本发明涉及云计算技术领域,尤其涉及一种云计算系统安全性评估方法及装置。
背景技术:
目前现有的云计算中的信息安全风险评估方法,包含有从云计算服务提供商和使用云计算服务的客户两个角度进行云计算系统安全性评估的过程。
1.服务提供商角度的云计算安全性评估
从服务提供商角度即从云计算系统整体角度来进行信息安全风险评估,目前评估方法以传统信息安全风险评估的流程进行,将风险评估分为安全风险评估准备阶段、资产识别阶段、脆弱性识别阶段、威胁识别阶段、已有安全措施识别阶段、风险分析与和风险报告阶段和综合风险等级阶段共七个阶段。
其中脆弱性识别阶段中提出的云计算脆弱性识别包括技术脆弱性和管理脆弱性。技术脆弱性方面参考等级保护基本要求中的技术要求内容,主要包括物理环境安全、网络安全、主机安全、应用安全、和数据安全。管理脆弱性方面参考信息安全管理体系,重点关注云计算组织与普通组织的差别,针对其特点进行特殊关注。
2.客户角度的云计算安全性评估
从客户角度对云计算安全性评估的关注点主要在数据流入云和流出云的接口处。从客户角度的信息安全风险评估方法主要参考软件测试中的黑盒测试理念,将服务端看作一个黑盒子,只对黑盒子开口处的安全风险进行评估。
目前云计算系统安全性评估中仅对脆弱性识别阶段提出了安全评估方法, 没有结合云计算自身特点,也没有细节化的评估方案。同时目前云计算系统安全性评估仅提出云计算安全风险评估思路,没有具体技术实现方案。
技术实现要素:
本发明要解决的技术问题是,提供一种云计算系统安全性评估方法及装置,克服现有的云计算系统安全性评估方法缺乏具体实现方案的缺陷。
本发明采用的技术方案是,所述云计算系统安全性评估方法,包括:
步骤一,建立云计算系统安全性评估指标,并对被评估目标云计算系统的安全性评估指标分配相应的权重;所述云计算系统安全性评估指标包括:第一级安全性评估指标的集合、第二级安全性评估指标的集合和第三级安全性评估指标的集合;
步骤二,计算第三级安全性评估指标的评分,基于所述被评估目标云计算系统的安全性评估指标的权重,对第三级安全性评估指标的评分进行加权平均得到第二级安全性评估指标的评分;基于第二级安全性评估指标的权重,对所述第二级安全性评估指标的评分进行加权平均得到所述第一级安全性评估指标的评分;所述第一安级全性评估指标的评分即为被评估目标云计算系统安全性评分;
步骤三,通过所述被评估目标云计算系统安全性评分与预设的安全性评估标准对比,得到被评估目标云计算系统安全性评估结论;
所述第一级安全性评估指标的集合包括:技术要求评估指标;
其中,所述技术要求评估指标的评分由以下第二级安全性评估指标的评分加权平均得到:iaas评估指标、paas评估指标、saas评估指标和共有安全评估指标;
所述iaas评估指标的评分由以下第三级安全性评估指标的评分加权平均得到:物理与环境安全、网络安全、主机系统安全、虚拟化安全和存储安全;
所述paas评估指标的评分由以下第三级安全性评估指标的评分加权平均得 到:运行安全、接口安全和系统安全;
所述saas评估指标的评分由以下第三级安全性评估指标的评分加权平均得到:应用安全和信息安全;
所述安全评估指标的评分由以下第三级安全性评估指标的评分加权平均得到:数据安全和备份恢复与数据移植。
进一步的,步骤二中,所述分配云计算系统安全性评估指标权重,包括:
若所述被评估云计算系统的各安全性评估指标之间相互独立,则根据反复云计算系统安全实验和云计算系统仿真安全实验结果,分配所述云计算系统安全性评估指标权重;
若所述被评估云计算系统的各安全性评估指标之间不相互独立,则通过网络分析法分配所述云计算系统安全性评估指标权重。
进一步的,所述计算第三级安全性评估指标的评分,包括:
通过监视所述被评估目标云计算系统的网络接口,获得被评估目标云计算系统的源数据;
根据所述被评估目标云计算系统的源数据,计算所述云计算系统安全性评估指标的第三级安全性评估指标的评分;所述被评估目标云计算系统的源数据类型包括布尔型、整数和小数;
其中,所述布尔型的数值直接转化为0或1的分值;其它类型的数据则根据预设的云计算系统安全性评估指标统计数据区间进行线性或非线性映射求得0至1之间的分值;
