6.2.8  云安全評(píng)估

除了面臨傳統(tǒng)的安全威脅之外，云計(jì)算平臺(tái)還會(huì)遭遇特有的安全風(fēng)險(xiǎn)，在這種背景下，需要參照相關(guān)標(biāo)準(zhǔn)，對(duì)云服務(wù)提供商的業(yè)務(wù)連續(xù)性、災(zāi)難恢復(fù)和傳統(tǒng)的安全環(huán)境進(jìn)行有針對(duì)性的評(píng)估。例如，保障云計(jì)算平臺(tái)基礎(chǔ)設(shè)施的物理安全，這需要按照各種指標(biāo)進(jìn)行徹底的評(píng)估，這一點(diǎn)對(duì)云和非云平臺(tái)的安全要求是相似的。

對(duì)于云服務(wù)，應(yīng)明確安全評(píng)估機(jī)制、評(píng)估范圍、評(píng)估方式、評(píng)估組織等要素，定期對(duì)業(yè)務(wù)平臺(tái)進(jìn)行安全評(píng)估，可以采取第三方進(jìn)行安全評(píng)估與審核（對(duì)安全評(píng)估發(fā)現(xiàn)的安全隱患進(jìn)行風(fēng)險(xiǎn)控制、加固、轉(zhuǎn)移及接收標(biāo)準(zhǔn)的相關(guān)策略）。

云安全測(cè)評(píng)包括安全風(fēng)險(xiǎn)評(píng)估方法、安全風(fēng)險(xiǎn)測(cè)評(píng)規(guī)范體系、安全風(fēng)險(xiǎn)輔助評(píng)測(cè)工具等。

·安全風(fēng)險(xiǎn)評(píng)估方法為云計(jì)算安全的風(fēng)險(xiǎn)評(píng)估提供技術(shù)手段和方法支撐。

安全風(fēng)險(xiǎn)評(píng)估關(guān)鍵技術(shù)的研究，包括工具漏洞掃描技術(shù)、遠(yuǎn)程滲透測(cè)試技術(shù)、網(wǎng)絡(luò)架構(gòu)分析技術(shù)、IDS采樣分析技術(shù)等。

·安全風(fēng)險(xiǎn)測(cè)評(píng)規(guī)范為云計(jì)算安全風(fēng)險(xiǎn)測(cè)評(píng)提供測(cè)評(píng)指標(biāo)和方案規(guī)范。

全風(fēng)險(xiǎn)測(cè)評(píng)規(guī)范的具體內(nèi)容包含：風(fēng)險(xiǎn)評(píng)估框架及流程、風(fēng)險(xiǎn)評(píng)估實(shí)施、信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)評(píng)估的工作形式等。

·安全風(fēng)險(xiǎn)輔助評(píng)測(cè)工具為云計(jì)算模式下安全風(fēng)險(xiǎn)測(cè)評(píng)提供評(píng)測(cè)工具和管理平臺(tái)。風(fēng)險(xiǎn)輔助評(píng)測(cè)工具的開(kāi)發(fā)主要包含云計(jì)算模式下風(fēng)險(xiǎn)評(píng)估模塊的開(kāi)發(fā)和云計(jì)算模式下安全測(cè)評(píng)模塊的開(kāi)發(fā)。