加入收藏 | 设为首页 | 会员中心 | 我要投稿 草根网 (https://www.0591zz.com/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 云计算 > 正文

云计算服务安全能力评估方法

发布时间:2022-10-26 10:48:42 所属栏目:云计算 来源:
导读:  本文件适用于第三方评估机构对云服务商提供云计算服务时具备的安全能力进行评估,云服务商在对自身云计算服务安全能力进行自评估时也可参考。本文件适用于对政府部门使用的云计算服务进行安全管理,也可供重点行
  本文件适用于第三方评估机构对云服务商提供云计算服务时具备的安全能力进行评估,云服务商在对自身云计算服务安全能力进行自评估时也可参考。本文件适用于对政府部门使用的云计算服务进行安全管理,也可供重点行业和其他企事业单位使用云计算服务时参考。
 
  第三方评估机构在评估时应遵循客观公正、可重用、可重复和可再现、灵活、最小影响及保密的原则。
 
  客观公正是指第三方评估机构在评估活动中应充分收集证据,对云计算服务安全措施的有效性和云计算平台的安全性做出客观公正的判断。
 
  可重用是指在适用的情况下,第三方评估机构对云计算平台中使用的系统、组件或服务等采用或参考其已有的评估结果。
 
  可直复和可再现是指在相同的环境下,不同的评估人员依照同样的要求,使用同样的方法,对每个评估实施过程的重复执行都应得到同样的评估结果。
 
  灵活是指在云服务商进行安全措施裁剪、替换等情况下,第三方评估机构应根据具体情况制定评估用例并进行评估。
 
  最小影响是指第三方评估机构在评估时尽量小地影响云服务商现有业务和系统的正常运行,最大程度降低对云服务商的风险 。
 
  保密原则是指笫三方评估机构应对涉及云服务商利益的商业信息以及云服务客户信息等严格保密。
 
  第三方评估机构依据国家相关规定,主要对系统开发与供应链安全、系统与通信保护、访问控制、配置管理、维护、应急响应和灾备、审计、风险评估与持续监控、安全组织与人员、物理与环境安全等安全措施实施情况进行评估。
 
  第三方评估机构在开展安全评估工作中宜综合采用访谈、检查和测试等基本评估方法,以核实云服务商的云计算服务安全能力是否达到了一般安全能力或增强安全能力。
 
  访谈是指评估人员对云服务商等相关人员进行谈话的过程,对云计算服务安全措施实施情况进行了解、分析和取得证据。访谈的对象为个人或团体,例如:信息安全的第一负责人、人事管理相关人员、系统安全负责人、网络管理员、系统管理员、账号管理员、安全管理员、安全审计员、维护人员、系统开发人员、物理安全负责人和用户等。
 
  检查是指评估人员通过对管理制度、安全策略和机制、安全配置和设计文档、运行记录等进行观察、查验、分析以帮助评估人员理解、分析和取得证据的过程。检查的对象为规范、机制和活动,例如:评审信息安全策略规划和程序;分析系统的设计文档和接口规范;观测系统的备份操作;审查应急响应演练结果;观察事件处理活动;研究设计说明书等技术手册和用户/管理员文档;查看、研究或观察信息系统的硬件/软件中信息技术机制的运行;查看、研究或观察信息系统运行相关的物理安全措施等。
 
  测试是指评估人员进行技术测试(包括渗透测试),通过人工或自动化安全测试工具获得相关信息,并进行分析以帮助评估人员获取证据的过程。测试的对象为机制和活动,例如:访问控制、身份鉴别和验证、审计机制;测试安全配置设置,测试物理访问控制设备;进行信息系统的关键组成部分的渗透测试,测试信息系统的备份操作;测试事件处理能力、应急响应演练能力等。
 
  评估证据是指对评估结果起到佐证作用的任何实体,包括但不限于各种文档、图片、录音、录像、实物等,其载体可以是任何能够保存的形式,包括但不限于纸质的、电子的等。证据是在评估活动的过程中筛选或生成而来。所有评估活动产生的结果都应有相应的证据支持。证据应得到妥善保管,以防止篡改、泄密、损坏、丢失等有损证据的行为。
 
  评估实施过程主要包括:评估准备、方案编制、现场实施和分析评估四个阶段云计算 服务,与云服务商的沟通与洽谈贯穿整个过程。
 
  在评估准备阶段,第三方评估机构应接收云服务商提交的《系统安全计划》,从内容完整性和准确性等方面审核《系统安全计划》,审核通过后,第三方评估机构与云服务商沟通被测对象、拟提供的证据、评估进度等相关信息,并组建评估实施团队。
 
  在方案编制阶段,第三方评估机构应确定评估对象、评估内容和评估方法,并根据需要选择、调整、开发和优化测试用例,形成相应安全评估方案。此阶段根据具体情况,可能还需要进行现场调研,主要目的是:确定评估边界和范围,了解云服务商的系统运行状况、安全机构、制度、人员等现状,以便制定安全评估方案。
 
  在现场实施阶段,第三方评估机构主要依据《系统安全计划》等文档,针对系统开发与供应链保护、系统与通信保护、访问控制、配置管理、维护、应急响应与灾备、审计、风险评估与持续监控、安全组织与人员、物理与环境安全等方面的安全措施实施情况进行评估。该阶段主要由云服务商提供安全措施实施的证据,第三方评估机构审核证据并根据需要进行测试。必要时,应要求云服务商补充相关证据,双方对现场实施结果进行确认。
 
  在分析评估阶段,第三方评估机构应对现场实施阶段所形成的证据进行分析,首先给出对每项安全要求的判定结果。云服务商安全要求实现情况包括:满足、部分满足、计划满足、替代满足、不满足和不适用。第三方评估机构在判定时,计划满足视为不满足,替代满足视为满足。第三方评估机构在判定是否满足适用的安全要求时,如有测试和检查,原则上测试结果和检查结果满足安全要求的视为满足,否则视为不满足或部分满足。若无测试有检查,原则上检查结果满足安全要求的视为满足,否则视为不满足或部分满足。若无测试无检查,访谈结果满足安全要求的视为满足,否则视为不满足或部分满足。然后,根据对每项安全要求的判定结果,参照相关国家标准进行风险评估,最后综合各项评估结果形成安全评估报告,给出是否达到相应能力要求的评估结论。
 
  在云服务商通过安全评估后,并与客户签订合同提供服务时,第三方评估机构也可按照相关规定、客户委托或其他情况积极参与和配合运行监管工作。
 

(编辑:草根网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
    相关内容
      推荐文章
      站长推荐
      热点阅读

      【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

      建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的最佳浏览效果

      Copygight © 2016-2022 https://www.0591zz.com/ All Rights Reserved. 草根网

      ICP备案:浙ICP备16012122号 浙公网安备 33038102330469号