6.2.8  云安全評估

除了面臨傳統的安全威脅之外，云計算平臺還會遭遇特有的安全風險，在這種背景下，需要參照相關標準，對云服務提供商的業務連續性、災難恢復和傳統的安全環境進行有針對性的評估。例如，保障云計算平臺基礎設施的物理安全，這需要按照各種指標進行徹底的評估，這一點對云和非云平臺的安全要求是相似的。

對于云服務，應明確安全評估機制、評估范圍、評估方式、評估組織等要素，定期對業務平臺進行安全評估，可以采取第三方進行安全評估與審核（對安全評估發現的安全隱患進行風險控制、加固、轉移及接收標準的相關策略）。

云安全測評包括安全風險評估方法、安全風險測評規范體系、安全風險輔助評測工具等。

·安全風險評估方法為云計算安全的風險評估提供技術手段和方法支撐。

安全風險評估關鍵技術的研究，包括工具漏洞掃描技術、遠程滲透測試技術、網絡架構分析技術、IDS采樣分析技術等。

·安全風險測評規范為云計算安全風險測評提供測評指標和方案規范。

全風險測評規范的具體內容包含：風險評估框架及流程、風險評估實施、信息系統生命周期各階段的風險評估、風險評估的工作形式等。

·安全風險輔助評測工具為云計算模式下安全風險測評提供評測工具和管理平臺。風險輔助評測工具的開發主要包含云計算模式下風險評估模塊的開發和云計算模式下安全測評模塊的開發。