面向云計(jì)算的安全測試解決方案國信安

面向云計(jì)算的安全測評(píng)解決方案中國網(wǎng)安檢測測評(píng)中心二O一五年十二月Contents云安全風(fēng)險(xiǎn)分析2中國網(wǎng)安檢測測評(píng)中心介紹345云安全測評(píng)背景16云安全測評(píng)解決方案云安全測評(píng)服務(wù)業(yè)務(wù)云安全測評(píng)環(huán)境和工具用戶將自己的應(yīng)用和數(shù)據(jù)遷移到云端，其應(yīng)用和數(shù)據(jù)的安全直接依賴于在云端所采取的安全措施。如果安全措施不到位，那么云計(jì)算和服務(wù)將面臨數(shù)據(jù)安全風(fēng)險(xiǎn)、虛擬化風(fēng)險(xiǎn)、終端安全風(fēng)險(xiǎn)、運(yùn)行風(fēng)險(xiǎn)等安全威脅。一、云安全測評(píng)背景一、云安全測評(píng)背景在云中實(shí)施的安全措施對(duì)用戶是缺乏透明度的，用戶不能確切掌握云端安全措施的機(jī)制和有效性，這使得云用戶對(duì)云計(jì)算心存憂慮，云安全成為影響云計(jì)算市場推廣的關(guān)鍵。為提升用戶信心和安全保障，為用戶選擇哪種云服務(wù)提供參考，采取第三方云安全測評(píng)變得十分必要。用戶信任User'strust安全手段securemeans云計(jì)算作為一種創(chuàng)新的服務(wù)形態(tài)，存在傳統(tǒng)的安全風(fēng)險(xiǎn)，同時(shí)也引入了一些新的安全風(fēng)險(xiǎn)。二、云安全風(fēng)險(xiǎn)分析

虛擬化的風(fēng)險(xiǎn)

虛擬機(jī)逃逸及非法越界風(fēng)險(xiǎn)Hypervisor層漏洞

虛擬機(jī)漂移風(fēng)險(xiǎn)

鏡像、模板和快照文件缺乏保護(hù)措施Hypervisor管理員不可信

虛擬網(wǎng)絡(luò)中虛擬機(jī)間的相互攻擊和控制

虛擬網(wǎng)絡(luò)流量不可見

對(duì)虛擬機(jī)行為審計(jì)難度加大

虛擬客戶機(jī)內(nèi)部監(jiān)控手段缺失……虛擬virtual二、云安全風(fēng)險(xiǎn)分析數(shù)據(jù)安全風(fēng)險(xiǎn)

數(shù)據(jù)集中后用戶對(duì)數(shù)據(jù)控制力度減弱

數(shù)據(jù)訪問控制粒度不夠

數(shù)據(jù)殘留

數(shù)據(jù)隔離不徹底……終端管控安全風(fēng)險(xiǎn)

終端接入與認(rèn)證手段減弱

終端傳輸泄密

終端無法保證丟失免責(zé)

終端管理混亂……二、云安全風(fēng)險(xiǎn)分析其他風(fēng)險(xiǎn)

云系統(tǒng)管理員權(quán)利過大

云租戶之間的安全隔離與訪問控制

密碼使用及密鑰管理的難度

病毒及惡意代碼風(fēng)險(xiǎn)

多安全級(jí)并存風(fēng)險(xiǎn)

