云计算安全评估办法
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇云计算安全评估办法范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
云计算安全评估办法范文第1篇
基金支持:广州市科技计划项目,《基于云计算的数据挖掘技术在电信业务中的应用》(2011.1-2013.8, 项目编号:2011J5100004)
云计算(cloud computing),是一种基于互联网的计算方式,通过这种方式,共享的软硬件资源和信息可以按需提供给计算机和其他设备。本文首先阐述云计算概念和面临的安全问题,然后探讨应用安全的策略。
1.云计算的概念
2006年8月9日,Google在搜索引擎大会(SES San Jose 2006)首次提出“云计算”的概念。该概念是网格计算、分布式计算、并行计算、效用计算、网络存储、虚拟化、负载均衡等传统计算机和网络技术发展融合的产物。
云是网络、互联网的一种比喻说法,过去在图中往往用云来表示电信网,后来也用来表示互联网和底层基础设施的抽象。狭义云计算指IT基础设施的交付和使用模式,指通过网络以按需、易扩展的方式获得所需资源;广义云计算指服务的交付和使用模式,指通过网络以按需、易扩展的方式获得所需服务。这种服务可以是IT和软件、互联网相关,也可是其他服务。它意味着计算能力也可作为一种商品通过互联网进行流通。
云计算的模式可以认为包括以下三个层次的服务:Infrastructure-as-a-Service (IaaS,基础设施即服务),Platform-as-a-Service (PaaS,平台即服务),Software-as-a- Service (SaaS,软件即服务)。
IaaS指消费者通过Internet可以从完善的计算机基础设施获得服务。PaaS实际上是指将软件研发的平台作为一种服务,以SaaS的模式提交给用户。因此,PaaS也是SaaS模式的一种应用。但是,PaaS的出现可以加快SaaS的发展,尤其是加快SaaS应用的开发速度。SaaS是一种通过Internet提供软件的模式,用户无需购买软件,而是向提供商租用基于Web的软件,来管理企业经营活动。
2.云计算面临的安全问题
美国知名市场研究公司Gartner的一份名为“云计算安全风险评估”的研究报告,该报告认为虽然云计算产业具有巨大的市场增长前景,但对于使用这项服务的企业用户来说,云服务存在着七大潜在的安全风险,即特权用户的接入、可审查性、数据位置、数据隔离、数据恢复、调查支持和长期生存性。
针对“云计算安全风险评估”中提出的七大风险,可得出云计算用户的安全需求:
(1)特权用户的接入:云服务提供商(CSP)提供和监管享有特权的管理员方面的具体信息以及控制访问方面的具体信息。
(2)可审查性:CSP愿意而且有能力做到遵从相关法律法规。
(3)数据位置:CSP给出合同承诺,遵守相关数据管理法律法规,提供数据存储地点信息的查询服务。
(4)数据隔离:CSP按照不同数据,提供数据隔离存储服务。
(5)数据恢复:CSP有能力对数据进行快速全面恢复。
(6)调查支持:CSP以合同承诺来支持特定的几种调查。
(7)长期生存性:CSP提供长期发展风险的安全措施,譬如用户如何拿回自己的数据,以及拿回的数据如何被导入到替代的应用程序中。
目前,各个公司所部署和开发的云计算业务运行并不稳定,部分云计算提供商比较频繁地出现数据安全方面的问题。典型案例有:2009年2月24日,Google Gmail邮箱爆发的全球性故障,2011年3月,Google Gmail邮箱再次爆发的大规模用户数据泄漏事件,及2011年4月22日,亚马逊云数据中心服务器大面积宕机事件。这些事件让用户对云计算的安全性产生了质疑。“云安全”概念(即“云计算的安全问题”)随之也被提出、被关注和重视。
3.云计算应用安全策略
因为云计算的安全问题是多方面问题综合而产生的,因此,关于云计算安全问题的解决,需要考虑云计算安全的成因,需要多管齐下,需要从技术、标准、法律以及业务监管等多个方面来进行综合考虑。
传统的安全需求,如授权合法性、信息完整性、不可抵赖性、身份真实性等问题,但是云计算的操作模式是将用户数据和相应的计算任务交给全球运行的服务器网络和数据库系统。用户数据的存储,以及用户数据的处理和保护等操作,都是在“云”中完成的。这样,就不可避免地使用户的数据处于一种可能被破坏和窃取的不安全状态,并且也有更多更详细的个人隐私信息曝露在网络上,存在非常大的泄露风险。
从云计算的发展来看,用户数据的安全、用户隐私信息的保护问题、数据的异地存储以及云计算自身的稳定性等诸多安全和云计算监管方面的问题,直接关系到了云计算业务被用户的接受程度,进而成为了影响云计算业务发展的最重要因素。从技术、标准、法律以及业务监管等多个方面来进行综合考虑后,可以从以下几个问题上给出解决办法:兼容性的风险管理、身份验证管理、服务完整性、信息安全等。
首先在兼容性的风险管理上,可以由企业内部有经验的团队和提供云服务的供应商共同实施,将特定的级别流程透明化来实现。其次,在身份验证管理上,由于云计算的复杂性,所以需要了解身份提供者需要什么样的安全级别,使用强证书的数字身份系统能够验证来自于自有平台和基于互操作声明的云提供商的用户,可以加大安全性和数据的完整性。然后,在服务完整性上,主要是在服务的设计与开发、服务的交付。那么设计与开发提供商在此阶段如何将安全和隐私保护融入其中,是要考虑的问题所在。在交付方面,就要考虑服务要以怎样的运营方式才能满足合同约定的可靠性与服务支持的级别。最后在信息安全上,对应用数据的分类是非常重要,哪些是可以共享的,哪些是私有的,共享的也要让被访问者知道哪些信息被谁访问过等等,这样有助于确定云服务所需的那些数据在什么情况下,由谁来监控和使用。
参考文献
[1] 百度百科.云计算[EB/OL] baike.省略/view/1316082.htm
[2]J. Brodkin. Gartner: Seven Cloud-Computing Security Risks[R]. Network World 2008.