根据所述源数据与所述第三安全性评估指标之间的映射关系,计算所述第三级安全性评估指标的评分:
若所述第三级安全性评估指标为预设的关键指标,则所述第三级安全性评估指标评分为第三级安全性评估指标的相关源数据中的最低分值;
若与所述第三级安全性评估指标相关的源数据的重要等级相同,则所述第三级安全性评估指标评分为所述第三级安全性评估指标的相关源数据分值的算 术平均值;
若与所述第三级安全性评估指标相关的源数据的重要等级不相同,则根据预设的源数据权值,对所述第三级安全性评估指标得相关源数据分值通过加权平均算法计算所述第三级安全性评估指标评分。
进一步的,所述预设的安全性评估标准,包括:
第一安全性评估标准安全等级分值范围:0分~60分,所述第一安全性评估标准安全等级对应的预设安全性评估结论为安全等级不符合标准;
第二安全性评估标准安全等级分值范围:61分~70分,所述第二安全性评估标准安全等级对应的预设安全性评估结论为安全等级较低;
第三安全性评估标准安全等级分值范围:71分~80分,所述第三安全性评估标准安全等级对应的预设安全性评估结论为安全等级较高;
第四安全性评估标准安全等级分值范围:81分~90分,所述第四安全性评估标准安全等级对应的预设安全性评估结论为安全等级高;
第五安全性评估标准安全等级分值范围:91分~100分,所述第五安全性评估标准安全等级对应的预设安全性评估结论为安全等级非常高;
所述步骤三,具体包括:通过所述被评估目标云计算系统安全性评分与所述预设的安全性评估标准匹配,若所述被评估目标云计算系统安全性评分在对应的安全性评估标准安全等级分值范围内,则安全性评估标准安全等级对应的预设安全性评估结论即为所述被评估目标云计算系统安全性评估结论。
进一步的,还包括:
根据所述安全性评估指标评分与所述云计算系统评估指标的映射关系,若所述安全性评估指标评分低于预设的云计算系统安全性评估指标标准,则所述云计算系统安全性评估指标评分对应的所述云计算系统评估指标为所述被评估目标云计算系统存在的脆弱点;通过所述脆弱点对应的预设整改措施对所述脆弱点进行整改。
进一步的,还包括:基于所述被评估目标云计算系统安全性评估的安全性评分,构建云计算系统安全性评估知识库;
当计算所有安全性评估指标评分时,将所述所有安全性评估指标评分记录到所述云计算系统安全性评估知识库中,所述云计算系统安全性评估知识库在所述安全性评估指标评分计算过程中不断更新所有安全性评估指标评分,为后续云计算系统安全性评估做知识积累。
本发明还提供一种云计算系统安全性评估装置,包括:
评估指标模块,用于建立所述云计算系统安全性评估指标,并对所述被评估目标云计算系统的所述安全性评估指标分配相应的权重;所述云计算系统安全性评估指标包括:所述第一级安全性评估指标的集合、所述第二级安全性评估指标的集合和所述第三级安全性评估指标的集合;
评估指标评分模块,用于计算所述第三级安全性评估指标的评分,基于所述被评估目标云计算系统的安全性评估指标的权重,对所述第三级安全性评估指标的评分进行加权平均得到所述第二级安全性评估指标的评分;基于第二级安全性评估指标的权重,对所述第二级安全性评估指标的评分进行加权平均得到所述第一级安全性评估指标的评分;所述第一安级全性评估指标的评分即为被评估目标云计算系统安全性评分;
安全性评估模块,用于通过所述被评估目标云计算系统安全性评分与预设的安全性评估标准对比,得到被评估目标云计算系统安全性评估结论;
所述第一级安全性评估指标的集合包括:技术要求评估指标;
其中,所述技术要求评估指标的评分由以下第二级安全性评估指标的评分加权平均得到:iaas评估指标、paas评估指标、saas评估指标和共有安全评估指标;
所述iaas评估指标的评分由以下第三级安全性评估指标的评分加权平均得到:物理与环境安全、网络安全、主机系统安全、虚拟化安全和存储安全;
所述paas评估指标的评分由以下第三级安全性评估指标的评分加权平均得 到:运行安全、接口安全和系统安全;
