統(tǒng)的網(wǎng)絡(luò)接口,獲得被評估目標(biāo)云計(jì)算系統(tǒng)的源數(shù)據(jù);
根據(jù)被評估目標(biāo)云計(jì)算系統(tǒng)的源數(shù)據(jù),計(jì)算云計(jì)算系統(tǒng)安全性評估指標(biāo)系的第三級安全性評估指標(biāo)的評分;被評估目標(biāo)云計(jì)算系統(tǒng)的源數(shù)據(jù)類型包括布爾型、整數(shù)和小數(shù);
其中,布爾型的數(shù)值直接轉(zhuǎn)化為0或1的分值;其它類型的數(shù)據(jù)則根據(jù)預(yù)設(shè)的云計(jì)算系統(tǒng)安全性評估指標(biāo)統(tǒng)計(jì)數(shù)據(jù)區(qū)間進(jìn)行線性或非線性映射求得0至1之間的分值;
根據(jù)源數(shù)據(jù)與第三級安全性評估指標(biāo)之間的映射關(guān)系,計(jì)算第三級安全性評估指標(biāo)的評分:
若第三級安全性評估指標(biāo)為預(yù)設(shè)的關(guān)鍵指標(biāo),則第三級安全性評估指標(biāo)評分為第三級安全性評估指標(biāo)的相關(guān)源數(shù)據(jù)中的最低分值;
若與第三級安全性評估指標(biāo)相關(guān)的源數(shù)據(jù)的重要等級相同,則第三級安全性評估指標(biāo)評分為第三級安全性評估指標(biāo)的相關(guān)源數(shù)據(jù)分值的算術(shù)平均值;
若與第三級安全性評估指標(biāo)相關(guān)的源數(shù)據(jù)的重要等級不相同,則根據(jù)預(yù)設(shè)的源數(shù)據(jù)權(quán)值,對第三級安全性評估指標(biāo)得相關(guān)源數(shù)據(jù)分值通過加權(quán)平均算法計(jì)算第三級安全性評估指標(biāo)評分。
步驟s103,通過被評估目標(biāo)云計(jì)算系統(tǒng)安全性評分與預(yù)設(shè)的安全性評估標(biāo)準(zhǔn)對比,得到被評估目標(biāo)云計(jì)算系統(tǒng)安全性評估結(jié)論。
具體的,步驟s103,包括:
通過被評估目標(biāo)云計(jì)算系統(tǒng)安全性評估的安全性評分與預(yù)設(shè)的安全性評估標(biāo)準(zhǔn)對比,生成被評估目標(biāo)云計(jì)算系統(tǒng)安全性評估結(jié)論。
通過被評估目標(biāo)云計(jì)算系統(tǒng)安全性評分與預(yù)設(shè)的安全性評估標(biāo)準(zhǔn)匹配,若 被評估目標(biāo)云計(jì)算系統(tǒng)安全性評分在對應(yīng)的安全性評估標(biāo)準(zhǔn)安全等級分值范圍內(nèi),則安全性評估標(biāo)準(zhǔn)安全等級對應(yīng)的預(yù)設(shè)安全性評估結(jié)論即為被評估目標(biāo)云計(jì)算系統(tǒng)安全性評估結(jié)論。形成最終的系統(tǒng)級安全評估報(bào)告。
其中,預(yù)設(shè)的安全性評估標(biāo)準(zhǔn)為:
第一安全性評估標(biāo)準(zhǔn)安全等級分值范圍:0分~60分,第一安全性評估標(biāo)準(zhǔn)安全等級對應(yīng)的預(yù)設(shè)安全性評估結(jié)論為安全等級不符合標(biāo)準(zhǔn);
第二安全性評估標(biāo)準(zhǔn)安全等級分值范圍:61分~70分,第二安全性評估標(biāo)準(zhǔn)安全等級對應(yīng)的預(yù)設(shè)安全性評估結(jié)論為安全等級較低;
第三安全性評估標(biāo)準(zhǔn)安全等級分值范圍:71分~80分,第三安全性評估標(biāo)準(zhǔn)安全等級對應(yīng)的預(yù)設(shè)安全性評估結(jié)論為安全等級較高;
第四安全性評估標(biāo)準(zhǔn)安全等級分值范圍:81分~90分,第四安全性評估標(biāo)準(zhǔn)安全等級對應(yīng)的預(yù)設(shè)安全性評估結(jié)論為安全等級高;
