一手資料!等保2.0云計(jì)算安全與風(fēng)險(xiǎn)評(píng)估

一、等保2.0對(duì)云計(jì)算發(fā)展提出“新要求”

與等保1.0的標(biāo)準(zhǔn)體系相比,等保2.0在適用性、時(shí)效性、易用性、可操作性上得到進(jìn)一步擴(kuò)充和完善,以適應(yīng)云計(jì)算、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等新技術(shù)的發(fā)展。如下表給出了等保2.0發(fā)生的重要變化。針對(duì)等保2.0標(biāo)準(zhǔn)提出的新要求,要在分析研究云計(jì)算面臨的威脅的基礎(chǔ)上,對(duì)云計(jì)算平臺(tái)的安全風(fēng)險(xiǎn)加以有效評(píng)估,確保云計(jì)算平臺(tái)安全。

  表等保1.0與等保2.0的區(qū)別對(duì)比表

一手資料!等保2.0云計(jì)算安全與風(fēng)險(xiǎn)評(píng)估

二、云計(jì)算面臨的“主要威脅”

IaaS、PaaS、SaaS是云計(jì)算的三種服務(wù)模式。

1、IaaS面臨的主要威脅

采用IaaS服務(wù)時(shí),客戶可以用鏡像模板來創(chuàng)建虛擬機(jī)實(shí)例,并在虛擬機(jī)上部署自己的應(yīng)用軟件??蛻舨恍枰?fù)責(zé)底層的硬件資源和虛擬化軟件。因此除了硬件層和虛擬化軟件層的安全措施由云服務(wù)商負(fù)責(zé)實(shí)施外,位于其他層的安全措施由客戶負(fù)責(zé)實(shí)施,需要對(duì)這些安全措施實(shí)施有效監(jiān)管,其中包括鏡像篡改、虛擬機(jī)隔離、資源遷移、虛擬機(jī)逃逸以及主機(jī)越權(quán)等。

2、PaaS面臨的主要威脅

利用PaaS來開發(fā)和部署自己的軟件,需要對(duì)應(yīng)用的運(yùn)行環(huán)境進(jìn)行配置,控制自己部署的應(yīng)用??蛻粜枰獙?duì)自己部署、自己使用的系統(tǒng)和應(yīng)用負(fù)責(zé),制定相應(yīng)的安全策略,實(shí)施必要的安全措施。

3、SaaS面臨的主要威脅

SaaS是采用先進(jìn)技術(shù)上云的最好途徑,它消除了企業(yè)購買、構(gòu)建和維護(hù)基礎(chǔ)設(shè)施和應(yīng)用程序的需要。但隨著SaaS的日益普遍,關(guān)于SaaS的安全問題也隨之而來,主要包括存儲(chǔ)數(shù)據(jù)泄露、傳輸數(shù)據(jù)泄露和鑒別信息泄露等安全問題。

三、云計(jì)算平臺(tái)的“風(fēng)險(xiǎn)評(píng)估”

為了確??蛻魧?shí)施的安全措施安全有效,客戶可自行或委托第三方評(píng)估機(jī)構(gòu)對(duì)自己實(shí)施的安全策略進(jìn)行評(píng)估。

1、云安全標(biāo)準(zhǔn)體系

目前,國內(nèi)外多個(gè)標(biāo)準(zhǔn)化組織和機(jī)構(gòu)都在開展云計(jì)算安全標(biāo)準(zhǔn)化工作,除此之外,各國也開展了云安全管理和合規(guī)方面的工作。下圖給出了國內(nèi)外在云安全標(biāo)準(zhǔn)方面的成果。

一手資料!等保2.0云計(jì)算安全與風(fēng)險(xiǎn)評(píng)估

云計(jì)算標(biāo)準(zhǔn)發(fā)布

2%20、云平臺(tái)風(fēng)險(xiǎn)評(píng)估

1)評(píng)估框架

云計(jì)算平臺(tái)安全風(fēng)險(xiǎn)評(píng)估關(guān)注云計(jì)算平臺(tái)業(yè)務(wù)層面的風(fēng)險(xiǎn),其評(píng)估對(duì)象為云服務(wù)業(yè)務(wù)流程涉及的組件及設(shè)備,評(píng)估范圍覆蓋了云服務(wù)業(yè)務(wù)在信息系統(tǒng)層面的數(shù)據(jù)流、數(shù)據(jù)處理活動(dòng)及其關(guān)聯(lián)關(guān)系。云平臺(tái)風(fēng)險(xiǎn)評(píng)估的框架如下圖所示。

  云平臺(tái)風(fēng)險(xiǎn)評(píng)估模型

評(píng)估過程覆蓋了基礎(chǔ)設(shè)施、虛擬化控制、管理平臺(tái)和安全防護(hù)等多種類型的對(duì)象,針對(duì)多種指標(biāo)進(jìn)行綜合風(fēng)險(xiǎn)分析,并且在監(jiān)管、業(yè)務(wù)和客戶的要求下做出相應(yīng)的調(diào)整。

2)云安全評(píng)估方法的特殊性

在對(duì)云平臺(tái)開展風(fēng)險(xiǎn)評(píng)估工作時(shí),需要結(jié)合多種評(píng)估方法,比如配置檢查、漏洞掃描,但云平臺(tái)引入了更多的有價(jià)值的資源,且與租戶存在服務(wù)水平約定,所以一些評(píng)估方法要結(jié)合云計(jì)算的特征做出調(diào)整,主要包括問卷調(diào)查、現(xiàn)場訪談、安全滲透測(cè)試、安全漏洞掃描以及安全配置檢查等五種常見評(píng)估方法。

一手資料!等保2.0云計(jì)算安全與風(fēng)險(xiǎn)評(píng)估

  云計(jì)算已有控制措施識(shí)別框架

四、結(jié)束語

本文在對(duì)云計(jì)算發(fā)展趨勢(shì)及等保2.0的新要求進(jìn)行分析的基礎(chǔ)上,結(jié)合三種云計(jì)算服務(wù)模式的特點(diǎn)和傳統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估方法,對(duì)如何在云計(jì)算模式下進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估進(jìn)行了闡述,論述了云平臺(tái)安全風(fēng)險(xiǎn)評(píng)估中對(duì)資產(chǎn)、威脅和脆弱性進(jìn)行評(píng)估時(shí),要考慮到的一些指標(biāo)。相信隨著云計(jì)算的深入發(fā)展,國內(nèi)云計(jì)算安全標(biāo)準(zhǔn)化工作的推進(jìn),各種安全實(shí)踐會(huì)不斷成熟,將進(jìn)一步豐富云計(jì)算平臺(tái)及云服務(wù)風(fēng)險(xiǎn)評(píng)估理論。

極客網(wǎng)企業(yè)會(huì)員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2019-08-16
一手資料!等保2.0云計(jì)算安全與風(fēng)險(xiǎn)評(píng)估
一、等保2.0對(duì)云計(jì)算發(fā)展提出“新要求”與等保1.0的標(biāo)準(zhǔn)體系相比,等保2.0在適用性、時(shí)效性、易用性、可操作性上得到進(jìn)一步擴(kuò)充和完善,

長按掃碼 閱讀全文