所述saas评估指标的评分由以下第三级安全性评估指标的评分加权平均得到:应用安全和信息安全;
所述共有安全评估指标的评分由以下第三级安全性评估指标的评分加权平均得到:数据安全和备份恢复与数据移植。
进一步的,所述评估指标评分模块,具体用于:
若所述被评估云计算系统的各安全性评估指标之间相互独立,则根据反复云计算系统安全实验和云计算系统仿真安全实验结果,分配所述云计算系统安全性评估指标权重;
若所述被评估云计算系统的各安全性评估指标之间不相互独立,则通过网络分析法分配所述云计算系统安全性评估指标权重。
进一步的,所述评估指标评分模块,具体用于:
通过监视所述被评估目标云计算系统的网络接口,获得被评估目标云计算系统的源数据;
根据所述被评估目标云计算系统的源数据,计算所述云计算系统安全性评估指标的第三级安全性评估指标的评分;所述被评估目标云计算系统的源数据类型包括布尔型、整数和小数;
其中,所述布尔型的数值直接转化为0或1的分值;其它类型的数据则根据预设的云计算系统安全性评估指标统计数据区间进行线性或非线性映射求得0至1之间的分值;
根据所述源数据与所述第三安全性评估指标之间的映射关系,计算所述第三级安全性评估指标的评分:
若所述第三级安全性评估指标为预设的关键指标,则所述第三级安全性评估指标评分为第三级安全性评估指标的相关源数据中的最低分值;
若与所述第三级安全性评估指标相关的源数据的重要等级相同,则所述第三级安全性评估指标评分为所述第三级安全性评估指标的相关源数据分值的算 术平均值;
若与所述第三级安全性评估指标相关的源数据的重要等级不相同,则根据预设的源数据权值,对所述第三级安全性评估指标得相关源数据分值通过加权平均算法计算所述第三级安全性评估指标评分。
进一步的,所述预设的安全性评估标准,包括:
第一安全性评估标准安全等级分值范围:0分~60分,所述第一安全性评估标准安全等级对应的预设安全性评估结论为安全等级不符合标准;
第二安全性评估标准安全等级分值范围:61分~70分,所述第二安全性评估标准安全等级对应的预设安全性评估结论为安全等级较低;
第三安全性评估标准安全等级分值范围:71分~80分,所述第三安全性评估标准安全等级对应的预设安全性评估结论为安全等级较高;
第四安全性评估标准安全等级分值范围:81分~90分,所述第四安全性评估标准安全等级对应的预设安全性评估结论为安全等级高;
第五安全性评估标准安全等级分值范围:91分~100分,所述第五安全性评估标准安全等级对应的预设安全性评估结论为安全等级非常高;
所述安全性评估模块,具体用于:通过所述被评估目标云计算系统安全性评分与所述预设的安全性评估标准匹配,若所述被评估目标云计算系统安全性评分在对应的安全性评估标准安全等级分值范围内,则安全性评估标准安全等级对应的预设安全性评估结论即为所述被评估目标云计算系统安全性评估结论。
进一步的,所述安全性评估模块,还用于:
根据所述安全性评估指标评分与所述云计算系统评估指标的映射关系,若所述安全性评估指标评分低于预设的云计算系统安全性评估指标标准,则所述云计算系统安全性评估指标评分对应的所述云计算系统评估指标为所述被评估目标云计算系统存在的脆弱点;对所述脆弱点对应的预设整改措施进行整改。
进一步的,所述装置,还包括:
知识库模块,用于基于所述被评估目标云计算系统安全性评估的安全性评 分,构建云计算系统安全性评估知识库;
当计算所有安全性评估指标评分时,将所述所有安全性评估指标评分记录到所述云计算系统安全性评估知识库中,所述云计算系统安全性评估知识库在所述安全性评估指标评分计算过程中不断更新所有安全性评估指标评分,为后续云计算系统安全性评估做知识积累。
采用上述技术方案,本发明至少具有下列优点:
本发明所述云计算系统安全性评估方法及装置,建立完善和科学的云计算安全评估指标,适用于不同云计算平台中的不同服务商、开发商和用户需求。提出清晰可行的云计算平台系统级安全评估技术实现方案,有力推进高安全云计算平台建设进程。
附图说明
图1为本发明第一实施例的云计算系统安全性评估方法流程图;
图2为本发明第二实施例的云计算系统安全性评估装置组成结构示意图;
