压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

構(gòu)建云計(jì)算信息系統(tǒng)風(fēng)險(xiǎn)評估指標(biāo)體系

非常感謝大家能在百忙之中參加這次網(wǎng)絡(luò)安全大會(huì)，來聽我的演講。我是國家信息中心信息網(wǎng)絡(luò)安全部高級顧問章恒，我給大家分享的內(nèi)容是《構(gòu)建云計(jì)算環(huán)境的安全檢查與評估指標(biāo)體系》。

我們的國家信息中心信息于網(wǎng)絡(luò)安全部其中一個(gè)主要的業(yè)務(wù)是針對于國家、政府機(jī)關(guān)、企事業(yè)單位還有一些國企，對他們的信息安全系統(tǒng)提供檢查評估和咨詢的服務(wù)。在我們提供這種服務(wù)的同時(shí)，我們的服務(wù)對象通過這幾年來的觀察也在潛移默化的發(fā)生一些變化。從最開始的設(shè)備、人員都?xì)w我來管，機(jī)房也是在我這里，設(shè)備也在我這兒，誰提供服務(wù)的誰就來管這些設(shè)備和機(jī)房，這時(shí)候物理環(huán)境和管理方面界限是非常明確的。到后來有些單位開始租用了IDC機(jī)房進(jìn)行了設(shè)備的托管，這時(shí)候我們發(fā)現(xiàn)有些他們管理的邊界就慢慢變得模糊了，但是這時(shí)候物理邊界相對來說還是清晰的。再到后來，尤其是最近幾年來，隨著云計(jì)算產(chǎn)業(yè)的快速發(fā)展，有些企業(yè)把他們的一些應(yīng)用慢慢往云上面轉(zhuǎn)移，這個(gè)時(shí)候我們就發(fā)現(xiàn)，不光是管理方面，物理邊界方面也漸漸變得開始模糊了，所以這就對我們下面的安全檢查和評估工作提出了新的要求和挑戰(zhàn)。下面我就我們國家信息中心在這方面所做的工作給大家做一個(gè)簡要的介紹。

首先明確一下我們需要檢查和評估的目標(biāo)是云計(jì)算。云計(jì)算從產(chǎn)生到現(xiàn)在定義非常多，粗粗的搜了一下，最少有一百多種。但是目前來說，得到大家比較認(rèn)可的，相對來說權(quán)威一點(diǎn)的定義是美國國家標(biāo)準(zhǔn)技術(shù)研究院做了這樣一個(gè)定義，它把云計(jì)算概括歸納為5種基本特征、3種交互模式和4種部署模式，在我來看，云計(jì)算就是一些技術(shù)的整合，為企業(yè)提供可以快速部署的、彈性的服務(wù)。我們檢測的目標(biāo)應(yīng)該就是這些采用云計(jì)算技術(shù)的信息系統(tǒng)，在這里給大家做一個(gè)簡單的明確。我匯報(bào)的內(nèi)容大概分為四個(gè)部分：一是云安全現(xiàn)狀；二是國內(nèi)外在云安全方面的規(guī)劃、標(biāo)準(zhǔn)和相關(guān)要求；三是國家信息中心在指標(biāo)體系構(gòu)建方面的一些方法，具體的指標(biāo)內(nèi)容在這次大會(huì)上就不做具體的匯報(bào)了，有機(jī)會(huì)的話，我們可以再做進(jìn)一步深入的交流；四是給大家介紹一下國家應(yīng)對安全工作方面的一些思考。

