CN116418699A - 云服务商网络安全能力评估系统、方法、设备及介质 - Google Patents

云服务商网络安全能力评估系统、方法、设备及介质 Download PDF

Info

Publication number
CN116418699A
CN116418699A CN202310688699.4A CN202310688699A CN116418699A CN 116418699 A CN116418699 A CN 116418699A CN 202310688699 A CN202310688699 A CN 202310688699A CN 116418699 A CN116418699 A CN 116418699A
Authority
CN
China
Prior art keywords
capability
security
cloud
cloud service
network security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310688699.4A
Other languages
English (en)
Inventor
吴潇
王鹏
王玮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202310688699.4A priority Critical patent/CN116418699A/zh
Publication of CN116418699A publication Critical patent/CN116418699A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/5061Network service management, e.g. ensuring proper service fulfilment according to agreements characterised by the interaction between service providers and their network customers, e.g. customer relationship management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本公开涉及一种云服务商网络安全能力评估系统、方法、设备及介质。该系统包括:需求管理模块,用于对云租户的多项云安全需求信息进行管理;技术评估模块,用于根据网络安全需求清单对第一评估域进行选择,根据选择结果确定针对云服务商的安全技术能力评估框架;运营评估模块,用于确定针对云服务商的安全运营能力评估框架;改进评估模块,用于确定针对云服务商的安全改进能力评估框架;云服务商评估模块,用于针对安全技术能力、安全运营能力和安全改进能力,逐项评估云服务商的网络安全能力满足度;云服务商排序模块,用于对多个云服务商进行排序。本公开能够从自身网络安全保护需求出发,有效衡量云服务商所具备的网络安全能力。