图3为本发明第三实施例的云计算系统安全性评估方法流程图。
具体实施方式
为更进一步阐述本发明为达成预定目的所采取的技术手段及功效,以下结合附图及较佳实施例,对本发明进行详细说明如后。
本发明第一实施例,一种云计算系统安全性评估方法,如图1所示,包括以下具体步骤:
步骤s101,建立云计算系统安全性评估指标,并对被评估目标云计算系统的安全性评估指标分配相应的权重;所述云计算系统安全性评估指标包括:第一级安全性评估指标的集合、第二级安全性评估指标的集合和第三级安全性评估指标的集合。
具体的,步骤s101,包括:
云计算系统安全性评估指标,包括第一级安全性评估指标的集合:技术要求评估指标。
其中,技术要求评估指标的评分由以下第二级安全性评估指标的评分加权平均得到:iaas评估指标、paas评估指标、saas评估指标和共有安全评估指标。
iaas评估指标的评分由以下第三级安全性评估指标的评分加权平均得到:物理与环境安全、网络安全、主机系统安全、虚拟化安全和存储安全;
paas评估指标的评分由以下第三级安全性评估指标的评分加权平均得到:运行安全、接口安全和系统安全;
saas评估指标的评分由以下第三级安全性评估指标的评分加权平均得到:应用安全和信息安全。
共有安全评估指标的评分由以下第三级安全性评估指标的评分加权平均得到:数据安全和备份恢复与数据移植。
根据被评估目标云计算系统安全要求,分配云计算系统安全性评估指标权重。
若被评估云计算系统的各安全性评估指标之间相互独立,则根据反复云计算系统安全实验和云计算系统仿真安全实验结果,分配云计算系统安全性评估指标权重;
若被评估云计算系统的各安全性评估指标之间不相互独立,则通过网络分析法(networkanalysis,anp)分配云计算系统安全性评估指标权重。
其中,网络分析法是层次分析法(analytichierarchyprocess,ahp)的新发展,网络分析法可以更好地处理指标间的相关性,比层次分析法更合理,更准确可靠。网络分析法为现有技术,在此不做赘述。
步骤s102,计算第三级安全性评估指标的评分,基于被评估目标云计算系统的安全性评估指标的权重,对第三级安全性评估指标的评分进行加权平均得到第二级安全性评估指标的评分;基于第二级安全性评估指标的权重,对第二 级安全性评估指标的评分进行加权平均得到第一级安全性评估指标的评分;第一安级全性评估指标的评分即为被评估目标云计算系统安全性评分。
具体的,步骤s102,包括:
通过监视被评估目标云计算系统的网络接口,获得被评估目标云计算系统的源数据;
根据被评估目标云计算系统的源数据,计算云计算系统安全性评估指标系的第三级安全性评估指标的评分;被评估目标云计算系统的源数据类型包括布尔型、整数和小数;
其中,布尔型的数值直接转化为0或1的分值;其它类型的数据则根据预设的云计算系统安全性评估指标统计数据区间进行线性或非线性映射求得0至1之间的分值;
根据源数据与第三级安全性评估指标之间的映射关系,计算第三级安全性评估指标的评分:
若第三级安全性评估指标为预设的关键指标,则第三级安全性评估指标评分为第三级安全性评估指标的相关源数据中的最低分值;
若与第三级安全性评估指标相关的源数据的重要等级相同,则第三级安全性评估指标评分为第三级安全性评估指标的相关源数据分值的算术平均值;
若与第三级安全性评估指标相关的源数据的重要等级不相同,则根据预设的源数据权值,对第三级安全性评估指标得相关源数据分值通过加权平均算法计算第三级安全性评估指标评分。
步骤s103,通过被评估目标云计算系统安全性评分与预设的安全性评估标准对比,得到被评估目标云计算系统安全性评估结论。
具体的,步骤s103,包括:
通过被评估目标云计算系统安全性评估的安全性评分与预设的安全性评估标准对比,生成被评估目标云计算系统安全性评估结论。
通过被评估目标云计算系统安全性评分与预设的安全性评估标准匹配,若 被评估目标云计算系统安全性评分在对应的安全性评估标准安全等级分值范围内,则安全性评估标准安全等级对应的预设安全性评估结论即为被评估目标云计算系统安全性评估结论。形成最终的系统级安全评估报告。