云计算安全评估办法范文第2篇
一、互联网新技术新业务信息安全评估的内容
(一)评估内容。
工信部与三大运营商对互联网新技术新业务信息安全评估的要求主要包括:与业务相关的网络架构安全、设备安全、平台安全、业务流程安全、内容安全、业务数据安全、系统运维及人员管理安全等方面。
(二)“传统”安全评估的主要内容。
虽然目前的评估都来自于ISO13335-2信息安全风险管理中,但主要的内容为:管理脆弱性识别包括组织架构管理、人员安全管理、运维安全管理、审计安全管理等方面的评估技术脆弱性识别漏洞扫描:对网络安全、网站安全、操作系统安全、数据库安全等方面的脆弱性进行识别。基线安全:对各种类型操作系统(HP-UX、AIX、SOLARIS、LINUX、Windows等)、WEB应用(IIS、Tomcat等)、网络设备等网元的安全配置进行检查和评估。渗透测试:渗透测试是站在攻击者的角度,对目标进行深入的技术脆弱性的挖掘。
(三)业务信息安全评估与“传统”安全评估的对比。
虽然安全风险评估基本都按照了ISO13335-2中的方法来操作,但是通过对业务信息安全评估的内容和“传统”安全评估内容对比不难看出,“传统”安全评估主要集中在网络、系统和应用软件层,且每层的评估比较孤立,很难全面反映业务的主要风险。“以业务为中心、风险为导向”的业务系统安全评估能够与客户的业务密切结合,风险评估结果和安全建议能够与客户的业务发展战略相一致,最终做到促进和保障业务战略的实现。
二、互联网新技术新业务信息安全评估的主要方法
“业务为中心、风险为导向”的信息安全评估思路互联网新技术新业务信息安全评估是开展其他信息安全服务的基础,而以“业务为中心、风险为导向”的信息安全评估思路,是切实落实信息安全风险评估的根本保证。
(一)主要流程。
对互联网新技术新业务信息安全评估来说,分为三大基本步骤:一是深入业务,分析流程;二是业务威胁分析、业务脆弱性识别和人工渗透分析;三是风险分析和处置建议。
(二)深入业务,分析流程。
目标是了解业务信息系统承载的业务使命、业务功能、业务流程等;客观准确把握业务信息系统的体系特征。管理层面调研和分析围绕“业务”,管理调研的内容主要为组织架构、部门职责、岗位设置、人员能力、管理流程、审计流程等等,其调研核心是一系列的管理流程。通常,组织中有多种类型的管理流程,管理调研的重点是与信息安全有关的流程、制度及其落实、执行和效果情况。管理措施通常贯穿于整个管理流程之中,目的是保证管理流程的有效流传或者不出现意外的纰漏。管控措施的设计一般都遵循一定的原则,如工作相关、职责分析、最小授权等等。业务系统层面调研和分析业务系统提供的功能一般是指被外界(例如客户、用户)所感知的服务项目或内容,是IT系统承载、支持的若干个业务流程所提供功能的总汇。一个具体的业务功能常常与多个业务流程相关,一种(个)业务功能,常常需要若干个业务流程来实现。例如数据的录入流程、数据的修改流程、数据的处理流程等等。对于一个具体的信息系统来说,可以通过其提供的业务功能,对业务流程进行全面梳理、归纳,并验证业务流程分析的完备性、系统性。一个具体的业务流程也常常跨越多个系统,某个具体的IT系统可能仅完成整个IT流程中的某一个活动。例如在短信增值服务中,SP与用户手机短信收发就涉及到了短信中心、短信网关、智能网SCP等多个系统;另外,还涉及到了计费、BOSS等业务支撑系统以及网管等运维管理系统等。因此,业务功能通常是对业务系统进行调研的最佳切入点,并将业务流程简化成为单纯的数据处理过程,将各个应用软件之间的数据传输简化成为点对点的流。然后基于数据流分析,建立信息视图,明确信息的流转、分布、出入口,把业务系统简化成为数据流的形式,可以更好地分析数据在各个阶段所面临的风险。
(三)脆弱性识别。
1.系统和应用软件层脆弱性识别。对评估范围内的主机操作系统及其上运行的数据库/Web服务器/中间件等系统软件的安全技术脆弱性,得到主机设备的安全现状,包含当前安全模块的性能、安全功能、稳定性以及在基础设施中的功能状态。
2.网络层脆弱性识别。明确被评估系统和其他业务系统的接口逻辑关系、和其他业务系统的访问关系、得出清晰的基础设施拓扑图;从网络的稳定性、安全性、扩展性、(易于)管理性、冗余性几个方面综合评定网络的安全状况。
3.现有安全措施脆弱性识别。识别并分析现有安全措施的部署位置、安全策略,确定其是否发挥了应用的作用。
4.管理层脆弱性识别。识别和分析安全组织、安全管理制度、流程以及执行中存在的安全弱点。
(四)业务威胁分析。
对于业务系统来说,安全威胁及安全需求分析的最小单位是数据处理活动。可以通过安全威胁列表来识别威胁,构建安全威胁场景来进行威胁、风险分析。
1.列出评估的业务系统的全部安全威胁。如何能将安全威胁很好的列出来呢?可以借助一些现有的安全威胁分析模型,例如微软Stride模型(假冒、篡改、否认、信息泄漏、拒绝服务、提升权限)都提供了一些安全威胁的分类方法。
2.识别和构造威胁路径。依据自身(企业或部门级)的业务特点进行细化,识别和列出安全威胁来,如拒绝服务、业务滥用、业务欺诈、恶意订购、用户假冒、隐蔽、非法数据流、恶意代码等。
3.业务渗透测试和攻击路径分析。因为业务的特性是“个性化”,那么就很难用一个或多个工具发现所有问题;且业务的个性化,在业务逻辑、接口等安全测评中,必须要有人工参与。利用业务流程分析、威胁分析和脆弱性分析的相关数据,实现渗透测试。
云计算安全评估办法范文第3篇
终端因为其储存着大量敏感数据,因而成为黑客和病毒制造者的攻击目标。因为每个病毒码被部署到1000台终端至少需4小时,而终端直接面对企业的内部员工,且难以管理,所以导致终端成为企业网络中最脆弱的一环。虽然利用云安全技术,对病毒的响应时间缩短了九成。但是,我们仍然十分有必要重新对终端安全的价值进行判断和思考。
思考
网关安全能否代替终端安全?