Description

云服务商网络安全能力评估系统、方法、设备及介质
技术领域
本公开涉及云计算服务监管技术领域,尤其涉及一种云服务商网络安全能力评估系统、方法、设备及介质。
背景技术
随着云计算技术的持续发展和不断创新,企业组织从采用云计算技术中所能获取的实际收益,如经济效益、访问便利性等,都在不断扩大。在技术趋势与政策引导的双重带动下,越来越多的企业组织开始将自身数据及各类业务系统,从传统IT(InternetTechnology,互联网技术)环境,迁移至云计算环境。而对企业组织来说,无论在传统IT环境还是在云计算环境,都必要依据法律法规要求,开展网络安全保护工作,落实网络安全主体责任。
由于云计算技术的固有特性,企业组织在云计算环境下开展网络安全保护面临新的挑战。其中最为关键的一个挑战是在云计算环境里,企业组织将关键数据和业务系统迁移到云服务商所提供的云计算平台之后,就失去了对这些关键数据和业务系统的直接控制能力,而能否有效保障这些关键数据和业务系统的安全运行,则主要取决于云服务商所具备的网络安全能力。故此,对于企业组织来说,在首次上云前或云上合同到期前的云服务商选择阶段,如何从自身网络安全保护需求出发,有效衡量云服务商所具备的网络安全能力,以判断其是否能够为自身关键数据和业务系统提供充分的云上网络安全防护,是一个急需解决的重大问题。
发明内容
为了解决上述技术问题,本公开提供了一种云服务商网络安全能力评估系统、方法、设备及介质。
根据本公开的一方面,提供了一种云服务商网络安全能力评估系统,包括:需求管理模块、技术评估模块、运营评估模块、改进评估模块、云服务商评估模块和云服务商排序模块;
所述需求管理模块,用于对云租户的多项云安全需求信息进行管理;所述云安全需求信息包括:云服务类别、云上保护对象、云上安全责任信息、网络安全事件历史库;其中,所述云上安全责任信息包括云租户的网络安全需求清单;
所述技术评估模块,用于根据预设的第一评估域对云服务商的安全技术能力进行评估;以及,根据所述网络安全需求清单对所述第一评估域进行选择,根据选择结果确定针对云服务商的安全技术能力评估框架;其中,所述第一评估域包括:虚拟主机安全防护能力、虚拟网络安全防护能力、云上应用安全防护能力和云上数据安全防护能力;
所述运营评估模块,用于根据预设的第二评估域对云服务商的安全运营能力进行评估;以及,根据所述网络安全需求清单对所述第二评估域进行选择,根据选择结果确定针对云服务商的安全运营能力评估框架;其中,所述第二评估域包括:运维管理能力、风险管理能力、持续监测能力和应急响应能力;
所述改进评估模块,用于根据预设的第三评估域对云服务商的安全改进能力进行评估;以及,根据所述网络安全需求清单对所述第三评估域进行选择,根据选择结果确定针对云服务商的安全改进能力评估框架;其中,所述第三评估域包括:落实外部监管要求能力和开展内部监督与改进能力;
所述云服务商评估模块,用于针对所述安全技术能力、所述安全运营能力和所述安全改进能力,逐项评估云服务商对所述云安全需求信息的网络安全能力满足度;
所述云服务商排序模块,用于根据各所述网络安全能力满足度和预设的排序策略,对多个云服务商进行排序。
根据本公开的另一方面,提供了一种云服务商网络安全能力评估方法,包括:
对云租户的多项云安全需求信息进行管理;所述云安全需求信息包括:云服务类别、云上保护对象、云上安全责任信息、网络安全事件历史库;其中,所述云上安全责任信息包括云租户的网络安全需求清单;
根据预设的第一评估域对云服务商的安全技术能力进行评估;以及,根据所述网络安全需求清单对所述第一评估域进行选择,根据选择结果确定针对云服务商的安全技术能力评估框架;其中,所述第一评估域包括:虚拟主机安全防护能力、虚拟网络安全防护能力、云上应用安全防护能力和云上数据安全防护能力;
根据预设的第二评估域对云服务商的安全运营能力进行评估;以及,根据所述网络安全需求清单对所述第二评估域进行选择,根据选择结果确定针对云服务商的安全运营能力评估框架;其中,所述第二评估域包括:运维管理能力、风险管理能力、持续监测能力和应急响应能力;
根据预设的第三评估域对云服务商的安全改进能力进行评估;以及,根据所述网络安全需求清单对所述第三评估域进行选择,根据选择结果确定针对云服务商的安全改进能力评估框架;其中,所述第三评估域包括:落实外部监管要求能力和开展内部监督与改进能力;
针对所述安全技术能力、所述安全运营能力和所述安全改进能力,逐项评估云服务商对所述云安全需求信息的网络安全能力满足度;
根据各所述网络安全能力满足度和预设的排序策略,对多个云服务商进行排序。
根据本公开的另一方面,提供了一种电子设备,所述电子设备包括:
处理器;
用于存储所述处理器可执行指令的存储器;
所述处理器,用于从所述存储器中读取所述可执行指令,并执行所述指令以实现上述云服务商网络安全能力评估方法。
根据本公开的另一方面,提供了一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序用于执行上述云服务商网络安全能力评估方法。
本公开实施例提供的技术方案与现有技术相比具有如下优点:
本公开实施例提供的一种云服务商网络安全能力评估系统、方法、设备及介质,该系统包括:需求管理模块,用于对云租户的多项云安全需求信息进行管理;技术评估模块,用于根据预设的第一评估域对云服务商的安全技术能力进行评估;以及,根据网络安全需求清单对第一评估域进行选择,根据选择结果确定针对云服务商的安全技术能力评估框架;运营评估模块,用于根据预设的第二评估域对云服务商的安全运营能力进行评估;以及,根据网络安全需求清单对第二评估域进行选择,根据选择结果确定针对云服务商的安全运营能力评估框架;改进评估模块,用于根据预设的第三评估域对云服务商的安全改进能力进行评估;以及,根据网络安全需求清单对第三评估域进行选择,根据选择结果确定针对云服务商的安全改进能力评估框架;云服务商评估模块,用于针对安全技术能力、安全运营能力和安全改进能力,逐项评估云服务商对云安全需求信息的网络安全能力满足度;云服务商排序模块,用于根据各网络安全能力满足度和预设的排序策略,对多个云服务商进行排序。以上系统能够支撑云租户从自身网络安全保护需求出发,有效衡量云服务商所具备的网络安全能力,以判断其是否能够为自身关键数据和业务系统提供充分的云上网络安全防护。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本公开实施例所述的一种云服务商网络安全能力评估系统结构示意图;
