信息系統(tǒng)安全測(cè)評(píng)服務(wù)框架與指標(biāo)管理研究

摘 要 在等級(jí)保護(hù)工作于各測(cè)評(píng)中心廣泛開(kāi)展及大數(shù)據(jù)技術(shù)不斷應(yīng)用的背景下，信息安全云測(cè)評(píng)模式應(yīng)運(yùn)而生。這類測(cè)評(píng)方式能夠獲得更為準(zhǔn)確的測(cè)評(píng)結(jié)果，有效彌補(bǔ)了傳統(tǒng)測(cè)評(píng)方式的不足。基于此，本文將結(jié)合云計(jì)算特征，制定了有關(guān)信息系統(tǒng)安全測(cè)評(píng)服務(wù)框架，并對(duì)指標(biāo)設(shè)計(jì)予以了論述。旨在提升我國(guó)的信息安全云測(cè)評(píng)應(yīng)用的水平。

關(guān)鍵詞 信息系統(tǒng);安全;測(cè)評(píng);服務(wù)框架;指標(biāo)

大數(shù)據(jù)背景下，云測(cè)評(píng)成為信息系統(tǒng)安全測(cè)評(píng)領(lǐng)域發(fā)展的新趨勢(shì)。相較于傳統(tǒng)測(cè)評(píng)模式，云測(cè)評(píng)模式在效率、準(zhǔn)確度、能耗、成本方面均有著顯著的提升。這類測(cè)評(píng)方式于測(cè)評(píng)中心使用時(shí)，便利性極高，如底層設(shè)備甚至不需要購(gòu)買與部署，部分模塊甚至不需開(kāi)發(fā)軟件應(yīng)用。使用部門(mén)只需對(duì)安裝系統(tǒng)進(jìn)行定期維護(hù)與修理，在信息系統(tǒng)維護(hù)、測(cè)評(píng)效率上均有著質(zhì)的提升。鑒于云測(cè)評(píng)諸多優(yōu)點(diǎn)，開(kāi)展有關(guān)信息系統(tǒng)安全測(cè)評(píng)服務(wù)框架與指標(biāo)管理的研究，有著一定的應(yīng)用價(jià)值，現(xiàn)報(bào)告如下：

1信息系統(tǒng)安全測(cè)評(píng)服務(wù)框架與指標(biāo)管理研究

1.1 服務(wù)框架設(shè)計(jì)

整體思路：要建設(shè)有關(guān)云計(jì)算模式的服務(wù)框架，首先測(cè)評(píng)人員需詳細(xì)了解云計(jì)算最本質(zhì)的特點(diǎn)。詳細(xì)為：將測(cè)評(píng)計(jì)算任務(wù)按類型逐一分布，創(chuàng)設(shè)分布式計(jì)算模式，并調(diào)動(dòng)相關(guān)負(fù)載均衡的虛擬化文件，借助網(wǎng)絡(luò)存儲(chǔ)技術(shù)，以提供基于云端多平臺(tái)測(cè)評(píng)的服務(wù)模式?？筛鶕?jù)用戶需求，測(cè)評(píng)模塊的不同，定制適配的高效測(cè)評(píng)方案[1]。雖然執(zhí)行測(cè)評(píng)任務(wù)的核心模塊在云端，但其測(cè)評(píng)的數(shù)據(jù)內(nèi)容仍處于操作系統(tǒng)、硬件、網(wǎng)絡(luò)基礎(chǔ)設(shè)施范疇，即使測(cè)評(píng)方式更新，但測(cè)評(píng)主體仍與前保持一致。而對(duì)于終端用戶的測(cè)評(píng)需要來(lái)說(shuō)，云計(jì)算與傳統(tǒng)測(cè)評(píng)環(huán)境下所應(yīng)用的本地部署與業(yè)務(wù)應(yīng)用也均是一一對(duì)應(yīng)的。故當(dāng)今測(cè)評(píng)中心針對(duì)前端客戶服務(wù)與計(jì)算機(jī)基礎(chǔ)設(shè)施服務(wù)測(cè)評(píng)的服務(wù)框架與指標(biāo)構(gòu)建，仍需依照傳統(tǒng)等級(jí)保護(hù)測(cè)評(píng)方式確定。對(duì)于云計(jì)算與傳統(tǒng)測(cè)評(píng)方式所不同的點(diǎn)，如加密技術(shù)、大數(shù)據(jù)資源庫(kù)、自帶的彈性服務(wù)、網(wǎng)絡(luò)接入自由度要求等，則需根據(jù)測(cè)評(píng)條件要求，適當(dāng)調(diào)整，但在信息測(cè)評(píng)的穩(wěn)定性方面，始終需得到保證。

