基于“云計算”“云平臺”項目評估信息系統(tǒng)的安全保障研究

單越 鄒德恒

遼寧省重要技術(shù)創(chuàng)新與研發(fā)基地建設(shè)工程中心 遼寧沈陽 110000

1 云安全保障工作重點

項目評估云平臺的邏輯結(jié)構(gòu)分析應(yīng)以云計算與分布式系統(tǒng)的體系結(jié)構(gòu)為基礎(chǔ)?？梢詫⒃朴嬎惴植际较到y(tǒng)以及其基礎(chǔ)存儲資源、計算資源其他資源等作為基礎(chǔ)架構(gòu)層；項目評估的云服務(wù)、云門戶、云應(yīng)用作為應(yīng)用；云資源和權(quán)限控制體系、云服務(wù)體系作為核心保障體系[1]。

由上述內(nèi)容可見，站在信息安全角度上，應(yīng)從科技項目評估的基礎(chǔ)安全，云應(yīng)用、云服務(wù)的安全與標準化建設(shè)，資源防控與控制權(quán)限管理，保障服務(wù)系統(tǒng)維護等幾方面入手，對云計算、云平臺的信息安全思路進行分析探究。

（1）針對科技項目評估的云基礎(chǔ)安全方面，以云分布式計算系統(tǒng)的安全白皮書為參考依據(jù)，從資源可用性檢測、故障診斷與修復(fù)，云平臺邊界接入安全，云平臺建設(shè)監(jiān)理，云操作系統(tǒng)補丁的安裝、更新與升級，云分布式計算系統(tǒng)運維服務(wù)支持等方面重點開展云安全保障工作。

（2）針對科技項目評估云平臺的云應(yīng)用安全、云服務(wù)安全以及標準化建設(shè)方面，應(yīng)對基于云基礎(chǔ)平臺開發(fā)的應(yīng)用系統(tǒng)的訪問與控制權(quán)限，公有云、私有云、混合云、社區(qū)云的選擇與使用，漏洞掃描等方面進行系統(tǒng)評估與要點分析。

（3）針對科技項目評估的云資源權(quán)限控制體系的安全保障方面，同樣要以云分布式計算系統(tǒng)的安全白皮書為參考依據(jù)，基于云資源權(quán)限控制模塊分析應(yīng)用系統(tǒng)的安全性。具體來講，就是要規(guī)范云資源權(quán)限控制系統(tǒng)的用戶，合理設(shè)計權(quán)限配置規(guī)則，嚴格執(zhí)行審查制度。

（4）針對科技項目評估云應(yīng)用及云服務(wù)建設(shè)的標準化和規(guī)范化方面，應(yīng)在運應(yīng)用的設(shè)計開發(fā)階段，對開發(fā)人員的設(shè)計思路、開發(fā)過程的科學(xué)性、合理性進行嚴格審計，并積極開展規(guī)范性檢查工作，在云應(yīng)用、云服務(wù)上線前，引入第三方測試機構(gòu)，以保證系統(tǒng)開發(fā)的全過程均在云分布式計算系統(tǒng)的開發(fā)作業(yè)標準的指導(dǎo)下完成，無嚴重性漏洞，其中以數(shù)據(jù)信息安全管理、信息系統(tǒng)權(quán)限控制尤為重要。

綜上所述，科技項目評估云平臺信息安全保障工作重點應(yīng)包含以下內(nèi)容：基礎(chǔ)平臺安全審計與檢查，云平臺的云應(yīng)用、云服務(wù)的安全管理與上線評估測試云資源權(quán)限控制體系的管理，數(shù)據(jù)安全管理體系建設(shè)與信息安全監(jiān)督檢查制度建設(shè)。

2 構(gòu)建科技項目評估云安全風(fēng)險評估方法

依據(jù)以上分析，可見，云平臺的信息安全評估方法，應(yīng)憑借基礎(chǔ)資源管理軟件、實時系統(tǒng)監(jiān)控工具等手段動態(tài)監(jiān)控云平臺的基礎(chǔ)設(shè)施，同時，要加強應(yīng)急指揮體系建設(shè)，以便及時發(fā)現(xiàn)問題，及時解決。

（1）因為科技項目評估云平臺的云應(yīng)用、云服務(wù)都是在云分布式計算系統(tǒng)的基礎(chǔ)上進行開發(fā)設(shè)計的，所以，對云基礎(chǔ)操作系統(tǒng)進行定期的全面檢查與維護也是科技項目評估云安全風(fēng)險評估工作的重點內(nèi)容。