可以說隨著云計(jì)算的產(chǎn)生到發(fā)展以來，安全事件是從沒有間斷過。這是我粗粗在網(wǎng)上搜了一下去年影響較大的一些安全事件，從這些安全事件當(dāng)中可以看出，由于采用了云計(jì)算技術(shù)，黑客攻擊的目標(biāo)也慢慢發(fā)生了轉(zhuǎn)移，他們攻擊的目標(biāo)也變得更加傾向于明確，就是用戶的隱私數(shù)據(jù)，還有提供服務(wù)的這些系統(tǒng)。從云計(jì)算的特點(diǎn)來說，這些數(shù)據(jù)和系統(tǒng)用戶可以采取相應(yīng)的手段，更容易的來獲取到一些系統(tǒng)的基本信息，這就為我們云計(jì)算的安全防護(hù)提出了更加嚴(yán)峻的一些要求。這是最近發(fā)生的，9月1日美國一些女性的裸照在網(wǎng)上被公布，雖然現(xiàn)在具體的原因還沒有進(jìn)行公布，但是據(jù)推測，應(yīng)該是用戶在云上的隱私數(shù)據(jù)備份被竊取了。同時(shí)俄羅斯一家開發(fā)公司也能夠提供這樣一套工具，就是無需用戶的ID帳號(hào)情況下，就可以搜集用戶在云端的一些備份數(shù)據(jù)。前兩天還發(fā)生了一件事，就是蘋果iCloud中國區(qū)服務(wù)器遭受了比較猛烈的攻擊，雖然蘋果向外面宣布說沒有透露較大的隱私泄漏，但是從目前的現(xiàn)狀來說，并不能完全肯定一些用戶的隱私數(shù)據(jù)沒有被竊取。

對外國內(nèi)和國外的安全現(xiàn)狀來說，國內(nèi)在云計(jì)算產(chǎn)業(yè)方面的發(fā)展相對滯后一些，大概是3到5年的一個(gè)概念。目前國外的云安全實(shí)驗(yàn)已經(jīng)處于高發(fā)的時(shí)期，且出現(xiàn)了很多具有重大影響的事件。另外不同之處在于，目前來說針對于我國云服務(wù)的DDoS攻擊相對來說和國外比起來較少。這個(gè)里面一個(gè)主要的原因就是我們國家在應(yīng)對DDoS攻擊這方面相應(yīng)的法規(guī)還不是太健全，相應(yīng)的追責(zé)不是太明確，這也給一些黑客在運(yùn)用這種DDoS攻擊手段，對于國家一些政府機(jī)關(guān)、國企的對外門戶網(wǎng)站的技術(shù)攻擊也有一定的約束。國外在這方面做得相對來說嚴(yán)格一些，有相應(yīng)的嚴(yán)格法律規(guī)定，如果采用這種攻擊方式的話，將會(huì)嚴(yán)厲追責(zé)。另外一個(gè)原因就是國外一些黑客他已經(jīng)不再滿足于DDoS攻擊這種相對來說簡單的手段，他們會(huì)采取一些基于IDG攻擊之類的一些更加高級的手段對系統(tǒng)進(jìn)行攻擊。無論是國內(nèi)，在云計(jì)算、網(wǎng)絡(luò)安全上都是傳統(tǒng)的問題，50%云計(jì)算系統(tǒng)網(wǎng)絡(luò)方面的攻擊還是針對于傳統(tǒng)的軟件漏洞和配置錯(cuò)誤。從國內(nèi)的情況來看，SaaS服務(wù)出現(xiàn)的安全問題是較多的，相對來說PaaS和IaaS要少一些。

這是去年權(quán)威機(jī)構(gòu)就云計(jì)算產(chǎn)業(yè)發(fā)展方面做的一個(gè)調(diào)查。這里面有企業(yè)用戶對云計(jì)算的核心關(guān)注度，還有一個(gè)就是政府用戶對云計(jì)算的核心關(guān)注度，這一塊缺少了一個(gè)個(gè)人用戶的調(diào)查。從這個(gè)調(diào)查情況來看，用戶最關(guān)心的問題還是安全問題，比如數(shù)據(jù)安全，對于企業(yè)客戶來說，數(shù)據(jù)安全、隱私保護(hù)、穩(wěn)定性、可移植性等等，都是用戶所關(guān)心的一些主要問題。對于政府用戶來說，他們更關(guān)心的方面是數(shù)據(jù)安全、技術(shù)標(biāo)準(zhǔn)和相應(yīng)的合規(guī)性要求。我想這里面雖然沒有列出個(gè)人用戶對于云計(jì)算方面調(diào)查的內(nèi)容，但是估計(jì)也應(yīng)該在數(shù)據(jù)安全和隱私保護(hù)方面關(guān)心的程度要高一些。從這個(gè)方面可以看出，安全問題已經(jīng)成為制約我國云計(jì)算產(chǎn)業(yè)發(fā)展的主要因素。