图2为本公开实施例所述的另一种云服务商网络安全能力评估系统结构示意图;
图3为本公开实施例所述的一种云服务商网络安全能力评估系统的工作过程示意图;
图4为本公开实施例所述电子设备的结构示意图。
具体实施方式
为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
对于企业组织来说,如何从自身网络安全保护需求出发,有效衡量云服务商所具备的网络安全能力,以判断其是否能够为自身关键数据和业务系统提供充分的云上网络安全防护,是一个急需解决的重大问题。
在一种方案中,可以采用贯穿云服务商生命周期的考评管理和数据收集评估,主要包括如下过程:用户通过考评系统提交云服务购买订单来申请云服务并在考评系统的监测下使用云服务;用户对使用过的云服务进行主观评价;通过考评系统收集用户的主观评价数据以及监测到的客户服务商服务数据,计算云服务提供商的考评结果;监管管理人员对云服务商考评结果进行分析处理;判断云服务商的考评结果是否低于标准范围;若是,判断对该服务商提供的服务购买协议是否到期,并在到期的情况下,终止对该服务的购买,选择新的服务商购买相应的云服务。
以上方案虽然强调了对云服务的考评需要关注安全性,但并未给出开展云服务安全性考评的有效方法,导致用户在使用该方法时候无法有效考评云服务商安全性。
首先,该方案仅给出对云服务商安全监测遵循部分法律法规相应要求,完成数据采集后,通过对云服务商的安全进行监测考评,找出云服务商平台存在的安全隐患和安全漏洞问题。而对于在进行安全监测考评时,应该从哪些具体方面考评云服务商安全性,没有给出明确说明,这就导致云租户无法高效利用该方法进行云服务商安全性考评。
其次,云租户考核云服务商安全性的目标是为判断云服务商所提供的安全性能否满足自身云上安全防护需求,而开展云上网络安全防护,必须基于云安全责任共担模型,划分出云租户需要承担的网络安全责任,进而对照确定出云租户的网络安全需求以及对应需要的云服务商网络安全能力,专利中并未给出相关内容说明。
最后,该方案在实现中仅通过安全事件监测模块连接到安全设备管理模块,以收集安全设备上的云服务商安全事件数据。这种安全数据收集来源仅为网络安全设备,未考虑到云服务商的网络安全应急处置等安全服务能力相关数据来源。安全数据采集来源不充分导致在使用该专利时,无法获取到反映云服务商安全性的全部数据,进而也无法真正有效评估云服务的安全性。
根据以上情况,目前需要解决如下技术问题:云租户在进行云服务采购时,面对市场上众多的云服务商,采用哪种方法能够高效筛选出合格的候选安全云服务商。不同的云租户对于云上的网络安全防护需求并不相同,同时不同云租户的安全人员所具备的云安全技能层次也各不相同,如何基于云上安全责任共担模型,指导具有不同云上安全需求及不同人员云安全技能背景的云租户,快速确定应该从哪些具体方面对候选云服务商所提供的网络安全能力开展针对性评估,以确认该云服务商是否能够满足云租户的云上安全防护需求。
基于此,为了改善以上问题中的至少一项,为了支撑云租户有效衡量云服务商所具备的网络安全能力,以判断其是否能够为自身关键数据和业务系统提供充分的云上网络安全防护,本公开实施例提供一种云服务商网络安全能力评估系统、方法、设备及介质。为便于理解,以下对本公开实施例展开描述。
图1为本公开实施例提供的一种云服务商网络安全能力评估系统的结构框图,该系统可以执行云服务商网络安全能力评估方法,该系统可以采用软件和/或硬件实现。
参照图1,本公开实施例提供的云服务商网络安全能力评估系统可以包括:需求管理模块110、技术评估模块120、运营评估模块130、改进评估模块140、云服务商评估模块150和云服务商排序模块160。
在本实施例中,需求管理模块110,用于对云租户的多项云安全需求信息进行管理;云安全需求信息包括:云服务类别、云上保护对象、云上安全责任信息、网络安全事件历史库;其中,云上安全责任信息包括云租户的网络安全需求清单。
参照图2,需求管理模块110用于整体分析云租户的云上网络安全需求,具体可以通过如下功能单元来整体分析和管理云租户的云安全需求信息:选择云服务类别单元、云上保护对象识别单元、云上安全责任划分单元、网络安全事件历史库单元和网络安全能力满足度基线单元。
在SaaS(Software as a Service,软件运营服务)、PaaS(Platform as aService,平台即服务)和IaaS(Infrastructure as a Service,基础设施即服务)等不同的云服务类别下,云服务商与云租户的控制范围各不相同,故云租户需要先选择所采用的云服务类别,云服务类别的选择结果确定了云租户的网络安全需求整体框架。基于此,通过选择云服务类别单元,能够从云租户角度出发,根据所选择的云服务类别,对应生成在SaaS、PaaS或IaaS下的云安全需求整体框架。
其次,云租户需对待上云的云上保护对象的类别(具体如数据类别和业务系统类别)分别进行判断,不同类别的保护对象,所需要的网络安全防护措施不同,该判断结果将进一步细化云租户的云上网络安全需求。于是,本实施例通过云上保护对象识别单元,判定待上云的数据类别属于敏感类信息或公开类信息,判定业务系统类别属于一般业务、重要业务或关键业务,并根据判定结果调整云安全需求框架中需求项关键程度系数。示例性的,关键程度系数取值范围为1-10,10最高,1最低。
对于云上安全责任信息,可以提供云上安全责任划分单元根据云上预设的网络安全职责共担模型,确定云租户需要承担的网络安全职责及应对照落实的网络安全需求清单。网络安全需求清单中具体需求项的关键程度系数等于该安全需求框架的关键程度系数。