密碼算法后門

密碼資源配置使用錯(cuò)誤……我們能給出解決方案？三、中心介紹中國網(wǎng)安檢測測評(píng)中心（簡稱“中心”）是中國電子科技網(wǎng)絡(luò)信息安全有限公司旗下專門從事檢測、測評(píng)技術(shù)服務(wù)的團(tuán)隊(duì)，最早成立于1973年。中心以信息安全為核心方向，開展各項(xiàng)檢測、測評(píng)技術(shù)服務(wù)。中心依托網(wǎng)安公司深厚的網(wǎng)絡(luò)信息安全技術(shù)背景，開展網(wǎng)絡(luò)信息安全測評(píng)技術(shù)研究。中國網(wǎng)安測評(píng)中心北京分部成都分部軟件測評(píng)實(shí)驗(yàn)室安全測評(píng)實(shí)驗(yàn)室環(huán)境與可靠性實(shí)驗(yàn)室電磁環(huán)境效應(yīng)實(shí)驗(yàn)室計(jì)量校準(zhǔn)實(shí)驗(yàn)室軟件測評(píng)實(shí)驗(yàn)室4000㎡專用獨(dú)立的測試和實(shí)驗(yàn)場地三、中心介紹60,000,000Yuan元專業(yè)測試、試驗(yàn)儀器設(shè)備三、中心介紹三、中心介紹68Coremembers核心測試人員擁有國家級(jí)安全和軟件測試資格17人；擁有高級(jí)以上職稱人員9人，占比為15%；擁有中級(jí)職稱人員38人，占比為62%。研究生以上學(xué)歷的24人，占比為40%。三、中心介紹8-10Projects并發(fā)中型項(xiàng)目的測試能力三、中心介紹GB/T31167-2014《信息安全技術(shù)云計(jì)算服務(wù)安全指南》GB/T31168-2014《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》GB/TXXXXX-XXXX《信息安全技術(shù)云計(jì)算服務(wù)安全能力評(píng)估方法》（內(nèi)部草案）GB/TXXXXX-XXXX《信息安全國家標(biāo)準(zhǔn)桌面云安全技術(shù)要求》（內(nèi)部草案）BMB-XX《涉密虛擬化管理平臺(tái)技術(shù)要求》（內(nèi)部草案）GB/T28448-2012《信息安全技術(shù)信息安全等級(jí)保護(hù)測評(píng)要求》BMB-22《涉及國家秘密的信息系統(tǒng)分級(jí)保護(hù)測評(píng)指南》國內(nèi)云計(jì)算安全標(biāo)準(zhǔn)中心參與多個(gè)國家級(jí)云安全標(biāo)準(zhǔn)編寫工作準(zhǔn)確把握國內(nèi)云安全測評(píng)要求和發(fā)展形勢三、中心介紹具有軍用實(shí)驗(yàn)室認(rèn)可資質(zhì)，認(rèn)可能力18項(xiàng)（包括嵌入式、非嵌入式）；成都市信息系統(tǒng)與軟件具有中國合格評(píng)定國家認(rèn)可委員會(huì)（CNAS）認(rèn)可能力8項(xiàng)，四川省質(zhì)量監(jiān)督局（CMA）證書認(rèn)可能力38項(xiàng)；環(huán)境與可靠性實(shí)驗(yàn)室具有軍用實(shí)驗(yàn)室認(rèn)可資質(zhì)，認(rèn)可能力14類；電磁兼容測試具有軍用實(shí)驗(yàn)室認(rèn)可資質(zhì)，認(rèn)可能力6項(xiàng)；國防科技工業(yè)實(shí)驗(yàn)室認(rèn)可委員會(huì)（DILAC）認(rèn)可資質(zhì)，14類。三、中心介紹規(guī)范的測評(píng)管理，測評(píng)活動(dòng)的展開嚴(yán)格遵循CNAS體系的要求，保證工作質(zhì)量，提高測評(píng)工作的客觀公正性！

云計(jì)算面臨的傳統(tǒng)風(fēng)險(xiǎn)可以借鑒傳統(tǒng)安全測評(píng)的方法和手段實(shí)施測評(píng)；云計(jì)算引入的新安全風(fēng)險(xiǎn)為測評(píng)帶來了新的挑戰(zhàn)，我們給出了全新的回答。系統(tǒng)虛擬化安全測評(píng)主要對(duì)虛擬機(jī)監(jiān)控、虛擬化平臺(tái)的資源隔離、安全隔離機(jī)制、管理員權(quán)限分離機(jī)制、事件審計(jì)等機(jī)制及其實(shí)施進(jìn)行測評(píng)。網(wǎng)絡(luò)虛擬化安全測評(píng)測評(píng)主要覆蓋虛擬網(wǎng)絡(luò)的邏輯隔離、訪問控制措施、接口帶寬管理機(jī)制實(shí)現(xiàn)等方面。存儲(chǔ)虛擬化安全測試測評(píng)應(yīng)關(guān)注安全控制措施的落實(shí)、限制對(duì)物理存儲(chǔ)實(shí)體的直接訪問、虛擬存儲(chǔ)資源的邏輯隔離、虛擬存儲(chǔ)資源釋放后的清除、虛擬存儲(chǔ)數(shù)據(jù)審計(jì)手段、虛擬存儲(chǔ)數(shù)據(jù)訪問控制手段、虛擬存儲(chǔ)冗余備份支持等。四、云安全測評(píng)解決方案SolutionAA虛擬化安全測評(píng)

