云環(huán)境下面向等級保護的信息系統(tǒng)安全性測評方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于信息安全測評技術(shù)領(lǐng)域,特別是一種云環(huán)境下面向等級保護的信息系統(tǒng)安全性測評方法。
【背景技術(shù)】
[0002]云計算是一種新型的計算模式,以服務(wù)的形式為用戶提供各種計算資源,如硬件資源、存儲資源和應(yīng)用程序等。面向等級保護的信息系統(tǒng)安全性測評是依據(jù)信息系統(tǒng)所定的安全保護等級,基于測評標準,對信息系統(tǒng)開展測試,通過測試發(fā)現(xiàn)信息系統(tǒng)安全建設(shè)存在的薄弱環(huán)節(jié),在技術(shù)和管理層面有針對性的整改增強,實現(xiàn)對重要信息系統(tǒng)的重點防護,提升信息系統(tǒng)安全防護能力。從本質(zhì)上說,云計算也屬于信息系統(tǒng),具有信息系統(tǒng)的共性,同時也具有信息系統(tǒng)的安全防護需求,需要按照其重要程度按等級進行保護。
[0003]目前,針對傳統(tǒng)信息系統(tǒng)的等級測評方法較為成熟,如“一種面向等級保護的信息系統(tǒng)安全合規(guī)性檢查方法”公開了一種適用于傳統(tǒng)信息系統(tǒng)的等級測評方法。由于云計算具有網(wǎng)絡(luò)服務(wù)的模式、虛擬化、跨地域性等特點,其與傳統(tǒng)信息系統(tǒng)在業(yè)務(wù)上存在差別,以及它的復(fù)雜性,使得云計算環(huán)境的安全保障比傳統(tǒng)信息系統(tǒng)更加復(fù)雜、需要考慮的要素更多。因此在云環(huán)境下按照傳統(tǒng)信息系統(tǒng)測評方法開展測評無法完全滿足要求,主要包括以下兩個方面的問題:
[0004]—是,測評內(nèi)容無法滿足需要。虛擬化技術(shù)的引入、數(shù)據(jù)存儲方式的變化、業(yè)務(wù)可以在不同云環(huán)境下迀移等新特性存在的安全問題威脅著云的安全,因此在測評中需要增加相應(yīng)的測評要求。
[0005]二是,測評流程無法適應(yīng)新環(huán)境。不同于傳統(tǒng)信息系統(tǒng),云計算系統(tǒng)的測評需要將云計算平臺101和云用戶信息系統(tǒng)102分開進行,同時在一次測評過程中,由于用戶的服務(wù)模式由單用戶轉(zhuǎn)變?yōu)槎嘤脩簦淮螠y評涉及到不同安全等級的系統(tǒng)等。上述新特性導(dǎo)致需要對現(xiàn)有測評流程進行改進。
【發(fā)明內(nèi)容】
[0006]本發(fā)明的目的在于提供一種云環(huán)境信息系統(tǒng)安全性測試平臺,用于解決上述現(xiàn)有技術(shù)的問題。
[0007]本發(fā)明一種云環(huán)境信息系統(tǒng)安全性測試平臺,其中,包括:檢測工具集模塊,用于存儲多種檢測工具,以對云計算平臺以及云用戶信息系統(tǒng)進行測試;資產(chǎn)采集代理分別,用于采集云計算平臺以及云用戶信息系統(tǒng)的資產(chǎn);云計算平臺安全性測試模塊,用于調(diào)用該檢測工具集模塊中的檢測工具以對云計算平臺的安全性進行測試;云用戶信息系統(tǒng)安全性測試模塊,用于調(diào)用該檢測工具集模塊中的檢測工具以對云用戶信息系統(tǒng)的安全性進行測試;數(shù)據(jù)中心,用于儲存該資產(chǎn)采集代理采集的信息;以及計算模塊,用于對云計算平臺的安全測試模塊和云用戶信息系統(tǒng)的安全測試模塊的測試結(jié)果數(shù)據(jù)進行分析,計算得出云計算平臺的安全性和云用戶信息系統(tǒng)的安全性。
[0008]根據(jù)本發(fā)明的云環(huán)境信息系統(tǒng)安全性測試平臺的一實施例,其中,該數(shù)據(jù)中心包括資產(chǎn)庫、指標庫、測試結(jié)果庫和分析結(jié)果庫;該資產(chǎn)庫用于存儲被測云計算平臺的資產(chǎn)信息以及云用戶信息系統(tǒng)資產(chǎn)信息;該指標庫用于存儲指標集合,不同安全等級分別對應(yīng)不同的指標集合;該測試結(jié)果庫用于存儲該檢測工具集模塊測試完成后的測試結(jié)果數(shù)據(jù);該分析結(jié)果庫用于存儲該計算模塊的分析結(jié)果數(shù)據(jù)。