本实施例预先设置有网络安全事件历史库,该库用于存储云租户遭受过的网络安全事件信息。基于网络安全事件历史库单元,云租户可以查看网络安全事件历史库中指定时间(如近两年)中发生过的网络安全事件;以及根据网络安全事件历史库中记录的网络安全事件,对上述网络安全需求清单的各需求项设置或调整关键程度系数。示例性的,近两年内在某一方面出现过网络安全事件,说明云租户自身在该方面存在薄弱环节,为了弥补该处能力短板,可将该方面安全需求的关键程度系数提高。
网络安全能力满足度基线单元用于将云租户的网络安全需求对照转换为需要云服务商提供的网络安全能力。具体的,网络安全需求清单中的各需求项均预设有关键程度系数;需求管理模块110基于网络安全能力满足度基线单元,可以根据网络安全需求清单中的各需求项的关键程度系数,确定云服务商的网络安全能力满足度基线。例如,对于关键程度系数大于等于8的网络安全需求,当云服务商的网络安全能力满足度低于3时,则不再考虑该云服务商。
在本实施例中,技术评估模块120,用于根据预设的第一评估域对云服务商的安全技术能力进行评估;以及,根据网络安全需求清单对第一评估域进行选择,根据选择结果确定针对云服务商的安全技术能力评估框架;其中,第一评估域包括:虚拟主机安全防护能力、虚拟网络安全防护能力、云上应用安全防护能力和云上数据安全防护能力。
参照图2,技术评估模块120用于生成云服务商的安全技术能力评估框架,该技术评估模块120具体可以包括:云安全技术能力评估框架模版单元(简称技术模板单元)和云安全技术能力评估框架管理单元(简称技术管理单元)。
其中,技术模板单元用于在系统内置模板,该模板用于记录安全技术能力评估框架包含的第一评估域。在本实施例中,第一评估域包括多项网络安全技术能力评估域,且每项网络安全技术能力下可细分为多个具体的安全技术能力评估项。
在一种示例中,第一评估域包括:虚拟主机安全防护能力、虚拟网络安全防护能力、云上应用安全防护能力和云上数据安全防护能力。第一评估域中的虚拟主机安全防护能力、虚拟网络安全防护能力、云上应用安全防护能力和云上数据安全防护能力,均具有各自的第一细分能力项。其中,虚拟主机安全防护能力的第一细分能力项包括:镜像保护能力、访问控制能力、恶意代码防范能力、入侵防护能力以及行为监测能力。虚拟网络安全防护能力的第一细分能力项包括:虚拟边界防护能力、网络传输防护能力、网络访问控制能力、网络入侵防范能力以及网络流量审计能力。云上应用安全防护能力的第一细分能力项包括:应用规划安全能力、应用开发安全能力、应用上线安全能力、应用运行安全能力以及应用下线安全能力。云上数据安全防护能力的第一细分能力项包括:数据采集安全能力、数据传输安全能力、数据存储安全能力、数据处理安全能力、数据交换安全能力和数据销毁安全能力。
本实施例在对云服务商的安全技术能力进行评估时,可以从第一评估域进行评估,也即从虚拟主机安全防护能力、虚拟网络安全防护能力、云上应用安全防护能力和云上数据安全防护能力等网络安全技术能力评估域以及各自的第一细分能力项进行评估。
在一种技术评估方式中,技术评估模块120的技术管理单元可以用于:根据网络安全需求清单,选择支撑相关网络安全需求落地的第一评估域中的网络安全技术能力及第一细分能力项,生成针对云服务商的安全技术能力评估框架。
具体的,获取通过需求管理模块110确定的云租户的网络安全需求清单,以及获取模板单元提供的第一评估域;基于此,选择支撑相关网络安全需求落地的网络安全技术能力及第一细分能力项,由此生成云服务商的安全技术能力评估框架。可以理解的是,在生成的安全技术能力评估框架中,所选择的网络安全技术能力及第一细分能力项是待执行的针对云服务商的安全技术能力评估项。
在本实施例中,运营评估模块130,用于根据预设的第二评估域对云服务商的安全运营能力进行评估;以及,根据网络安全需求清单对第二评估域进行选择,根据选择结果确定针对云服务商的安全运营能力评估框架;其中,第二评估域包括:运维管理能力、风险管理能力、持续监测能力和应急响应能力。
运营评估模块130用于生成云服务商的安全运营能力评估框架,如图2所示,该运营评估模块130具体可以包括:云安全运营能力评估框架模版单元(简称运营模板单元)和云安全运营能力评估框架管理功能(简称运营管理单元)。
其中,运营模板单元用于在系统内置模板,该模板用于记录安全运营能力评估框架包含的第二评估域。在本实施例中,第二评估域包括多项网络安全运营能力评估域,且每项网络安全运营能力评估域下可细分为多个具体的安全运营能力评估项。
在一种示例中,第二评估域包括:运维管理能力、风险管理能力、持续监测能力和应急响应能力。第二评估域的每一项均具有各自的第二细分能力项。运维管理能力的第二细分能力项诸如包括:资产管理、控制管理、配置管理和行为管理。风险管理能力的第二细分能力项诸如包括:风险评估、脆弱性检测和安全加固。持续监测能力的第二细分能力项诸如包括:监测有害程序事件、监测网络攻击事件、监测数据攻击事件、监测有害内容事件、监测设备设施故障事件和监测违规操作事件。应急响应能力的第二细分能力项诸如包括:应急预案、应急演练、应急支撑队伍和应急处置。
本实施例在对云服务商的安全运营能力进行评估时,可以从第二评估域进行评估,也即从运维管理能力、风险管理能力、持续监测能力和应急响应能力等网络安全运营能力评估域以及各自的第二细分能力项进行评估。
在一种运营评估方式中,运营评估模块130的运营管理单元可以用于:根据云租户的网络安全需求清单,选择支撑相关网络安全需求落地的第二评估域中的网络安全运营能力及第二细分能力项,生成针对云服务商的安全运营能力评估框架。
在本实施例中,改进评估模块140,用于根据预设的第三评估域对云服务商的安全改进能力进行评估;以及,根据网络安全需求清单对第三评估域进行选择,根据选择结果确定针对云服务商的安全改进能力评估框架;其中,第三评估域包括:落实外部监管要求能力和开展内部监督与改进能力。
如图2,改进评估模块140用于生成云服务商的安全改进能力评估框架,该改进评估模块140具体可以包括:云安全改进能力评估框架模版单元(简称改进模板单元)和云安全改进能力评估框架管理功能(简称改进管理单元)。
其中,改进模板单元用于在系统内置模板,该模板用于记录安全改进能力评估框架包含的第三评估域。
