面向云计算的安全测试解决方案国信安

单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,*,面向云计算的安全测评解决方案,中国网安检测测评中心,二,O,一五年十二月,Contents,云安全风险分析,2,中国网安检测测评中心介绍,3,4,5,云安全测评背景,1,6,云安全测评解决方案,云安全测评服务业务,云安全测评环境和工具,用户将自己的应用和数据迁移到云端，其应用和数据的安全直接依赖于在云端所采取的安全措施。如果,安全措施不到位,，那么,云计算,和服务将面临,数据安全风险、虚拟化风险、终端安全风险、运行风险等,安全威胁,。,一、云安全测评背景,一、云安全测评背景,在云中实施的安全措施对用户是缺乏透明度的，用户不能确切掌握云端安全措施的机制和有效性，这,使得,云,用户对云计算心存忧虑，,云安全,成为,影响云计算市场推广的关键,。,为提升用户信心和安全保障，为用户选择哪种云服务提供参考，采取,第三方云安全测评,变得十分必要。,用户信任,Users trust,安全手段,secure means,云计算作为一种创新的服务形态，存在传统的安全风险，同时也引入了一些新的安全风险。,二、云安全风险分析,虚拟化的风险,虚拟机逃逸及非法越界风险,Hypervisor,层漏洞,虚拟机漂移风险,镜像、模板和快照文件缺乏保护措施,Hypervisor,管理员不可信,虚拟网络中虚拟机间的相互攻击和控制,虚拟网络流量不可见,对虚拟机行为审计难度加大,虚拟客户机内部监控手段缺失,虚拟,virtual,二、云安全风险分析,数据安全风险,数据集中后用户对数据控制力度减弱,数据访问控制粒度不够,数据残留,数据隔离不彻底,终端管控安全风险,终端接入与认证手段减弱,终端传输泄密,终端无法保证丢失免责,终端管理混乱,二、云安全风险分析,其他风险,云系统管理员权利过大,云租户之间的安全隔离与访问控制,密码使用及密钥管理的难度,病毒及恶意代码风险,多安全级并存风险,密码算法后门,密码资源配置使用错误,我们能给出解决方案？,三、中心介绍,中国网安检测测评中心（简称“中心”）是中国电子科技网络信息安全有限公司旗下专门从事检测、测评技术服务的团队，最早成立于,1973,年。中心以信息安全为核心方向，开展各项检测、测评技术服务。,中心依托网安公司深厚的网络信息安全技术背景，开展网络信息安全测评技术研究。,中国网安测评中心,北京分部,成都分部,软件测评实验室,安全测评实验室,环境与可靠性实验室,电磁环境效应实验室,计量校准实验室,软件测评实验室,4000,专用独立的测试和实验场地,三、中心介绍,60,000,000,Yuan,元专业测试、试验仪器设备,三、中心介绍,三、中心介绍,68,Core members,核心测试人员,拥有国家级安全和软件测试资格,17,人；,拥有高级以上职称人员,9,人，占比为,15%,；拥有中级职称人员,38,人，占比为,62%,。,研究生以上学历的,24,人，占比为,40%,。,三、中心介绍,8-10,Projects,并发中型项目的测试能力,三、中心介绍,GB/T 31167-2014,信息安全技术 云计算服务安全指南,GB/T 31168-2014,信息安全技术 云计算服务安全能力要求,GB/T XXXXX-XXXX,信息安全技术 云计算服务安全能力评估方法,（内部草案）,GB/T XXXXX-XXXX,信息安全国家标准 桌面云安全技术要求,（内部草案）,BMB-XX,涉密虚拟化管理平台技术要求,（内部草案）,GB/T 28448-2012,信息安全技术 信息安全等级保护测评要求,BMB-22,涉及国家秘密的信息系统分级保护测评指南,国内云计算安全标准,中心参与多个国家级云安全标准编写工作,准确把握国内云安全测评要求和发展形势,三、中心介绍,具有军用实验室认可资质，认可能力,18,项（包括嵌入式、非嵌入式）；,成都市信息系统与软件具有中国合格评定国家认可委员会（,CNAS,）认可能力,8,项，四川省质量监督局（,CMA,）证书认可能力,38,项；,环境与可靠性实验室具有军用实验室认可资质，认可能力,14,类；,电磁兼容测试具有军用实验室认可资质，认可能力,6,项；,国防科技工业实验室认可委员会（,DILAC,）认可资质，,14,类。