云环境下面向等级保护的信息系统安全性测评方法
云环境下面向等级保护的信息系统安全性测评方法
【技术领域】
[0001]本发明属于信息安全测评技术领域,特别是一种云环境下面向等级保护的信息系统安全性测评方法。
【背景技术】
[0002]云计算是一种新型的计算模式,以服务的形式为用户提供各种计算资源,如硬件资源、存储资源和应用程序等。面向等级保护的信息系统安全性测评是依据信息系统所定的安全保护等级,基于测评标准,对信息系统开展测试,通过测试发现信息系统安全建设存在的薄弱环节,在技术和管理层面有针对性的整改增强,实现对重要信息系统的重点防护,提升信息系统安全防护能力。从本质上说,云计算也属于信息系统,具有信息系统的共性,同时也具有信息系统的安全防护需求,需要按照其重要程度按等级进行保护。
[0003]目前,针对传统信息系统的等级测评方法较为成熟,如“一种面向等级保护的信息系统安全合规性检查方法”公开了一种适用于传统信息系统的等级测评方法。由于云计算具有网络服务的模式、虚拟化、跨地域性等特点,其与传统信息系统在业务上存在差别,以及它的复杂性,使得云计算环境的安全保障比传统信息系统更加复杂、需要考虑的要素更多。因此在云环境下按照传统信息系统测评方法开展测评无法完全满足要求,主要包括以下两个方面的问题:
[0004]—是,测评内容无法满足需要。虚拟化技术的引入、数据存储方式的变化、业务可以在不同云环境下迀移等新特性存在的安全问题威胁着云的安全,因此在测评中需要增加相应的测评要求。
[0005]二是,测评流程无法适应新环境。不同于传统信息系统,云计算系统的测评需要将云计算平台101和云用户信息系统102分开进行,同时在一次测评过程中,由于用户的服务模式由单用户转变为多用户,一次测评涉及到不同安全等级的系统等。上述新特性导致需要对现有测评流程进行改进。
【发明内容】
[0006]本发明的目的在于提供一种云环境信息系统安全性测试平台,用于解决上述现有技术的问题。
[0007]本发明一种云环境信息系统安全性测试平台,其中,包括:检测工具集模块,用于存储多种检测工具,以对云计算平台以及云用户信息系统进行测试;资产采集代理分别,用于采集云计算平台以及云用户信息系统的资产;云计算平台安全性测试模块,用于调用该检测工具集模块中的检测工具以对云计算平台的安全性进行测试;云用户信息系统安全性测试模块,用于调用该检测工具集模块中的检测工具以对云用户信息系统的安全性进行测试;数据中心,用于储存该资产采集代理采集的信息;以及计算模块,用于对云计算平台的安全测试模块和云用户信息系统的安全测试模块的测试结果数据进行分析,计算得出云计算平台的安全性和云用户信息系统的安全性。
[0008]根据本发明的云环境信息系统安全性测试平台的一实施例,其中,该数据中心包括资产库、指标库、测试结果库和分析结果库;该资产库用于存储被测云计算平台的资产信息以及云用户信息系统资产信息;该指标库用于存储指标集合,不同安全等级分别对应不同的指标集合;该测试结果库用于存储该检测工具集模块测试完成后的测试结果数据;该分析结果库用于存储该计算模块的分析结果数据。
[0009]根据本发明的云环境信息系统安全性测试平台的一实施例,其中,该资产库中的云计算平台的资产包括:机房及相关设施、网络设备、安全设备、虚拟化网络设备、虚拟化安全设备、服务器、终端、虚拟机、服务及管理接口、应用系统、数据、日志以及云提供商信誉信息;该资产库中云用户信息系统的资产包括:终端和应用系统信息。
[0010]根据本发明的云环境信息系统安全性测试平台的一实施例,其中,该检测工具集模块包括漏洞扫描工具、恶意代码检测工具、密码检测工具、web安全检测工具、主机配置检测工具以及数据库安全检测工具。
[0011]综上,本发明的云环境信息系统安全性测试平台,综合考虑云计算的特点和信息安全测评方法,通过建立云环境信息系统安全性测评平台,获取云计算平台、云用户信息系统的资产,从数据中心抽取测试指标,调用自动化检测工具,按照测试用例,先对云计算平台系统进行安全性测试,再对云用户信息系统进行安全性测试,最后根据测试结果,调用计算模块,计算系统安全性与指标的符合程度。
【附图说明】
[0012]图1所示为本发明云环境信息系统安全性测试平台的模块图;
[0013]图2所示为云计算平台、云用户信息系统与云环境信息系统安全性测试平台的连接关系图;
