CN105487936A - 云环境下面向等级保护的信息系统安全性测评方法 - Google Patents

云环境下面向等级保护的信息系统安全性测评方法 Download PDF

Info

Publication number
CN105487936A
CN105487936A CN201510854166.4A CN201510854166A CN105487936A CN 105487936 A CN105487936 A CN 105487936A CN 201510854166 A CN201510854166 A CN 201510854166A CN 105487936 A CN105487936 A CN 105487936A
Authority
CN
China
Prior art keywords
security
cloud
test
information system
testing tool
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201510854166.4A
Other languages
English (en)
Inventor
海然
于石林
毛俐旻
张艳丽
王斌
陈志浩
曾颖明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
706th Institute Of No2 Research Institute Casic
Original Assignee
706th Institute Of No2 Research Institute Casic
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 706th Institute Of No2 Research Institute Casic filed Critical 706th Institute Of No2 Research Institute Casic
Priority to CN201510854166.4A priority Critical patent/CN105487936A/zh
Publication of CN105487936A publication Critical patent/CN105487936A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0709Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in a distributed system consisting of a plurality of standalone computer nodes, e.g. clusters, client-server systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种云环境信息系统安全性测试平台,其中,包括:检测工具集模块,用于存储多种检测工具,以对云计算平台以及云用户信息系统进行测试;资产采集代理分别,用于采集云计算平台以及云用户信息系统的资产;云计算平台安全性测试模块,用于调用该检测工具集模块中的检测工具以对云计算平台的安全性进行测试;云用户信息系统安全性测试模块,用于调用该检测工具集模块中的检测工具以对云用户信息系统的安全性进行测试;数据中心,用于储存该资产采集代理采集的信息;以及计算模块,用于对云计算平台的安全测试模块和云用户信息系统的安全测试模块的测试结果数据进行分析,计算得出云计算平台的安全性和云用户信息系统的安全性。