設(shè)計(jì)實(shí)踐：根據(jù)當(dāng)前市場(chǎng)測(cè)評(píng)需求調(diào)研，筆者設(shè)計(jì)出了基于云計(jì)算特征與等級(jí)保護(hù)測(cè)評(píng)背景下的標(biāo)準(zhǔn)框架，實(shí)施時(shí)，只需將兩者技術(shù)融合，即可完成一次云測(cè)評(píng)服務(wù)。前面所提及的等級(jí)保護(hù)測(cè)評(píng)模式，可細(xì)化為兩種類型：云端服務(wù)商測(cè)評(píng)、用戶端測(cè)評(píng)。測(cè)評(píng)時(shí)，需將兩者信號(hào)通道相互分割，并保證信息傳輸?shù)陌踩?，此處予以VPN加密處理。隨后根據(jù)測(cè)評(píng)主體類型的不同，適當(dāng)增加或強(qiáng)化相關(guān)指標(biāo)要求項(xiàng)，并對(duì)各測(cè)評(píng)組分中抽象層的運(yùn)行穩(wěn)定性予以調(diào)整，針對(duì)薄弱環(huán)節(jié)，予以強(qiáng)化。首先，在云計(jì)算環(huán)境與運(yùn)行環(huán)境方面，信息安全薄弱點(diǎn)常出現(xiàn)在以下幾大方面：虛擬機(jī)資源：①鏡像內(nèi)容來(lái)源處理不當(dāng);②虛擬機(jī)逃逸，所致未具備訪問(wèn)權(quán)限用戶訪問(wèn)，造成信息泄露。儲(chǔ)存資源：①數(shù)據(jù)刪除、備份與恢復(fù)不徹底;②系統(tǒng)自帶秘鑰及加密技術(shù)應(yīng)用與管理不當(dāng)，影響信息安全。網(wǎng)絡(luò)通信資源：首先，共享資源受到外界攻擊，造成用戶訪問(wèn)限制失靈[2]。其次，在云web端，其在技術(shù)構(gòu)造上，仍借鑒了傳統(tǒng)范式，故在信息安全漏洞表現(xiàn)上均一致，這也是云測(cè)評(píng)在后續(xù)發(fā)展中最應(yīng)提升的環(huán)節(jié)之一。第三，服務(wù)于接口方面：由于部分配置權(quán)限用戶能夠獲取，用戶存在接口數(shù)據(jù)重新開(kāi)發(fā)的風(fēng)險(xiǎn)，若增加后臺(tái)數(shù)據(jù)獲取模塊，則系統(tǒng)原有的web端，漏洞問(wèn)題將被再次放大，數(shù)據(jù)安全性將受到極大影響。第四，管理訪問(wèn)：云測(cè)評(píng)服務(wù)商所應(yīng)用的遠(yuǎn)程管理服務(wù)可能存在安全上的漏洞以及提供的服務(wù)不具備較強(qiáng)的安全性能，故增加了非法用戶入侵的可能，造成信息外泄。第五，賬號(hào)管理：?jiǎn)栴}同樣來(lái)自云端服務(wù)商，其所提供的用戶準(zhǔn)入服務(wù)、身份認(rèn)證、賬號(hào)識(shí)別等多維度服務(wù)一者或多者出現(xiàn)編程漏洞，非法用戶的多次攻擊，或身份偽裝，均有可能造成準(zhǔn)入權(quán)限的誤開(kāi)放[3]。綜上，管理安全測(cè)評(píng)內(nèi)容貫穿于信息安全測(cè)評(píng)的方方面面，在實(shí)際工作中，為提升工作針對(duì)性，需對(duì)云服務(wù)商與用戶兩者間服務(wù)范圍做出明確劃分。

1.2 測(cè)評(píng)指標(biāo)設(shè)計(jì)