[0014]图3所示为云环境信息系统安全性测试平台工作流程图。
【具体实施方式】
[0015]为使本发明的目的、内容、和优点更加清楚,下面结合附图和实施例,对本发明的【具体实施方式】作进一步详细描述。
[0016]图1所示为本发明云环境信息系统安全性测试平台的模块图,图2所示为云计算平台、云用户信息系统与云环境信息系统安全性测试平台的连接关系图,如图1以及图2所示,云环境信息信息系统安全性测评平台由服务器端、检测工具集模块I以及资产采集代理6三部分组成。服务器端包括:云计算平台安全性测试模块2、云用户信息系统102安全性测试模块3、计算模块4以及数据中心5。检测工具集包括:漏洞扫描工具11、恶意代码查杀工具12、密码检测工具13、web安全检测工具14、主机配置检查工具15以及数据库安全检查工具16。资产采集代理6包括:云计算平台资产采集61以及云用户信息系统102资产采集62。
[0017]参考图1,数据中心5包括资产库51、指标库52、测试结果库53和分析结果库54。资产库51用于存储被测云计算平台101的资产信息、云用户信息系统102资产信息;指标库52用于存储指标集合,不同安全等级分别对应不同的指标集合;测试结果53库用于存储检测工具集模块I测试完成后的测试结果数据;分析结果库54用于存储计算模块4的分析结果数据。
[0018]参考图1,其中资产库51中云计算平台101的资产包括:机房及相关设施、网络设备、安全设备、虚拟化网络设备、虚拟化安全设备、服务器、终端、虚拟机、服务及管理接口、应用系统、数据、日志、云提供商信誉等。资产库51中云用户信息系统102的资产包括:终端和应用系统等。
[0019]参考图1,云计算平台101安全性测试模块2包括物理安全测试模块21,网路安全测试模块22,主机安全测试模块23,虚拟化安全测试模块24,应用安全测试模块25,数据安全测试模块26,分别通过调用检测工具集中的自动化检测工具,对云计算平台101中的资产的物理安全、网络安全、主机安全、虚拟化安全、数据安全以及应用安全等进行测试。物理安全测试模块用于根据数据中心5的信息测试机房的环境安全以及布线安全等。网络安全测试模块22用于根据数据中心5的信息测试网络结构、网络接入认证、访问控制、路由器、交换机等网络设备部署及策略设置、防火墙等安全设备部署及策略设置等。虚拟化安全测试模块24用于根据数据中心5的信息测试虚拟网络结构、虚拟机配置、虚拟机间隔离、虚拟机镜像安全管理、虚拟化环境下通信安全以及虚拟化安全设备的管控等。主机安全测试模块23用于根据数据中心5的信息测试主机、服务器的访问控制、安全配置、安全监控、恶意代码防范以及补丁管理等。应用安全测试模块25用于根据数据中心5的信息测试web应用系统的访问控制、权限管理、安全审计、日志管理、抗攻击性以及备份恢复等。数据安全测试模块26用于根据数据中心5的信息测试数据存储安全、数据传输安全、剩余数据安全以及数据库安全等。
[0020]参考图1,对于一具体实施例,网络安全测试模块22,调用检测工具集I中的Web安全检查工具14对云计算平台系统的路由器、交换机等网络设备,以及防火墙、IDS等安全设备的配置、安全策略设置合理性等进行检查;网络安全测试模块22调用漏洞扫描工具11对云计算平台安全漏洞进行检测;主机安全测试模块23调用主机配置检测工具15、恶意代码检测工具12,对云计算平台的主机、服务器的安全配置、恶意代码、补丁安装情况等进行检测;数据安全测试模块26调用数据库安全检测工具16对数据库的数据存储安全、数据传输安全、剩余数据保护、数据库安全配置等进行检查;应用安全测试模块36调用web安全检测工具25对应用系统的抗攻击性、用户的访问控制、权限设置、安全审计、日志管理、备份等进行检查。
[0021]参考图1,云用户信息系统安全测试模块3包括主机安全测试模块32以及应用安全测试模块32,分别通过调用检测工具集中的自动化检测工具,对云用户信息系统102中的资产的主机安全、应用安全等进行测试。
[0022]参考图1,计算模块4对云计算平台安全测试模块2和云用户信息系统安全测试模块3的测试结果数据进行分析,计算得出云计算平台101的安全性和云用户信息系统102的安全性,再根据计算结果,计算系统整体安全性。
