測評配置庫，沒有讀取到相關測評配置信息，或者是第一次針對該云基礎設施實施測評活動，則沒有歷史數(shù)據(jù)可以借鑒。針對這種情況，可采取的一種簡單方式是:取該云基礎設施日常運行最普遍的虛擬機資源配置情況，作為一個資源單位分配物理資源的參考。
[0077]在本次測評活動執(zhí)行過程中，記錄所需的資源配置、測評時間等參數(shù)。在本次測評活動結(jié)束后，寫入測評配置庫中，為下一次的測評活動提供配置和執(zhí)行等參考。
[0078]由于每個測評鏡像的工作任務量不盡相同，各測評鏡像之間完成測評活動有先后順序；同時，也可能存在硬件或軟件故障引起測評鏡像工作失效。針對這幾種情況，可利用調(diào)度模塊進行資源的重新分配、任務調(diào)整。
[0079]見圖4、5所示，具體工作過程如下:
[0080]每個工作中的測評鏡像定期返回其資源消耗狀況。調(diào)度模塊根據(jù)這些信息判斷該測評鏡像的工作狀態(tài)。工作狀態(tài)集合中包含任務失效”、“任務執(zhí)行中”2種狀態(tài)。
[0081]當測評鏡像的任務結(jié)束時，通知調(diào)度模塊，調(diào)度模塊進行虛擬機資源的回收工作。
[0082]對處于失效狀態(tài)的測評鏡像，進行喚醒操作。如果在設定的時間內(nèi)未能喚醒，則進行虛擬機迀移。
[0083]對于處于任務執(zhí)行中的測評鏡像，可根據(jù)實際情況為其分配更多資源，加快其完成測評任務。具體過程如下:
[0084]設有一執(zhí)行任務的測評鏡像Ci，當前Ci的測評活動已消耗時間為T c，A預計完成測評活動的時間為TF，新的資源從加入Ci能夠用于測評所需要的準備時間為T P，若Tf-Tc< TP，則將已經(jīng)結(jié)束測評活動的測評鏡像中回收的資源再分配；否則不做操作。
[0085]見圖6所示，下面列舉一個實例說明具體分配過程。
[0086]每個仍在工作的測評鏡像定期返回其資源消耗狀況，調(diào)度模塊將這些測評鏡像按照它們消耗物理資源從高到低的順序，生成到一個“測評鏡像的資源消耗隊列”。假設已回收R個資源單位。按照“消耗越多，分配越多”的原則，將這R個資源單位按照輪詢調(diào)度算法(Round-Robin Scheduling)分配給資源消耗隊列”中的測評鏡像。
【主權(quán)項】
1.一種用于云基礎設施的安全評測方法，其特征在于:所述的方法由調(diào)度模塊、測評軟件庫、測評鏡像、測評配置庫、測評結(jié)果庫、分析模塊、測評需求書、測評報告等模塊構(gòu)成的裝置完成； 在測評前，由用戶對測評軟件庫進行配置；然后，調(diào)度模塊讀取本次測評活動的測評需求書；確定本次測評所需要的軟件，再啟動某一測評鏡像，開始對某一安全科目進行安全測評，將數(shù)據(jù)寫入測評結(jié)果庫中； 在測評活動執(zhí)行過程中，記錄所需的資源配置、測評時間等參數(shù)；在本次測評活動結(jié)束后，寫入測評配置庫中，為下一次的測評活動提供配置和執(zhí)行等參考； 分析模塊綜合所有測評結(jié)果，采用模糊綜合評價法、AHP評價法、灰色理論、神經(jīng)網(wǎng)絡法等綜合評價方法，對被測評的云基礎設施的安全狀況給出整體評價，并出具可供用戶下載的測評報告； 每個工作中的測評鏡像定期返回其資源消耗狀況；調(diào)度模塊根據(jù)這些信息判斷該測評鏡像的工作狀態(tài)；工作狀態(tài)集合中包含:“任務失效”、“任務執(zhí)行中”2種狀態(tài)； 對任務結(jié)束的測評鏡像，進行虛擬機資源的回收工作； 對處于失效狀態(tài)的測評鏡像，進行喚醒操作；如果在設定的時間內(nèi)未能喚醒，則進行虛擬機迀移；對處于任務執(zhí)行中的測評鏡像，根據(jù)按照輪詢調(diào)度算法，將回收的資源重新分配給仍在執(zhí)行任務的鏡像。
2.根據(jù)權(quán)利要求1所述的安全評測方法，其特征在于:在測評前用戶預先做測評軟件庫的配置工作；先把市場上已有的針對云基礎設施的安全測評軟件、自主編寫的測評軟件程序上傳至測評軟件庫中；然后按照通常的分類:系統(tǒng)安全、網(wǎng)絡安全、數(shù)據(jù)安全、行為安全等，對這些軟件進行分類，劃分到不同的“測評軟件列表”;測評軟件庫可以不斷地更新，確保測評軟件的先進性、成熟性。
3.根據(jù)權(quán)利要求1所述的安全評測方法，其特征在于:根據(jù)每次測評的要求，為每種測評軟件分配其所需的虛擬機資源，即資源單位；每個測評軟件安裝于虛擬機中，與計算、存儲、網(wǎng)絡等資源一并打包形成一個測評鏡像；啟動測評鏡像，進行測評活動，最后對數(shù)據(jù)進行分析處理，形成測評結(jié)論。
