摘 要 在等级保护工作于各测评中心广泛开展及大数据技术不断应用的背景下，信息安全云测评模式应运而生。这类测评方式能够获得更为准确的测评结果，有效弥补了传统测评方式的不足。基于此，本文将结合云计算特征，制定了有关信息系统安全测评服务框架，并对指标设计予以了论述。旨在提升我国的信息安全云测评应用的水平。

关键词 信息系统;安全;测评;服务框架;指标

大数据背景下，云测评成为信息系统安全测评领域发展的新趋势。相较于传统测评模式，云测评模式在效率、准确度、能耗、成本方面均有着显著的提升。这类测评方式于测评中心使用时，便利性极高，如底层设备甚至不需要购买与部署，部分模块甚至不需开发软件应用。使用部门只需对安装系统进行定期维护与修理，在信息系统维护、测评效率上均有着质的提升。鉴于云测评诸多优点，开展有关信息系统安全测评服务框架与指标管理的研究，有着一定的应用价值，现报告如下：

1信息系统安全测评服务框架与指标管理研究

1.1 服务框架设计

整体思路：要建设有关云计算模式的服务框架，首先测评人员需详细了解云计算最本质的特点。详细为：将测评计算任务按类型逐一分布，创设分布式计算模式，并调动相关负载均衡的虚拟化文件，借助网络存储技术，以提供基于云端多平台测评的服务模式。可根据用户需求，测评模块的不同，定制适配的高效测评方案[1]。虽然执行测评任务的核心模块在云端，但其测评的数据内容仍处于操作系统、硬件、网络基础设施范畴，即使测评方式更新，但测评主体仍与前保持一致。而对于终端用户的测评需要来说，云计算与传统测评环境下所应用的本地部署与业务应用也均是一一对应的。故当今测评中心针对前端客户服务与计算机基础设施服务测评的服务框架与指标构建，仍需依照传统等级保护测评方式确定。对于云计算与传统测评方式所不同的点，如加密技术、大数据资源库、自带的弹性服务、网络接入自由度要求等，则需根据测评条件要求，适当调整，但在信息测评的稳定性方面，始终需得到保证。

设计实践：根据当前市场测评需求调研，笔者设计出了基于云计算特征与等级保护测评背景下的标准框架，实施时，只需将两者技术融合，即可完成一次云测评服务。前面所提及的等级保护测评模式，可细化为两种类型：云端服务商测评、用户端测评。测评时，需将两者信号通道相互分割，并保证信息传输的安全性，此处予以VPN加密处理。随后根据测评主体类型的不同，适当增加或强化相关指标要求项，并对各测评组分中抽象层的运行稳定性予以调整，针对薄弱环节，予以强化。首先，在云计算环境与运行环境方面，信息安全薄弱点常出现在以下几大方面：虚拟机资源：①镜像内容来源处理不当;②虚拟机逃逸，所致未具备访问权限用户访问，造成信息泄露。储存资源：①数据删除、备份与恢复不彻底;②系统自带秘钥及加密技术应用与管理不当，影响信息安全。网络通信资源：首先，共享资源受到外界攻击，造成用户访问限制失灵[2]。其次，在云web端，其在技术构造上，仍借鉴了传统范式，故在信息安全漏洞表现上均一致，这也是云测评在后续发展中最应提升的环节之一。第三，服务于接口方面：由于部分配置权限用户能够获取，用户存在接口数据重新开发的风险，若增加后台数据获取模块，则系统原有的web端，漏洞问题将被再次放大，数据安全性将受到极大影响。第四，管理访问：云测评服务商所应用的远程管理服务可能存在安全上的漏洞以及提供的服务不具备较强的安全性能，故增加了非法用户入侵的可能，造成信息外泄。第五，账号管理：问题同样来自云端服务商，其所提供的用户准入服务、身份认证、账号识别等多维度服务一者或多者出现编程漏洞，非法用户的多次攻击，或身份伪装，均有可能造成准入权限的误开放[3]。综上，管理安全测评内容贯穿于信息安全测评的方方面面，在实际工作中，为提升工作针对性，需对云服务商与用户两者间服务范围做出明确划分。

1.2 测评指标设计

整体设计思路：既要满足通用信息安全等级保护测评基础要求，又要强化云端如虚拟网络、镜像防护、虚拟机、虚拟资源控制方面的内容。上述指标设计，可经由相关技术处理实现，目前常用的技术种类有：加密技术、内存隔离技术、可信计算技术。设计实践要点：第一，安全防护策略的制定应基于ISO/IEC27001等国际通用信息安全管理策略之上。并根据技术规章要求，合理合法地开展运维。第二，选取测评对象时，应考虑多方因素：云服务商、云用户视角。其中云服务商角度需重点考虑：虚拟机管理系统是否安全、内部通信、宿主主机、物理环境是否满足测评要求;从云用户管理视角需重点考虑：虚拟主机、网络通信与业务应用方面[4]。管理角度下需将两者予以综合，划分好对应权限，防止出现职责重合的区域。第三，在等级制定上，应满足就高原则。云计算中心所承担测评任务安全等级应始终保持最高水平，防护要求上，则需根据运维与建设时基礎概况予以界定。第四，渗透评估深度与力度方面。针对特殊机构信息安全的云测评，如企业信贷管理系统（2级），企业网银管理系统（3级）。根据类型的不同，应用最为适配的安全管理等级，能在一定程度上合理分配测评资源，提升测评效率。

2结束语

大数据背景下，传统测评模式必须进行一定的革新，应用当前行业前沿应用最为广泛的信息安全云测评模式，向着服务一体化、综合化、安全测评智能化的方向发展。为有效实现上述目标，测评人员需首先对信息安全测评服务框架与测评指标做出统一规划，依照国际通用信息安全测评准则中的内容，为目标人员提供多元的、科学的、合理的、更有效的测评服务。

参考文献

[1] 姚彬彬.关于大数据信息安全风险框架及应对策略研究[J].中国新通信，2019，21（22）：138.

[2] 黄钟，陈肖，文书豪，等.大数据安全测评框架和技术研究[J].通信技术，2018，50（8）：1810-1815.

[3] 师坤.云计算信息安全测评中的关键技术[J].环球市场，2017（33）：121.

[4] 顾欣，徐淑珍，高员.云计算信息安全测评中关键技术研究[J].现代计算机：上下旬，2017（6）：74-77.

作者简介

丁维炜（1984-）男，吉林长春人;学历：本科，职称：初级;现工作单位：吉林信息安全测评中心，研究方向：计算机信息安全与项目信息管理。