在一种示例中,第三评估域包括2大能力域及细分的9个具体的第三细分能力项,具体如下。落实外部监管要求能力域包括:需要落实的多项法律法规与监管要求,诸如《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国密码法》、《关键信息基础设施保护条例》和《网络安全审查办法》等。开展内部监督与改进能力包括:信息安全监督知识库、监督实施计划、安全改进及跟踪。
本实施例在对云服务商的改进运营能力进行评估时,可以从第三评估域进行评估,也即从落实外部监管要求能力和开展内部监督与改进能力等网络安全改进能力评估域以及各自的第三细分能力项进行评估。
在一种改进评估方式中,改进评估模块140的改进管理单元可以用于:根据云租户的网络安全需求清单,提供支撑相关网络安全需求落地的第三评估域中的网络安全改进能力及第三细分能力项,明确出待执行的云服务商的安全改进能力评估项。
在本实施例中,云服务商评估模块150,用于针对安全技术能力、安全运营能力和安全改进能力,逐项评估云服务商对云安全需求信息的网络安全能力满足度。
本实施例通过云服务商评估模块150可以计算云服务商的网络安全能力综合评估结果,该云服务商评估模块150具体可以包括:网络安全能力评估方案管理单元(简称方案管理单元)和网络安全能力评估结果管理单元(简称结果管理单元)。
方案管理单元,用于从安全技术能力、安全运营能力和安全改进能力中确定至少一项待评估项;对待评估的云服务商采集待评估项对应的支撑数据;根据支撑数据评估云服务商对云安全需求信息的网络安全能力满足度。
具体的,在执行评估环节,通过方案管理单元确定对哪些云服务商进行评估,以及从安全技术能力、安全运营能力和安全改进能力中确定开展多少项进行网络安全能力评估。针对每一个待评估项,可以采用阅读技术文档、开展访谈调研和实际测试操作等多种方式,从主观性反馈和客观性反馈两个不同层面获取相关的支撑数据。根据支撑数据逐项评估出云服务商的网络安全能力对云租户网络安全需求的网络安全能力满足度。
示例性的,网络安全能力满足度取值范围为0-4,具体各值所代表的含义可参照如下表1:
表1
Figure SMS_1
结果管理单元,用于对网络安全能力满足度进行修订和计算。
具体的,通过结果管理单元逐项记录及修订网络安全能力满足度,计算并存储云服务商网络安全能力满足度的总分值、平均值等。以计算总分值为例,通过累加各项网络安全能力满足度值,可以计算出云服务商的网络安全能力满足度总分值。
在本实施例中,云服务商排序模块160,用于根据各网络安全能力满足度和预设的排序策略,对多个云服务商进行排序。
在一种实现方式中,云服务商排序模块160包括云服务商候选排序策略管理单元(简称策略管理单元)和云服务商候选排序管理单元(简称排序管理单元)。
策略管理单元用于设置对云服务商进行排序的排序策略。具体实施例中,可以根据云租户希望获取的网络安全能力满足度水平以及相应支付的费用等因素,设置不同的云服务商候选排序策略。例如,按照网络安全能力满足度总分值大小进行排序、按照云服务商网络安全能力满足度平均值大小进行排序、对网络安全能力满足度符合要求的云服务商,按照性价比大小进行排序等。
排序管理单元用于根据各个云服务商的网络安全能力满足度,从多个云服务商中选择达到网络安全能力满足度基线的候选云服务商;根据预设的排序策略对候选云服务商进行排序;其中,排序策略包括以下至少一项:网络安全能力满足度的总分值大小排序,网络安全能力满足度的平均值大小排序,候选云服务商的性价比大小排序。
具体的,先从多个云服务商中选择达到网络安全能力满足度基线的候选云服务商;再根据所设置的排序策略以及各云服务商的网络安全能力满足度数值,对候选云服务商进行排序,得到云服务商候选排序列表。
参照图3所示,本实施例提供一种以上云服务商网络安全能力评估系统的工作流程示意图,包括以下内容。
(1)通过需求管理模块从整体上确定云租户的云安全需求信息。
(2)通过技术评估模块生成针对各个云服务商的安全技术能力评估框架;图3仅示出了云服务商1和云服务商x作为示例。可以理解,本实施例生成安全技术能力评估框架的方式可参照上述实施例,主要包括:根据网络安全需求清单对第一评估域进行选择,根据选择结果确定针对云服务商的安全技术能力评估框架。所生成的安全技术能力评估框架能够用于对云服务商的安全技术能力进行评估。
(3)通过运营评估模块生成针对各个云服务商的安全运营能力评估框架。可以理解,本实施例生成安全运营能力评估框架的方式可参照上述实施例,主要包括:根据网络安全需求清单对第二评估域进行选择,根据选择结果确定针对云服务商的安全运营能力评估框架。所生成的安全运营能力评估框架能够用于对云服务商的安全运营能力进行评估。
(4)通过改进评估模块生成针对各个云服务商的安全改进能力评估框架。可以理解,本实施例生成安全改进能力评估框架的方式可参照上述实施例,主要包括:根据网络安全需求清单对第三评估域进行选择,根据选择结果确定针对云服务商的安全改进能力评估框架。所生成的安全改进能力评估框架能够用于对云服务商的安全改进能力进行评估。
(5)通过云服务商评估模块针对安全技术能力、安全运营能力和安全改进能力,逐项评估云服务商对云安全需求信息的网络安全能力满足度。
(6)通过云服务商排序模块根据各网络安全能力满足度和预设的排序策略,对多个云服务商进行排序。
根据以上实施例提供的云服务商网络安全能力评估系统,云租户(如某一实际企业)可以利用该系统将其业务系统逐步迁移至云计算环境。在此给出一种实际应用中的可能示例,参照如下所示。
某一实际企业将现有业务系统逐步迁移至云计算环境,计划开始采购IaaS云服务,通过先将少量一般业务系统迁移到云上进行试点。在云服务商征集环节,共有11家可以提供IaaS服务的云服务商递交相关材料。该企业的安全管理部门需要判断出哪家云服务商既可以满足该企业云上网络安全需求又具备最优性价比。在此情况下,安全管理部门采用本实施例提供的云服务商网络安全能力评估系统对这11家候选云服务商的网络安全能力进行综合评估。
通过对自身企业组织云上网络安全需求的整体分析,明确网络安全需求清单和云服务商的网络安全能力满足度基线。通过生成云服务商的安全技术能力评估框架、安全技术能力评估框架、安全运营能力评估框架和安全改进能力评估框架,明确要对候选云服务商开展的具体网络安全能力评估项。