第五安全性評估標(biāo)準(zhǔn)安全等級分值范圍:91分~100分,第五安全性評估標(biāo)準(zhǔn)安全等級對應(yīng)的預(yù)設(shè)安全性評估結(jié)論為安全等級非常高。
根據(jù)安全性評估指標(biāo)評分與云計(jì)算系統(tǒng)評估指標(biāo)的映射關(guān)系,若安全性評估指標(biāo)評分低于預(yù)設(shè)的云計(jì)算系統(tǒng)安全性評估指標(biāo)標(biāo)準(zhǔn),則云計(jì)算系統(tǒng)安全性評估指標(biāo)評分對應(yīng)的云計(jì)算系統(tǒng)評估指標(biāo)為被評估目標(biāo)云計(jì)算系統(tǒng)存在的脆弱點(diǎn);通過脆弱點(diǎn)對應(yīng)的預(yù)設(shè)整改措施對對脆弱點(diǎn)進(jìn)行整改。
當(dāng)計(jì)算所有安全性評估指標(biāo)評分時(shí),將所有安全性評估指標(biāo)評分記錄到云計(jì)算系統(tǒng)安全性評估知識庫中,云計(jì)算系統(tǒng)安全性評估知識庫在安全性評估指標(biāo)評分計(jì)算過程中不斷更新所有安全性評估指標(biāo)評分,為后續(xù)云計(jì)算系統(tǒng)安全性評估做知識積累。
本發(fā)明第二實(shí)施例,一種云計(jì)算系統(tǒng)安全性評估裝置,如圖2所示,包括以下組成部分:
評估指標(biāo)模塊100,用于建立云計(jì)算系統(tǒng)安全性評估指標(biāo),并對被評估目標(biāo)云計(jì)算系統(tǒng)的安全性評估指標(biāo)分配相應(yīng)的權(quán)重;云計(jì)算系統(tǒng)安全性評估指標(biāo)包 括:第一級安全性評估指標(biāo)的集合、第二級安全性評估指標(biāo)的集合和第三級安全性評估指標(biāo)的集合。
若被評估云計(jì)算系統(tǒng)的各安全性評估指標(biāo)之間相互獨(dú)立,則根據(jù)反復(fù)云計(jì)算系統(tǒng)安全實(shí)驗(yàn)和云計(jì)算系統(tǒng)仿真安全實(shí)驗(yàn)結(jié)果,分配云計(jì)算系統(tǒng)安全性評估指標(biāo)權(quán)重;
若被評估云計(jì)算系統(tǒng)的各安全性評估指標(biāo)之間不相互獨(dú)立,則通過網(wǎng)絡(luò)分析法分配云計(jì)算系統(tǒng)安全性評估指標(biāo)權(quán)重。
第一級安全性評估指標(biāo)的集合包括:技術(shù)要求評估指標(biāo)。
其中,技術(shù)要求評估指標(biāo)的評分由以下第二級安全性評估指標(biāo)的評分加權(quán)平均得到:iaas評估指標(biāo)、paas評估指標(biāo)、saas評估指標(biāo)和共有安全評估指標(biāo)。
iaas評估指標(biāo)的評分由以下第三級安全性評估指標(biāo)的評分加權(quán)平均得到:物理與環(huán)境安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、虛擬化安全和存儲(chǔ)安全;
paas評估指標(biāo)的評分由以下第三級安全性評估指標(biāo)的評分加權(quán)平均得到:運(yùn)行安全、接口安全和系統(tǒng)安全;
saas評估指標(biāo)的評分由以下第三級安全性評估指標(biāo)的評分加權(quán)平均得到:應(yīng)用安全和信息安全。
共有安全評估指標(biāo)的評分由以下第三級安全性評估指標(biāo)的評分加權(quán)平均得到:數(shù)據(jù)安全和備份恢復(fù)與數(shù)據(jù)移植。