Description

云环境下面向等级保护的信息系统安全性测评方法
技术领域
本发明属于信息安全测评技术领域,特别是一种云环境下面向等级保护的信息系统安全性测评方法。
背景技术
云计算是一种新型的计算模式,以服务的形式为用户提供各种计算资源,如硬件资源、存储资源和应用程序等。面向等级保护的信息系统安全性测评是依据信息系统所定的安全保护等级,基于测评标准,对信息系统开展测试,通过测试发现信息系统安全建设存在的薄弱环节,在技术和管理层面有针对性的整改增强,实现对重要信息系统的重点防护,提升信息系统安全防护能力。从本质上说,云计算也属于信息系统,具有信息系统的共性,同时也具有信息系统的安全防护需求,需要按照其重要程度按等级进行保护。
目前,针对传统信息系统的等级测评方法较为成熟,如“一种面向等级保护的信息系统安全合规性检查方法”公开了一种适用于传统信息系统的等级测评方法。由于云计算具有网络服务的模式、虚拟化、跨地域性等特点,其与传统信息系统在业务上存在差别,以及它的复杂性,使得云计算环境的安全保障比传统信息系统更加复杂、需要考虑的要素更多。因此在云环境下按照传统信息系统测评方法开展测评无法完全满足要求,主要包括以下两个方面的问题:
一是,测评内容无法满足需要。虚拟化技术的引入、数据存储方式的变化、业务可以在不同云环境下迁移等新特性存在的安全问题威胁着云的安全,因此在测评中需要增加相应的测评要求。
二是,测评流程无法适应新环境。不同于传统信息系统,云计算系统的测评需要将云计算平台101和云用户信息系统102分开进行,同时在一次测评过程中,由于用户的服务模式由单用户转变为多用户,一次测评涉及到不同安全等级的系统等。上述新特性导致需要对现有测评流程进行改进。
发明内容
本发明的目的在于提供一种云环境信息系统安全性测试平台,用于解决上述现有技术的问题。
本发明一种云环境信息系统安全性测试平台,其中,包括:检测工具集模块,用于存储多种检测工具,以对云计算平台以及云用户信息系统进行测试;资产采集代理分别,用于采集云计算平台以及云用户信息系统的资产;云计算平台安全性测试模块,用于调用该检测工具集模块中的检测工具以对云计算平台的安全性进行测试;云用户信息系统安全性测试模块,用于调用该检测工具集模块中的检测工具以对云用户信息系统的安全性进行测试;数据中心,用于储存该资产采集代理采集的信息;以及计算模块,用于对云计算平台的安全测试模块和云用户信息系统的安全测试模块的测试结果数据进行分析,计算得出云计算平台的安全性和云用户信息系统的安全性。
根据本发明的云环境信息系统安全性测试平台的一实施例,其中,该数据中心包括资产库、指标库、测试结果库和分析结果库;该资产库用于存储被测云计算平台的资产信息以及云用户信息系统资产信息;该指标库用于存储指标集合,不同安全等级分别对应不同的指标集合;该测试结果库用于存储该检测工具集模块测试完成后的测试结果数据;该分析结果库用于存储该计算模块的分析结果数据。
根据本发明的云环境信息系统安全性测试平台的一实施例,其中,该资产库中的云计算平台的资产包括:机房及相关设施、网络设备、安全设备、虚拟化网络设备、虚拟化安全设备、服务器、终端、虚拟机、服务及管理接口、应用系统、数据、日志以及云提供商信誉信息;该资产库中云用户信息系统的资产包括:终端和应用系统信息。
根据本发明的云环境信息系统安全性测试平台的一实施例,其中,该检测工具集模块包括漏洞扫描工具、恶意代码检测工具、密码检测工具、web安全检测工具、主机配置检测工具以及数据库安全检测工具。
综上,本发明的云环境信息系统安全性测试平台,综合考虑云计算的特点和信息安全测评方法,通过建立云环境信息系统安全性测评平台,获取云计算平台、云用户信息系统的资产,从数据中心抽取测试指标,调用自动化检测工具,按照测试用例,先对云计算平台系统进行安全性测试,再对云用户信息系统进行安全性测试,最后根据测试结果,调用计算模块,计算系统安全性与指标的符合程度。
附图说明
图1所示为本发明云环境信息系统安全性测试平台的模块图;
图2所示为云计算平台、云用户信息系统与云环境信息系统安全性测试平台的连接关系图;
图3所示为云环境信息系统安全性测试平台工作流程图。
具体实施方式
为使本发明的目的、内容、和优点更加清楚,下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。
图1所示为本发明云环境信息系统安全性测试平台的模块图,图2所示为云计算平台、云用户信息系统与云环境信息系统安全性测试平台的连接关系图,如图1以及图2所示,云环境信息信息系统安全性测评平台由服务器端、检测工具集模块1以及资产采集代理6三部分组成。服务器端包括:云计算平台安全性测试模块2、云用户信息系统102安全性测试模块3、计算模块4以及数据中心5。检测工具集包括:漏洞扫描工具11、恶意代码查杀工具12、密码检测工具13、web安全检测工具14、主机配置检查工具15以及数据库安全检查工具16。资产采集代理6包括:云计算平台资产采集61以及云用户信息系统102资产采集62。
参考图1,数据中心5包括资产库51、指标库52、测试结果库53和分析结果库54。资产库51用于存储被测云计算平台101的资产信息、云用户信息系统102资产信息;指标库52用于存储指标集合,不同安全等级分别对应不同的指标集合;测试结果53库用于存储检测工具集模块1测试完成后的测试结果数据;分析结果库54用于存储计算模块4的分析结果数据。
参考图1,其中资产库51中云计算平台101的资产包括:机房及相关设施、网络设备、安全设备、虚拟化网络设备、虚拟化安全设备、服务器、终端、虚拟机、服务及管理接口、应用系统、数据、日志、云提供商信誉等。资产库51中云用户信息系统102的资产包括:终端和应用系统等。
参考图1,云计算平台101安全性测试模块2包括物理安全测试模块21,网路安全测试模块22,主机安全测试模块23,虚拟化安全测试模块24,应用安全测试模块25,数据安全测试模块26,分别通过调用检测工具集中的自动化检测工具,对云计算平台101中的资产的物理安全、网络安全、主机安全、虚拟化安全、数据安全以及应用安全等进行测试。物理安全测试模块用于根据数据中心5的信息测试机房的环境安全以及布线安全等。网络安全测试模块22用于根据数据中心5的信息测试网络结构、网络接入认证、访问控制、路由器、交换机等网络设备部署及策略设置、防火墙等安全设备部署及策略设置等。虚拟化安全测试模块24用于根据数据中心5的信息测试虚拟网络结构、虚拟机配置、虚拟机间隔离、虚拟机镜像安全管理、虚拟化环境下通信安全以及虚拟化安全设备的管控等。主机安全测试模块23用于根据数据中心5的信息测试主机、服务器的访问控制、安全配置、安全监控、恶意代码防范以及补丁管理等。应用安全测试模块25用于根据数据中心5的信息测试web应用系统的访问控制、权限管理、安全审计、日志管理、抗攻击性以及备份恢复等。数据安全测试模块26用于根据数据中心5的信息测试数据存储安全、数据传输安全、剩余数据安全以及数据库安全等。
