云安全技術(shù)服務(wù)

風(fēng)險評估服務(wù)
       針對云計算中心的風(fēng)險評估將在針對國內(nèi)外信息安全風(fēng)險評估規(guī)范和方法理解的基礎(chǔ)上開展，遵循ISO27005以及NIST SP800-30的基礎(chǔ)框架，并且將針對云計算的資產(chǎn)識別、威脅分析、脆弱性識別和風(fēng)險評價融入其中，是云計算中心進行安全規(guī)劃建設(shè)、法規(guī)遵從、運營安全狀態(tài)分析等安全日常活動的重要依據(jù)。
       此方案的設(shè)計思路是針對云計算中心的安全現(xiàn)狀而做出的，因此在對云計算中心的安全體系設(shè)計具有一定的局限性和不確定性。為了使最終采用的安全管理、安全技術(shù)手段充分貼合云計算中心的實際安全需求，需要通過安全建設(shè)中的重要手段――風(fēng)險評估來實現(xiàn)。通過風(fēng)險評估可以更加清晰、全面的了解云計算中心系統(tǒng)的安全現(xiàn)狀，發(fā)現(xiàn)系統(tǒng)的安全問題及其可能的危害，為后期安全體系建設(shè)中的安全防護技術(shù)實施提供依據(jù)。
       風(fēng)險評估對現(xiàn)有網(wǎng)絡(luò)中的網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)協(xié)議、系統(tǒng)、數(shù)據(jù)庫等資產(chǎn)安全現(xiàn)狀進行發(fā)現(xiàn)和分析，確定系統(tǒng)在具體環(huán)境下存在的安全漏洞、隱患，以及被黑客利用后會造成的風(fēng)險和影響。在此基礎(chǔ)上對實施流程進行規(guī)劃：即針對云計算中心的具體情況制定適合于自身的安全目標(biāo)和安全級別，在充分考慮經(jīng)濟性的基礎(chǔ)之上設(shè)計和實施相應(yīng)的安全建設(shè)方案。

安全測試服務(wù)
       安全測試是以奧怡軒在漏洞挖掘、分析、利用等領(lǐng)域的理論依據(jù)和多年實踐經(jīng)驗為基礎(chǔ)，對云計算平臺進行深入、完備的安全服務(wù)手段。安全測試內(nèi)容將包括如下內(nèi)容：
        •            源代碼審計：源代碼審計（Code Review，后簡稱為代碼審計）是由具備豐富的編碼經(jīng)驗并對安全編碼及應(yīng)用安全具有很深刻理解的安全服務(wù)人員，根據(jù)一定的編碼規(guī)范和標(biāo)準(zhǔn)，針對應(yīng)用程序源代碼，從結(jié)構(gòu)、脆弱性以及缺陷等方面進行審查；
        •            模糊測試：模糊測試是一種通過提供非預(yù)期的輸入并監(jiān)視異常結(jié)果來發(fā)現(xiàn)軟件故障的方法，是一個自動的或半自動的過程，這個過程包括反復(fù)操縱目標(biāo)軟件并為其提供處理數(shù)據(jù)。模糊測試方法的選擇完全取決于目標(biāo)應(yīng)用程序、研究者的技能，以及需要測試的數(shù)據(jù)所采用的格式；
        •            滲透測試：滲透測試（Penetration Testing）是由具備高技能和高素質(zhì)的安全服務(wù)人員發(fā)起、并模擬常見黑客所使用的攻擊手段對目標(biāo)系統(tǒng)進行模擬入侵，找出未知系統(tǒng)中的脆弱點和未知脆弱點。滲透測試服務(wù)的目的在于充分挖掘和暴露系統(tǒng)的弱點，從而讓管理人員了解其系統(tǒng)所面臨的威脅。