下面給大家簡單匯報(bào)一下國內(nèi)外針對云計(jì)算安全問題一些專利的情況。目前檢索到明確的和云計(jì)算安全相關(guān)的專利大概是1.8萬多個(gè)，其中國外占的比例高達(dá)97%，而且是被一些大的IT巨頭所把控著。這就存在著一些主要問題，核心技術(shù)全都掌握在國家相關(guān)人員的手里面，掌握在國家相關(guān)的企業(yè)或者國家這種相關(guān)的標(biāo)準(zhǔn)機(jī)構(gòu)的手里面，這就給我們國家相關(guān)進(jìn)行云計(jì)算部署的時(shí)候，購買云計(jì)算產(chǎn)品的時(shí)候提供了一些問題。比如購買云計(jì)算產(chǎn)品的時(shí)候，就要考慮這個(gè)產(chǎn)品的軟件著作權(quán)、專利問題、是否存在漏洞問題，這都是我們要考慮的主要問題，所以說核心問題我們認(rèn)為還是知識(shí)產(chǎn)權(quán)問題。

目前來說，國內(nèi)外云安全戰(zhàn)略的規(guī)劃主要是停留在云計(jì)算安全規(guī)劃的階段，云安全戰(zhàn)略規(guī)劃涉及到的內(nèi)容還是相對來說稍微較少。國家層面最先發(fā)布的云計(jì)算安全戰(zhàn)略是新西蘭，他們重點(diǎn)關(guān)注的是跨境云計(jì)算服務(wù)的保護(hù)措施。再就是歐盟，歐盟也在2012年9月份啟動(dòng)了云計(jì)算方面的安全戰(zhàn)略，他們主要是針對于可信賴的云服務(wù)提供商提供認(rèn)證。2011年2月美國啟動(dòng)了FedRAMP項(xiàng)目，主要是提供一個(gè)長期的主動(dòng)定期評估的方法和流程。同樣我們國家在”十二五”云安全規(guī)劃當(dāng)中也做了相應(yīng)的部署，就不做詳細(xì)的介紹了。國內(nèi)外相關(guān)的標(biāo)準(zhǔn)化組織在云計(jì)算方面相關(guān)的標(biāo)準(zhǔn)也在制定過程當(dāng)中。國外相關(guān)的標(biāo)準(zhǔn)機(jī)構(gòu)走得早一步，在標(biāo)準(zhǔn)制定方面相對來說也是領(lǐng)先了我們一步。這里邊主要有國際標(biāo)準(zhǔn)化組織NIST，還有歐洲的網(wǎng)絡(luò)信息安全管理局，云安全聯(lián)盟，國際電信聯(lián)盟等等這些標(biāo)準(zhǔn)化組織，對云計(jì)算制定了大量的相關(guān)標(biāo)準(zhǔn)。