参考图1,对于一具体实施例,网络安全测试模块22,调用检测工具集1中的Web安全检查工具14对云计算平台系统的路由器、交换机等网络设备,以及防火墙、IDS等安全设备的配置、安全策略设置合理性等进行检查;网络安全测试模块22调用漏洞扫描工具11对云计算平台安全漏洞进行检测;主机安全测试模块23调用主机配置检测工具15、恶意代码检测工具12,对云计算平台的主机、服务器的安全配置、恶意代码、补丁安装情况等进行检测;数据安全测试模块26调用数据库安全检测工具16对数据库的数据存储安全、数据传输安全、剩余数据保护、数据库安全配置等进行检查;应用安全测试模块36调用web安全检测工具25对应用系统的抗攻击性、用户的访问控制、权限设置、安全审计、日志管理、备份等进行检查。
参考图1,云用户信息系统安全测试模块3包括主机安全测试模块32以及应用安全测试模块32,分别通过调用检测工具集中的自动化检测工具,对云用户信息系统102中的资产的主机安全、应用安全等进行测试。
参考图1,计算模块4对云计算平台安全测试模块2和云用户信息系统安全测试模块3的测试结果数据进行分析,计算得出云计算平台101的安全性和云用户信息系统102的安全性,再根据计算结果,计算系统整体安全性。
参考图1,检测工具集模块1包括漏洞扫描工具11、恶意代码检测工具12、密码检测工具13、web安全检测工具14、主机配置检测工具15以及数据库安全检测工具16。检测工具提15供接口供服务器端远程调用。
参考图1,资产采集代理61包括云计算瓶才资产采集模块61以及云用户信息采集模块62,分别部署在被测云计算平台101和云用户信息系统102中的指定终端上,采集云计算平台101中和云用户信息系统102中的资产信息、安全等级,并将采集到的资产信息按照统一格式提交到数据中心的资产库51中,将采集到得安全等级信息提交到数据中心的指标库52中。
图3所示为云环境信息系统安全性测试平台工作流程图,参考图1-3,云环境信息系统安全性测试平台工作方式简述如下。
资产采集代理6分别部署在云计算平台101和云用户信息系统102中指定终端,通过网络采集云计算平台101和云用户信息系统102中的资产信息,将采集到得资产信息通过网络导入到数据中心的资产库51中,对获取的云计算平台101的安全等级和云用户信息系统102的安全等级进行比对,选取两者之间高的安全等级作为本次测评指标选取的依据。
依据安全等级,在数据中心5的指标库52中抽取对应的测试指标,服务器端调用检测工具集模块1,检测工具集模块1按照测试测试指标选定测试用例,依次对云计算平台101和云用户信息系统102开展安全性测试,测试完成后,分别将测试结果提交到计算模块4和数据中心5的测试结果库63中,然后依次计算云计算平台101与指标的符合程度和云用户信息系统102的与指标的符合程度,并根据计算结果,计算系统整体安全性,并将计算结果存入数据中心的分析结果库54中。
参考图1-3,云环境信息系统安全性测试平台具体工作方式包括:
步骤1:采集资产信息。
通过部署在被测云计算平台101和云用户信息系统102中的指定终端上的资产采集代理,采集云计算平台101中和云用户信息系统102中的资产信息、安全等级,并将采集到的资产信息按照统一格式提交到数据中心5的资产库51中,将采集到得安全等级信息提交到数据中心5的指标库52中。
采集到的云计算平台101的资产主要包括:机房及相关设施、网络设备、安全设备、虚拟化网络设备、虚拟化安全设备、服务器、终端、虚拟机、服务及管理接口、应用系统、数据、日志、云提供商信誉等。资产库中云用户信息系统102的资产包括:终端、应用系统等。
步骤2:抽取测试指标。
比对采集到的云计算平台101的安全等级和云用户信息系统102的安全等级,选择两者之间的高安全等级作为本次测评指标的选取依据,根据确定的安全等级,从指标库中抽取该等级对应的测试指标集合,并将指标推送给各个检测工具。
每一等级的测试指标主要包括以下测评内容:物理安全、网络安全、虚拟化安全、主机安全、应用安全、数据安全等。其中,
物理安全测试要素包括:环境安全、布线安全等。
网络安全测试要素包括:网络结构、接入认证、访问控制、网络设备部署及策略设置、安全设备部署及策略设置等。
虚拟化安全测试要素包括:虚拟网络结构、虚拟机配置、虚拟机间隔离、虚拟机镜像安全管理、虚拟化环境下通信安全、虚拟化安全设备的管控等。
主机安全测试要素主要包括:访问控制、安全配置、安全监控、恶意代码防范、补丁管理等。
应用安全测试要素主要包括:访问控制、权限管理、安全审计、日志管理、抗攻击性、备份恢复等。
数据安全测试要素主要包括:数据存储安全、数据传输安全、剩余数据安全、数据库安全等。
步骤3:调用检测工具,对云计算平台101系统进行安全性测试。
服务器端调用检测工具集中的检测工具,检测工具根据指标库推送的测试指标项,调用工具的测试用例,对云计算平台101中的资产进行安全性测试。
调用网络及安全设备检查工具对云计算平台101系统的路由器、交换机等网络设备,以及防火墙、IDS等安全设备的配置、安全策略等进行检查;调用漏洞扫描工具对云计算平台101安全漏洞进行检测;调用终端配置检测工具、恶意代码检测工具,对云计算平台101的主机、服务器的安全性进行检查;调用数据库安全检测工具对数据库的安全性进行检查;调用web安全检测工具对应用系统的安全进性行检查。
步骤4:调用检测工具,对云用户信息系统102进行安全性测试。
服务器端调用检测工具集中的检测工具,检测工具根据指标库推送的测试指标项,调用工具的测试用例,对云用户信息系统102中的资产进行安全性测试。
调用终端配置检测工具、恶意代码检测工具,对云用户信息系统102中的主机的安全性进行检查;调用web安全检测工具对云用户信息系统102中的应用系统的安全进性行检查。
步骤5:计算系统整体安全性。
根据步骤3、步骤4的测试结果,计算系统整体安全性。
步骤5.1:分析测试结果。
根据步骤3、步骤4的测试结果,采用权重分析法,分别计算云计算平台101系统与指标的符合程度、云用户信息系统102与指标的符合程度。
步骤5.2:计算系统整体安全性。
根据步骤5.1的计算结果,采用权重分析法,计算系统整体与指标的符合程度,即系统整体安全性。
与现有技术相比,本发明具有以下优点:
本发明将云计算环境的特点和信息系统安全性测试流程相结合,提出了云环境中虚拟化安全、数据安全、应用安全等测试要素,保证了测试的全面性;在测试过程中,提出了对测试指标集合的选取遵循按照安全等级最高级别的原则,提出了将系统的测评分成云计算平台系统和云用户系统两个部分进行,首先对云计算平台进行测试,再对云用户系统进行测试,两部分的测试结果整合为总体测评结论,保证了测试结果的准确性和有效性。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。