经过综合评估,可以计算出11家云服务商的网络安全能力满足度。假设需要既可以满足该企业云上网络安全需求又具备最优性价比,由此设置的云服务商的排序策略可以包括:候选云服务商的性价比大小排序和网络安全能力满足度的总分值大小排序。
在进行云服务商筛选时,首先排除不满足网络安全能力满足度基线的5家云服务商,余下6家候选云服务商按照上述排序策略进行排序,得到的候选排序例如可参照如下表2。
表2
Figure SMS_2
可以理解的是,以上仅为云服务商网络安全能力评估系统的一种应用示例,不应理解为限制。
综上,本公开实施例提供的云服务商网络安全能力评估系统,利用需求管理模块能够整体分析云租户的云上网络安全需求,利用技术评估模块能够生成云服务商的安全技术能力评估框架,利用运营评估模块能够生成云服务商的安全运营能力评估框架,利用改进评估模块能够生成云服务商的安全改进能力评估框架,利用云服务商评估模块能够计算云服务商的网络安全能力综合评估结果,利用云服务商排序模块能够云服务商网络安全能力满足度排序。根据以上实施例提供的云服务商网络安全能力评估系统,可以从云租户角度出发,基于包括云上安全责任信息在内的云安全需求信息,将云租户对云上保护对象(关键数据和业务系统)上云所需要的网络安全防护需求,转化成为对应的云服务商网络安全能力评估项,以便于云租户能够对不同云服务商的网络安全能力进行有效评估和综合比较。简言之,以上系统能够支撑云租户从自身网络安全保护需求出发,有效衡量云服务商所具备的网络安全能力,以判断其是否能够为自身关键数据和业务系统提供充分的云上网络安全防护。
在本公开实施例提供的云服务商网络安全能力评估系统中,能够生成一套关于安全技术能力、安全运营能力和安全改进能力等多个维度的云服务商网络安全能力评估框架,不同维度的框架中均包含有各自的网络安全能力评估域及其细化的网络安全能力评估项;基于此,可以高效指导有不同云上安全防护需求的云租户评估人员紧扣自身需求,快速确定出面向多个候选云服务商的具体网络安全能力评估项,进一步确保云租户安全开展采购云服务。
根据以上实施例提供的云服务商网络安全能力评估系统,在此提供一种云服务商网络安全能力评估方法,该方法可以包括:
步骤S201,对云租户的多项云安全需求信息进行管理;云安全需求信息包括:云服务类别、云上保护对象、云上安全责任信息、网络安全事件历史库;其中,云上安全责任信息包括云租户的网络安全需求清单;
步骤S202,根据预设的第一评估域对云服务商的安全技术能力进行评估;以及,根据网络安全需求清单对第一评估域进行选择,根据选择结果确定针对云服务商的安全技术能力评估框架;其中,第一评估域包括:虚拟主机安全防护能力、虚拟网络安全防护能力、云上应用安全防护能力和云上数据安全防护能力;
步骤S203,根据预设的第二评估域对云服务商的安全运营能力进行评估;以及,根据网络安全需求清单对第二评估域进行选择,根据选择结果确定针对云服务商的安全运营能力评估框架;其中,第二评估域包括:运维管理能力、风险管理能力、持续监测能力和应急响应能力;
步骤S204,根据预设的第三评估域对云服务商的安全改进能力进行评估;以及,根据网络安全需求清单对第三评估域进行选择,根据选择结果确定针对云服务商的安全改进能力评估框架;其中,第三评估域包括:落实外部监管要求能力和开展内部监督与改进能力;
步骤S205,针对安全技术能力、安全运营能力和安全改进能力,逐项评估云服务商对云安全需求信息的网络安全能力满足度;
步骤S206,根据各网络安全能力满足度和预设的排序策略,对多个云服务商进行排序。
本实施例所提供的方法,其实现原理及产生的技术效果和前述系统实施例相同,为简要描述,方法实施例部分未提及之处,可参考前述系统实施例中相应内容。
图4为本公开实施例提供的一种电子设备的结构示意图。如图4所示,电子设备400包括一个或多个处理器401和存储器402。
处理器401可以是中央处理单元(CPU)或者具有数据处理能力和/或指令执行能力的其他形式的处理单元,并且可以控制电子设备400中的其他组件以执行期望的功能。
存储器402可以包括一个或多个计算机程序产品,所述计算机程序产品可以包括各种形式的计算机可读存储介质,例如易失性存储器和/或非易失性存储器。所述易失性存储器例如可以包括随机存取存储器(RAM)和/或高速缓冲存储器(cache)等。所述非易失性存储器例如可以包括只读存储器(ROM)、硬盘、闪存等。在所述计算机可读存储介质上可以存储一个或多个计算机程序指令,处理器401可以运行所述程序指令,以实现上文所述的本公开的实施例的云服务商网络安全能力评估方法以及/或者其他期望的功能。在所述计算机可读存储介质中还可以存储诸如输入信号、信号分量、噪声分量等各种内容。
在一个示例中,电子设备400还可以包括:输入装置403和输出装置404,这些组件通过总线系统和/或其他形式的连接机构(未示出)互连。
此外,该输入装置403还可以包括例如键盘、鼠标等等。
该输出装置404可以向外部输出各种信息,包括确定出的距离信息、方向信息等。该输出装置404可以包括例如显示器、扬声器、打印机、以及通信网络及其所连接的远程输出设备等等。
当然,为了简化,图4中仅示出了该电子设备400中与本公开有关的组件中的一些,省略了诸如总线、输入/输出接口等等的组件。除此之外,根据具体应用情况,电子设备400还可以包括任何其他适当的组件。
进一步,本实施例还提供了一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序用于执行上述云服务商网络安全能力评估方法。
本公开实施例所提供的一种云服务商网络安全能力评估系统、方法、电子设备及介质的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所述的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种云服务商网络安全能力评估系统,其特征在于,包括:需求管理模块、技术评估模块、运营评估模块、改进评估模块、云服务商评估模块和云服务商排序模块;
