一、等保2.0对云计算发展提出“新要求”

与等保1.0的标准体系相比,等保2.0在适用性、时效性、易用性、可操作性上得到进一步扩充和完善,以适应云计算、物联网、工业控制系统等新技术的发展。如下表给出了等保2.0发生的重要变化。针对等保2.0标准提出的新要求,要在分析研究云计算面临的威胁的基础上,对云计算平台的安全风险加以有效评估,确保云计算平台安全。

表等保1.0与等保2.0的区别对比表

二、云计算面临的“主要威胁”

IaaS、PaaS、SaaS是云计算的三种服务模式。

1、 IaaS面临的主要威胁

采用IaaS服务时,客户可以用镜像模板来创建虚拟机实例,并在虚拟机上部署自己的应用软件。客户不需要负责底层的硬件资源和虚拟化软件。因此除了硬件层和虚拟化软件层的安全措施由云服务商负责实施外,位于其他层的安全措施由客户负责实施,需要对这些安全措施实施有效监管,其中包括镜像篡改、虚拟机隔离、资源迁移、虚拟机逃逸以及主机越权等。

2、PaaS面临的主要威胁

利用PaaS来开发和部署自己的软件,需要对应用的运行环境进行配置,控制自己部署的应用。客户需要对自己部署、自己使用的系统和应用负责,制定相应的安全策略,实施必要的安全措施。

3、 SaaS面临的主要威胁

SaaS是采用先进技术上云的最好途径,它消除了企业购买、构建和维护基础设施和应用程序的需要。但随着SaaS的日益普遍,关于SaaS的安全问题也随之而来,主要包括存储数据泄露、传输数据泄露和鉴别信息泄露等安全问题。

三、云计算平台的“风险评估”

为了确保客户实施的安全措施安全有效,客户可自行或委托第三方评估机构对自己实施的安全策略进行评估。

1、云安全标准体系

目前,国内外多个标准化组织和机构都在开展云计算安全标准化工作,除此之外,各国也开展了云安全管理和合规方面的工作。下图给出了国内外在云安全标准方面的成果。

云计算标准发布

2 、云平台风险评估

1) 评估框架

云计算平台安全风险评估关注云计算平台业务层面的风险,其评估对象为云服务业务流程涉及的组件及设备,评估范围覆盖了云服务业务在信息系统层面的数据流、数据处理活动及其关联关系。云平台风险评估的框架如下图所示。

云平台风险评估模型

评估过程覆盖了基础设施、虚拟化控制、管理平台和安全防护等多种类型的对象,针对多种指标进行综合风险分析,并且在监管、业务和客户的要求下做出相应的调整。

2)云安全评估方法的特殊性

在对云平台开展风险评估工作时,需要结合多种评估方法,比如配置检查、漏洞扫描,但云平台引入了更多的有价值的资源,且与租户存在服务水平约定,所以一些评估方法要结合云计算的特征做出调整,主要包括问卷调查、现场访谈、安全渗透测试、安全漏洞扫描以及安全配置检查等五种常见评估方法。

云计算已有控制措施识别框架

四、结束语

本文在对云计算发展趋势及等保2.0的新要求进行分析的基础上,结合三种云计算服务模式的特点和传统的信息安全风险评估方法,对如何在云计算模式下进行信息安全风险评估进行了阐述,论述了云平台安全风险评估中对资产、威胁和脆弱性进行评估时,要考虑到的一些指标。相信随着云计算的深入发展,国内云计算安全标准化工作的推进,各种安全实践会不断成熟,将进一步丰富云计算平台及云服务风险评估理论。

等保2.0安全管理制度对比_一手资料!等保2.0云计算安全与风险评估相关推荐

  1. 等保测评之安全管理制度

    安全管理制度 安全策略 a)应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标.范围.原则和安全框架等. 管理制度 a)应对安全管理活动中的各类管理内容建立安全管理制度: b)应对管理 ...