其中,预设的安全性评估标准为:
第一安全性评估标准安全等级分值范围:0分~60分,第一安全性评估标准安全等级对应的预设安全性评估结论为安全等级不符合标准;
第二安全性评估标准安全等级分值范围:61分~70分,第二安全性评估标准安全等级对应的预设安全性评估结论为安全等级较低;
第三安全性评估标准安全等级分值范围:71分~80分,第三安全性评估标准安全等级对应的预设安全性评估结论为安全等级较高;
第四安全性评估标准安全等级分值范围:81分~90分,第四安全性评估标准安全等级对应的预设安全性评估结论为安全等级高;
第五安全性评估标准安全等级分值范围:91分~100分,第五安全性评估标准安全等级对应的预设安全性评估结论为安全等级非常高。
根据安全性评估指标评分与云计算系统评估指标的映射关系,若安全性评估指标评分低于预设的云计算系统安全性评估指标标准,则云计算系统安全性评估指标评分对应的云计算系统评估指标为被评估目标云计算系统存在的脆弱点;通过脆弱点对应的预设整改措施对对脆弱点进行整改。
当计算所有安全性评估指标评分时,将所有安全性评估指标评分记录到云计算系统安全性评估知识库中,云计算系统安全性评估知识库在安全性评估指标评分计算过程中不断更新所有安全性评估指标评分,为后续云计算系统安全性评估做知识积累。
本发明第二实施例,一种云计算系统安全性评估装置,如图2所示,包括以下组成部分:
评估指标模块100,用于建立云计算系统安全性评估指标,并对被评估目标云计算系统的安全性评估指标分配相应的权重;云计算系统安全性评估指标包 括:第一级安全性评估指标的集合、第二级安全性评估指标的集合和第三级安全性评估指标的集合。
若被评估云计算系统的各安全性评估指标之间相互独立,则根据反复云计算系统安全实验和云计算系统仿真安全实验结果,分配云计算系统安全性评估指标权重;
若被评估云计算系统的各安全性评估指标之间不相互独立,则通过网络分析法分配云计算系统安全性评估指标权重。
第一级安全性评估指标的集合包括:技术要求评估指标。
其中,技术要求评估指标的评分由以下第二级安全性评估指标的评分加权平均得到:iaas评估指标、paas评估指标、saas评估指标和共有安全评估指标。
iaas评估指标的评分由以下第三级安全性评估指标的评分加权平均得到:物理与环境安全、网络安全、主机系统安全、虚拟化安全和存储安全;
paas评估指标的评分由以下第三级安全性评估指标的评分加权平均得到:运行安全、接口安全和系统安全;
saas评估指标的评分由以下第三级安全性评估指标的评分加权平均得到:应用安全和信息安全。
共有安全评估指标的评分由以下第三级安全性评估指标的评分加权平均得到:数据安全和备份恢复与数据移植。
评估指标评分模块200,用于计算第三级安全性评估指标的评分,基于被评估目标云计算系统的安全性评估指标的权重,对第三级安全性评估指标的评分进行加权平均得到第二级安全性评估指标的评分;基于第二级安全性评估指标的权重,对第二级安全性评估指标的评分进行加权平均得到第一级安全性评估指标的评分;第一安级全性评估指标的评分即为被评估目标云计算系统安全性评分。
通过监视被评估目标云计算系统的网络接口,获得被评估目标云计算系统的源数据;
根据被评估目标云计算系统的源数据,计算云计算系统安全性评估指标的第三级安全性评估指标的评分;被评估目标云计算系统的源数据类型包括布尔型、整数和小数;
其中,布尔型的数值直接转化为0或1的分值;其它类型的数据则根据预设的云计算系统安全性评估指标统计数据区间进行线性或非线性映射求得0至1之间的分值;
根据源数据与第三安全性评估指标之间的映射关系,计算第三级安全性评估指标的评分:
若第三级安全性评估指标为预设的关键指标,则第三级安全性评估指标评分为第三级安全性评估指标的相关源数据中的最低分值;
若与第三级安全性评估指标相关的源数据的重要等级相同,则第三级安全性评估指标评分为第三级安全性评估指标的相关源数据分值的算术平均值;
若与第三级安全性评估指标相关的源数据的重要等级不相同,则根据预设的源数据权值,对第三级安全性评估指标得相关源数据分值通过加权平均算法计算第三级安全性评估指标评分。