[0023]参考图1,检测工具集模块I包括漏洞扫描工具11、恶意代码检测工具12、密码检测工具13、web安全检测工具14、主机配置检测工具15以及数据库安全检测工具16。检测工具提15供接口供服务器端远程调用。
[0024]参考图1, 资产采集代理61包括云计算瓶才资产采集模块61以及云用户信息采集模块62,分别部署在被测云计算平台101和云用户信息系统102中的指定终端上,采集云计算平台101中和云用户信息系统102中的资产信息、安全等级,并将采集到的资产信息按照统一格式提交到数据中心的资产库51中,将采集到得安全等级信息提交到数据中心的指标库52中。
[0025]图3所示为云环境信息系统安全性测试平台工作流程图,参考图1-3,云环境信息系统安全性测试平台工作方式简述如下。
[0026]资产采集代理6分别部署在云计算平台101和云用户信息系统102中指定终端,通过网络采集云计算平台101和云用户信息系统102中的资产信息,将采集到得资产信息通过网络导入到数据中心的资产库51中,对获取的云计算平台101的安全等级和云用户信息系统102的安全等级进行比对,选取两者之间高的安全等级作为本次测评指标选取的依据。
[0027]依据安全等级,在数据中心5的指标库52中抽取对应的测试指标,服务器端调用检测工具集模块I,检测工具集模块I按照测试测试指标选定测试用例,依次对云计算平台101和云用户信息系统102开展安全性测试,测试完成后,分别将测试结果提交到计算模块4和数据中心5的测试结果库63中,然后依次计算云计算平台101与指标的符合程度和云用户信息系统102的与指标的符合程度,并根据计算结果,计算系统整体安全性,并将计算结果存入数据中心的分析结果库54中。
[0028]参考图1-3,云环境信息系统安全性测试平台具体工作方式包括:
[0029]步骤1:采集资产信息。
[0030]通过部署在被测云计算平台101和云用户信息系统102中的指定终端上的资产采集代理,采集云计算平台101中和云用户信息系统102中的资产信息、安全等级,并将采集到的资产信息按照统一格式提交到数据中心5的资产库51中,将采集到得安全等级信息提交到数据中心5的指标库52中。
[0031]采集到的云计算平台101的资产主要包括:机房及相关设施、网络设备、安全设备、虚拟化网络设备、虚拟化安全设备、服务器、终端、虚拟机、服务及管理接口、应用系统、数据、日志、云提供商信誉等。资产库中云用户信息系统102的资产包括:终端、应用系统等。
[0032]步骤2:抽取测试指标。
[0033]比对采集到的云计算平台101的安全等级和云用户信息系统102的安全等级,选择两者之间的高安全等级作为本次测评指标的选取依据,根据确定的安全等级,从指标库中抽取该等级对应的测试指标集合,并将指标推送给各个检测工具。
[0034]每一等级的测试指标主要包括以下测评内容:物理安全、网络安全、虚拟化安全、主机安全、应用安全、数据安全等。其中,
[0035]物理安全测试要素包括:环境安全、布线安全等。
[0036]网络安全测试要素包括:网络结构、接入认证、访问控制、网络设备部署及策略设置、安全设备部署及策略设置等。
[0037]虚拟化安全测试要素包括:虚拟网络结构、虚拟机配置、虚拟机间隔离、虚拟机镜像安全管理、虚拟化环境下通信安全、虚拟化安全设备的管控等。
[0038]主机安全测试要素主要包括:访问控制、安全配置、安全监控、恶意代码防范、补丁管理等。
[0039]应用安全测试要素主要包括:访问控制、权限管理、安全审计、日志管理、抗攻击性、备份恢复等。
[0040]数据安全测试要素主要包括:数据存储安全、数据传输安全、剩余数据安全、数据库安全等。
[0041]步骤3:调用检测工具,对云计算平台101系统进行安全性测试。
[0042]服务器端调用检测工具集中的检测工具,检测工具根据指标库推送的测试指标项,调用工具的测试用例,对云计算平台101中的资产进行安全性测试。
[0043]调用网络及安全设备检查工具对云计算平台101系统的路由器、交换机等网络设备,以及防火墙、IDS等安全设备的配置、安全策略等进行检查;调用漏洞扫描工具对云计算平台101安全漏洞进行检测;调用终端配置检测工具、恶意代码检测工具,对云计算平台101的主机、服务器的安全性进行检查;调用数据库安全检测工具对数据库的安全性进行检查;调用web安全检测工具对应用系统的安全进性行检查。
[0044]步骤4:调用检测工具,对云用户信息系统102进行安全性测试。