評估指標(biāo)評分模塊200,用于計(jì)算第三級安全性評估指標(biāo)的評分,基于被評估目標(biāo)云計(jì)算系統(tǒng)的安全性評估指標(biāo)的權(quán)重,對第三級安全性評估指標(biāo)的評分進(jìn)行加權(quán)平均得到第二級安全性評估指標(biāo)的評分;基于第二級安全性評估指標(biāo)的權(quán)重,對第二級安全性評估指標(biāo)的評分進(jìn)行加權(quán)平均得到第一級安全性評估指標(biāo)的評分;第一安級全性評估指標(biāo)的評分即為被評估目標(biāo)云計(jì)算系統(tǒng)安全性評分。
通過監(jiān)視被評估目標(biāo)云計(jì)算系統(tǒng)的網(wǎng)絡(luò)接口,獲得被評估目標(biāo)云計(jì)算系統(tǒng)的源數(shù)據(jù);
根據(jù)被評估目標(biāo)云計(jì)算系統(tǒng)的源數(shù)據(jù),計(jì)算云計(jì)算系統(tǒng)安全性評估指標(biāo)的第三級安全性評估指標(biāo)的評分;被評估目標(biāo)云計(jì)算系統(tǒng)的源數(shù)據(jù)類型包括布爾型、整數(shù)和小數(shù);
其中,布爾型的數(shù)值直接轉(zhuǎn)化為0或1的分值;其它類型的數(shù)據(jù)則根據(jù)預(yù)設(shè)的云計(jì)算系統(tǒng)安全性評估指標(biāo)統(tǒng)計(jì)數(shù)據(jù)區(qū)間進(jìn)行線性或非線性映射求得0至1之間的分值;
根據(jù)源數(shù)據(jù)與第三安全性評估指標(biāo)之間的映射關(guān)系,計(jì)算第三級安全性評估指標(biāo)的評分:
若第三級安全性評估指標(biāo)為預(yù)設(shè)的關(guān)鍵指標(biāo),則第三級安全性評估指標(biāo)評分為第三級安全性評估指標(biāo)的相關(guān)源數(shù)據(jù)中的最低分值;
若與第三級安全性評估指標(biāo)相關(guān)的源數(shù)據(jù)的重要等級相同,則第三級安全性評估指標(biāo)評分為第三級安全性評估指標(biāo)的相關(guān)源數(shù)據(jù)分值的算術(shù)平均值;
若與第三級安全性評估指標(biāo)相關(guān)的源數(shù)據(jù)的重要等級不相同,則根據(jù)預(yù)設(shè)的源數(shù)據(jù)權(quán)值,對第三級安全性評估指標(biāo)得相關(guān)源數(shù)據(jù)分值通過加權(quán)平均算法計(jì)算第三級安全性評估指標(biāo)評分。
安全性評估模塊300,用于通過被評估目標(biāo)云計(jì)算系統(tǒng)安全性評分與預(yù)設(shè)的安全性評估標(biāo)準(zhǔn)對比,得到被評估目標(biāo)云計(jì)算系統(tǒng)安全性評估結(jié)論。
預(yù)設(shè)的安全性評估標(biāo)準(zhǔn)為:
第一安全性評估標(biāo)準(zhǔn)安全等級分值范圍:0分~60分,第一安全性評估標(biāo)準(zhǔn)安全等級對應(yīng)的預(yù)設(shè)安全性評估結(jié)論為安全等級不符合標(biāo)準(zhǔn);
第二安全性評估標(biāo)準(zhǔn)安全等級分值范圍:61分~70分,第二安全性評估標(biāo)準(zhǔn)安全等級對應(yīng)的預(yù)設(shè)安全性評估結(jié)論為安全等級較低;
第三安全性評估標(biāo)準(zhǔn)安全等級分值范圍:71分~80分,第三安全性評估標(biāo)準(zhǔn)安全等級對應(yīng)的預(yù)設(shè)安全性評估結(jié)論為安全等級較高;
第四安全性評估標(biāo)準(zhǔn)安全等級分值范圍:81分~90分,第四安全性評估標(biāo)準(zhǔn)安全等級對應(yīng)的預(yù)設(shè)安全性評估結(jié)論為安全等級高;
第五安全性評估標(biāo)準(zhǔn)安全等級分值范圍:91分~100分,第五安全性評估標(biāo)準(zhǔn)安全等級對應(yīng)的預(yù)設(shè)安全性評估結(jié)論為安全等級非常高;
