基于“云計算”“云平臺”項目評估信息系統的安全保障研究

單越 鄒德恒

遼寧省重要技術創新與研發基地建設工程中心 遼寧沈陽 110000

1 云安全保障工作重點

項目評估云平臺的邏輯結構分析應以云計算與分布式系統的體系結構為基礎?？梢詫⒃朴嬎惴植际较到y以及其基礎存儲資源、計算資源其他資源等作為基礎架構層；項目評估的云服務、云門戶、云應用作為應用；云資源和權限控制體系、云服務體系作為核心保障體系[1]。

由上述內容可見，站在信息安全角度上，應從科技項目評估的基礎安全，云應用、云服務的安全與標準化建設，資源防控與控制權限管理，保障服務系統維護等幾方面入手，對云計算、云平臺的信息安全思路進行分析探究。

（1）針對科技項目評估的云基礎安全方面，以云分布式計算系統的安全白皮書為參考依據，從資源可用性檢測、故障診斷與修復，云平臺邊界接入安全，云平臺建設監理，云操作系統補丁的安裝、更新與升級，云分布式計算系統運維服務支持等方面重點開展云安全保障工作。

（2）針對科技項目評估云平臺的云應用安全、云服務安全以及標準化建設方面，應對基于云基礎平臺開發的應用系統的訪問與控制權限，公有云、私有云、混合云、社區云的選擇與使用，漏洞掃描等方面進行系統評估與要點分析。

（3）針對科技項目評估的云資源權限控制體系的安全保障方面，同樣要以云分布式計算系統的安全白皮書為參考依據，基于云資源權限控制模塊分析應用系統的安全性。具體來講，就是要規范云資源權限控制系統的用戶，合理設計權限配置規則，嚴格執行審查制度。

（4）針對科技項目評估云應用及云服務建設的標準化和規范化方面，應在運應用的設計開發階段，對開發人員的設計思路、開發過程的科學性、合理性進行嚴格審計，并積極開展規范性檢查工作，在云應用、云服務上線前，引入第三方測試機構，以保證系統開發的全過程均在云分布式計算系統的開發作業標準的指導下完成，無嚴重性漏洞，其中以數據信息安全管理、信息系統權限控制尤為重要。

綜上所述，科技項目評估云平臺信息安全保障工作重點應包含以下內容：基礎平臺安全審計與檢查，云平臺的云應用、云服務的安全管理與上線評估測試云資源權限控制體系的管理，數據安全管理體系建設與信息安全監督檢查制度建設。

2 構建科技項目評估云安全風險評估方法

依據以上分析，可見，云平臺的信息安全評估方法，應憑借基礎資源管理軟件、實時系統監控工具等手段動態監控云平臺的基礎設施，同時，要加強應急指揮體系建設，以便及時發現問題，及時解決。

（1）因為科技項目評估云平臺的云應用、云服務都是在云分布式計算系統的基礎上進行開發設計的，所以，對云基礎操作系統進行定期的全面檢查與維護也是科技項目評估云安全風險評估工作的重點內容。

（2）根據當地政府機關對科技項目評估云平臺的基礎要求，全面評估檢查各類數據資源、計算資源的配置原則與分配權限，用“最小化授權”，實現安全最大化，以避免因權限控制設計不合理導致數據泄露、亂用、非正常改變等問題。

（3）對在科技項目評估云分布式計算系統的基礎上，開發的云應用、云服務的管理口令、程序漏洞、運維窗口、系統升級流程、數據修改與銷毀過程等實施系統性的審計檢查與安全評估。

（4）對新開發上線的云服務、云應用開展系統性測試與評估，評估合格后方可上線應用，否則，嚴禁部署于正式環境中。尤其是對于那些權限控制不合理，存在漏洞、易被黑客利用的程序，應采取簡單可視的自動化配置方法，屏蔽一些內部技術細節，以降低虛擬化安全管理系統運維的復雜度。

（5）重新定義科技項目評估的軟件安全檢測邊界，提供靈活便捷、行之有效的網絡安全管理方案。

（6）選擇性“調用”無間斷安全服務，并跟隨遷移無需人工干預即可自主執行的安全策略，以滿足自主遷移、虛擬化動態擴展、拓撲多變等需求。

3 云應用上線測試

在上線之前，科技項目評估平臺應基于云分布式計算系統開展性能安全測試。服務商提供的平臺以及瀏覽器平臺具有多元化、多樣化特點，用戶在本地通常會使用Selenium提前編寫好自動化測試腳本，然后再上傳到科技項目評估云平臺，運行腳本自動化測試。

云測試可以提供一整套測試環境，測試人員只需通過虛擬桌面等手段進入到該測試環境，便能夠馬上進行測試。就目前的虛擬化技術而言，在硬件配置、軟件棧、網絡拓撲特定的條件下，僅僅幾個小時就可以創建一套新的測試環境。假如允許使用已創建好的標準測試環境，測試人員就可以立即登錄，并提供專業知識的服務，即專家服務。這里所說的知識可以是測試用例或測試數據提供的，也可以是以自動測試服務的形式提供的。比如說，針對需要讀取文件的應用，可以利用云測試進行可執行文件的模糊測試，并由測試人員提交被測試的應用程序到云，然后云在多臺測試機上開展一系列的相關部署。在每一臺測試機上，應用程序都需要讀取大量文件，以確定這些文件是否是特意構造的，是否具有攻擊性。一旦發現堆棧溢出、堆溢出等問題，應立即保存內存映像文件。在獲得云測試返回結果后，測試人員導出堆內存映像文件，并出具詳細的分析報告[2]。

4 結語

綜上所述，本文以科技項目評估的云服務平臺為例，對云平臺的評估方法以及信息安全保障體系進行闡述分析。為提高科技項目評估云平臺的安全保障工作質量，應以基礎安全管理、合規安全管理、訪問權限控制管理、數據安全管理、組織安全管理、人員安全管理、物理安全管理為抓手，以系統開發及維護管理、業務連續性與災難恢復管理為前提，以提高科技項目評估云服務平臺的安全運行為愿景，構建科技項目評估云安全風險評估方法，開展云應用上線測試。