云计算信息系统安全测评服务

以等保2.0技术要求为依据,面向云计算环境信息系统提供网络、主机、资源、软件平台、应用安全、数据安全等层面的云计算信息系统安全测评服务。

云计算信息系统安全测评需求
传统信息系统:信息系统是由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统
云计算信息系统:云计算将计算任务分布在大量计算机构成的资源池上,使各种应用系统能够根据需要弹性地获取计算力、存储空间和各种软件服务

云计算信息系统的核心是采用虚拟化技术实现资源池化和动态配置,虚拟化技术为云计算信息系统的安全增加了额外的一层安全要求,虚拟化技术所带来的安全风险包括:虚拟机监视器(VMM)的安全风险、虚拟资源共享风险、多租户应用中的数据安全风险

云计算信息系统安全测评标准
云计算信息系统安全等级保护基本要求
  • • 本标准在GB17859-1999和GB/T 22239-2008等技术类标准的基础上,根据不同安全保护等级云计算信息系统应该具有的基本安全保护能力提出的安全要求;
  • • 提出和规定了不同安全保护等级云计算信息系统的基础保护要求,即基本安全要求;
云计算信息系统安全等级保护测评要求
  • • 在GB/T 28448-2012基础上,根据云计算信息系统和信息安全防护的特点及要求,对GB/T 28448-2012进一步扩充和完善;
  • • 对云计算信息系统进行安全等级保护测试评估的技术活动提出要求,为评价云计算信息系统是否符合《基本要求》提供了获取证据的途径和方法;

云计算信息系统安全测评服务

以等级保护技术要求为依据,针对各技术层面进行测评服务。

在网络安全层面,增加了虚拟网络的访问控制,虚拟网络流量的监控管理,虚拟网络中的入侵检测、恶意代码防护等安全技术要求;
在主机安全层面,要求增加了对宿主机的安全加固,虚拟机安全防护等安全技术要求;
在资源抽象安全层面,增加了资源抽象层安全要求,侧重于对虚拟化安全隔离(CPU、内存、存储、虚拟机),虚拟机监视器(VMM)安全性,云平台管理安全,API安全,安全通信等安全技术要求;
在软件平台安全层面,增加了对软件平台安全的技术要求,侧重于对云应用开发框架和中间件的安全防护要求;
在应用安全层面,增加了对多租户间安全性保障,云服务的连续性,云应用的权限控制等安全技术要求;
在数据安全层面,增加了对虚拟机镜像文件安全,用户隐私保护,系统数据安全等安全技术要求;
云计算信息系统安全测评流程