安全性評估模塊300,具體用于:通過被評估目標(biāo)云計(jì)算系統(tǒng)安全性評分與預(yù)設(shè)的安全性評估標(biāo)準(zhǔn)匹配,若被評估目標(biāo)云計(jì)算系統(tǒng)安全性評分在對應(yīng)的安全性評估標(biāo)準(zhǔn)安全等級分值范圍內(nèi),則安全性評估標(biāo)準(zhǔn)安全等級對應(yīng)的預(yù)設(shè)安全性評估結(jié)論即為被評估目標(biāo)云計(jì)算系統(tǒng)安全性評估結(jié)論。
根據(jù)安全性評估指標(biāo)評分與云計(jì)算系統(tǒng)評估指標(biāo)的映射關(guān)系,若安全性評估指標(biāo)評分低于預(yù)設(shè)的云計(jì)算系統(tǒng)安全性評估指標(biāo)標(biāo)準(zhǔn),則云計(jì)算系統(tǒng)安全性評估指標(biāo)評分對應(yīng)的云計(jì)算系統(tǒng)評估指標(biāo)為被評估目標(biāo)云計(jì)算系統(tǒng)存在的脆弱點(diǎn);通過脆弱點(diǎn)對應(yīng)的預(yù)設(shè)整改措施對脆弱點(diǎn)進(jìn)行整改。
知識庫模塊400,用于基于被評估目標(biāo)云計(jì)算系統(tǒng)安全性評估的安全性評分,構(gòu)建云計(jì)算系統(tǒng)安全性評估知識庫。
當(dāng)計(jì)算所有安全性評估指標(biāo)評分時(shí),將所有安全性評估指標(biāo)評分記錄到云計(jì)算系統(tǒng)安全性評估知識庫中,云計(jì)算系統(tǒng)安全性評估知識庫在安全性評估指標(biāo)評分計(jì)算過程中不斷更新所有安全性評估指標(biāo)評分,為后續(xù)云計(jì)算系統(tǒng)安全性評估做知識積累。
本發(fā)明第三實(shí)施例,一種云計(jì)算系統(tǒng)安全性評估方法,如圖1所示,包括以下具體步驟:
步驟s201,建立云計(jì)算系統(tǒng)安全性評估指標(biāo)體系。
具體的,步驟s201,包括:
云計(jì)算系統(tǒng)安全性評估指標(biāo)體系,包括第一級安全性評估指標(biāo)集合:技術(shù)要求評估指標(biāo)和管理要求評估指標(biāo);
其中,技術(shù)要求評估指標(biāo),包括第二級安全性評估指標(biāo)集合:iaas評估指標(biāo)、paas評估指標(biāo)、saas評估指標(biāo)和共有安全評估指標(biāo)。
iaas評估指標(biāo),具體包括第三級安全性評估指標(biāo)集合:物理與環(huán)境安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、虛擬化安全和存儲(chǔ)安全;
paas評估指標(biāo),具體包括第三級安全性評估指標(biāo)集合:運(yùn)行安全、接口安全和系統(tǒng)安全;
saas評估指標(biāo),具體包括第三級安全性評估指標(biāo)集合:應(yīng)用安全和信息安全;
共有安全評估指標(biāo),具體包括第三級安全性評估指標(biāo)集合:數(shù)據(jù)安全和備份恢復(fù)與數(shù)據(jù)移植。
管理要求評估指標(biāo),包括第二級安全性評估指標(biāo)集合:安全管理制度評估指標(biāo)、安全管理機(jī)構(gòu)評估指標(biāo)、人員安全管理評估指標(biāo)、系統(tǒng)建設(shè)管理評估指標(biāo)、系統(tǒng)運(yùn)維管理評估指標(biāo)和服務(wù)水平協(xié)議管理評估指標(biāo)。
安全管理制度評估指標(biāo),包括第三級安全性評估指標(biāo)集合:制定及發(fā)布、管理制度和評審及修訂;
安全管理機(jī)構(gòu)評估指標(biāo),包括第三級安全性評估指標(biāo)集合:授權(quán)與審批、溝通與合作、審核與檢查、崗位設(shè)置和人員配備;
人員安全管理評估指標(biāo),包括第三級安全性評估指標(biāo)集合:人員錄用、人員離崗、人員考核、安全意識教育與培訓(xùn)、外部人員訪問管理、維護(hù)人員、應(yīng)急培訓(xùn)、應(yīng)急演練、人員調(diào)動(dòng)和第三方人員安全;