如果说云安全的不断升温显示了信息安全领域正在技术上谋求变革,那么这背后所隐含的意义事实上更加引人关注。
在之前的很长一段时间里,网关安全都是一种受到推崇的防护模式。由于在网关处部署防御体系可以过滤大部分通信内容,所以有大量的组织都将安全保护的重心集中于网关位置。
然而事实结果证明,过分依赖于网关防护而忽视了对组织内部计算机节点的保护,导致的结果仍旧是较低的安全性。云安全所带来的对技术和功能的改进令人欣喜,而其对终端安全乃至于对整个安全体系的补强,让人看到了从核心层面变革安全防护的可能。
传统安全体系的终端安全困局
在一些典型的安全案例中,组织虽然部署了防火墙、入侵检测和VPN等安全保护措施,但是这些措施似乎只能防止外部威胁进入内部网络,而对于信息存放失当、员工误操作等内部安全管理问题却束手无策。
很多调查报告都显示,全球范围内的企业员工在工作时间更容易进行具有安全风险的计算机操作,诸如访问可能存在威胁的网站、打开来源未知的电子邮件附件等等。可能是企业缺乏足够严格和有效的安全管理制度,也可能是员工对非私有财产的保护意识不足,总之人们在上班状态下似乎没有对网络安全问题给予正确的认识和足够的重视。
美国《Network World》报道,当前的网络访问控制解决方案往往只评估终端的初始状态,一旦一个终端节点获得安全系统的访问许可,那么之后的操作将很少受到严格的监控,这也体现出当前终端保护体系缺乏动态反应能力的现状。
正如趋势科技全球高级副总裁暨大中华区总经理张伟钦所指出的,如果安全威胁的入侵原因及位置缺乏足够的能见度,那么信息技术部门就无法确定正确的解决办法,也无法真正提供有效和及时的安全响应服务。除了识别安全威胁存在误区之外,传统的安全管理体系也缺乏能够有效对安全威胁进行预警和修补的工具。
赛门铁克中国区技术支持部首席解决方案顾问林育民则表示,在发生安全事件的时候,信息技术部门往往需要耗费大量的时间去定位威胁源头、识别威胁种类,进而制订出处理方案并实施。从时间上来看,这往往都要滞后于威胁的传播,经常是所有终端都已经受到波及之后信息技术部门才开始真正的处理工作。
云安全如何助力终端安全
事实上,在历数云安全技术的诸多特点时会发现,很多云安全特性都能够为提升终端安全提供帮助。在安全组件尝试发现终端以及内部网络中的安全威胁时,云安全体系可以提供更加及时有效的威胁识别能力。而利用云安全体系强大的关联分析能力,也可以更好地发现安全威胁和定位威胁位置。
在新一代的云安全技术当中,领先的厂商都在尝试植入一种新的特征码管理机制,从而实现检测引擎和特征码的分离。通过云安全体系提供的通信方式,特征码的存放和比对都可以放在云端进行,而将大量的特征码更新到网络中的每一台终端将不再是保证安全性的必要条件。
在新一代的云安全网络当中,大量的安全威胁检测功能将从终端迁移至云端,而客户端系统将只完成扫描等基本的安全功能。在实时防护过程中,客户端不断地与云服务器进行协作,从而减轻客户端的负担,即让终端用户在尽量少地受到干扰的情况下,实现更好的安全防护。
以趋势科技提出的云安全2.0为例,其多协议关联分析技术可以在近百种常见协议中进行智能分析,从而追踪到真正的受攻击位置,为管理员解决安全问题提供真正的支持。一个真正成熟的云安全体系,安全威胁发现和响应覆盖了从网络层到应用层的各个层次,而防护阵线也贯穿了云端、网关、终端等多个不同的位置和区域。
云安全2.0的到来,势必会加速云安全在体系架构主流化进程上的速度。用户应该从现在就开始认真地思考自己组织的计算机终端是否已经获得了足够的保护,云安全体系带来的高管理效率和高ROI无疑会引起用户的高度关注。
分析
递增的网络威胁与信息安全的出路
从供需角度来说,云安全技术的出现,无疑是为了对抗层出不穷的新安全威胁而产生的一种必然结果。根据测算,2008年全球每小时出现大约800种新的安全威胁,在2009年,每小时出现的新安全威胁数量已经达到1500种。按照这种发展速度,在最多不超过5年的时间里,每小时的新安全威胁产生量就将突破10000种。
高速的安全威胁增长态势已经成为整个安全世界的大背景,传统的依靠人工分析恶意软件特征的安全响应体系,已经完全无法满足现在的安全防护需要。在这种前提下,拥有共享全球安全威胁信息优点的云安全网络,就成为了信息安全领域的一个重要出路。
云安全的正确认知
单从各个厂商的宣传资料来看,也许安全专家也难以给云安全下一个准确的定义。事实上,从技术角度定义云安全并不困难,但是实际映射到产品和运营层面,就可谓是“横看成岭侧成峰,远近高低各不同”了。这一方面体现出云安全是一个非常复杂的系统,另外也说明不同的安全厂商对云安全存在着定位和投入上的不同。
有很多用户将云安全理解为一种完全崭新的安全模式,也有用户将云安全理解为对传统安全体系的升级。实际上这两种理解都有可取之处,云安全更近似于云计算技术在安全领域的特定应用,而其创新之处则更多地来自于用户和运营等层面。