[0045]服务器端调用检测工具集中的检测工具,检测工具根据指标库推送的测试指标项,调用工具的测试用例,对云用户信息系统102中的资产进行安全性测试。
[0046]调用终端配置检测工具、恶意代码检测工具,对云用户信息系统102中的主机的安全性进行检查;调用web安全检测工具对云用户信息系统102中的应用系统的安全进性行检查。
[0047]步骤5:计算系统整体安全性。
[0048]根据步骤3、步骤4的测试结果,计算系统整体安全性。
[0049]步骤5.1:分析测试结果。
[0050]根据步骤3、步骤4的测试结果,采用权重分析法,分别计算云计算平台101系统与指标的符合程度、云用户信息系统102与指标的符合程度。
[0051 ]步骤5.2:计算系统整体安全性。
[0052]根据步骤5.1的计算结果,采用权重分析法,计算系统整体与指标的符合程度,SP系统整体安全性。
[0053]与现有技术相比,本发明具有以下优点:
[0054]本发明将云计算环境的特点和信息系统安全性测试流程相结合,提出了云环境中虚拟化安全、数据安全、应用安全等测试要素,保证了测试的全面性;在测试过程中,提出了对测试指标集合的选取遵循按照安全等级最高级别的原则,提出了将系统的测评分成云计算平台系统和云用户系统两个部分进行,首先对云计算平台进行测试,再对云用户系统进行测试,两部分的测试结果整合为总体测评结论,保证了测试结果的准确性和有效性。
[0055]以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。
【主权项】
1.一种云环境信息系统安全性测试平台,其特征在于,包括: 检测工具集模块,用于存储多种检测工具,以对云计算平台以及云用户信息系统进行测试; 资产采集代理分别,用于采集云计算平台以及云用户信息系统的资产; 云计算平台安全性测试模块,用于调用该检测工具集模块中的检测工具以对云计算平台的安全性进行测试; 云用户信息系统安全性测试模块,用于调用该检测工具集模块中的检测工具以对云用户信息系统的安全性进行测试; 数据中心,用于储存该资产采集代理采集的信息;以及 计算模块,用于对云计算平台的安全测试模块和云用户信息系统的安全测试模块的测试结果数据进行分析,计算得出云计算平台的安全性和云用户信息系统的安全性。2.如权利要求1所述的云环境信息系统安全性测试平台,其特征在于,该数据中心包括资产库、指标库、测试结果库和分析结果库;该资产库用于存储被测云计算平台的资产信息以及云用户信息系统资产信息;该指标库用于存储指标集合,不同安全等级分别对应不同的指标集合;该测试结果库用于存储该检测工具集模块测试完成后的测试结果数据;该分析结果库用于存储该计算模块的分析结果数据。3.如权利要求1所述的云环境信息系统安全性测试平台,其特征在于,该资产库中的云计算平台的资产包括:机房及相关设施、网络设备、安全设备、虚拟化网络设备、虚拟化安全设备、服务器、终端、虚拟机、服务及管理接口、应用系统、数据、日志以及云提供商信誉信息;该资产库中云用户信息系统的资产包括:终端和应用系统信息。4.如权利要求1所述的云环境信息系统安全性测试平台,其特征在于,该检测工具集模块包括漏洞扫描工具、恶意代码检测工具、密码检测工具、web安全检测工具、主机配置检测工具以及数据库安全检测工具。
【专利摘要】本发明公开了一种云环境信息系统安全性测试平台,其中,包括:检测工具集模块,用于存储多种检测工具,以对云计算平台以及云用户信息系统进行测试;资产采集代理分别,用于采集云计算平台以及云用户信息系统的资产;云计算平台安全性测试模块,用于调用该检测工具集模块中的检测工具以对云计算平台的安全性进行测试;云用户信息系统安全性测试模块,用于调用该检测工具集模块中的检测工具以对云用户信息系统的安全性进行测试;数据中心,用于储存该资产采集代理采集的信息;以及计算模块,用于对云计算平台的安全测试模块和云用户信息系统的安全测试模块的测试结果数据进行分析,计算得出云计算平台的安全性和云用户信息系统的安全性。
【IPC分类】G06F11/07
【公开号】CN105487936
【申请号】CN201510854166
【发明人】海然, 于石林, 毛俐旻, 张艳丽, 王斌, 陈志浩, 曾颖明
【申请人】中国航天科工集团第二研究院七〇六所
【公开日】2016年4月13日