[0009]根據(jù)本發(fā)明的云環(huán)境信息系統(tǒng)安全性測試平臺的一實施例,其中,該資產(chǎn)庫中的云計算平臺的資產(chǎn)包括:機房及相關(guān)設(shè)施、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、虛擬化網(wǎng)絡(luò)設(shè)備、虛擬化安全設(shè)備、服務(wù)器、終端、虛擬機、服務(wù)及管理接口、應(yīng)用系統(tǒng)、數(shù)據(jù)、日志以及云提供商信譽信息;該資產(chǎn)庫中云用戶信息系統(tǒng)的資產(chǎn)包括:終端和應(yīng)用系統(tǒng)信息。
[0010]根據(jù)本發(fā)明的云環(huán)境信息系統(tǒng)安全性測試平臺的一實施例,其中,該檢測工具集模塊包括漏洞掃描工具、惡意代碼檢測工具、密碼檢測工具、web安全檢測工具、主機配置檢測工具以及數(shù)據(jù)庫安全檢測工具。
[0011]綜上,本發(fā)明的云環(huán)境信息系統(tǒng)安全性測試平臺,綜合考慮云計算的特點和信息安全測評方法,通過建立云環(huán)境信息系統(tǒng)安全性測評平臺,獲取云計算平臺、云用戶信息系統(tǒng)的資產(chǎn),從數(shù)據(jù)中心抽取測試指標,調(diào)用自動化檢測工具,按照測試用例,先對云計算平臺系統(tǒng)進行安全性測試,再對云用戶信息系統(tǒng)進行安全性測試,最后根據(jù)測試結(jié)果,調(diào)用計算模塊,計算系統(tǒng)安全性與指標的符合程度。
【附圖說明】
[0012]圖1所示為本發(fā)明云環(huán)境信息系統(tǒng)安全性測試平臺的模塊圖;
[0013]圖2所示為云計算平臺、云用戶信息系統(tǒng)與云環(huán)境信息系統(tǒng)安全性測試平臺的連接關(guān)系圖;
[0014]圖3所示為云環(huán)境信息系統(tǒng)安全性測試平臺工作流程圖。
【具體實施方式】
[0015]為使本發(fā)明的目的、內(nèi)容、和優(yōu)點更加清楚,下面結(jié)合附圖和實施例,對本發(fā)明的【具體實施方式】作進一步詳細描述。
[0016]圖1所示為本發(fā)明云環(huán)境信息系統(tǒng)安全性測試平臺的模塊圖,圖2所示為云計算平臺、云用戶信息系統(tǒng)與云環(huán)境信息系統(tǒng)安全性測試平臺的連接關(guān)系圖,如圖1以及圖2所示,云環(huán)境信息信息系統(tǒng)安全性測評平臺由服務(wù)器端、檢測工具集模塊I以及資產(chǎn)采集代理6三部分組成。服務(wù)器端包括:云計算平臺安全性測試模塊2、云用戶信息系統(tǒng)102安全性測試模塊3、計算模塊4以及數(shù)據(jù)中心5。檢測工具集包括:漏洞掃描工具11、惡意代碼查殺工具12、密碼檢測工具13、web安全檢測工具14、主機配置檢查工具15以及數(shù)據(jù)庫安全檢查工具16。資產(chǎn)采集代理6包括:云計算平臺資產(chǎn)采集61以及云用戶信息系統(tǒng)102資產(chǎn)采集62。
[0017]參考圖1,數(shù)據(jù)中心5包括資產(chǎn)庫51、指標庫52、測試結(jié)果庫53和分析結(jié)果庫54。資產(chǎn)庫51用于存儲被測云計算平臺101的資產(chǎn)信息、云用戶信息系統(tǒng)102資產(chǎn)信息;指標庫52用于存儲指標集合,不同安全等級分別對應(yīng)不同的指標集合;測試結(jié)果53庫用于存儲檢測工具集模塊I測試完成后的測試結(jié)果數(shù)據(jù);分析結(jié)果庫54用于存儲計算模塊4的分析結(jié)果數(shù)據(jù)。
[0018]參考圖1,其中資產(chǎn)庫51中云計算平臺101的資產(chǎn)包括:機房及相關(guān)設(shè)施、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、虛擬化網(wǎng)絡(luò)設(shè)備、虛擬化安全設(shè)備、服務(wù)器、終端、虛擬機、服務(wù)及管理接口、應(yīng)用系統(tǒng)、數(shù)據(jù)、日志、云提供商信譽等。資產(chǎn)庫51中云用戶信息系統(tǒng)102的資產(chǎn)包括:終端和應(yīng)用系統(tǒng)等。