云安全体系可以令安全厂商更准确地了解全球安全威胁的变化态势,同时也有助于厂商发现新的安全威胁。无论是国外厂商还是国内厂商,真正在云安全领域有所投入的厂商,其采集威胁的速度和数量都呈现出几何级数增长的态势。趋势科技自有的云服务器数量就达到数万台,而金山也在总部的办公楼开辟了一层专门用于放置云安全系统,这些在云安全领域投入重金的厂商掌握的病毒样本数量早已达到千万级。
更重要的是,拥有了海量的安全威胁数据之后,厂商就可以根据安全威胁情况动态地变更其云防护体系的工作状态。类似趋势科技的安全爆发防御体系,它就需要足够数量的监测点和统计数据作为支撑,也可以视为云安全最早的应用尝试之一。
从核心模式上来说,当前的云安全应用主要侧重于阻断用户访问已经被辨识的安全威胁和可能存在风险的安全威胁,这主要源于云安全体系可以大幅度加快厂商对安全威胁的响应速度。这其中比较容易引起误解的一点是,云安全是否能够更好地应对未知安全威胁呢?从本质上来讲,云安全的主要改进在于能够更好地、更快地响应已知安全威胁。不过在一些特定条件下,云安全也可以对未知安全威胁防护提供帮助。
假设一个刚刚被放入互联网的恶意软件感染了第一台计算机,这个恶意软件对于这台计算机是一个未知的安全威胁;如果该计算机将这个感染行为以及这个程序提交给了云安全网络,那么相比传统模式而言,其他使用该安全云服务的计算机就有更大的机会避免被该程序感染。也就是说,云安全体系更多地是避免一个未知安全威胁所带来的破坏,让厂商和用户能更快地发现新出现的安全威胁,而与未知威胁检测技术无关。
云安全的选择及路径
当“云安全”作为一个名词吸引了公众的注意之后,所有的安全厂商都陆续宣布了对云安全的支持,这一幕看起来与UTM刚刚问世时何其相似。如何正确看待云安全的效果,如何选择真正支持云安全的产品,这些问题需要选购安全产品的用户认真对待。
就目前的情况来看,选择一线厂商的产品所获得的保障无疑要更强一些,而这并非只是源于品牌和信誉。对一个云安全体系来说,其投入规模和所拥有的用户数量,相当于云的大小和密度,也决定了云的工作质量。
第一代云安全技术:海量采集应对海量威胁
最开始被集成到安全产品中的云安全技术,主要集中于将从终端客户处收集到的信息返回到安全云端,同时将分析后的结果返回给终端客户。这种作法的好处在于能够利用云安全体系的巨大运算处理能力和共享的安全威胁信息,为终端用户提供更及时、更有效的安全保护服务。在传统的安全防护模式下,安全厂商通常依赖人工方式采集安全威胁信息。
由于高速互联网连接的普及,一个新出现的安全威胁完全有能力在数个小时甚至不到一个小时之内在全球网络内实现传播,而旧有的安全响应体系已经漏洞百出。在应用了云安全体系之后,厂商可以将威胁的采集工作更多地转移到终端用户的计算机上,根据其访问行为和受感染情况来更准确地获知安全威胁的产生和蔓延情况。
对于一些明显可能造成破坏的安全操作,云安全系统会自主将其标示为安全威胁,这样在其它计算机执行相同或相似的操作时,就会获得来自云端的警告,从而以接近实时的速度获得对安全威胁的免疫。事实上,在一个运行良好的云安全体系当中,从一个新威胁被识别到被标识,所耗费的时间极短,甚至要少于终端计算机更新病毒特征码以及完成特征码加载的时间,这为安全产品提高响应速度提供了很好的技术基础。
第二代云安全技术:更加全面彻底的云安全
事实上,第一代的云安全技术表现在产品功能上,更多的是以信息采集为主,真正能够产生效果的安全功能寥寥无几。在第二代的云安全技术应用上,一个显著的特征就是安全功能对云安全体系更充分、更广泛的利用。目前已有多家主流的安全厂商都推出了具有云安全2.0技术特征的产品。以最先倡导云安全技术的趋势科技来说,其最新版本的产品线都集成了被称之为文件信誉的安全技术。
顾名思义,与在云端检测Web地址安全性的Web信誉技术一样,文件信誉技术旨在通过云安全体系判断位于客户端的文件是否包含恶意威胁。在传统的特征码识别技术中,通常是将文件内容不同部分的Hash值与所检测文件的Hash值进行比较,从而判别文件是否受到感染。
与传统的将特征码放置在客户端的方式不同,基于云安全体系的文件信誉技术,支持将特征等检测所用的信息放置在云端(比如全球性的云安全网络或局域网中的云安全服务器)。这样做的显见好处是,解决了从更新文件,到客户端部署了更新这段时间间隔里,防护系统无法识别最新安全威胁的问题。
通过连接到云端服务器,终端计算机始终能获得最新的防护。如果说第一代云安全技术提高了发现安全威胁的速度,那么第二代云安全技术则让安全防护功能得以用接近实时的速度检测和识别最新的安全威胁。
下一代云安全技术:灵动的云
相信用不了多久,几乎所有的安全功能都将顺畅地接入云端,从而实现云级别的安全防护。解决了安全威胁响应速度这一核心问题之后,对安全防护的质量提升将是云安全的下一命题。
由于云安全体系所拥有的庞大的资源配给,用户无疑会对其能够在多大程度上替代人工分析和操作,抱有极大的兴趣。事实上,这也是能否从本质上提升安全产品保护能力的一个重要指标。