同樣我們國家在云計(jì)算方面標(biāo)準(zhǔn)也在制定過程當(dāng)中，大部分標(biāo)準(zhǔn)都沒有最后實(shí)施，相當(dāng)于在制定和征求意見過程中。其中信息安標(biāo)委有兩個(gè)標(biāo)準(zhǔn)，就是政府部門云計(jì)算服務(wù)安全指南和政府部門云計(jì)算服務(wù)安全能力要求，在9月份剛剛拿到了標(biāo)準(zhǔn)編號(hào)，一個(gè)是31167，一個(gè)是31168，剛拿到這兩個(gè)標(biāo)準(zhǔn)編號(hào)。公安部的等保評估中心和國家信息中心，阿里云正在著手制定針對于云計(jì)算信息系統(tǒng)的安全等級保護(hù)相關(guān)的標(biāo)準(zhǔn)，這個(gè)標(biāo)準(zhǔn)還在制定過程當(dāng)中。國家對信息系統(tǒng)在設(shè)計(jì)、建設(shè)、驗(yàn)收和運(yùn)維過程當(dāng)中提供了安全方面的要求，主要針對于要定期、及時(shí)進(jìn)行相應(yīng)的安全檢查和風(fēng)險(xiǎn)評估。

下面給大家介紹國家信息中心在構(gòu)建云計(jì)算環(huán)境指標(biāo)體系方面的工作思路。從前面已有的標(biāo)準(zhǔn)可以看出，所有信息安全的措施和要求還都是一個(gè)非常粗力度的，如何定量、定性的分析一個(gè)云計(jì)算信息系統(tǒng)的安全性，是一個(gè)我們大家都比較關(guān)注的問題。就像我們桌面360，我們一點(diǎn)就會(huì)出現(xiàn)一個(gè)得分，這個(gè)得分代表什么？或者這個(gè)得分里面的細(xì)項(xiàng)，什么因素影響這個(gè)得分，都會(huì)有一個(gè)詳細(xì)的說明。對于云計(jì)算信息系統(tǒng)來說，我們同樣也希望能夠構(gòu)建這樣一個(gè)指標(biāo)評分系統(tǒng)，通過這個(gè)指標(biāo)評分系統(tǒng)，能夠定量的來評價(jià)一個(gè)云計(jì)算信息系統(tǒng)安全性的好壞。應(yīng)該說所有我們評價(jià)的出發(fā)點(diǎn)無非就來自于兩個(gè)方面，一個(gè)是實(shí)際應(yīng)用環(huán)境的一些調(diào)研，還有一個(gè)就是相關(guān)國內(nèi)外的研究成果，包括發(fā)布的一些安全事件。在這個(gè)研究的基礎(chǔ)上，我們第一步是要確定云計(jì)算環(huán)境安全檢查與評估的指標(biāo)框架體系?？蚣苤笜?biāo)體系確定以后，真得于框架指標(biāo)體系來進(jìn)行云計(jì)算環(huán)境面臨的威脅與風(fēng)險(xiǎn)分析，然后導(dǎo)出云計(jì)算環(huán)境的安全保護(hù)與基本要求，針對于每項(xiàng)要求，結(jié)合保護(hù)對象、測試方法，給出測評指標(biāo)項(xiàng)以及判定的標(biāo)準(zhǔn)，下面就是確定各個(gè)指標(biāo)模型的一些打分情況，最后匯總完成指標(biāo)體系。最后開展業(yè)務(wù)試點(diǎn)，業(yè)務(wù)試點(diǎn)的結(jié)果給我們這個(gè)指標(biāo)體系構(gòu)建形成一種反饋，來對我們這個(gè)指標(biāo)體系進(jìn)行改進(jìn)，我們下面介紹整體的工作思路就是針對于這方面來做的。