[0019]參考圖1,云計算平臺101安全性測試模塊2包括物理安全測試模塊21,網(wǎng)路安全測試模塊22,主機安全測試模塊23,虛擬化安全測試模塊24,應(yīng)用安全測試模塊25,數(shù)據(jù)安全測試模塊26,分別通過調(diào)用檢測工具集中的自動化檢測工具,對云計算平臺101中的資產(chǎn)的物理安全、網(wǎng)絡(luò)安全、主機安全、虛擬化安全、數(shù)據(jù)安全以及應(yīng)用安全等進行測試。物理安全測試模塊用于根據(jù)數(shù)據(jù)中心5的信息測試機房的環(huán)境安全以及布線安全等。網(wǎng)絡(luò)安全測試模塊22用于根據(jù)數(shù)據(jù)中心5的信息測試網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)接入認證、訪問控制、路由器、交換機等網(wǎng)絡(luò)設(shè)備部署及策略設(shè)置、防火墻等安全設(shè)備部署及策略設(shè)置等。虛擬化安全測試模塊24用于根據(jù)數(shù)據(jù)中心5的信息測試虛擬網(wǎng)絡(luò)結(jié)構(gòu)、虛擬機配置、虛擬機間隔離、虛擬機鏡像安全管理、虛擬化環(huán)境下通信安全以及虛擬化安全設(shè)備的管控等。主機安全測試模塊23用于根據(jù)數(shù)據(jù)中心5的信息測試主機、服務(wù)器的訪問控制、安全配置、安全監(jiān)控、惡意代碼防范以及補丁管理等。應(yīng)用安全測試模塊25用于根據(jù)數(shù)據(jù)中心5的信息測試web應(yīng)用系統(tǒng)的訪問控制、權(quán)限管理、安全審計、日志管理、抗攻擊性以及備份恢復(fù)等。數(shù)據(jù)安全測試模塊26用于根據(jù)數(shù)據(jù)中心5的信息測試數(shù)據(jù)存儲安全、數(shù)據(jù)傳輸安全、剩余數(shù)據(jù)安全以及數(shù)據(jù)庫安全等。
[0020]參考圖1,對于一具體實施例,網(wǎng)絡(luò)安全測試模塊22,調(diào)用檢測工具集I中的Web安全檢查工具14對云計算平臺系統(tǒng)的路由器、交換機等網(wǎng)絡(luò)設(shè)備,以及防火墻、IDS等安全設(shè)備的配置、安全策略設(shè)置合理性等進行檢查;網(wǎng)絡(luò)安全測試模塊22調(diào)用漏洞掃描工具11對云計算平臺安全漏洞進行檢測;主機安全測試模塊23調(diào)用主機配置檢測工具15、惡意代碼檢測工具12,對云計算平臺的主機、服務(wù)器的安全配置、惡意代碼、補丁安裝情況等進行檢測;數(shù)據(jù)安全測試模塊26調(diào)用數(shù)據(jù)庫安全檢測工具16對數(shù)據(jù)庫的數(shù)據(jù)存儲安全、數(shù)據(jù)傳輸安全、剩余數(shù)據(jù)保護、數(shù)據(jù)庫安全配置等進行檢查;應(yīng)用安全測試模塊36調(diào)用web安全檢測工具25對應(yīng)用系統(tǒng)的抗攻擊性、用戶的訪問控制、權(quán)限設(shè)置、安全審計、日志管理、備份等進行檢查。
[0021]參考圖1,云用戶信息系統(tǒng)安全測試模塊3包括主機安全測試模塊32以及應(yīng)用安全測試模塊32,分別通過調(diào)用檢測工具集中的自動化檢測工具,對云用戶信息系統(tǒng)102中的資產(chǎn)的主機安全、應(yīng)用安全等進行測試。
[0022]參考圖1,計算模塊4對云計算平臺安全測試模塊2和云用戶信息系統(tǒng)安全測試模塊3的測試結(jié)果數(shù)據(jù)進行分析,計算得出云計算平臺101的安全性和云用戶信息系統(tǒng)102的安全性,再根據(jù)計算結(jié)果,計算系統(tǒng)整體安全性。
[0023]參考圖1,檢測工具集模塊I包括漏洞掃描工具11、惡意代碼檢測工具12、密碼檢測工具13、web安全檢測工具14、主機配置檢測工具15以及數(shù)據(jù)庫安全檢測工具16。檢測工具提15供接口供服務(wù)器端遠程調(diào)用。
[0024]參考圖1,