编号:
时间:2021 年 x 月 x 日
学无止境
页码:第
1
页 共
5
页
云计算平台安全风险评估系统分析
1 引言
以供用户部署或运行任意自己的软件,包括操作系统或应用;平台作
为服务(PaaS),提供给用户的能力是在云基础设施之上部署用户创建或采购的应
用,这些应用使用服务商支持的编程语言或工具开发;软件作为服务 (SaaS),提
供给用户的能力是使用服务商运行在云基础设施之上的应用。用户使用各种客户
端设备通过“瘦”客户界面(例如浏览器)等来访问应用(例如基于浏览器的邮件)。随
着计算机网络技术的发展,云计算可以大幅度降低开销成本并提高运营效率,因
此其应用和推广势在必行。但是,云计算集中式运作的特性也使之成为一把双刃
剑。一方面,从管理、维护和花销的角度来看,云计算能够在降低成本的同时提
供更高效的服务;另一方面,集中式运作可能会造成诸如数据泄露之类的严重后
果。因此,云计算所带来的安全隐患不容小觑。
2 云计算平台安全问题及思考
目前,安全问题已经成为阻碍云计算发展的主要问题之一。为了让企
业放心地采用云计算服务,相应的安全评估机制就显得至关重要。然而,目前还
不存在足够全面的云架构安全评估机制。虽然近年来国内外有不少学者针对云的
安全性评估和可信性评测开展了很多相关工作,但是其研究工作却普遍存在一个
问题:没有分层次分析云平台的安全性。而云平台架构十分复杂,要评测其整体
安全性,也应该分层考虑其各层的安全隐患,进而对云平台的整体安全性进行评
估。信息安全评估工具是基于传统信息安全等级保护,采用漏洞探测、木马检测、
软件代码安全分析、安全攻击仿真、网络协议分析、网络性能压力测试等方法,
对传统信息系统的主机、网络、操作系统、主机中文件和数据进行安全测评。随
着云计算的推广,上云的单位和迁移至云上的业务日益增多,亟需对云上安全情
况进行检测评估。随着云安全等级保护和云安全指南也顺应需求落地,要求云上
安全评估范围和传统信息安全评估范围有差异,即需要对云计算信息系统中业务
系统及相关云平台资源进行统一定级,测评。传统的信息安全等保安全评估工具
已经不能满足云计算信息系统安全评估定级需求,当前云安全等保和云安全对云
计算信息系统安全比较概括化,缺少针对云计算信息系统的安全指标体系;需要
第 1 页 共 5 页