首先就是實(shí)際應(yīng)用環(huán)境調(diào)研，我們從準(zhǔn)備著手這項(xiàng)工作開始到現(xiàn)在一直沒有停止過調(diào)研，無論是公有云、私有云還是企事業(yè)單位部署的一些簡單的云，而且有些甚至都不能稱之為云，只能是一個(gè)虛擬化的環(huán)境，我們都做了相應(yīng)的調(diào)研。主要包括服務(wù)方面、架構(gòu)方面、方案方面、設(shè)備方面、用戶方面、安全測試方面、事件方面以及用戶所關(guān)心的問題，都有詳細(xì)的記錄。根據(jù)調(diào)研結(jié)果，我們確定用戶在這方面所面臨的問題是什么，最關(guān)心的問題是什么，為我們將來做這種指標(biāo)提供一個(gè)重要的參考。前面也說了，國內(nèi)外相關(guān)的一些標(biāo)準(zhǔn)、研究規(guī)劃都是在我們做架構(gòu)分析的時(shí)候主要考慮的因素。其中最為核心的問題就是虛擬化的安全問題，由于采用了虛擬資源池化和動(dòng)態(tài)配置，相對來說為云計(jì)算信息系統(tǒng)的安全性增加了一種額外的安全要求，主要表現(xiàn)在三個(gè)方面：一是VMM，就是虛擬機(jī)監(jiān)視器的安全風(fēng)險(xiǎn)；二是資源共享所帶來的風(fēng)險(xiǎn)；三是多租戶應(yīng)用的時(shí)候所面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)。

這是一個(gè)虛擬化問題所帶來的安全實(shí)例。對于傳統(tǒng)來說，防毒墻、防火墻能夠抵擋一些我們已知的漏洞，直接把漏洞屏蔽到墻外了。但是如果我們在虛擬環(huán)境之下部署了一個(gè)帶有惡意代碼的鏡像被加載到這個(gè)虛擬化的平臺(tái)上來以后，它的惡意代碼是不經(jīng)過這些防毒墻和防火墻的，所以說造成了在同一虛擬平臺(tái)下的惡意代碼傳播。當(dāng)然我這只是舉了一個(gè)簡單的實(shí)例，主要是想為我們的云安全研究提供一些方向。針對這種情況我們應(yīng)該怎么防？要花多大的代價(jià)來防止這種問題？投入和產(chǎn)出之間的比例我們應(yīng)該怎么樣掌控？比如最簡單的方法就是不采用虛擬化，采用分歧分析管理，一個(gè)安全域可能都部署在同一個(gè)物理設(shè)備之上。在這種環(huán)境下，有沒有必要采用云服務(wù)？這是值得我們思考的。在這種環(huán)境下，云服務(wù)帶來的便利和快速彈性部署的優(yōu)勢就不再顯現(xiàn)，這就讓我們在成本和安全方面做了一個(gè)有效的折中。

在做完調(diào)研和國內(nèi)外相應(yīng)安全成果分析的基礎(chǔ)上，我們確定了這樣一個(gè)指標(biāo)體系架構(gòu)。指標(biāo)體系分為三級目錄，其中一二級目錄參考了CSA云安全聯(lián)盟對于云的架構(gòu)定義，最下面是基礎(chǔ)設(shè)施，包括物理環(huán)境、設(shè)備主機(jī)、網(wǎng)絡(luò)和存儲(chǔ)。在這個(gè)基礎(chǔ)設(shè)施上面是虛擬化層，虛擬化層這個(gè)名字我認(rèn)為應(yīng)該稍微再改一下，應(yīng)該叫做資源抽象，資源抽象主要提供主機(jī)虛擬化、網(wǎng)絡(luò)虛擬化、存儲(chǔ)虛擬化和交付與連接的功能。再就是集成與中間件，主要包括操作系統(tǒng)、數(shù)據(jù)庫、中間件和開發(fā)框架，其中操作系統(tǒng)和數(shù)據(jù)庫還是我們傳統(tǒng)應(yīng)該考慮的問題。再上面就是應(yīng)用平臺(tái)和數(shù)據(jù)，同時(shí)還有云管理平臺(tái)、云環(huán)境與云服務(wù)的安全管理，這是我們一二級目錄的架構(gòu)。在考慮整個(gè)指標(biāo)體系的三級參考目錄上，我們想有沒有這樣一種權(quán)級，能夠把這些設(shè)備的安全控制點(diǎn)全部考慮進(jìn)來？讓整個(gè)系統(tǒng)是一個(gè)比較完備的。所以三級目錄我們經(jīng)過研究以后，參考了NIST.SP.800-5314的18個(gè)安全控制項(xiàng)，來控制我們指標(biāo)體系的三級目標(biāo)。