【申请日】2015年11月30日
【技术领域】
[0001]本发明属于信息安全测评技术领域,特别是一种云环境下面向等级保护的信息系统安全性测评方法。
【背景技术】
[0002]云计算是一种新型的计算模式,以服务的形式为用户提供各种计算资源,如硬件资源、存储资源和应用程序等。面向等级保护的信息系统安全性测评是依据信息系统所定的安全保护等级,基于测评标准,对信息系统开展测试,通过测试发现信息系统安全建设存在的薄弱环节,在技术和管理层面有针对性的整改增强,实现对重要信息系统的重点防护,提升信息系统安全防护能力。从本质上说,云计算也属于信息系统,具有信息系统的共性,同时也具有信息系统的安全防护需求,需要按照其重要程度按等级进行保护。
[0003]目前,针对传统信息系统的等级测评方法较为成熟,如“一种面向等级保护的信息系统安全合规性检查方法”公开了一种适用于传统信息系统的等级测评方法。由于云计算具有网络服务的模式、虚拟化、跨地域性等特点,其与传统信息系统在业务上存在差别,以及它的复杂性,使得云计算环境的安全保障比传统信息系统更加复杂、需要考虑的要素更多。因此在云环境下按照传统信息系统测评方法开展测评无法完全满足要求,主要包括以下两个方面的问题:
[0004]—是,测评内容无法满足需要。虚拟化技术的引入、数据存储方式的变化、业务可以在不同云环境下迀移等新特性存在的安全问题威胁着云的安全,因此在测评中需要增加相应的测评要求。
[0005]二是,测评流程无法适应新环境。不同于传统信息系统,云计算系统的测评需要将云计算平台101和云用户信息系统102分开进行,同时在一次测评过程中,由于用户的服务模式由单用户转变为多用户,一次测评涉及到不同安全等级的系统等。上述新特性导致需要对现有测评流程进行改进。
【发明内容】
[0006]本发明的目的在于提供一种云环境信息系统安全性测试平台,用于解决上述现有技术的问题。
[0007]本发明一种云环境信息系统安全性测试平台,其中,包括:检测工具集模块,用于存储多种检测工具,以对云计算平台以及云用户信息系统进行测试;资产采集代理分别,用于采集云计算平台以及云用户信息系统的资产;云计算平台安全性测试模块,用于调用该检测工具集模块中的检测工具以对云计算平台的安全性进行测试;云用户信息系统安全性测试模块,用于调用该检测工具集模块中的检测工具以对云用户信息系统的安全性进行测试;数据中心,用于储存该资产采集代理采集的信息;以及计算模块,用于对云计算平台的安全测试模块和云用户信息系统的安全测试模块的测试结果数据进行分析,计算得出云计算平台的安全性和云用户信息系统的安全性。
[0008]根据本发明的云环境信息系统安全性测试平台的一实施例,其中,该数据中心包括资产库、指标库、测试结果库和分析结果库;该资产库用于存储被测云计算平台的资产信息以及云用户信息系统资产信息;该指标库用于存储指标集合,不同安全等级分别对应不同的指标集合;该测试结果库用于存储该检测工具集模块测试完成后的测试结果数据;该分析结果库用于存储该计算模块的分析结果数据。
[0009]根据本发明的云环境信息系统安全性测试平台的一实施例,其中,该资产库中的云计算平台的资产包括:机房及相关设施、网络设备、安全设备、虚拟化网络设备、虚拟化安全设备、服务器、终端、虚拟机、服务及管理接口、应用系统、数据、日志以及云提供商信誉信息;该资产库中云用户信息系统的资产包括:终端和应用系统信息。
[0010]根据本发明的云环境信息系统安全性测试平台的一实施例,其中,该检测工具集模块包括漏洞扫描工具、恶意代码检测工具、密码检测工具、web安全检测工具、主机配置检测工具以及数据库安全检测工具。
[0011]综上,本发明的云环境信息系统安全性测试平台,综合考虑云计算的特点和信息安全测评方法,通过建立云环境信息系统安全性测评平台,获取云计算平台、云用户信息系统的资产,从数据中心抽取测试指标,调用自动化检测工具,按照测试用例,先对云计算平台系统进行安全性测试,再对云用户信息系统进行安全性测试,最后根据测试结果,调用计算模块,计算系统安全性与指标的符合程度。
【附图说明】
[0012]图1所示为本发明云环境信息系统安全性测试平台的模块图;
[0013]图2所示为云计算平台、云用户信息系统与云环境信息系统安全性测试平台的连接关系图;
[0014]图3所示为云环境信息系统安全性测试平台工作流程图。