另一方面,终端用户应期待可以通过自己的产品界面,对安全云进行更多的操作和管理。以往对于客户端防护产品的定制能力将转移到云端,用户可以决定哪些安全功能需要连入云端,而哪些功能必须使用本地的防护引擎。在3.0乃至4.0的云安全技术体系中,用户将获得更大限度的自由,安全保护的新时代也将随之展开。
模拟真实环境 破解云安全谜团
为了更好地模拟管理中心、服务器客户端、工作站客户端等常见的安全对象,在本次评测过程中我们启用了五台计算机,其中一台用作管理服务器,其它计算机作为终端计算机。
在网络环境方面,我们使用一台TP-Link的TL-R 860路由器作为连接设备,所有测试用计算机都以百兆以太网形式接入该设备。同时在该设备上还接入了2Mbps的网通宽带,用以提供互联网连接。在测试过程中,我们对产品的测试实现完全分离,也即完整地测试完一个产品之后,再测试另一个产品,以避免测试过程中相互干扰。
本次测评参测产品4款,包括趋势科技OfficeScan10.0、熊猫AdminSecure Business。令我们感觉有些遗憾的是,由于另外两家参测厂商即将新的产品版本,所以在本次评测中隐去其真实厂商及产品名称。在这里,我们将在总体上对其进行适当的点评,以让读者了解这些产品最新的发展状况。文中以X和Y表示用来表示隐去其真实厂商的产品名称。
在性能表现方面,产品安装后的系统资源占用情况以及产品的运行速度都是关注的重点。通过比较安装前后的磁盘空间占用情况,我们可以了解产品对硬盘的消耗。同时针对管理服务器、客户端的处理器和内存资源使用情况,测试工程师也给出了相应的评价。检测引擎的速度一直是评估安全产品性能的保留项目,本次评测过程中通过对一个包含4GB文件的系统内分区进行扫描来完成该项测试。为了判断产品的检测引擎是否支持文件指纹机制,该项测试共进行两次,每次测试之间计算机会重新启动以令时间记录更加精确。
恶意软件检测
我们选用了100个采集自实际应用环境的恶意程序样本。其中覆盖了蠕虫、木马程序、脚本病毒、广告软件和黑客工具等多个常见的恶意软件类别。另外,在测试样本中也包含了一些未被验证的、可能包含安全威胁的程序,用以验证参测产品在检测未知威胁方面的能力。在该项测试过程中,所有产品的检测引擎的识别能力和识别范围均开启为最高,所有有助于提高检测效果的选项也均被启用。
防火墙测试
防火墙作为另一个核心的安全防护模块,也设定了多个专门的测试项目。基于GRC网站提供的在线检测工具Shields UP!,我们能够了解一台计算机的网络端口在外网看起来是处于什么状态。该检测分析计算机的前1056个端口,并且提供计算机是否响应Ping请求的附加测试结果。另外,我们通过一组工具来测试在终端计算机上利用各种方法建立外向连接时,防火墙组件的反应行为是否正确。下面提供了这些测试工具的工作机制等相关描述。
• LeakTest:该工具在被测计算机上建立外向连接,如果防火墙组件发现了建立连接的行为,视为能够识别基本的外向连接活动。
• FireHole:该工具调用系统中的缺省浏览器传送数据到远程主机,在计算机上建立具有拦截功能的DLL,从而伪装浏览器进程进行数据发送。
• PCFlank:与FireHole工具类似,该工具检验一个防火墙信任的程序在调用另一个程序时,在工作方式上利用了Windows的OLE自动化机制。
• ZAbypass:该工具使用直接数据交换(DDE,Data Direct Exchange)技术,以借助系统中的IE浏览器访问互联网服务器上的数据。
• Jumper:该工具会生成一个DLL文件,将其挂接到Explorer.exe之后关闭和重启该程序,从而执行该DLL。这项测试同时考察防火墙组件的防DLL注入能力以及对注册表关键位置的保护能力。
• Ghost:通过修改浏览器进程的PID来欺骗防火墙组件,从而通过系统缺省浏览器向互联网发送信息,主要用于测试防火墙是否能够实现进程级别的监控。
云安全测试
针对当下最热门的云安全技术,在本次评测中也专设了多个测试项目。首先我们的工程师会验证参测产品是否支持云安全网络,以及支持哪些云端安全功能。例如,通过访问包含有恶意代码的网站来判别参测产品是否支持云端Web威胁识别。另外,我们会尝试使用产品的云端功能检测前面所准备的100个恶意软件样本,比较其检测率和处理能力相较使用传统扫描引擎是否有所提高,从而验证云安全机制对于产品效能的提高发挥的作用。管理
机制测试
管理能力是企业级安全产品的重中之重,通过对参测产品的终端管理、终端部署、权限管理、配置管理等诸多方面的能力进行考察和评估,我们可以获得产品管理机制是否健壮有效的第一手证据。
与此同时,产品客户端所具备的特性,特别是管理端对于客户端的授权和控制,也是网络版安全产品需要重点关注的问题。
易用性测试
在易用性方面,我们遵循软件业内常见的一些评估方式,进行体现物理操作负担的肌肉事件测试,针对界面设计的屏幕利用率测试以及体现操作流程的记忆负担测试等诸多测试项目。