4.根據(jù)權(quán)利要求2所述的安全評測方法，其特征在于:根據(jù)每次測評的要求，為每種測評軟件分配其所需的虛擬機資源，即資源單位；每個測評軟件安裝于虛擬機中，與計算、存儲、網(wǎng)絡等資源一并打包形成一個測評鏡像；啟動測評鏡像，進行測評活動，最后對數(shù)據(jù)進行分析處理，形成測評結(jié)論。
5.根據(jù)權(quán)利要求1至4任一項所述的安全評測方法，其特征在于:具體測評流程是: (1)、訪問測評配置庫模塊，該模塊記錄有以前測評活動的基礎配置信息；獲取以往針對同一云基礎設施的網(wǎng)絡安全域測評時有關測評活動的資源單位配置狀態(tài)；比如:為該測評活動分配了多少CPU、內(nèi)存等資源情況； (2)、調(diào)度模塊讀取本次測評活動的測評需求書，根據(jù)測評的不同安全科目，訪問測評軟件庫中的測評軟件列表，確定本次測評所需要的軟件； (3)、根據(jù)本次測評的云基礎設施的物理邊界范圍，從而為本次測評活動分配合適的資源單位；這是一種自主學習的過程，舉例來說上一次測評活動對100臺服務器實施了安全測評，本次需要對60臺服務器進行安全測評，考慮到資源的冗余性應付測評過程中的突發(fā)事件，則本次分配資源可取上一次所需物理資源數(shù)量的60-70% ; (4)、將本次測評所需軟件、程序與為其分配的資源單位打包，形成可運行的測評鏡像； (5)、調(diào)度模塊啟動某一測評鏡像，初始化并獲取相關控制權(quán)限，采集數(shù)據(jù)，開始對某一領域進行安全測評； (6)、測評鏡像執(zhí)行測評活動；對原始數(shù)據(jù)進行轉(zhuǎn)換、清洗等操作；本次測評活動結(jié)束后，將已處理過的測評結(jié)果數(shù)據(jù)寫入測評結(jié)果庫中； (7)、待所有測評鏡像完成工作后，分析模塊綜合所有測評結(jié)果； (8)、如果是第一次對該云基礎設施進行測評，則無法從測評歷史庫中獲取可供參考的配置狀態(tài)； 如果訪問測評配置庫，沒有讀取到相關測評配置信息，或者是第一次針對該云基礎設施實施測評活動，則沒有歷史數(shù)據(jù)可以借鑒；針對這種情況，可取該云基礎設施日常運行最普遍的虛擬機資源配置情況，作為一個資源單位分配物理資源的參考。
6.根據(jù)權(quán)利要求5所述的安全評測方法，其特征在于:對于處于任務執(zhí)行中的測評鏡像，可根據(jù)實際情況為其分配更多資源，加快其完成測評任務；具體過程如下: 設有一執(zhí)行任務的測評鏡像Ci,當前Ci的測評活動已消耗時間為T c，;Ci預計完成測評活動的時間為TF，新的資源從加入Ci能夠用于測評所需要的準備時間為T P，若T P，則將已經(jīng)結(jié)束測評活動的測評鏡像中回收的資源再分配；否則不做操作。
7.根據(jù)權(quán)利要求6所述的安全評測方法，其特征在于:具體分配過程是:每個仍在工作的測評鏡像定期返回其資源消耗狀況，調(diào)度模塊將這些測評鏡像按照它們消耗物理資源從高到低的順序，生成到一個“測評鏡像的資源消耗隊列”;假設已回收R個資源單位。按照“消耗越多，分配越多”的原則，將這R個資源單位按照輪詢調(diào)度算法分配給資源消耗隊列”中的測評鏡像。
【專利摘要】本發(fā)明涉及信息安全技術(shù)領域，尤其是一種用于云基礎設施的安全評測方法。所述的方法由調(diào)度模塊、測評軟件庫、測評鏡像、測評配置庫、測評結(jié)果庫、分析模塊、測評需求書、測評報告等模塊構(gòu)成的裝置完成；在測評前用戶預先做測評軟件庫的配置工作；先把市場上已有的針對云基礎設施的安全測評軟件、自主編寫的測評軟件程序上傳至測評軟件庫中；然后按照通常的分類：系統(tǒng)安全、網(wǎng)絡安全、數(shù)據(jù)安全、行為安全等，對這些軟件進行分類，劃分到不同的“測評軟件列表”；測評軟件庫可以不斷地更新，確保測評軟件的先進性、成熟性。本發(fā)明解決了信息安全測評方法與云計算相適應的問題；可以用于云基礎設施的安全評測。
【IPC分類】H04L29-06, H04L29-08
【公開號】CN104735063
【申請?zhí)枴緾N201510107604
【發(fā)明人】王偉, 岳強
【申請人】廣東電子工業(yè)研究院有限公司
【公開日】2015年6月24日
【申請日】2015年3月11日