Claims (4)

1.一种云环境信息系统安全性测试平台,其特征在于,包括:
检测工具集模块,用于存储多种检测工具,以对云计算平台以及云用户信息系统进行测试;
资产采集代理分别,用于采集云计算平台以及云用户信息系统的资产;
云计算平台安全性测试模块,用于调用该检测工具集模块中的检测工具以对云计算平台的安全性进行测试;
云用户信息系统安全性测试模块,用于调用该检测工具集模块中的检测工具以对云用户信息系统的安全性进行测试;
数据中心,用于储存该资产采集代理采集的信息;以及
计算模块,用于对云计算平台的安全测试模块和云用户信息系统的安全测试模块的测试结果数据进行分析,计算得出云计算平台的安全性和云用户信息系统的安全性。
2.如权利要求1所述的云环境信息系统安全性测试平台,其特征在于,该数据中心包括资产库、指标库、测试结果库和分析结果库;该资产库用于存储被测云计算平台的资产信息以及云用户信息系统资产信息;该指标库用于存储指标集合,不同安全等级分别对应不同的指标集合;该测试结果库用于存储该检测工具集模块测试完成后的测试结果数据;该分析结果库用于存储该计算模块的分析结果数据。
3.如权利要求1所述的云环境信息系统安全性测试平台,其特征在于,该资产库中的云计算平台的资产包括:机房及相关设施、网络设备、安全设备、虚拟化网络设备、虚拟化安全设备、服务器、终端、虚拟机、服务及管理接口、应用系统、数据、日志以及云提供商信誉信息;该资产库中云用户信息系统的资产包括:终端和应用系统信息。
4.如权利要求1所述的云环境信息系统安全性测试平台,其特征在于,该检测工具集模块包括漏洞扫描工具、恶意代码检测工具、密码检测工具、web安全检测工具、主机配置检测工具以及数据库安全检测工具。
CN201510854166.4A 2015-11-30 2015-11-30 云环境下面向等级保护的信息系统安全性测评方法 Pending CN105487936A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510854166.4A CN105487936A (zh) 2015-11-30 2015-11-30 云环境下面向等级保护的信息系统安全性测评方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510854166.4A CN105487936A (zh) 2015-11-30 2015-11-30 云环境下面向等级保护的信息系统安全性测评方法