结合针对界面元素排布、界面指引等方面的分析,最终形成对软件易用性的综合性评价。在易用性的测试过程中,主要面向参测产品的控管中心模块,对于部署于服务器和工作站上的终端软件不进行评估。
评测总结
在本次评测中,通过对比应用云安全的产品和传统形式的产品,我们发现云安全类型的产品带给客户端的负担更小。趋势科技已经近乎彻底地实现了产品的云安全化,无论从基础架构还是从核心功能上看,云安全技术都在充分地发挥作用。而熊猫的云安全应用,则更多地停留在后台辅助服务方面,用户从前端功能还无法明确了解云安全的具体应用状态。相对地,X和Y在云安全应用领域也取得了相当的成果,并且拥有相当规模的云安全网络支持,对其安全威胁的发现和采集提供了相当的帮助。
通过评测,我们也发现目前的主流企业级安全产品并没有走向完全趋同的发展道路。基于不同的市场理解和不同的客户取向,不同厂商在构造自己的产品时,都体现出鲜明的功能和设计特点。
云计算安全评估办法范文第4篇
事业机构在互联网上开放的应用入口,也是通常意义上人们常说的“网站”,其前端接受用户在WEB浏览器上发送请求,后端则和企业后台的数据库及其他内部动态内容通信。由于WEB应用的天然开放性,以及各种WEB软硬件漏洞的不可避免性,使得黑客们将注意力从以往对网络服务器的攻击逐步转移到了对WEB应用的攻击上。
根据最新调查,信息安全攻击有75%都是发生在WEB应用而非网络层面上。同时,数据也显示,三分之二的WEB站点都相当脆弱。但目前,绝大多数企业将大量的投资花费在网络和服务器的安全上,没有从真正意义上保证WEB应用本身的安全。2011年底,国内互联网业界爆发的众多知名网站“泄密门”系列事件,其实只是掀开WEB应用威胁的冰山一角。今天,WEB应用防护和数据安全已经成为企事业机构信息安全综合体系中的核心与重点。
日前,在工信部信息安全协调司、浙江省经信委、杭州市经信委等单位和机构的指导和支持下,2012(首届)中国WEB应用防护与数据安全高峰论坛在杭州举行。来自安全界德高望重的专家学者、从中央到地方的各级相关信息化管理部门的领导、国内各重要行业机构和单位信息化主管领导以及众多中国信息安全企业界老总们,以“技术创新和行业应用”为主题,通过专家演讲、嘉宾互动和WEB攻防实战演习等形式,对WEB应用防护的技术体系建设和产品服务创新,尤其是针对国家重要基础行业应用的创新;构建行业WEB应用防护安全体系;国际WEB应用防护最新技术与理念;内网数据安全的管理架构与技术体系;重要行业WEB应用高安全防护实践等话题进行深入探讨。
本次大会覆盖了几乎所有当前信息安全方面的迫切问题,充分交流信息安全产业发展趋势,瞭望信息安全行业应用的态势,引导用户的采购选型,达到构筑业界最大交流平台、促进产业发展、沟通行业应用、推动我国信息安全建设稳步前进之目的。
建立网络秩序是网络信息安全工作的努力方向
当前,以互联网为基础的信息空间、信息网络已经成为政府和民众交流以及商务交流、贸易交流的一个重要平台,成为我们工作学习的重要空间,甚至已经成为我们世界经济重要的一种基础设施。因此,互联网世界迫切需要建立起应有的秩序。
正如浙江省经信委胡蓓姿处长在论坛上所言:众所周知的个人信息安全问题、公共系统的信息安全问题,包括其他工作当中遇到的信息安全问题,都与在网络空间中建立秩序紧密相关。我们既要维护网络空间的活力、网络空间的创造力,同时又要维护网络空间的公平公正;要让所有人在网络上能够表达自己的思想和言论的同时,又要在空间当中担负起相应的责任,让每个人能够依法行事。这是网络维持秩序的基础,也是政府信息安全主管部门一直致力于网络安全努力的方向。
近年来,我国信息安全的理论研究逐步成熟,信息安全政策框架逐步形成,信息安全部门的责任逐步明确,各项信息安全基础工作、基础设施建设都取得了一定发展。在浙江,信息安全工作围绕着构建可信、可靠的目标,建立了俗称“136”的工程,从管理、控制、技术三个方面全面加强安全信息建设。“1”即起协调作用的网络与信息安全协管平台。因为网络安全管理涉及到各个管理部门,所以浙江省经信委作为信息安全的主管协调机构,要发挥各个职能部门的作用,形成合力,加强对网络的管理;“3”是三个重点领域,即电子政务、电子商务和十个重点行业;“6”即六大体系建设工程,根据安全信息保障的要求,在6个方面加强信息安全的工程建设。
WEB安全面临云计算时代的新挑战
WEB作为互联网核心,是将来云计算和移动互联网最佳的载体,因此,WEB安全在云计算时代更要引起我们的高度关注。
国家信息中心专家委员会委员宁家骏认为:云计算和新一代移动通信时代的到来,向信息安全提出了新的挑战。首先,信息安全与我们密切相关。当前互联网正在不断地向移动化发展,用户对互联网无所不在的接入,以及从社会向用户的转入,使得国家政府、企业和个人,面临着更为严峻的网络危机。WEB的安全、虚拟化的安全是云计算必须要解决的核心问题,它既有原来传统安全问题的延伸,也带来了新的问题。比如说位置信息的泄露、身份信息的泄露以及一些其他领域。所以没有安全的云计算将是一个“晕计算”。其次,信息安全面临着新的形势。当前我国自身建设发展由于对安全重视不够,顶层设计和统一规划不够,使得目前的信息安全自身存在着问题;另一方面,由于改革的深入和发展,人们的公平意识、民主意识、权利意识、法制意识在不断增强,使得网络管理面临着巨大的内部挑战。此外,我国很多基于互联网的应用系统还存在着规模庞大、协议开放、应用逻辑复杂等问题,这也为提升重要信息安全系统保障提出了更加严峻的挑战。