數(shù)據(jù)安全是信息安全的核心，主要圍繞數(shù)據(jù)完整性、數(shù)據(jù)保密性和備份恢復(fù)方面的安全措施進(jìn)行數(shù)據(jù)安全測試。重點(diǎn)測評(píng)存放在虛擬機(jī)或虛擬存儲(chǔ)上的數(shù)據(jù)是否確保在非法用戶繞過訪問安全機(jī)制的情況下不被輕易地竊密、修改、刪除和破壞。四、云安全測評(píng)解決方案SolutionBB數(shù)據(jù)安全測評(píng)針對(duì)云計(jì)算服務(wù)本身設(shè)計(jì)、提供的應(yīng)用安全措施進(jìn)行測試，如云安全審計(jì)。針對(duì)云計(jì)算服務(wù)需要借助外部提供的安全機(jī)制進(jìn)行應(yīng)用安全測試，如身份管理、云訪問控制、通信保密等。四、云安全測評(píng)解決方案SolutionCC應(yīng)用安全測評(píng)密碼算法配置及實(shí)現(xiàn)、密碼資源使用、密碼協(xié)議、安全防護(hù)機(jī)制等的測評(píng)。

鏡像、模板文件加密、密鑰的使用遷移、云系統(tǒng)消息隊(duì)列加密、虛擬網(wǎng)絡(luò)加密、VirtIO加密等各種應(yīng)用場景下的加解密的測評(píng)。四、云安全測評(píng)解決方案SolutionDD密碼管理測評(píng)提供云安全測評(píng)服務(wù)supplyingtheservice五、云安全測評(píng)服務(wù)業(yè)務(wù)云設(shè)備安全測試虛擬機(jī)虛擬化網(wǎng)絡(luò)云存儲(chǔ)IaaS管理平臺(tái)周邊設(shè)備……功能、性能指標(biāo)虛擬化安全訪問控制安全審計(jì)加密認(rèn)證......五、云安全測評(píng)服務(wù)業(yè)務(wù)云平臺(tái)安全測試桌面云數(shù)據(jù)中心云基礎(chǔ)設(shè)施云平臺(tái)云應(yīng)用云……功能、性能指標(biāo)虛擬化安全平臺(tái)安全數(shù)據(jù)安全應(yīng)用安全訪問控制安全審計(jì)密碼使用和管理.......五、云安全測評(píng)服務(wù)業(yè)務(wù)云服務(wù)安全評(píng)估IaaS云服務(wù)PaaS云服務(wù)SaaS云服務(wù)……終端接入與認(rèn)證用戶數(shù)據(jù)隔離與清除訪問控制安全審計(jì)系統(tǒng)穩(wěn)定性物理和環(huán)境安全運(yùn)營商服務(wù)承諾.......云安全測評(píng)方案適用于云計(jì)算產(chǎn)品、平臺(tái)、服務(wù)的安全測試云安全測評(píng)環(huán)境和工具測試環(huán)境：

專用實(shí)驗(yàn)室工具：六、云安全測評(píng)環(huán)境和工具六、云安全測評(píng)環(huán)境和工具功能性能測試工具：IXIAchariot、SpirentTestCenter、Memtest86+等20余款。

滲透測試工具：滲透測試Metasploit、漏洞掃描Webinspect、AppScan、漏洞挖掘工具PeachFuzzing等。云平臺(tái)安全測試工具安全測試專有工具Ovirt－KVM、Openstack－KVM等。

自主研發(fā)云平臺(tái)安全測試系統(tǒng)六、云安全測評(píng)環(huán)境和工具云平臺(tái)安全測試系統(tǒng)虛擬化安全隔離檢測工具針對(duì)云平臺(tái)虛擬機(jī)