整體設(shè)計(jì)思路：既要滿足通用信息安全等級(jí)保護(hù)測(cè)評(píng)基礎(chǔ)要求，又要強(qiáng)化云端如虛擬網(wǎng)絡(luò)、鏡像防護(hù)、虛擬機(jī)、虛擬資源控制方面的內(nèi)容。上述指標(biāo)設(shè)計(jì)，可經(jīng)由相關(guān)技術(shù)處理實(shí)現(xiàn)，目前常用的技術(shù)種類有：加密技術(shù)、內(nèi)存隔離技術(shù)、可信計(jì)算技術(shù)。設(shè)計(jì)實(shí)踐要點(diǎn)：第一，安全防護(hù)策略的制定應(yīng)基于ISO/IEC27001等國(guó)際通用信息安全管理策略之上。并根據(jù)技術(shù)規(guī)章要求，合理合法地開(kāi)展運(yùn)維。第二，選取測(cè)評(píng)對(duì)象時(shí)，應(yīng)考慮多方因素：云服務(wù)商、云用戶視角。其中云服務(wù)商角度需重點(diǎn)考慮：虛擬機(jī)管理系統(tǒng)是否安全、內(nèi)部通信、宿主主機(jī)、物理環(huán)境是否滿足測(cè)評(píng)要求;從云用戶管理視角需重點(diǎn)考慮：虛擬主機(jī)、網(wǎng)絡(luò)通信與業(yè)務(wù)應(yīng)用方面[4]。管理角度下需將兩者予以綜合，劃分好對(duì)應(yīng)權(quán)限，防止出現(xiàn)職責(zé)重合的區(qū)域。第三，在等級(jí)制定上，應(yīng)滿足就高原則。云計(jì)算中心所承擔(dān)測(cè)評(píng)任務(wù)安全等級(jí)應(yīng)始終保持最高水平，防護(hù)要求上，則需根據(jù)運(yùn)維與建設(shè)時(shí)基礎(chǔ)概況予以界定。第四，滲透評(píng)估深度與力度方面。針對(duì)特殊機(jī)構(gòu)信息安全的云測(cè)評(píng)，如企業(yè)信貸管理系統(tǒng)（2級(jí)），企業(yè)網(wǎng)銀管理系統(tǒng)（3級(jí)）。根據(jù)類型的不同，應(yīng)用最為適配的安全管理等級(jí)，能在一定程度上合理分配測(cè)評(píng)資源，提升測(cè)評(píng)效率。

2結(jié)束語(yǔ)

大數(shù)據(jù)背景下，傳統(tǒng)測(cè)評(píng)模式必須進(jìn)行一定的革新，應(yīng)用當(dāng)前行業(yè)前沿應(yīng)用最為廣泛的信息安全云測(cè)評(píng)模式，向著服務(wù)一體化、綜合化、安全測(cè)評(píng)智能化的方向發(fā)展。為有效實(shí)現(xiàn)上述目標(biāo)，測(cè)評(píng)人員需首先對(duì)信息安全測(cè)評(píng)服務(wù)框架與測(cè)評(píng)指標(biāo)做出統(tǒng)一規(guī)劃，依照國(guó)際通用信息安全測(cè)評(píng)準(zhǔn)則中的內(nèi)容，為目標(biāo)人員提供多元的、科學(xué)的、合理的、更有效的測(cè)評(píng)服務(wù)。

參考文獻(xiàn)

[1] 姚彬彬.關(guān)于大數(shù)據(jù)信息安全風(fēng)險(xiǎn)框架及應(yīng)對(duì)策略研究[J].中國(guó)新通信，2019，21（22）：138.

[2] 黃鐘，陳肖，文書(shū)豪，等.大數(shù)據(jù)安全測(cè)評(píng)框架和技術(shù)研究[J].通信技術(shù)，2018，50（8）：1810-1815.

[3] 師坤.云計(jì)算信息安全測(cè)評(píng)中的關(guān)鍵技術(shù)[J].環(huán)球市場(chǎng)，2017（33）：121.

[4] 顧欣，徐淑珍，高員.云計(jì)算信息安全測(cè)評(píng)中關(guān)鍵技術(shù)研究[J].現(xiàn)代計(jì)算機(jī)：上下旬，2017（6）：74-77.

作者簡(jiǎn)介

丁維煒（1984-）男，吉林長(zhǎng)春人;學(xué)歷：本科，職稱：初級(jí);現(xiàn)工作單位：吉林信息安全測(cè)評(píng)中心，研究方向：計(jì)算機(jī)信息安全與項(xiàng)目信息管理。