云计算安全评估办法范文第5篇
关键词:农作物;病虫害防治;服务质量;规范
DOI编码:10.3969/j.issn.1674-5698.2016.01.012
1引言
农作物病虫害专业化防治,是按照现代农业发展的要求,遵循“预防为主、综合防治”的植保方针,由具有一定植保专业技能的人员组成的具有一定规模的服务组织,利用先进的设备和手段,对病虫防控实施农业防治、化学防治、生物防治和物理防治的生产服务性活动[1]。农业病虫害社会化服务组织包括公共服务机构、合作经济组织、部分龙头企业或其他社会力量等。农作物病虫害防治专业服务组织在提高重大病虫防控效果、促进粮食稳定增产、降低农药使用风险、保障农产品质量安全和农业生态环境安全方面发挥着重要的作用。据农业部统计,到2011年6月,全国经工商注册的病虫专业化防治组织达1万个以上,拥有大中型植保机械120万台套,从业人员近100万人,日作业能力超过3,000万亩[2-3]。为规范专业化统防统治服务行为,提高专业化防治组织的服务质量,2011年农业部了《农作物病虫害专业化统防统治管理办法》,从宏观管理层面对防治服务组织的管理与指导、防治作业、监督与评估等方面进行了规定[4]。但在防治服务过程中涉及的合同管理、防治方案设计、信息服务、应急管理、投诉处理、满意度调查等方面没有进一步的细化要求。目前,我国在农作物病虫害防治服务组织及服务质量方面尚无国家标准,导致农作物病虫害防治服务活动中出现服务质量不规范、服务效果差等问题时,无标可依、无据可循。因此,有必要尽快研究和制定农作物病虫害防治专业服务组织服务质量要求国家标准,用以指导和提升我国农作物病虫害防治专业服务组织的服务质量、服务能力和服务水平。
2制定原则和依据
2.1科学性原则以《农作物病虫害专业化统防统治管理办法(中华人民共和国农业部第1571号公告)》为主要技术基础,统筹结合湖南、浙江、安徽等各地农作物病虫害防治条例或管理办法的要求,并参照GB/T24620-2009《服务标准制定导则考虑消费者需求》等国家标准对服务活动各环节的统一要求,从服务提供角度,构建标准技术框架,编制具体要求,保证质量规范技术内容的科学性。2.2实用性原则充分考虑了我国各省农作物病虫害防治条例或管理办法中对服务组织的具体要求,全面凝练各地基层和一线农作物病虫害防治组织(如:农民专业合作社、植保站等)在基本条件、组织运行和管理、作业服务、效果评价等服务提供过程中的服务规范和实践经验,吸收了《农作物病虫害专业化统防统治管理办法(中华人民共和国农业部第1571号公告)》的核心技术要求,增加了关于防治服务组织的管理体系、社会责任、信息服务、应急管理、投诉处理等内容,列出了服务满意度、病害防治效果、虫害防治效果等主要服务质量指标及其计算方法,以保证质量规范的适用性和实用性。2.3协调性原则作为农作物病虫害防治服务的基础通用性标准,在术语、基本要求、合同管理、方案设计、作业服务等标准条款内容方面,与我国现行的法规和管理办法及GB/T8321.1~9农药合理使用准则系列国家标准、NY/T1276农药安全使用规范总则等标准协调一致、配套使用,相互支撑。
3技术框架设计
质量规范主体技术内容包括组织基本要求、合同管理、方案设计、信息服务、作业服务、档案管理、应急管理、投诉处理、满意度调查、主要质量指标、资料性附录等11个部分,力求涵盖农作物病虫害防治服务提供的全过程。
4内容要素及技术要求
4.1组织基本要求(1)总则农作物病虫害防治服务需要遵循“预防为主、综合防治”的植保方针,贯彻国家倡导的“科学植保、绿色植保、公共植保”理念,以服务农业生产和提高防治服务质量为中心,且需符合国家农业主管部门的监管要求。(2)基本条件服务组织是农作物病虫害防治服务的提供主体,应在组织资质、技术人员、设施设备、作业能力、员工保护、管理体系、服务内容等方面达到开展相关服务的基本条件。如:组织应经工商行政管理机关或民政部门注册登记,取得法人资质;具有经过植物保护专业技能培训的防治技术人员;具备国家规定的安全作业条件和满足服务对象需求的日作业能力;具有固定的经营场所,必要的防治设备及人员安全防护条件;具有健全的服务管理制度等。4.2合同管理服务合同是农作物病虫害防治服务供需双方确立相互责任、权利和义务的重要文件。服务合同内容应包括服务对象的基本信息、防治方案、防治面积、防治物资、防治效果、收费标准、缴费时限、赔偿标准、违约责任、免责内容、纠纷调处办法、投诉反馈时限等。4.3方案设计防治方案是农作物病虫害防治服务组织解决服务对象病虫害问题的一系列综合措施,是开展病虫害防治服务的技术依据和科学规范。