所述需求管理模块,用于对云租户的多项云安全需求信息进行管理;所述云安全需求信息包括:云服务类别、云上保护对象、云上安全责任信息、网络安全事件历史库;其中,所述云上安全责任信息包括云租户的网络安全需求清单;
所述技术评估模块,用于根据预设的第一评估域对云服务商的安全技术能力进行评估;以及,根据所述网络安全需求清单对所述第一评估域进行选择,根据选择结果确定针对云服务商的安全技术能力评估框架;其中,所述第一评估域包括:虚拟主机安全防护能力、虚拟网络安全防护能力、云上应用安全防护能力和云上数据安全防护能力;
所述运营评估模块,用于根据预设的第二评估域对云服务商的安全运营能力进行评估;以及,根据所述网络安全需求清单对所述第二评估域进行选择,根据选择结果确定针对云服务商的安全运营能力评估框架;其中,所述第二评估域包括:运维管理能力、风险管理能力、持续监测能力和应急响应能力;
所述改进评估模块,用于根据预设的第三评估域对云服务商的安全改进能力进行评估;以及,根据所述网络安全需求清单对所述第三评估域进行选择,根据选择结果确定针对云服务商的安全改进能力评估框架;其中,所述第三评估域包括:落实外部监管要求能力和开展内部监督与改进能力;
所述云服务商评估模块,用于针对所述安全技术能力、所述安全运营能力和所述安全改进能力,逐项评估云服务商对所述云安全需求信息的网络安全能力满足度;
所述云服务商排序模块,用于根据各所述网络安全能力满足度和预设的排序策略,对多个云服务商进行排序。
2.根据权利要求1所述的系统,其特征在于,所述网络安全需求清单中的各需求项均预设有关键程度系数;所述需求管理模块还用于:
根据所述网络安全需求清单中的各需求项的关键程度系数确定云服务商的网络安全能力满足度基线。
3.根据权利要求2所述的系统,其特征在于,所述云服务商排序模块还用于:
根据各个云服务商的网络安全能力满足度,从多个云服务商中选择达到所述网络安全能力满足度基线的候选云服务商;
根据预设的排序策略对所述候选云服务商进行排序;其中,所述排序策略包括以下至少一项:
所述网络安全能力满足度的总分值大小排序,所述网络安全能力满足度的平均值大小排序,所述候选云服务商的性价比大小排序。
4.根据权利要求1所述的系统,其特征在于,所述云服务商评估模块还用于:
从所述安全技术能力、所述安全运营能力和所述安全改进能力中确定至少一项待评估项;
对待评估的云服务商采集所述待评估项对应的支撑数据;
根据所述支撑数据评估云服务商对所述云安全需求信息的网络安全能力满足度;
对所述网络安全能力满足度进行修订和计算。
5.根据权利要求1所述的系统,其特征在于,所述第一评估域中的虚拟主机安全防护能力、虚拟网络安全防护能力、云上应用安全防护能力和云上数据安全防护能力,均具有各自的第一细分能力项;
所述技术评估模块还用于:
根据所述网络安全需求清单,选择支撑相关网络安全需求落地的第一评估域中的网络安全技术能力及第一细分能力项,生成针对云服务商的安全技术能力评估框架。
6.根据权利要求1所述的系统,其特征在于,所述运维管理能力包括:资产管理、控制管理、配置管理和行为管理;
所述风险管理能力包括:风险评估、脆弱性检测和安全加固;
所述持续监测能力包括:监测有害程序事件、监测网络攻击事件、监测数据攻击事件、监测有害内容事件、监测设备设施故障事件和监测违规操作事件;
所述应急响应能力包括:应急预案、应急演练、应急支撑队伍和应急处置。
7.根据权利要求1所述的系统,其特征在于,所述开展内部监督与改进能力包括:信息安全监督知识库、监督实施计划、安全改进及跟踪。
8.一种云服务商网络安全能力评估方法,其特征在于,包括:
对云租户的多项云安全需求信息进行管理;所述云安全需求信息包括:云服务类别、云上保护对象、云上安全责任信息、网络安全事件历史库;其中,所述云上安全责任信息包括云租户的网络安全需求清单;
根据预设的第一评估域对云服务商的安全技术能力进行评估;以及,根据所述网络安全需求清单对所述第一评估域进行选择,根据选择结果确定针对云服务商的安全技术能力评估框架;其中,所述第一评估域包括:虚拟主机安全防护能力、虚拟网络安全防护能力、云上应用安全防护能力和云上数据安全防护能力;
根据预设的第二评估域对云服务商的安全运营能力进行评估;以及,根据所述网络安全需求清单对所述第二评估域进行选择,根据选择结果确定针对云服务商的安全运营能力评估框架;其中,所述第二评估域包括:运维管理能力、风险管理能力、持续监测能力和应急响应能力;
根据预设的第三评估域对云服务商的安全改进能力进行评估;以及,根据所述网络安全需求清单对所述第三评估域进行选择,根据选择结果确定针对云服务商的安全改进能力评估框架;其中,所述第三评估域包括:落实外部监管要求能力和开展内部监督与改进能力;
针对所述安全技术能力、所述安全运营能力和所述安全改进能力,逐项评估云服务商对所述云安全需求信息的网络安全能力满足度;
根据各所述网络安全能力满足度和预设的排序策略,对多个云服务商进行排序。
9.一种电子设备,其特征在于,所述电子设备包括:
处理器;
用于存储所述处理器可执行指令的存储器;
所述处理器,用于从所述存储器中读取所述可执行指令,并执行所述指令以实现上述权利要求8所述的云服务商网络安全能力评估方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有指令,当所述指令在终端设备上运行时,使得所述终端设备实现如权利要求8所述的云服务商网络安全能力评估方法。
CN202310688699.4A 2023-06-12 2023-06-12 云服务商网络安全能力评估系统、方法、设备及介质 Pending CN116418699A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310688699.4A CN116418699A (zh) 2023-06-12 2023-06-12 云服务商网络安全能力评估系统、方法、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310688699.4A CN116418699A (zh) 2023-06-12 2023-06-12 云服务商网络安全能力评估系统、方法、设备及介质