Publications (1)

Publication Number Publication Date
CN105487936A true CN105487936A (zh) 2016-04-13

Family

ID=55674930

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510854166.4A Pending CN105487936A (zh) 2015-11-30 2015-11-30 云环境下面向等级保护的信息系统安全性测评方法

Country Status (1)

Country Link
CN (1) CN105487936A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107026871A (zh) * 2017-05-15 2017-08-08 安徽大学 一种基于云计算的Web漏洞扫描方法
CN107733895A (zh) * 2017-10-19 2018-02-23 国云科技股份有限公司 一种云计算平台安全的量化评价方法
CN115208675A (zh) * 2022-07-18 2022-10-18 中国建设银行股份有限公司 云资产配置安全处理方法、系统、存储介质及电子设备

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107026871A (zh) * 2017-05-15 2017-08-08 安徽大学 一种基于云计算的Web漏洞扫描方法
CN107026871B (zh) * 2017-05-15 2020-08-25 安徽大学 一种基于云计算的Web漏洞扫描方法
CN107733895A (zh) * 2017-10-19 2018-02-23 国云科技股份有限公司 一种云计算平台安全的量化评价方法
CN107733895B (zh) * 2017-10-19 2020-09-29 国云科技股份有限公司 一种云计算平台安全的量化评价方法
CN115208675A (zh) * 2022-07-18 2022-10-18 中国建设银行股份有限公司 云资产配置安全处理方法、系统、存储介质及电子设备

Similar Documents

Publication Publication Date Title
JP6732806B2 (ja) アカウント盗難リスクの識別方法、識別装置、及び防止・制御システム
KR101883400B1 (ko) 에이전트리스 방식의 보안취약점 점검 방법 및 시스템
CN105516130B (zh) 一种数据处理方法和装置
CN104202339B (zh) 一种基于用户行为的跨云认证服务方法
CN108989150A (zh) 一种登录异常检测方法及装置
CN103297267B (zh) 一种网络行为的风险评估方法和系统
CN105009132A (zh) 基于置信因子的事件关联
CN108156131A (zh) Webshell检测方法、电子设备和计算机存储介质
CN109379373A (zh) 一种云安全评估系统及方法
CN102663503A (zh) 一种信息安全评估方法
CN112087445A (zh) 一种融合业务安全的电力物联网安全脆弱性评估方法
CN104320271B (zh) 一种网络设备安全评估方法及装置
CN113132311A (zh) 异常访问检测方法、装置和设备
CN105487936A (zh) 云环境下面向等级保护的信息系统安全性测评方法
CN114978877A (zh) 一种异常处理方法、装置、电子设备及计算机可读介质
CN117376228B (zh) 一种网络安全测试工具确定方法及装置
US11412063B2 (en) Method and apparatus for setting mobile device identifier
CN106897880B (zh) 一种账号风险评估方法和设备
Ruo-xin et al. Model for cloud computing security assessment based on AHP and FCE
CN117235600A (zh) 一种用户异常行为检测方法及系统
CN107566371A (zh) 一种面向海量日志的WebShell挖掘方法
CN112347328A (zh) 一种网络平台识别方法、装置、设备及可读存储介质
CN115795475A (zh) 软件系统风险的确定方法、装置及电子设备
CN115767601A (zh) 一种基于多维数据的5gc网元自动化纳管方法及装置
CN115640581A (zh) 一种数据安全风险评估方法、装置、介质及电子设备

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20160413

WD01 Invention patent application deemed withdrawn after publication