基于“云计算”“云平台”项目评估信息系统的安全保障研究

2021-11-23单越邹德恒

商品与质量 2021年7期

单越邹德恒

辽宁省重要技术创新与研发基地建设工程中心辽宁沈阳 110000

1 云安全保障工作重点

项目评估云平台的逻辑结构分析应以云计算与分布式系统的体系结构为基础。可以将云计算分布式系统以及其基础存储资源、计算资源其他资源等作为基础架构层；项目评估的云服务、云门户、云应用作为应用；云资源和权限控制体系、云服务体系作为核心保障体系[1]。

由上述内容可见，站在信息安全角度上，应从科技项目评估的基础安全，云应用、云服务的安全与标准化建设，资源防控与控制权限管理，保障服务系统维护等几方面入手，对云计算、云平台的信息安全思路进行分析探究。

（1）针对科技项目评估的云基础安全方面，以云分布式计算系统的安全白皮书为参考依据，从资源可用性检测、故障诊断与修复，云平台边界接入安全，云平台建设监理，云操作系统补丁的安装、更新与升级，云分布式计算系统运维服务支持等方面重点开展云安全保障工作。

（2）针对科技项目评估云平台的云应用安全、云服务安全以及标准化建设方面，应对基于云基础平台开发的应用系统的访问与控制权限，公有云、私有云、混合云、社区云的选择与使用，漏洞扫描等方面进行系统评估与要点分析。

（3）针对科技项目评估的云资源权限控制体系的安全保障方面，同样要以云分布式计算系统的安全白皮书为参考依据，基于云资源权限控制模块分析应用系统的安全性。具体来讲，就是要规范云资源权限控制系统的用户，合理设计权限配置规则，严格执行审查制度。

（4）针对科技项目评估云应用及云服务建设的标准化和规范化方面，应在运应用的设计开发阶段，对开发人员的设计思路、开发过程的科学性、合理性进行严格审计，并积极开展规范性检查工作，在云应用、云服务上线前，引入第三方测试机构，以保证系统开发的全过程均在云分布式计算系统的开发作业标准的指导下完成，无严重性漏洞，其中以数据信息安全管理、信息系统权限控制尤为重要。

综上所述，科技项目评估云平台信息安全保障工作重点应包含以下内容：基础平台安全审计与检查，云平台的云应用、云服务的安全管理与上线评估测试云资源权限控制体系的管理，数据安全管理体系建设与信息安全监督检查制度建设。

2 构建科技项目评估云安全风险评估方法

依据以上分析，可见，云平台的信息安全评估方法，应凭借基础资源管理软件、实时系统监控工具等手段动态监控云平台的基础设施，同时，要加强应急指挥体系建设，以便及时发现问题，及时解决。

（1）因为科技项目评估云平台的云应用、云服务都是在云分布式计算系统的基础上进行开发设计的，所以，对云基础操作系统进行定期的全面检查与维护也是科技项目评估云安全风险评估工作的重点内容。

（2）根据当地政府机关对科技项目评估云平台的基础要求，全面评估检查各类数据资源、计算资源的配置原则与分配权限，用“最小化授权”，实现安全最大化，以避免因权限控制设计不合理导致数据泄露、乱用、非正常改变等问题。

（3）对在科技项目评估云分布式计算系统的基础上，开发的云应用、云服务的管理口令、程序漏洞、运维窗口、系统升级流程、数据修改与销毁过程等实施系统性的审计检查与安全评估。

（4）对新开发上线的云服务、云应用开展系统性测试与评估，评估合格后方可上线应用，否则，严禁部署于正式环境中。尤其是对于那些权限控制不合理，存在漏洞、易被黑客利用的程序，应采取简单可视的自动化配置方法，屏蔽一些内部技术细节，以降低虚拟化安全管理系统运维的复杂度。

（5）重新定义科技项目评估的软件安全检测边界，提供灵活便捷、行之有效的网络安全管理方案。

（6）选择性“调用”无间断安全服务，并跟随迁移无需人工干预即可自主执行的安全策略，以满足自主迁移、虚拟化动态扩展、拓扑多变等需求。

3 云应用上线测试

在上线之前，科技项目评估平台应基于云分布式计算系统开展性能安全测试。服务商提供的平台以及浏览器平台具有多元化、多样化特点，用户在本地通常会使用Selenium提前编写好自动化测试脚本，然后再上传到科技项目评估云平台，运行脚本自动化测试。

云测试可以提供一整套测试环境，测试人员只需通过虚拟桌面等手段进入到该测试环境，便能够马上进行测试。就目前的虚拟化技术而言，在硬件配置、软件栈、网络拓扑特定的条件下，仅仅几个小时就可以创建一套新的测试环境。假如允许使用已创建好的标准测试环境，测试人员就可以立即登录，并提供专业知识的服务，即专家服务。这里所说的知识可以是测试用例或测试数据提供的，也可以是以自动测试服务的形式提供的。比如说，针对需要读取文件的应用，可以利用云测试进行可执行文件的模糊测试，并由测试人员提交被测试的应用程序到云，然后云在多台测试机上开展一系列的相关部署。在每一台测试机上，应用程序都需要读取大量文件，以确定这些文件是否是特意构造的，是否具有攻击性。一旦发现堆栈溢出、堆溢出等问题，应立即保存内存映像文件。在获得云测试返回结果后，测试人员导出堆内存映像文件，并出具详细的分析报告[2]。

4 结语

综上所述，本文以科技项目评估的云服务平台为例，对云平台的评估方法以及信息安全保障体系进行阐述分析。为提高科技项目评估云平台的安全保障工作质量，应以基础安全管理、合规安全管理、访问权限控制管理、数据安全管理、组织安全管理、人员安全管理、物理安全管理为抓手，以系统开发及维护管理、业务连续性与灾难恢复管理为前提，以提高科技项目评估云服务平台的安全运行为愿景，构建科技项目评估云安全风险评估方法，开展云应用上线测试。