APP下载

云安全模型的信息系统安全等级保护测评探讨

2014-04-29刘国栋

电脑迷 2014年9期
关键词:信息系统

刘国栋

摘 要 现阶段,云计算中心主要运用虚拟化的技术,根据系统安全等级的要求,必须对牵涉云计算信息系统进行安全等级保护的测评工作。文中从云计算信息系统安全特性入手,介绍了建立云安全服务模型及管理中心的情况,分析了云安全模型的信息安全等级测评办法。

关键词 云安全模型 信息系统 保护测评

中图分类号:TP3 文献标识码:A

文中以云安全服务模型为研究依据,从云计算信息系统的安全特性入手,提出建立云安全服务模型及管理中心,介绍了云安全等级保护模型的建立情况。

1简述云计算信息系统安全特性

以传统的互联网信息系统相比较,云计算信息系统把全部数据的处理与存储都放在服务端,终端用户根据网络可以及时获取需要的信息和服务,没有必须在本地配置的情况下进行数据的处理和存储。根据网络中所设置的网络安全防护设施,可以在服务端设置统一的身份兼备与安全审计系统,确保多数系统出现的安全问题得到有效解决,但此时新的设计服务模式又会带来新的安全问题,例如:滥用云计算、不安全的服务接口、数据泄露、安全管理等多个方面的问题。

2建立云安全服务模型及管理中心

现实中的不同云产品,在部署模型、资源位置、服务模型等各个方面都展现出不一样的形态和模式,进而形成各不相同的安全风险特征及安全控制范围。所以,必须从安全控制的角度创建云计算的模型,对各个属性组合的云服务架构进行描述,从而确保云服务架构到安全架构的合理映射,为设备的安全控制和风险识别提供有效依据。建立的云安全服务模型如图1所示。

3云安全模型的信息安全等级测评办法

云安全信息安全保护测评的办法就是根据云安全服务模型与云安全中心模型,考察用户在云安全方面的不同需求,安全模型处在安全等级保护体系下的不同位置。安全模型一端连接着等级保护技术,另一端连接着等级保护管理的要求。根据云安全信息中心的建模情况,对云安全模型下的核心基础、支撑安全展开分析,获取企业在云安全领域的信息安全等级测评模型,依照模型开展下一步的测评工作。

3.1分析等级测评云安全模型下的控制项

根据上述分析情况,可以把云安全模型嵌套在云安全等级保护模式中,从而展开与云安全有关的信息安全等级评价,并对安全模型下的有关控制项展开分析。首先察看云认证及授权情况,对是否存在登陆认证、程序授权、敏感文件授权等进行测评。依照不同的访问控制模型,选择访问控制的目标是强制性访问、自主性访问、角色型访问,进而采取与之相对应的方法。为了确保网络访问资源可以有效的控制和分配,需要创建统一、可靠的执行办法和解决策略。自由具备统一、可靠地方式才可以保障安全策略达到自动执行的目的。测试网络数据的加密情况,要对标准的加密功能及服务类型,做到静态和动态的安全保护。探测数据的备份与恢复情况,就必须查看云备份是否安全、数据销毁情况、磁带是否加密及密码钥匙的管理,检查的重点是供应商的数据备份情况。查看对管理用户的身份是否可以控制管理,是否可以管理用户角色的访问内容。查看用户的安全服务及审计日志,其中包括网络设备的监控管理、主机的维护、告警管理与维护等。

3.2分析等级测评云安全模型的风险性

依照等级保护的有关要求,运用风险分析的办法,对信息系统展开分析时必须重视下面的内容。

(1)云身份认证、授权及访问控制

云安全对于选择用户身份的认证、授权和访问控制尤为重要,但它所发挥的实际效果必须依赖具体的实施情况。

(2)设置云安全边界

云安全内部的网络设备运用防火墙这系列的措施展开安全防护。但外部的云用户只能运用虚拟技术,该技术自身携带安全风险,所以必须对其设置高效的安全隔离。

(3)云安全储存及数据信息备份

一般情况下,云供应商采用数据备份的方式是最为安全的保护模式,即使供应商进行数据备份更加安全,仍然会发生数据丢失的情况。所以,如果有条件的,公司应该采用云技术共享的所有数据进行备份,或在保留数据发生彻底丢失事件时提出诉讼,从而获取有效的赔偿。云计算中一直存在因数据的交互放大而导致数据丢失或泄露的情况。如果出现安全时间,导致用户数据丢失,系统应该快速把发生的安全时间通报给用户,防止出现大的损失。

4结束语

综上所述,随着云计算技术的发展,云计算信息系统会成为日后信息化建设的重要组成部分。文中从云安全等级保护测试为研究依据,简述了云计算信息系统安全特性,对云安全服务模型及管理中心的建立情况进行分析,提出云安全模型的信息安全等级测评办法。

参考文献

[1] 赵继军,陈伟.一种基于云安全模型的信息系统安全等级保护测评方法[J].信息网络安全,2013,(z1):43-45.

[2] 潘一飞.基于云安全模型的信息系统安全等级保护测评策略[J].中国新通信,2014,(3):7-7.

猜你喜欢

信息系统
高速公路路况信息系统
企业信息系统安全防护
现代管理型会计信息系统的内部控制探究
现代管理型会计信息系统的内部控制探究
基于区块链的通航维护信息系统研究
信息系统审计中计算机审计的应用
电磁计算单信息系统研究
企业综合节能信息系统SciMES
高速公路信息系统维护知识库的建立和应用
基于SG-I6000的信息系统运检自动化诊断实践