方案设计应根据服务对象的农作物病虫害发生的种类、程度、危害、预期目标等信息和农业植物保护机构的指导意见,经科学分析与评估而制定,其内容应包括防治目标、防控技术、防治服务流程、田间作业程序和作业要求等。4.4信息服务信息服务是农作物病虫害防治服务组织为服务对象提供快捷化和便利化服务的重要基础,也是服务供需双方互动交流的渠道。信息服务渠道应包括网络、电话、传真、电子邮件、信函、服务窗口等多种方式。提供的信息应及时、准确、完整、实用,且防止服务对象信息的泄露及不正当使用。4.5作业服务作业服务要求是农作物病虫害防治服务实施过程的重要技术规范。需对防治用品、田间作业、质量跟踪等方面进行具体规定。如:所使用的农药、施药设施设备的质量应符合国家相关规定;组织实施具有安全隐患的防治作业时,应在相应区域设立警示标志;需采取必要措施,保证周边其他作物及蜜蜂、蚕、鱼、虾、蟹等生物的安全;妥善处理剩余农药及废包装、废容器、冲洗施药机械废水等废弃物;提示和帮助服务对象填写田间作业服务确认单;作业结束后及时跟踪调查防治效果等。4.6档案管理档案管理要求是农作物病虫害防治服务内容及过程的真实性和可追溯的重要依据。应确保防治服务档案完整、准确、系统和安全,服务合同、田间作业服务确认单、满意度调查表、田间作业照片及视频等资料需及时整理、归档并保存两年以上,便于查找和提供利用。4.7应急管理应急管理是农作物病虫害防治服务中发生意外服务事故时采取处理措施的活动。防治服务组织应对潜在和可能存在的防治服务风险进行分析和评估,并针对不同风险制定相应的应急预案。当风险发生时及时启动应急预案,采取应急措施并及时评估应急预案效果。4.8投诉处理投诉处理是快速和稳妥的解决农作物病虫害防治服务质量投诉的重要途径。防治服务组织应提供可靠、便捷的投诉渠道。当服务对象对防治效果提出异议或投诉时,及时主动与服务对象沟通,按双方合同规定的程序、方式和时限要求进行处理。处理结果要及时反馈给服务对象,并采取预防控制措施防止类似情况发生。4.9满意度调查满意度调查是农作物病虫害防治服务组织衡量自身服务效果,评价服务绩效的重要措施。服务组织要定期对服务对象进行回访,调查服务质量和服务对象满意度,并客观分析满意度调查信息和服务对象投诉信息,持续提升和改进自身服务质量。4.10主要质量指标农作物病虫害防治服务质量指标主要包括病害防治效果、虫害防治效果、服务满意度等。服务组织可根据具体情况选用或补充,并明确指标的具体数值。计算方法如下:(1)病害防治效果[4]以病情指数表示。1)当病情基数在处理前为零时,按式(1)计算:防治效果(﹪)=[(对照区病情指数-防治区病情指数)/对照区病情指数]×100(1)其中:病情指数(﹪)=[∑(各病级的样本数×相应发病级数)]/调查样本总数×最高发病级数]×1002)当防治处理前病害已发生时,按式(2)计算:防治效果(﹪)=[(对照区病情指数增长率-防治区病情指数增长率)/对照区病情指数增长率]×100(2)其中:病情指数增长率(﹪)=[(用药后病情指数-用药前病情指数)/(100-用药前病情指数)]×100(2)虫害防治效果[4]以被害减轻率或虫口死亡率表示。1)以被害减轻率表示时,按式(3)计算:防治效果(﹪)=(对照区被害率-防治区被害率)/对照区被害率×100(3)其中:被害率(﹪)=被害株数/调查总株数×1002)以虫口死亡率表示时,按式(4)计算:防治效果(﹪)=(防治区虫口死亡率-对照区虫口死亡率)/(100-对照区虫口死亡率)×100(4)其中:虫口死亡率(﹪)=死虫/(死虫+活虫)×100(3)服务满意度统计期内服务对象满意数占调查所得回复总数的比率,按式(5)计算:服务满意度(﹪)=满意数/回复总数×100(5)4.11资料性附录为了增强质量规范的指导性和实操性,研究制定了《水稻病虫害防治服务合同(样本)》《田间作业服务确认单(样本)》《农作物病虫害防治服务满意度调查表(样本)》等3个资料性附录,以便于使用者在实际应用中参考。
5结语
农作物病虫害专业化防治服务是我国农业社会化服务的重要内容之一,是解决农民一家一户分散防病治虫难题,保障农业生产安全和农产品质量安全的重要途径。因此,在分析和借鉴国内农作物病虫害专业化防治相关法规和各地实践的基础上,制定出符合我国实际的农作物病虫害防治服务质量规范,对于规范我国农作物病虫害防治服务组织的建设和运行,改进和提升农作物病虫害防治服务服务质量,引导和推动我国农作物病虫害防治服务行业的可持续发展,具有重要的技术指导作用。
参考文献
[1]农业部关于推进农作物病虫害专业化防治的意见.农业部农农发[2008]13号[Z].
2李力,乔金亮“.田间保姆”为农民分忧解难.新农村周刊,2011,8,1.
3陈仁泽.农作物病虫害专业化防治组织全国超万个[N].人民日报,2011,6,16.
4农业部第1571号公告.农作物病虫害专业化统防统治管理办法.2011.