安全性评估模块300,用于通过被评估目标云计算系统安全性评分与预设的安全性评估标准对比,得到被评估目标云计算系统安全性评估结论。
预设的安全性评估标准为:
第一安全性评估标准安全等级分值范围:0分~60分,第一安全性评估标准安全等级对应的预设安全性评估结论为安全等级不符合标准;
第二安全性评估标准安全等级分值范围:61分~70分,第二安全性评估标准安全等级对应的预设安全性评估结论为安全等级较低;
第三安全性评估标准安全等级分值范围:71分~80分,第三安全性评估标准安全等级对应的预设安全性评估结论为安全等级较高;
第四安全性评估标准安全等级分值范围:81分~90分,第四安全性评估标准安全等级对应的预设安全性评估结论为安全等级高;
第五安全性评估标准安全等级分值范围:91分~100分,第五安全性评估标准安全等级对应的预设安全性评估结论为安全等级非常高;
安全性评估模块300,具体用于:通过被评估目标云计算系统安全性评分与预设的安全性评估标准匹配,若被评估目标云计算系统安全性评分在对应的安全性评估标准安全等级分值范围内,则安全性评估标准安全等级对应的预设安全性评估结论即为被评估目标云计算系统安全性评估结论。
根据安全性评估指标评分与云计算系统评估指标的映射关系,若安全性评估指标评分低于预设的云计算系统安全性评估指标标准,则云计算系统安全性评估指标评分对应的云计算系统评估指标为被评估目标云计算系统存在的脆弱点;通过脆弱点对应的预设整改措施对脆弱点进行整改。
知识库模块400,用于基于被评估目标云计算系统安全性评估的安全性评分,构建云计算系统安全性评估知识库。
当计算所有安全性评估指标评分时,将所有安全性评估指标评分记录到云计算系统安全性评估知识库中,云计算系统安全性评估知识库在安全性评估指标评分计算过程中不断更新所有安全性评估指标评分,为后续云计算系统安全性评估做知识积累。
本发明第三实施例,一种云计算系统安全性评估方法,如图1所示,包括以下具体步骤:
步骤s201,建立云计算系统安全性评估指标体系。
具体的,步骤s201,包括:
云计算系统安全性评估指标体系,包括第一级安全性评估指标集合:技术要求评估指标和管理要求评估指标;
其中,技术要求评估指标,包括第二级安全性评估指标集合:iaas评估指标、paas评估指标、saas评估指标和共有安全评估指标。
iaas评估指标,具体包括第三级安全性评估指标集合:物理与环境安全、网络安全、主机系统安全、虚拟化安全和存储安全;
paas评估指标,具体包括第三级安全性评估指标集合:运行安全、接口安全和系统安全;
saas评估指标,具体包括第三级安全性评估指标集合:应用安全和信息安全;
共有安全评估指标,具体包括第三级安全性评估指标集合:数据安全和备份恢复与数据移植。
管理要求评估指标,包括第二级安全性评估指标集合:安全管理制度评估指标、安全管理机构评估指标、人员安全管理评估指标、系统建设管理评估指标、系统运维管理评估指标和服务水平协议管理评估指标。
安全管理制度评估指标,包括第三级安全性评估指标集合:制定及发布、管理制度和评审及修订;
安全管理机构评估指标,包括第三级安全性评估指标集合:授权与审批、沟通与合作、审核与检查、岗位设置和人员配备;
人员安全管理评估指标,包括第三级安全性评估指标集合:人员录用、人员离岗、人员考核、安全意识教育与培训、外部人员访问管理、维护人员、应急培训、应急演练、人员调动和第三方人员安全;
系统建设管理评估指标,包括第三级安全性评估指标集合:系统定级、安全方案设计、产品采购与使用、自行软件开发、外包商开发、工程实施、测试验收、系统支付、安全服务商选择、组件真实性和不被支持的系统组件;
系统运维管理评估指标,包括第三级安全性评估指标集合:环境管理、资产管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、鉴别凭证管理、账号管理、备份恢复与移植管理、安全应急预案管理、信息系统组件清单、受控维护、远程维护、及时维护和安全功能验证;