,三、中心介绍,规范的测评管理，测评活动的展开严格遵循,CNAS,体系的要求，保证工作质量，提高测评工作的客观公正性！,云计算面临的,传统风险可以借鉴传统安全测评的方法和手段实施测评；云计算引入的新,安全风险为测评带来了新的挑战,，我们给出了全新的回答。,系统虚拟化安全,测评,主要,对虚拟机监控、虚拟化平台的资源隔离、安全隔离机制、管理员权限分离机制、事件审计等机制及其实施进行测评,。,网络虚拟化安全,测评,测评主要,覆盖,虚拟,网络,的,逻辑隔离、访问控制措施、接口带宽管理机制实现等方面。,存储虚拟化安全测试,测评应关注安全控制措施的落实、限制对物理存储实体的直接访问、虚拟存储资源的逻辑隔离、虚拟存储资源释放后的清除、虚拟存储数据审计手段、虚拟存储数据访问控制手段、虚拟存储冗余备份支持,等,。,四、云安全测评解决方案,Solution A,A,虚拟化安全,测评,数据安全,是信息安全,的核心,，主要围绕数据完整性、数据保密性和备份恢复方面的安全措施进行数据安全测试。,重点,测评存放在虚拟机或虚拟存储上的数据是否确保在非法用户绕过访问安全机制的情况下不被轻易地窃密、修改、删除和破坏。,四、云安全测评解决方案,Solution B,B,数据安全测评,针对云计算服务本身设计、提供的应用安全,措施进行,测试，,如云安全审计,。,针对云计算服务需要借助外部提供的安全机制,进行,应用安全测试，如身份管理、云访问控制、通信保密,等,。,四、云安全测评解决方案,Solution C,C,应用安全测评,密码算法配置及实现、密码资源使用、密码协议、安全防护机制等的测评。,镜像、模板文件加密、密钥的使用迁移、,云,系统消息队列加密、虚拟网络加密、,VirtIO,加密,等各种应用场景下的加解密的测评。,四、云安全测评解决方案,Solution D,D,密码管理测评,提供云安全测评服务,supplying the service,五、云安全测评服务业务,云设备安全测试,虚拟机,虚拟化网络,云存储,IaaS,管理平台,周边设备,功能、性能指标,虚拟化安全,访问控制,安全审计,加密认证,.,五、云安全测评服务业务,云平台安全测试,桌面云,数据中心云,基础设施云,平台云,应用云,功能、性能指标,虚拟化安全,平台安全,数据安全,应用安全,访问控制,安全审计,密码使用和管理,.,五、云安全测评服务业务,云服务安全评估,IaaS,云服务,PaaS,云服务,SaaS,云服务,终端接入与认证,用户数据隔离与清除,访问控制,安全审计,系统稳定性,物理和环境安全,运营商服务承诺,.,云安全测评方案适用于云计算,产品、平台、服务,的安全测试,云安全测评环境和工具,测试环境：,专用实验室,工具：,六、云安全测评环境和工具,六、云安全测评环境和工具,功能性能测试工具：,IXIA chariot,、,Spirent TestCenter,、,Memtest86+,等,20,余款。,渗透测试工具：,渗透测试,Metasploit,、漏洞扫描,Webinspect,、,AppScan,、漏洞挖掘工具,Peach Fuzzing,等,。,云平台,安全测试工具,安全测试,专有工具,Ovirt,KVM,、,Open stack,KVM,等,。,自主研发,云平台安全测试系统,六、云安全测评环境和工具,云平台安全测试系统,虚拟化安全隔离检测工具,针对云平台虚拟机间内存、网络、存储资源安全隔离措施的有效性提供技术检测手段。,云平台安全扫描工具,针对云平台关键组件已知漏洞提供扫描检测手段。,云平台安全加密验证工具,针对云平台用户与云端服务器网络通信加密、云平台管理组件间网络通信加密，以及云平台数据存储加密措施提供技术验证手段,。,From Now On,Come True,Security,Thanks！,