云计算业务承载平台
云安全技术服务
风险评估服务
针对云计算中心的风险评估将在针对国内外信息安全风险评估规范和方法理解的基础上开展,遵循ISO27005以及NIST SP800-30的基础框架,并且将针对云计算的资产识别、威胁分析、脆弱性识别和风险评价融入其中,是云计算中心进行安全规划建设、法规遵从、运营安全状态分析等安全日常活动的重要依据。
此方案的设计思路是针对云计算中心的安全现状而做出的,因此在对云计算中心的安全体系设计具有一定的局限性和不确定性。为了使最终采用的安全管理、安全技术手段充分贴合云计算中心的实际安全需求,需要通过安全建设中的重要手段――风险评估来实现。通过风险评估可以更加清晰、全面的了解云计算中心系统的安全现状,发现系统的安全问题及其可能的危害,为后期安全体系建设中的安全防护技术实施提供依据。
风险评估对现有网络中的网络架构、网络协议、系统、数据库等资产安全现状进行发现和分析,确定系统在具体环境下存在的安全漏洞、隐患,以及被黑客利用后会造成的风险和影响。在此基础上对实施流程进行规划:即针对云计算中心的具体情况制定适合于自身的安全目标和安全级别,在充分考虑经济性的基础之上设计和实施相应的安全建设方案。
安全测试服务
安全测试是以奥怡轩在漏洞挖掘、分析、利用等领域的理论依据和多年实践经验为基础,对云计算平台进行深入、完备的安全服务手段。安全测试内容将包括如下内容:
• 源代码审计:源代码审计(Code Review,后简称为代码审计)是由具备丰富的编码经验并对安全编码及应用安全具有很深刻理解的安全服务人员,根据一定的编码规范和标准,针对应用程序源代码,从结构、脆弱性以及缺陷等方面进行审查;
• 模糊测试:模糊测试是一种通过提供非预期的输入并监视异常结果来发现软件故障的方法,是一个自动的或半自动的过程,这个过程包括反复操纵目标软件并为其提供处理数据。模糊测试方法的选择完全取决于目标应用程序、研究者的技能,以及需要测试的数据所采用的格式;
• 渗透测试:渗透测试(Penetration Testing)是由具备高技能和高素质的安全服务人员发起、并模拟常见黑客所使用的攻击手段对目标系统进行模拟入侵,找出未知系统中的脆弱点和未知脆弱点。渗透测试服务的目的在于充分挖掘和暴露系统的弱点,从而让管理人员了解其系统所面临的威胁。