【具体实施方式】
[0015]为使本发明的目的、内容、和优点更加清楚,下面结合附图和实施例,对本发明的【具体实施方式】作进一步详细描述。
[0016]图1所示为本发明云环境信息系统安全性测试平台的模块图,图2所示为云计算平台、云用户信息系统与云环境信息系统安全性测试平台的连接关系图,如图1以及图2所示,云环境信息信息系统安全性测评平台由服务器端、检测工具集模块I以及资产采集代理6三部分组成。服务器端包括:云计算平台安全性测试模块2、云用户信息系统102安全性测试模块3、计算模块4以及数据中心5。检测工具集包括:漏洞扫描工具11、恶意代码查杀工具12、密码检测工具13、web安全检测工具14、主机配置检查工具15以及数据库安全检查工具16。资产采集代理6包括:云计算平台资产采集61以及云用户信息系统102资产采集62。
[0017]参考图1,数据中心5包括资产库51、指标库52、测试结果库53和分析结果库54。资产库51用于存储被测云计算平台101的资产信息、云用户信息系统102资产信息;指标库52用于存储指标集合,不同安全等级分别对应不同的指标集合;测试结果53库用于存储检测工具集模块I测试完成后的测试结果数据;分析结果库54用于存储计算模块4的分析结果数据。
[0018]参考图1,其中资产库51中云计算平台101的资产包括:机房及相关设施、网络设备、安全设备、虚拟化网络设备、虚拟化安全设备、服务器、终端、虚拟机、服务及管理接口、应用系统、数据、日志、云提供商信誉等。资产库51中云用户信息系统102的资产包括:终端和应用系统等。
[0019]参考图1,云计算平台101安全性测试模块2包括物理安全测试模块21,网路安全测试模块22,主机安全测试模块23,虚拟化安全测试模块24,应用安全测试模块25,数据安全测试模块26,分别通过调用检测工具集中的自动化检测工具,对云计算平台101中的资产的物理安全、网络安全、主机安全、虚拟化安全、数据安全以及应用安全等进行测试。物理安全测试模块用于根据数据中心5的信息测试机房的环境安全以及布线安全等。网络安全测试模块22用于根据数据中心5的信息测试网络结构、网络接入认证、访问控制、路由器、交换机等网络设备部署及策略设置、防火墙等安全设备部署及策略设置等。虚拟化安全测试模块24用于根据数据中心5的信息测试虚拟网络结构、虚拟机配置、虚拟机间隔离、虚拟机镜像安全管理、虚拟化环境下通信安全以及虚拟化安全设备的管控等。主机安全测试模块23用于根据数据中心5的信息测试主机、服务器的访问控制、安全配置、安全监控、恶意代码防范以及补丁管理等。应用安全测试模块25用于根据数据中心5的信息测试web应用系统的访问控制、权限管理、安全审计、日志管理、抗攻击性以及备份恢复等。数据安全测试模块26用于根据数据中心5的信息测试数据存储安全、数据传输安全、剩余数据安全以及数据库安全等。
[0020]参考图1,对于一具体实施例,网络安全测试模块22,调用检测工具集I中的Web安全检查工具14对云计算平台系统的路由器、交换机等网络设备,以及防火墙、IDS等安全设备的配置、安全策略设置合理性等进行检查;网络安全测试模块22调用漏洞扫描工具11对云计算平台安全漏洞进行检测;主机安全测试模块23调用主机配置检测工具15、恶意代码检测工具12,对云计算平台的主机、服务器的安全配置、恶意代码、补丁安装情况等进行检测;数据安全测试模块26调用数据库安全检测工具16对数据库的数据存储安全、数据传输安全、剩余数据保护、数据库安全配置等进行检查;应用安全测试模块36调用web安全检测工具25对应用系统的抗攻击性、用户的访问控制、权限设置、安全审计、日志管理、备份等进行检查。
[0021]参考图1,云用户信息系统安全测试模块3包括主机安全测试模块32以及应用安全测试模块32,分别通过调用检测工具集中的自动化检测工具,对云用户信息系统102中的资产的主机安全、应用安全等进行测试。
[0022]参考图1,计算模块4对云计算平台安全测试模块2和云用户信息系统安全测试模块3的测试结果数据进行分析,计算得出云计算平台101的安全性和云用户信息系统102的安全性,再根据计算结果,计算系统整体安全性。
[0023]参考图1,检测工具集模块I包括漏洞扫描工具11、恶意代码检测工具12、密码检测工具13、web安全检测工具14、主机配置检测工具15以及数据库安全检测工具16。检测工具提15供接口供服务器端远程调用。