服务水平协议管理评估指标,包括第三级安全性评估指标集合:云计算内容、责任与权限、惩罚措施、第三方服务水平监督、服务水平改进、风险评估、脆弱性扫描、持续监控、安全服务商选择、信息系统监测和垃圾信息监测。
步骤s202,根据被评估目标云计算系统安全要求,分配云计算系统安全性评估指标权重。
具体的,步骤s202,包括:
根据被评估目标云计算系统安全要求,以及经过反复云计算系统安全实验和云计算系统仿真安全实验结果,分配云计算系统安全性评估指标权重。若云计算系统安全性评估指标不相互独立,则通过网络分析法(networkanalysis,anp)确定指标的权重。
其中,网络分析法是层次分析法(analytichierarchyprocess,ahp)的新发展,网络分析法可以更好地处理指标间的相关性,比层次分析法更合理,更准确可靠。网络分析法为现有技术,在此不做赘述。
步骤s203,计算被评估目标云计算系统所有第三级安全性评估指标评分,根据云计算系统安全性评估指标权重,通过加权平均法计算被评估目标云计算系统安全性评估的安全性评分。
具体的,步骤s203,包括:
通过监视被评估目标云计算系统网络接口,获得被评估目标云计算系统的源数据。
通过被评估目标云计算系统的源数据,计算云计算系统安全性评估指标体系的第三级评估指标评分。被评估目标云计算系统的源数据类型包括布尔型、整数和小数等,分别对应为0到1之间的分值。其中,布尔型的数值直接转化为0或1的分值;其它类型的数据则根据预设的评估指标统计数据区间进行线性或非线性映射求得0至1之间的分值。源数据经过处理后得到的分值还需要根据源数据与所有第三级安全性评估指标之间的映射关系,进一步计算所有第三级安全性评估指标的评分。
具体的计算方法包括:
若第三级安全性评估指标为预设的关键指标,则第三级安全性评估指标评 分为第三级安全性评估指标的相关源数据中的最低分值;
若与第三级安全性评估指标相关的源数据的重要等级相同,则第三级安全性评估指标评分为第三级安全性评估指标的相关源数据分值的算术平均值;
若与第三级安全性评估指标相关的源数据的重要等级不相同,则根据预设的源数据权值,对第三级安全性评估指标得相关源数据分值通过加权平均算法计算第三级安全性评估指标评分。
基于被评估目标云计算系统的安全性评估指标的权重,对第三级安全性评估指标的评分进行加权平均得到第二级安全性评估指标的评分;
基于第二级安全性评估指标的权重,对第二级安全性评估指标的评分进行加权平均得到第一级安全性评估指标的评分;
第一安级全性评估指标的评分即为被评估目标云计算系统安全性评分。
步骤s204,通过被评估目标云计算系统安全性评估的安全性评分与预设的安全性评估标准对比,生成被评估目标云计算系统安全性评估结论,挖掘被评估目标云计算系统安全脆弱点,并提出预设的安全整改措施,形成最终的系统级安全评估报告。
具体的,步骤s204,包括:
通过被评估目标云计算系统安全性评估的安全性评分与预设的安全性评估标准对比,生成被评估目标云计算系统安全性评估结论。
根据安全性评估指标评分与云计算系统评估指标体系的映射关系,若安全性评估指标评分低于预设的云计算系统安全性评估指标标准,则云计算系统安全性评估指标评分对应的云计算系统评估指标为被评估目标云计算系统存在的脆弱点;对脆弱点对应的预设整改措施进行整改。
形成最终的系统级安全评估报告。
其中,预设的安全性评估标准为:
0分-60分为不符合安全标准;
61分-70分为安全等级较低;
71分-80分为安全等级较高;
81分-90分为安全等级高;
91分-100分为安全等级非常高。
步骤s205,构建云计算系统安全性评估知识库。
当计算所有安全性评估指标评分时,将所有安全性评估指标评分记录到云计算系统安全性评估知识库中,云计算系统安全性评估知识库在安全性评估指标评分计算过程中不断更新所有安全性评估指标评分,为后续云计算系统安全性评估做知识积累。
通过具体实施方式的说明,应当可对本发明为达成预定目的所采取的技术手段及功效得以更加深入且具体的了解,然而所附图示仅是提供参考与说明之用,并非用来对本发明加以限制。