這是我們指標(biāo)體系三級目錄的構(gòu)成結(jié)構(gòu)，對于上面每一層來說，并不是說下面所有的這些控制模塊在三級目錄上都要包括，有的有，有的沒有，沒有的話我們就是以什么條件來判斷這個(gè)控制模塊在這一層上有沒有作用？所有的這些基礎(chǔ)是從云計(jì)算環(huán)境的威脅與風(fēng)險(xiǎn)分析來導(dǎo)出的。如果是云計(jì)算面臨的威脅和風(fēng)險(xiǎn)針對這一層的控制模塊沒有要求的話，我們這一塊就是空的，同樣這個(gè)控制模塊在這一層上也不需要。

在架構(gòu)確定完以后，下一步的工作就是針對云計(jì)算所面臨的威脅與風(fēng)險(xiǎn)進(jìn)行分析。這個(gè)主要是來自于一些研究成果和網(wǎng)絡(luò)上對外發(fā)布的一些安全事件，有一些結(jié)果來自于國內(nèi)一些實(shí)驗(yàn)室的研究內(nèi)容。我們做了一些簡單的歸納，應(yīng)該不止這一項(xiàng)，這里面羅列的只是一些舉例，把主要的風(fēng)險(xiǎn)列出來了，還有一些細(xì)項(xiàng)沒在這里面過多的進(jìn)行展開，大家需要交流的話，可以會(huì)下再做詳細(xì)的一些交流。

在確定了風(fēng)險(xiǎn)以后，構(gòu)建整個(gè)指標(biāo)體系的下一步工作就是面臨相應(yīng)風(fēng)險(xiǎn)的時(shí)候所應(yīng)該采取的安全措施。我這里也羅列了一些，包括云服務(wù)門戶的安全，多租戶隔離、數(shù)據(jù)安全、服務(wù)水平協(xié)議管理等等這些安全措施。這些安全措施為我們將來測評云計(jì)算信息系統(tǒng)的時(shí)候提供了一定的測評標(biāo)準(zhǔn)，就是我們在做相應(yīng)測評的時(shí)候，對于這種要求有沒有采用相應(yīng)的安全措施，也是作為一種評判的依據(jù)。

有了指標(biāo)框架，有了威脅與風(fēng)險(xiǎn)的分析以后，下一步的工作我們就是在構(gòu)建整個(gè)指標(biāo)體系上要導(dǎo)出云計(jì)算環(huán)境安全保護(hù)的基本要求，應(yīng)該說每一項(xiàng)要求都是要有一個(gè)確定落實(shí)的對象。所以說在這一層的時(shí)候我們又做了一下工作，就是說針對于每一層，對于基礎(chǔ)設(shè)施、物理環(huán)境和設(shè)備來說，都有一個(gè)對應(yīng)的具體產(chǎn)品。因?yàn)槲覀儗硭械囊?，所有的措施都是落?shí)在具體的產(chǎn)品之上的。打個(gè)比方來說，針對于主機(jī)設(shè)備身份鑒別，在面臨身份假冒的時(shí)候，需不需要去提醒？如果需要的話我們就打鉤，以此導(dǎo)出相應(yīng)的安全項(xiàng)，這就是我們所有指標(biāo)項(xiàng)具體的導(dǎo)出辦法。