[0024]参考图1, 资产采集代理61包括云计算瓶才资产采集模块61以及云用户信息采集模块62,分别部署在被测云计算平台101和云用户信息系统102中的指定终端上,采集云计算平台101中和云用户信息系统102中的资产信息、安全等级,并将采集到的资产信息按照统一格式提交到数据中心的资产库51中,将采集到得安全等级信息提交到数据中心的指标库52中。
[0025]图3所示为云环境信息系统安全性测试平台工作流程图,参考图1-3,云环境信息系统安全性测试平台工作方式简述如下。
[0026]资产采集代理6分别部署在云计算平台101和云用户信息系统102中指定终端,通过网络采集云计算平台101和云用户信息系统102中的资产信息,将采集到得资产信息通过网络导入到数据中心的资产库51中,对获取的云计算平台101的安全等级和云用户信息系统102的安全等级进行比对,选取两者之间高的安全等级作为本次测评指标选取的依据。
[0027]依据安全等级,在数据中心5的指标库52中抽取对应的测试指标,服务器端调用检测工具集模块I,检测工具集模块I按照测试测试指标选定测试用例,依次对云计算平台101和云用户信息系统102开展安全性测试,测试完成后,分别将测试结果提交到计算模块4和数据中心5的测试结果库63中,然后依次计算云计算平台101与指标的符合程度和云用户信息系统102的与指标的符合程度,并根据计算结果,计算系统整体安全性,并将计算结果存入数据中心的分析结果库54中。
[0028]参考图1-3,云环境信息系统安全性测试平台具体工作方式包括:
[0029]步骤1:采集资产信息。
[0030]通过部署在被测云计算平台101和云用户信息系统102中的指定终端上的资产采集代理,采集云计算平台101中和云用户信息系统102中的资产信息、安全等级,并将采集到的资产信息按照统一格式提交到数据中心5的资产库51中,将采集到得安全等级信息提交到数据中心5的指标库52中。
[0031]采集到的云计算平台101的资产主要包括:机房及相关设施、网络设备、安全设备、虚拟化网络设备、虚拟化安全设备、服务器、终端、虚拟机、服务及管理接口、应用系统、数据、日志、云提供商信誉等。资产库中云用户信息系统102的资产包括:终端、应用系统等。
[0032]步骤2:抽取测试指标。
[0033]比对采集到的云计算平台101的安全等级和云用户信息系统102的安全等级,选择两者之间的高安全等级作为本次测评指标的选取依据,根据确定的安全等级,从指标库中抽取该等级对应的测试指标集合,并将指标推送给各个检测工具。
[0034]每一等级的测试指标主要包括以下测评内容:物理安全、网络安全、虚拟化安全、主机安全、应用安全、数据安全等。其中,
[0035]物理安全测试要素包括:环境安全、布线安全等。
[0036]网络安全测试要素包括:网络结构、接入认证、访问控制、网络设备部署及策略设置、安全设备部署及策略设置等。
[0037]虚拟化安全测试要素包括:虚拟网络结构、虚拟机配置、虚拟机间隔离、虚拟机镜像安全管理、虚拟化环境下通信安全、虚拟化安全设备的管控等。
[0038]主机安全测试要素主要包括:访问控制、安全配置、安全监控、恶意代码防范、补丁管理等。
[0039]应用安全测试要素主要包括:访问控制、权限管理、安全审计、日志管理、抗攻击性、备份恢复等。
[0040]数据安全测试要素主要包括:数据存储安全、数据传输安全、剩余数据安全、数据库安全等。
[0041]步骤3:调用检测工具,对云计算平台101系统进行安全性测试。
[0042]服务器端调用检测工具集中的检测工具,检测工具根据指标库推送的测试指标项,调用工具的测试用例,对云计算平台101中的资产进行安全性测试。
[0043]调用网络及安全设备检查工具对云计算平台101系统的路由器、交换机等网络设备,以及防火墙、IDS等安全设备的配置、安全策略等进行检查;调用漏洞扫描工具对云计算平台101安全漏洞进行检测;调用终端配置检测工具、恶意代码检测工具,对云计算平台101的主机、服务器的安全性进行检查;调用数据库安全检测工具对数据库的安全性进行检查;调用web安全检测工具对应用系统的安全进性行检查。
[0044]步骤4:调用检测工具,对云用户信息系统102进行安全性测试。
