技術領域

本發明屬于信息安全測評技術領域，特別是一種云環境下面向等 級保護的信息系統安全性測評方法。

背景技術

云計算是一種新型的計算模式，以服務的形式為用戶提供各種計 算資源，如硬件資源、存儲資源和應用程序等。面向等級保護的信息 系統安全性測評是依據信息系統所定的安全保護等級，基于測評標 準，對信息系統開展測試，通過測試發現信息系統安全建設存在的薄 弱環節，在技術和管理層面有針對性的整改增強，實現對重要信息系 統的重點防護，提升信息系統安全防護能力。從本質上說，云計算也 屬于信息系統，具有信息系統的共性，同時也具有信息系統的安全防 護需求，需要按照其重要程度按等級進行保護。

目前，針對傳統信息系統的等級測評方法較為成熟，如“一種面 向等級保護的信息系統安全合規性檢查方法”公開了一種適用于傳統 信息系統的等級測評方法。由于云計算具有網絡服務的模式、虛擬化、 跨地域性等特點，其與傳統信息系統在業務上存在差別，以及它的復 雜性，使得云計算環境的安全保障比傳統信息系統更加復雜、需要考 慮的要素更多。因此在云環境下按照傳統信息系統測評方法開展測評 無法完全滿足要求，主要包括以下兩個方面的問題：

一是，測評內容無法滿足需要。虛擬化技術的引入、數據存儲方 式的變化、業務可以在不同云環境下遷移等新特性存在的安全問題威 脅著云的安全，因此在測評中需要增加相應的測評要求。

二是，測評流程無法適應新環境。不同于傳統信息系統，云計算 系統的測評需要將云計算平臺101和云用戶信息系統102分開進行， 同時在一次測評過程中，由于用戶的服務模式由單用戶轉變為多用 戶，一次測評涉及到不同安全等級的系統等。上述新特性導致需要對 現有測評流程進行改進。

發明內容

本發明的目的在于提供一種云環境信息系統安全性測試平臺，用 于解決上述現有技術的問題。

本發明一種云環境信息系統安全性測試平臺，其中，包括：檢測 工具集模塊，用于存儲多種檢測工具，以對云計算平臺以及云用戶信 息系統進行測試；資產采集代理分別，用于采集云計算平臺以及云用 戶信息系統的資產；云計算平臺安全性測試模塊，用于調用該檢測工 具集模塊中的檢測工具以對云計算平臺的安全性進行測試；云用戶信 息系統安全性測試模塊，用于調用該檢測工具集模塊中的檢測工具以 對云用戶信息系統的安全性進行測試；數據中心，用于儲存該資產采 集代理采集的信息；以及計算模塊，用于對云計算平臺的安全測試模 塊和云用戶信息系統的安全測試模塊的測試結果數據進行分析，計算 得出云計算平臺的安全性和云用戶信息系統的安全性。

根據本發明的云環境信息系統安全性測試平臺的一實施例，其 中，該數據中心包括資產庫、指標庫、測試結果庫和分析結果庫；該 資產庫用于存儲被測云計算平臺的資產信息以及云用戶信息系統資 產信息；該指標庫用于存儲指標集合，不同安全等級分別對應不同的 指標集合；該測試結果庫用于存儲該檢測工具集模塊測試完成后的測 試結果數據；該分析結果庫用于存儲該計算模塊的分析結果數據。

根據本發明的云環境信息系統安全性測試平臺的一實施例，其 中，該資產庫中的云計算平臺的資產包括：機房及相關設施、網絡設 備、安全設備、虛擬化網絡設備、虛擬化安全設備、服務器、終端、 虛擬機、服務及管理接口、應用系統、數據、日志以及云提供商信譽 信息；該資產庫中云用戶信息系統的資產包括：終端和應用系統信息。

根據本發明的云環境信息系統安全性測試平臺的一實施例，其 中，該檢測工具集模塊包括漏洞掃描工具、惡意代碼檢測工具、密碼 檢測工具、web安全檢測工具、主機配置檢測工具以及數據庫安全檢 測工具。

綜上，本發明的云環境信息系統安全性測試平臺，綜合考慮云計 算的特點和信息安全測評方法，通過建立云環境信息系統安全性測評 平臺，獲取云計算平臺、云用戶信息系統的資產，從數據中心抽取測 試指標，調用自動化檢測工具，按照測試用例，先對云計算平臺系統 進行安全性測試，再對云用戶信息系統進行安全性測試，最后根據測 試結果，調用計算模塊，計算系統安全性與指標的符合程度。

附圖說明

圖1所示為本發明云環境信息系統安全性測試平臺的模塊圖；

圖2所示為云計算平臺、云用戶信息系統與云環境信息系統安全 性測試平臺的連接關系圖；