技術領域

本發明涉及云計算技術領域，尤其涉及一種云計算系統安全性評估方法及裝置。

背景技術

目前現有的云計算中的信息安全風險評估方法，包含有從云計算服務提供商和使用云計算服務的客戶兩個角度進行云計算系統安全性評估的過程。

1.服務提供商角度的云計算安全性評估

從服務提供商角度即從云計算系統整體角度來進行信息安全風險評估，目前評估方法以傳統信息安全風險評估的流程進行，將風險評估分為安全風險評估準備階段、資產識別階段、脆弱性識別階段、威脅識別階段、已有安全措施識別階段、風險分析與和風險報告階段和綜合風險等級階段共七個階段。

其中脆弱性識別階段中提出的云計算脆弱性識別包括技術脆弱性和管理脆弱性。技術脆弱性方面參考等級保護基本要求中的技術要求內容，主要包括物理環境安全、網絡安全、主機安全、應用安全、和數據安全。管理脆弱性方面參考信息安全管理體系，重點關注云計算組織與普通組織的差別，針對其特點進行特殊關注。

2.客戶角度的云計算安全性評估

從客戶角度對云計算安全性評估的關注點主要在數據流入云和流出云的接口處。從客戶角度的信息安全風險評估方法主要參考軟件測試中的黑盒測試理念，將服務端看作一個黑盒子，只對黑盒子開口處的安全風險進行評估。

目前云計算系統安全性評估中僅對脆弱性識別階段提出了安全評估方法， 沒有結合云計算自身特點，也沒有細節化的評估方案。同時目前云計算系統安全性評估僅提出云計算安全風險評估思路，沒有具體技術實現方案。

發明內容

本發明要解決的技術問題是，提供一種云計算系統安全性評估方法及裝置，克服現有的云計算系統安全性評估方法缺乏具體實現方案的缺陷。

本發明采用的技術方案是，所述云計算系統安全性評估方法，包括：

步驟一，建立云計算系統安全性評估指標，并對被評估目標云計算系統的安全性評估指標分配相應的權重；所述云計算系統安全性評估指標包括：第一級安全性評估指標的集合、第二級安全性評估指標的集合和第三級安全性評估指標的集合；

步驟二，計算第三級安全性評估指標的評分，基于所述被評估目標云計算系統的安全性評估指標的權重，對第三級安全性評估指標的評分進行加權平均得到第二級安全性評估指標的評分；基于第二級安全性評估指標的權重，對所述第二級安全性評估指標的評分進行加權平均得到所述第一級安全性評估指標的評分；所述第一安級全性評估指標的評分即為被評估目標云計算系統安全性評分；

步驟三，通過所述被評估目標云計算系統安全性評分與預設的安全性評估標準對比，得到被評估目標云計算系統安全性評估結論；

所述第一級安全性評估指標的集合包括：技術要求評估指標；

其中，所述技術要求評估指標的評分由以下第二級安全性評估指標的評分加權平均得到：IaaS評估指標、PaaS評估指標、SaaS評估指標和共有安全評估指標；

所述IaaS評估指標的評分由以下第三級安全性評估指標的評分加權平均得到：物理與環境安全、網絡安全、主機系統安全、虛擬化安全和存儲安全；

所述PaaS評估指標的評分由以下第三級安全性評估指標的評分加權平均得 到：運行安全、接口安全和系統安全；

所述SaaS評估指標的評分由以下第三級安全性評估指標的評分加權平均得到：應用安全和信息安全；

所述安全評估指標的評分由以下第三級安全性評估指標的評分加權平均得到：數據安全和備份恢復與數據移植。

進一步的，步驟二中，所述分配云計算系統安全性評估指標權重，包括：

若所述被評估云計算系統的各安全性評估指標之間相互獨立，則根據反復云計算系統安全實驗和云計算系統仿真安全實驗結果，分配所述云計算系統安全性評估指標權重；

若所述被評估云計算系統的各安全性評估指標之間不相互獨立，則通過網絡分析法分配所述云計算系統安全性評估指標權重。

進一步的，所述計算第三級安全性評估指標的評分，包括：

通過監視所述被評估目標云計算系統的網絡接口，獲得被評估目標云計算系統的源數據；

根據所述被評估目標云計算系統的源數據，計算所述云計算系統安全性評估指標的第三級安全性評估指標的評分；所述被評估目標云計算系統的源數據類型包括布爾型、整數和小數；

其中，所述布爾型的數值直接轉化為0或1的分值；其它類型的數據則根據預設的云計算系統安全性評估指標統計數據區間進行線性或非線性映射求得0至1之間的分值；