6.2.8  云安全評估

除了面臨傳統(tǒng)的安全威脅之外，云計算平臺還會遭遇特有的安全風(fēng)險，在這種背景下，需要參照相關(guān)標(biāo)準(zhǔn)，對云服務(wù)提供商的業(yè)務(wù)連續(xù)性、災(zāi)難恢復(fù)和傳統(tǒng)的安全環(huán)境進(jìn)行有針對性的評估。例如，保障云計算平臺基礎(chǔ)設(shè)施的物理安全，這需要按照各種指標(biāo)進(jìn)行徹底的評估，這一點對云和非云平臺的安全要求是相似的。

對于云服務(wù)，應(yīng)明確安全評估機(jī)制、評估范圍、評估方式、評估組織等要素，定期對業(yè)務(wù)平臺進(jìn)行安全評估，可以采取第三方進(jìn)行安全評估與審核（對安全評估發(fā)現(xiàn)的安全隱患進(jìn)行風(fēng)險控制、加固、轉(zhuǎn)移及接收標(biāo)準(zhǔn)的相關(guān)策略）。

云安全測評包括安全風(fēng)險評估方法、安全風(fēng)險測評規(guī)范體系、安全風(fēng)險輔助評測工具等。

·安全風(fēng)險評估方法為云計算安全的風(fēng)險評估提供技術(shù)手段和方法支撐。

安全風(fēng)險評估關(guān)鍵技術(shù)的研究，包括工具漏洞掃描技術(shù)、遠(yuǎn)程滲透測試技術(shù)、網(wǎng)絡(luò)架構(gòu)分析技術(shù)、IDS采樣分析技術(shù)等。

·安全風(fēng)險測評規(guī)范為云計算安全風(fēng)險測評提供測評指標(biāo)和方案規(guī)范。

全風(fēng)險測評規(guī)范的具體內(nèi)容包含：風(fēng)險評估框架及流程、風(fēng)險評估實施、信息系統(tǒng)生命周期各階段的風(fēng)險評估、風(fēng)險評估的工作形式等。

·安全風(fēng)險輔助評測工具為云計算模式下安全風(fēng)險測評提供評測工具和管理平臺。風(fēng)險輔助評測工具的開發(fā)主要包含云計算模式下風(fēng)險評估模塊的開發(fā)和云計算模式下安全測評模塊的開發(fā)。