1.3 信息安全测评面临的新挑战

目前，随着信息技术的日益发展和应用模式的不断创新，信息安全测评的对象也在不断发生变化和更新。云计算、物联网、关键基础设施等领域对信息安全测评各业务提出了新的挑战。

1.云计算

云计算是一种基于互联网向用户提供虚拟的、丰富的、按需即取的数据存储和计算处理服务，包括数据存储池、软件下载和维护池、计算能力池、信息资源池、客户服务池在内的广泛服务。云计算是信息技术领域的革新，这项技术已经对社会公众的生活及工作方式带来巨大的冲击。云计算技术的发展衍生出了新的安全问题，如动态边界安全、数据安全与隐私保护、依托云计算的攻击及防护等。随着云服务平台逐渐成为经济运行和社会服务的基础平台，人们开始普遍关注云平台的安全性，云平台也发展成新的网络信息安全测评对象。在云计算环境中，安全测评不仅关注云平台基础设施等软硬件设备的脆弱性和面临的安全威胁，并且更多地强调云平台在为海量用户提供计算和数据存储服务时的平台自身健康度的保障能力，即云平台在复杂运行环境中的自主监测、主动隔离、自我修复的能力，避免由于各类不可知因素而导致的服务中断引发严重的安全事故。

为降低系统成本，打通数据融合，越来越多的企事业单位的系统选择部署在云上。云计算技术融合了软硬件资源，采用了虚拟化技术，主机边界和网络边界相对于传统数据中心变得非常模糊，其安全风险也随之增加。相对于传统的信息系统，云平台系统和云租户业务应用系统密码应用（以下称为“云上应用”）的密评是不同的。云平台系统的密码应用较为复杂，分为两个层面，一是云平台系统为满足自身安全需求所采用的密码技术，二是云租户通过调用云平台提供的密码服务为自身业务应用提供密码保障。因此，云上应用测评的结论依赖于云平台测评的结果。

2.物联网

物联网指通过射频识别（RFID）、红外感应器、全球定位系统、激光扫描器等信息传感设备，按约定的协议把任何物品与互联网连接起来，通过信息交换实现智能化识别、定位、跟踪、监控和管理的一种网络。物联网的核心网络仍然是互联网，是从面向人的通信网络向面向各类物品的物理世界的扩展。物联网技术的广泛应用引发了诸如安全隐私泄露、假冒攻击、恶意代码攻击、感知节点自身安全等一系列新的安全问题。更为严重的是，组成物联网的器件普遍由电池供电，为了节省能源，无法在器件上使用计算复杂度较高的成熟的安全技术，而只能部署轻量级的安全技术。这种新的安全需求急需新的、有效的安全测评手段，准确掌控物联网在实际运行环境中的安全保障能力。

3.关键基础设施

目前，工业控制系统逐渐成为网络攻击的新的核心目标之一，特别是那些具有敌对政府和组织背景的攻击行为。从2007年针对加拿大水利SCADA系统的攻击到2010年针对伊朗核电站的“震网”病毒攻击，网络攻击目标已经从传统的信息系统逐步扩展到关系国计民生的关键基础设施，如电力设施、水利设施、交通运输设施等。这些关键基础设施大多由工业控制系统进行管理，一旦遭受严重的攻击，影响的远不是虚拟世界中的网络信息系统，而是和人们生活、工作密切相关的物理世界中的系统，极端情况下甚至会给人身安全、公众安全和国家安全带来严重威胁。因此，信息安全的保障对象也随之扩展到了这些关键基础设施。如何建立针对工业控制系统的安全测评标准和技术体系、充分掌控国家关键基础设施的安全性和可靠性，是安全测评技术在新形势下面临的重要挑战。 0C+3ii0CxGa4+cqi60UsIRFeKuzAN2TXINTF6y3734xg6TP0eVoeU6iaHTHdrO39