面向云计算的安全测试解决方案 国信安.pptVIP

面向云计算的安全测评解决方案 中国网安检测测评中心 二 O 一五年十二月 Contents 云安全风险分析 2 中国网安检测测评中心介绍 3 4 5 云安全测评背景 1 6 云安全测评解决方案 云安全测评服务业务 云安全测评环境和工具 用户将自己的 应用和数据迁移到 云端，其应用和数 据的安全直接依赖 于在云端所采取的 安全措施。如果 安 全措施不到位 ，那 么 云计算和服务将 面临数据安全风险 、虚拟化风险、终 端安全风险、运行 风险等安全威胁。 一、云安全测评背景 一、云安全测评背景 在云中实施的安全措施对用户是缺乏透明度的，用户不能 确切掌握云端安全措施的机制和有效性，这 使得云用户对云计算 心存忧虑， 云安全成为影响云计算市场推广的关键 。 为提升用户信心和安全保障，为用户选择哪种云服务提供 参考，采取 第三方云安全测评 变得十分必要。 用户信任 Users trust 安全手段 secure means 云计算作为一种创新的服务形态，存在 传统的安全风险，同时也引入了一些新 的安全风险。 二、云安全风险分析 ? 虚拟化的风险 虚拟机逃逸及非法越界风险 Hypervisor 层漏洞 虚拟机漂移风险 镜像、模板和快照文件缺乏保护措施 Hypervisor 管理员不可信 虚拟网络中虚拟机间的相互攻击和控制 虚拟网络流量不可见 对虚拟机行为审计难度加大 虚拟客户机内部监控手段缺失 …… 虚拟 virtual 二、云安全风险分析 ? 数据安全风险 数据集中后用户对数据控制力度减弱 数据访问控制粒度不够 数据残留 数据隔离不彻底 …… ? 终端管控安全风险 终端接入与认证手段减弱 终端传输泄密 终端无法保证丢失免责 终端管理混乱 …… Information 信息 二、云安全风险分析 ? 其他风险 云系统管理员权利过大 云租户之间的安全隔离与访问控制 密码使用及密钥管理的难度 病毒及恶意代码风险 多安全级并存风险 密码算法后门 密码资源配置使用错误 …… 密码算法 云租户 系统管理员 我们能给出解决方案？ 三、中心介绍 ? 中国网安检测测评中心（简称“中心”）是中国电子科技网络信息安全 有限公司旗下专门从事检测、测评技术服务的团队，最早成立于 1973 年 。中心以信息安全为核心方向，开展各项检测、测评技术服务。 ? 中心依托网安公司深厚的网络信息安全技术背景，开展网络信息安全测 评技术研究。 中国网安测评中心 北京分部 成都分部 软件测 评实验 室 安全测 评实验 室 环境与 可靠性 实验室 电磁环 境效应 实验室 计量校 准实验 室 软件测 评实验 室 4000 ㎡ 专用独立的测试和实验场地 三、中心介绍 60,000,000 Yuan 元专业测试、试验仪器设备 三、中心介绍 三、中心介绍 68 Core members 核心测试人员 ? 拥有国家级安全和软件测试资格 17 人； ? 拥有高级以上职称人员 9 人，占比为 15% ；拥有中级职称人员 38 人，占比为 62% 。 ? 研究生以上学历的 24 人，占比为 40% 。 三、中心介绍 8-10 Projects 并发中型项目的测试能力 三、中心介绍 ? GB/T 31167-2014 《信息安全技术 云计算服务安全指南》 ? GB/T 31168-2014 《信息安全技术 云计算服务安全能力要求 》 ? GB/T XXXXX-XXXX 《信息安全技术 云计算服务安全能力评估方 法》（内部草案） ? GB/T XXXXX-XXXX 《信息安全国家标准 桌面云安全技术要求》 （内部草案） ? BMB-XX 《涉密虚拟化管理平台技术要求》（内部草案） ? GB/T 28448-2012 《信息安全技术 信息安全等级保护测评要求》 ? BMB-22 《涉及