系統(tǒng)建設(shè)管理評估指標(biāo),包括第三級安全性評估指標(biāo)集合:系統(tǒng)定級、安全方案設(shè)計(jì)、產(chǎn)品采購與使用、自行軟件開發(fā)、外包商開發(fā)、工程實(shí)施、測試驗(yàn)收、系統(tǒng)支付、安全服務(wù)商選擇、組件真實(shí)性和不被支持的系統(tǒng)組件;
系統(tǒng)運(yùn)維管理評估指標(biāo),包括第三級安全性評估指標(biāo)集合:環(huán)境管理、資產(chǎn)管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、鑒別憑證管理、賬號管理、備份恢復(fù)與移植管理、安全應(yīng)急預(yù)案管理、信息系統(tǒng)組件清單、受控維護(hù)、遠(yuǎn)程維護(hù)、及時(shí)維護(hù)和安全功能驗(yàn)證;
服務(wù)水平協(xié)議管理評估指標(biāo),包括第三級安全性評估指標(biāo)集合:云計(jì)算內(nèi)容、責(zé)任與權(quán)限、懲罰措施、第三方服務(wù)水平監(jiān)督、服務(wù)水平改進(jìn)、風(fēng)險(xiǎn)評估、脆弱性掃描、持續(xù)監(jiān)控、安全服務(wù)商選擇、信息系統(tǒng)監(jiān)測和垃圾信息監(jiān)測。
步驟s202,根據(jù)被評估目標(biāo)云計(jì)算系統(tǒng)安全要求,分配云計(jì)算系統(tǒng)安全性評估指標(biāo)權(quán)重。
具體的,步驟s202,包括:
根據(jù)被評估目標(biāo)云計(jì)算系統(tǒng)安全要求,以及經(jīng)過反復(fù)云計(jì)算系統(tǒng)安全實(shí)驗(yàn)和云計(jì)算系統(tǒng)仿真安全實(shí)驗(yàn)結(jié)果,分配云計(jì)算系統(tǒng)安全性評估指標(biāo)權(quán)重。若云計(jì)算系統(tǒng)安全性評估指標(biāo)不相互獨(dú)立,則通過網(wǎng)絡(luò)分析法(networkanalysis,anp)確定指標(biāo)的權(quán)重。
其中,網(wǎng)絡(luò)分析法是層次分析法(analytichierarchyprocess,ahp)的新發(fā)展,網(wǎng)絡(luò)分析法可以更好地處理指標(biāo)間的相關(guān)性,比層次分析法更合理,更準(zhǔn)確可靠。網(wǎng)絡(luò)分析法為現(xiàn)有技術(shù),在此不做贅述。
步驟s203,計(jì)算被評估目標(biāo)云計(jì)算系統(tǒng)所有第三級安全性評估指標(biāo)評分,根據(jù)云計(jì)算系統(tǒng)安全性評估指標(biāo)權(quán)重,通過加權(quán)平均法計(jì)算被評估目標(biāo)云計(jì)算系統(tǒng)安全性評估的安全性評分。
具體的,步驟s203,包括:
通過監(jiān)視被評估目標(biāo)云計(jì)算系統(tǒng)網(wǎng)絡(luò)接口,獲得被評估目標(biāo)云計(jì)算系統(tǒng)的源數(shù)據(jù)。
通過被評估目標(biāo)云計(jì)算系統(tǒng)的源數(shù)據(jù),計(jì)算云計(jì)算系統(tǒng)安全性評估指標(biāo)體系的第三級評估指標(biāo)評分。被評估目標(biāo)云計(jì)算系統(tǒng)的源數(shù)據(jù)類型包括布爾型、整數(shù)和小數(shù)等,分別對應(yīng)為0到1之間的分值。其中,布爾型的數(shù)值直接轉(zhuǎn)化為0或1的分值;其它類型的數(shù)據(jù)則根據(jù)預(yù)設(shè)的評估指標(biāo)統(tǒng)計(jì)數(shù)據(jù)區(qū)間進(jìn)行線性或非線性映射求得0至1之間的分值。源數(shù)據(jù)經(jīng)過處理后得到的分值還需要根據(jù)源數(shù)據(jù)與所有第三級安全性評估指標(biāo)之間的映射關(guān)系,進(jìn)一步計(jì)算所有第三級安全性評估指標(biāo)的評分。