Publications (1)

Publication Number Publication Date
CN116418699A true CN116418699A (zh) 2023-07-11

Family

ID=87059730

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310688699.4A Pending CN116418699A (zh) 2023-06-12 2023-06-12 云服务商网络安全能力评估系统、方法、设备及介质

Country Status (1)

Country Link
CN (1) CN116418699A (zh)

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150100460A (ko) * 2014-02-24 2015-09-02 경희대학교 산학협력단 클라우드 컴퓨팅 환경에서의 보안 위험 평가 장치 및 평가 방법, 보안 위험 평가 결과를 이용한 클라우드 서비스 제공자 추천 방법
CN104883369A (zh) * 2015-05-29 2015-09-02 天津大学 云架构安全评估方法
CN107249015A (zh) * 2017-04-28 2017-10-13 西安财经学院 基于风险评估的可信云服务选择方法、云系统及云服务器
CN107292174A (zh) * 2016-03-31 2017-10-24 中国电子科技集团公司电子科学研究院 一种云计算系统安全性评估方法及装置
US20180007001A1 (en) * 2015-04-21 2018-01-04 Hangzhou H3C Technologies Co., Ltd. Providing security service
CN108092798A (zh) * 2017-11-27 2018-05-29 西安财经学院 一种基于变粒度的云服务优选方法、云服务器
CN109150976A (zh) * 2018-07-23 2019-01-04 中国科学院计算机网络信息中心 提供安全服务的方法、装置及存储介质
CN109379373A (zh) * 2018-11-23 2019-02-22 中国电子科技网络信息安全有限公司 一种云安全评估系统及方法
WO2023007218A1 (en) * 2021-07-27 2023-02-02 Telefonaktiebolaget Lm Ericsson (Publ) Method and system for on-demand assessment of application kernels

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150100460A (ko) * 2014-02-24 2015-09-02 경희대학교 산학협력단 클라우드 컴퓨팅 환경에서의 보안 위험 평가 장치 및 평가 방법, 보안 위험 평가 결과를 이용한 클라우드 서비스 제공자 추천 방법
US20180007001A1 (en) * 2015-04-21 2018-01-04 Hangzhou H3C Technologies Co., Ltd. Providing security service
CN104883369A (zh) * 2015-05-29 2015-09-02 天津大学 云架构安全评估方法
CN107292174A (zh) * 2016-03-31 2017-10-24 中国电子科技集团公司电子科学研究院 一种云计算系统安全性评估方法及装置
CN107249015A (zh) * 2017-04-28 2017-10-13 西安财经学院 基于风险评估的可信云服务选择方法、云系统及云服务器
CN108092798A (zh) * 2017-11-27 2018-05-29 西安财经学院 一种基于变粒度的云服务优选方法、云服务器
CN109150976A (zh) * 2018-07-23 2019-01-04 中国科学院计算机网络信息中心 提供安全服务的方法、装置及存储介质
CN109379373A (zh) * 2018-11-23 2019-02-22 中国电子科技网络信息安全有限公司 一种云安全评估系统及方法
WO2023007218A1 (en) * 2021-07-27 2023-02-02 Telefonaktiebolaget Lm Ericsson (Publ) Method and system for on-demand assessment of application kernels

Similar Documents

Publication Publication Date Title
US11227055B1 (en) System and method for automated access request recommendations
US9892377B2 (en) Re-factoring, rationalizing and prioritizing a service model and assessing service exposure in the service model
US9286188B1 (en) Predictive model of automated fix handling
US20120101870A1 (en) Estimating the Sensitivity of Enterprise Data
WO2019135951A1 (en) Methods and systems for providing an integrated assessment of risk management and maturity for a cybersecurity/privacy program
Oluleye et al. Assessment of symmetries and asymmetries on barriers to circular economy adoption in the construction industry towards zero waste: A survey of international experts
US20120102361A1 (en) Heuristic policy analysis
Duboc et al. Systematic elaboration of scalability requirements through goal-obstacle analysis
Raghuvanshi et al. A time-variant fault detection software reliability model
Felderer et al. A risk assessment framework for software testing
WO2010088402A1 (en) Supplier portfolio indexing
Wijnhoven et al. Value-based file retention: File attributes as file value and information waste indicators
Zúñiga et al. Master data management maturity model for the microfinance sector in Peru
Erdoğan et al. More effective sprint retrospective with statistical analysis
Muralidharan et al. Risk analysis of cloud service providers by analyzing the frequency of occurrence of problems using E-Eclat algorithm
Felderer et al. An exploratory study on risk estimation in risk-based testing approaches
Marques-Neto et al. A quantitative approach for evaluating software maintenance services
CN116418699A (zh) 云服务商网络安全能力评估系统、方法、设备及介质
US20230344852A1 (en) Centralized technique to manage an enterprise-level cybersecurity maturity assessment
May et al. A product-line-engineering framework for secure enterprise-resource-planning systems
Carrillo-Castrillo et al. Neural network application for risk factors estimation in manufacturing accidents
Skanderson Managing Discrimination Risk of Machine Learning and AI Models
McCormack et al. Ethical AI Governance: Methods for Evaluating Trustworthy AI
Enyoghasi et al. Adapting Life Cycle Impact Assessment Methodology to Quantify New Product Design Risks
Kapur et al. Reliability analysis of project and product type software in operational phase incorporating the effect of fault removal efficiency

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20230711

RJ01 Rejection of invention patent application after publication