有了指標(biāo)以后，下一步的工作就是落實(shí)計(jì)算模型。指標(biāo)肯定要有一個(gè)判定的分值依據(jù)，不應(yīng)該只停留在指標(biāo)項(xiàng)，不應(yīng)該只停留在一個(gè)定性的分析上，我們應(yīng)該針對于每一項(xiàng)指標(biāo)有一個(gè)評分。這個(gè)評分是怎么做的？因?yàn)樗械闹笜?biāo)均來源于相應(yīng)的保護(hù)對象保護(hù)的風(fēng)險(xiǎn)，所以打分的基礎(chǔ)也是對應(yīng)于相對風(fēng)險(xiǎn)項(xiàng)的值。在總體框架下，保護(hù)對象是三級的，比如虛擬化層的主機(jī)虛擬化訪問控制模塊，我們認(rèn)為這是一個(gè)指標(biāo)項(xiàng)，我們打分也是針對于這樣一個(gè)指標(biāo)項(xiàng)進(jìn)行打分。在每一個(gè)指標(biāo)對象上又要考慮三個(gè)方面的內(nèi)容，做風(fēng)險(xiǎn)評估的人都知道，風(fēng)險(xiǎn)評估的打分主要有三個(gè)方面的主要依據(jù)，包括資產(chǎn)的重要程度、對象的脆弱性以及外部威脅。對象的脆弱性是通過現(xiàn)場評估的檢查結(jié)果來的，就是系統(tǒng)本身內(nèi)部存在的一種安全缺陷。這個(gè)安全缺陷是根據(jù)我們的要求來得出的，就是說針對于相應(yīng)的檢查要求，應(yīng)該得出一個(gè)得分。

外部威脅是根據(jù)現(xiàn)場一些外部分析的列表來做對應(yīng)的，同樣也有一個(gè)威脅權(quán)值的評估。在完成賦值以后，我們就要進(jìn)行計(jì)分，這個(gè)計(jì)分有多種模式，可以是縱向的，也可以是橫向的，最后的打分不是得出整個(gè)系統(tǒng)就是一個(gè)評分，每一層都有自己的?？梢葬槍ξ锢憝h(huán)境的訪問控制模塊的身份假冒有一個(gè)得分，也可以針對物理環(huán)境整個(gè)面對身份假冒風(fēng)險(xiǎn)的得分，也可以得出整個(gè)物理環(huán)境的安全得分，是一個(gè)縱橫交叉的得分系統(tǒng)。根據(jù)這樣一個(gè)縱橫交叉的得分系統(tǒng)來進(jìn)行分層分權(quán)的計(jì)分模型，每一層都能夠推導(dǎo)出上層的得分。這是我們其中考慮的一種計(jì)分模型的算法，其中威脅這一塊還是一個(gè)統(tǒng)計(jì)結(jié)果，威脅權(quán)值是從統(tǒng)計(jì)結(jié)果得出來的，算法這個(gè)不做具體的介紹了，有興趣的話大家可以會(huì)后交流。

在整個(gè)評分系統(tǒng)完成以后，我們要運(yùn)行在針對安全系統(tǒng)的信息評估方面，可以對你的方案進(jìn)行評價(jià)，再就是建設(shè)方面，遷移、驗(yàn)收、運(yùn)維和設(shè)計(jì)方面，從整個(gè)信息系統(tǒng)來說，打分指標(biāo)在實(shí)時(shí)的起作用，可以實(shí)時(shí)評估整個(gè)云計(jì)算信息系統(tǒng)的安全風(fēng)險(xiǎn)情況。在完成上面一套信息系統(tǒng)以后，我們也開展了一些試點(diǎn)工作。既然是試點(diǎn)，我們想盡量的把單位要涵蓋得全面一些，能夠有一定的普適作用，但是任何時(shí)候，所有的指標(biāo)都不可能是面面俱到的，只可能是會(huì)偏重于某一個(gè)方面。所以說我們下面的工作也會(huì)再進(jìn)一步進(jìn)行這些指標(biāo)，根據(jù)試點(diǎn)得出的反饋結(jié)果會(huì)做一些調(diào)整，包括算法上，包括計(jì)分模型上，都會(huì)做一些調(diào)整。

我的演講就到這里，謝謝大家！