具體的計(jì)算方法包括:
若第三級安全性評估指標(biāo)為預(yù)設(shè)的關(guān)鍵指標(biāo),則第三級安全性評估指標(biāo)評 分為第三級安全性評估指標(biāo)的相關(guān)源數(shù)據(jù)中的最低分值;
若與第三級安全性評估指標(biāo)相關(guān)的源數(shù)據(jù)的重要等級相同,則第三級安全性評估指標(biāo)評分為第三級安全性評估指標(biāo)的相關(guān)源數(shù)據(jù)分值的算術(shù)平均值;
若與第三級安全性評估指標(biāo)相關(guān)的源數(shù)據(jù)的重要等級不相同,則根據(jù)預(yù)設(shè)的源數(shù)據(jù)權(quán)值,對第三級安全性評估指標(biāo)得相關(guān)源數(shù)據(jù)分值通過加權(quán)平均算法計(jì)算第三級安全性評估指標(biāo)評分。
基于被評估目標(biāo)云計(jì)算系統(tǒng)的安全性評估指標(biāo)的權(quán)重,對第三級安全性評估指標(biāo)的評分進(jìn)行加權(quán)平均得到第二級安全性評估指標(biāo)的評分;
基于第二級安全性評估指標(biāo)的權(quán)重,對第二級安全性評估指標(biāo)的評分進(jìn)行加權(quán)平均得到第一級安全性評估指標(biāo)的評分;
第一安級全性評估指標(biāo)的評分即為被評估目標(biāo)云計(jì)算系統(tǒng)安全性評分。
步驟s204,通過被評估目標(biāo)云計(jì)算系統(tǒng)安全性評估的安全性評分與預(yù)設(shè)的安全性評估標(biāo)準(zhǔn)對比,生成被評估目標(biāo)云計(jì)算系統(tǒng)安全性評估結(jié)論,挖掘被評估目標(biāo)云計(jì)算系統(tǒng)安全脆弱點(diǎn),并提出預(yù)設(shè)的安全整改措施,形成最終的系統(tǒng)級安全評估報(bào)告。
具體的,步驟s204,包括:
通過被評估目標(biāo)云計(jì)算系統(tǒng)安全性評估的安全性評分與預(yù)設(shè)的安全性評估標(biāo)準(zhǔn)對比,生成被評估目標(biāo)云計(jì)算系統(tǒng)安全性評估結(jié)論。
根據(jù)安全性評估指標(biāo)評分與云計(jì)算系統(tǒng)評估指標(biāo)體系的映射關(guān)系,若安全性評估指標(biāo)評分低于預(yù)設(shè)的云計(jì)算系統(tǒng)安全性評估指標(biāo)標(biāo)準(zhǔn),則云計(jì)算系統(tǒng)安全性評估指標(biāo)評分對應(yīng)的云計(jì)算系統(tǒng)評估指標(biāo)為被評估目標(biāo)云計(jì)算系統(tǒng)存在的脆弱點(diǎn);對脆弱點(diǎn)對應(yīng)的預(yù)設(shè)整改措施進(jìn)行整改。
形成最終的系統(tǒng)級安全評估報(bào)告。
其中,預(yù)設(shè)的安全性評估標(biāo)準(zhǔn)為:
0分-60分為不符合安全標(biāo)準(zhǔn);
61分-70分為安全等級較低;
71分-80分為安全等級較高;
81分-90分為安全等級高;
91分-100分為安全等級非常高。
步驟s205,構(gòu)建云計(jì)算系統(tǒng)安全性評估知識庫。
當(dāng)計(jì)算所有安全性評估指標(biāo)評分時(shí),將所有安全性評估指標(biāo)評分記錄到云計(jì)算系統(tǒng)安全性評估知識庫中,云計(jì)算系統(tǒng)安全性評估知識庫在安全性評估指標(biāo)評分計(jì)算過程中不斷更新所有安全性評估指標(biāo)評分,為后續(xù)云計(jì)算系統(tǒng)安全性評估做知識積累。
通過具體實(shí)施方式的說明,應(yīng)當(dāng)可對本發(fā)明為達(dá)成預(yù)定目的所采取的技術(shù)手段及功效得以更加深入且具體的了解,然而所附圖示僅是提供參考與說明之用,并非用來對本發(fā)明加以限制。