[0045]服务器端调用检测工具集中的检测工具,检测工具根据指标库推送的测试指标项,调用工具的测试用例,对云用户信息系统102中的资产进行安全性测试。
[0046]调用终端配置检测工具、恶意代码检测工具,对云用户信息系统102中的主机的安全性进行检查;调用web安全检测工具对云用户信息系统102中的应用系统的安全进性行检查。
[0047]步骤5:计算系统整体安全性。
[0048]根据步骤3、步骤4的测试结果,计算系统整体安全性。
[0049]步骤5.1:分析测试结果。
[0050]根据步骤3、步骤4的测试结果,采用权重分析法,分别计算云计算平台101系统与指标的符合程度、云用户信息系统102与指标的符合程度。
[0051 ]步骤5.2:计算系统整体安全性。
[0052]根据步骤5.1的计算结果,采用权重分析法,计算系统整体与指标的符合程度,SP系统整体安全性。
[0053]与现有技术相比,本发明具有以下优点:
[0054]本发明将云计算环境的特点和信息系统安全性测试流程相结合,提出了云环境中虚拟化安全、数据安全、应用安全等测试要素,保证了测试的全面性;在测试过程中,提出了对测试指标集合的选取遵循按照安全等级最高级别的原则,提出了将系统的测评分成云计算平台系统和云用户系统两个部分进行,首先对云计算平台进行测试,再对云用户系统进行测试,两部分的测试结果整合为总体测评结论,保证了测试结果的准确性和有效性。
[0055]以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。
【主权项】
1.一种云环境信息系统安全性测试平台,其特征在于,包括: 检测工具集模块,用于存储多种检测工具,以对云计算平台以及云用户信息系统进行测试; 资产采集代理分别,用于采集云计算平台以及云用户信息系统的资产; 云计算平台安全性测试模块,用于调用该检测工具集模块中的检测工具以对云计算平台的安全性进行测试; 云用户信息系统安全性测试模块,用于调用该检测工具集模块中的检测工具以对云用户信息系统的安全性进行测试; 数据中心,用于储存该资产采集代理采集的信息;以及 计算模块,用于对云计算平台的安全测试模块和云用户信息系统的安全测试模块的测试结果数据进行分析,计算得出云计算平台的安全性和云用户信息系统的安全性。2.如权利要求1所述的云环境信息系统安全性测试平台,其特征在于,该数据中心包括资产库、指标库、测试结果库和分析结果库;该资产库用于存储被测云计算平台的资产信息以及云用户信息系统资产信息;该指标库用于存储指标集合,不同安全等级分别对应不同的指标集合;该测试结果库用于存储该检测工具集模块测试完成后的测试结果数据;该分析结果库用于存储该计算模块的分析结果数据。3.如权利要求1所述的云环境信息系统安全性测试平台,其特征在于,该资产库中的云计算平台的资产包括:机房及相关设施、网络设备、安全设备、虚拟化网络设备、虚拟化安全设备、服务器、终端、虚拟机、服务及管理接口、应用系统、数据、日志以及云提供商信誉信息;该资产库中云用户信息系统的资产包括:终端和应用系统信息。4.如权利要求1所述的云环境信息系统安全性测试平台,其特征在于,该检测工具集模块包括漏洞扫描工具、恶意代码检测工具、密码检测工具、web安全检测工具、主机配置检测工具以及数据库安全检测工具。
【专利摘要】本发明公开了一种云环境信息系统安全性测试平台,其中,包括:检测工具集模块,用于存储多种检测工具,以对云计算平台以及云用户信息系统进行测试;资产采集代理分别,用于采集云计算平台以及云用户信息系统的资产;云计算平台安全性测试模块,用于调用该检测工具集模块中的检测工具以对云计算平台的安全性进行测试;云用户信息系统安全性测试模块,用于调用该检测工具集模块中的检测工具以对云用户信息系统的安全性进行测试;数据中心,用于储存该资产采集代理采集的信息;以及计算模块,用于对云计算平台的安全测试模块和云用户信息系统的安全测试模块的测试结果数据进行分析,计算得出云计算平台的安全性和云用户信息系统的安全性。
【IPC分类】G06F11/07
【公开号】CN105487936
【申请号】CN201510854166
【发明人】海然, 于石林, 毛俐旻, 张艳丽, 王斌, 陈志浩, 曾颖明
【申请人】中国航天科工集团第二研究院七〇六所
【公开日】2016年4月13日
【申请日】2015年11月30日
最新回复(0)