（2）根據(jù)當?shù)卣畽C關(guān)對科技項目評估云平臺的基礎(chǔ)要求，全面評估檢查各類數(shù)據(jù)資源、計算資源的配置原則與分配權(quán)限，用“最小化授權(quán)”，實現(xiàn)安全最大化，以避免因權(quán)限控制設(shè)計不合理導(dǎo)致數(shù)據(jù)泄露、亂用、非正常改變等問題。

（3）對在科技項目評估云分布式計算系統(tǒng)的基礎(chǔ)上，開發(fā)的云應(yīng)用、云服務(wù)的管理口令、程序漏洞、運維窗口、系統(tǒng)升級流程、數(shù)據(jù)修改與銷毀過程等實施系統(tǒng)性的審計檢查與安全評估。

（4）對新開發(fā)上線的云服務(wù)、云應(yīng)用開展系統(tǒng)性測試與評估，評估合格后方可上線應(yīng)用，否則，嚴禁部署于正式環(huán)境中。尤其是對于那些權(quán)限控制不合理，存在漏洞、易被黑客利用的程序，應(yīng)采取簡單可視的自動化配置方法，屏蔽一些內(nèi)部技術(shù)細節(jié)，以降低虛擬化安全管理系統(tǒng)運維的復(fù)雜度。

（5）重新定義科技項目評估的軟件安全檢測邊界，提供靈活便捷、行之有效的網(wǎng)絡(luò)安全管理方案。

（6）選擇性“調(diào)用”無間斷安全服務(wù)，并跟隨遷移無需人工干預(yù)即可自主執(zhí)行的安全策略，以滿足自主遷移、虛擬化動態(tài)擴展、拓撲多變等需求。

3 云應(yīng)用上線測試

在上線之前，科技項目評估平臺應(yīng)基于云分布式計算系統(tǒng)開展性能安全測試。服務(wù)商提供的平臺以及瀏覽器平臺具有多元化、多樣化特點，用戶在本地通常會使用Selenium提前編寫好自動化測試腳本，然后再上傳到科技項目評估云平臺，運行腳本自動化測試。

云測試可以提供一整套測試環(huán)境，測試人員只需通過虛擬桌面等手段進入到該測試環(huán)境，便能夠馬上進行測試。就目前的虛擬化技術(shù)而言，在硬件配置、軟件棧、網(wǎng)絡(luò)拓撲特定的條件下，僅僅幾個小時就可以創(chuàng)建一套新的測試環(huán)境。假如允許使用已創(chuàng)建好的標準測試環(huán)境，測試人員就可以立即登錄，并提供專業(yè)知識的服務(wù)，即專家服務(wù)。這里所說的知識可以是測試用例或測試數(shù)據(jù)提供的，也可以是以自動測試服務(wù)的形式提供的。比如說，針對需要讀取文件的應(yīng)用，可以利用云測試進行可執(zhí)行文件的模糊測試，并由測試人員提交被測試的應(yīng)用程序到云，然后云在多臺測試機上開展一系列的相關(guān)部署。在每一臺測試機上，應(yīng)用程序都需要讀取大量文件，以確定這些文件是否是特意構(gòu)造的，是否具有攻擊性。一旦發(fā)現(xiàn)堆棧溢出、堆溢出等問題，應(yīng)立即保存內(nèi)存映像文件。在獲得云測試返回結(jié)果后，測試人員導(dǎo)出堆內(nèi)存映像文件，并出具詳細的分析報告[2]。

4 結(jié)語

綜上所述，本文以科技項目評估的云服務(wù)平臺為例，對云平臺的評估方法以及信息安全保障體系進行闡述分析。為提高科技項目評估云平臺的安全保障工作質(zhì)量，應(yīng)以基礎(chǔ)安全管理、合規(guī)安全管理、訪問權(quán)限控制管理、數(shù)據(jù)安全管理、組織安全管理、人員安全管理、物理安全管理為抓手，以系統(tǒng)開發(fā)及維護管理、業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)管理為前提，以提高科技項目評估云服務(wù)平臺的安全運行為愿景，構(gòu)建科技項目評估云安全風(fēng)險評估方法，開展云應(yīng)用上線測試。