  2. MySQL8.0 物理克隆接口_技术实战 MySQL 8.0.17 克隆插件分享-爱可生

    原标题:技术实战 MySQL 8.0.17 克隆插件分享-爱可生 背景 很神奇,5.7.17 和 8.0.17,连续两个17小版本都让人眼前一亮.前者加入了组复制(Group Replication) ...

  3. phpstduy8 redisClient 2.0 点不了_关于以太坊 2.0,你想知道的都在这里

    前天晚上 12 点左右,以太坊测试网的开发者宣布,ETH 2.0 的发布日期定在了 12 月 1 日(区块高度大于 1,606,824,000),主网的存款合约地址也正式生效.对于这则消息,V 神(V ...

  4. miui12和鸿蒙系统,鸿蒙2.0和miui12对比_鸿蒙2.0和miui12使用对比

    鸿蒙系统现在热度非常的高,但是大家只夸它的话肯定就有点不严谨,那么证实鸿蒙系统最好的方法就是和其他的几款系统做一个对比.今天小编对比的就是miui12系统.我们一起来看看他们的使用区别对比吧. 1.鸿 ...

  5. jxls对比_久别重逢 QQ影音4.0跟旧版对比更新了什么?

    原标题:久别重逢 QQ影音4.0跟旧版对比更新了什么? 相信大家都知道腾讯的QQ影音客户端停留在3.9版已经很久没有更新了,甚至还在前段时间传出腾讯将彻底放弃这款影音播放器.但没想到,QQ影音突然又上 ...

  6. 我的世界java版和基岩版对比_基岩版Beta1.11.0.1发布

    本帖来自好游快爆-我的世界精选推荐原帖作者:好游快爆用户3302482 我的世界基岩版1.11.0.1测试版发布了,Minecraft基岩版1.11仍未发布,1.11.0.1为测试版本,Beta版本可 ...

  7. 计算机大赦天下教程,dnf关于制裁的制度规则_关于安全公约2.0的一些答疑 讲解什么是大赦天下_好特教程...

    2016年7月7日,DNF运营团队&安全中心推出了安全公约2.0,大概内容是重新定义分级处罚方式,以及确定了"黑历史判定"存在,"坐飞机""卡 ...

  8. zabbix4.0添加mysql报警_部署监控三剑客 Zabbix4.0 监控以及告警机制

    Zabbix 简介 : Zabbix 是一个高度集成的企业级开源网络监控解决方案,与Cacti.Nagios类似,提供分布式监控以及集中的 Web 管理界面.被监控对象只要支持 SNMP 协议或者运行 ...

  9. mysql8.0.12不能用_使用最新版本MySQL8.0.12报错记录

    第一种情况 Sun Oct 14 00:45:30 CST 2018 WARN: Establishing SSL connection without server's identity verif ...

最新文章

  1. 激光雷达与相机:哪个最适合自动驾驶汽车?
  2. crackMe的逆向分析
  3. 从零入门 Serverless | 一文搞懂函数计算及其工作原理
  4. 802.11n标准简介
  5. 《零基础看得懂的C语言入门教程 》——(二)C语言没那么难简单开发带你了解流程
  6. 权限列表(包字典)递归成树状结构
  7. linux删除命令_【小技巧】Linux命令的快捷键
  8. JAVA的项目文件夹_Java中Project项目文件夹的绝对路径
  9. C++11 随机数生成
  10. 动态链接库、名字修饰约定、调用约定
  11. Python 语言程序设计(4-1)分支循环语句
  12. SharePoint 2013 创建web应用程序报错This page can’t be displayed
  13. 第五届蓝桥杯java试题答案_2014年第五届蓝桥杯省赛试题(JavaA组)
  14. 公有云服务器租赁协议,云服务器
  15. 计算机c盘能格式化吗,C盘能格式化吗
  16. STM32单片机初学2-从Keil工程创建开始
  17. Replacing Elements (CodeForces - 1473A)
  18. python项目开发案例集锦 豆瓣-Python 的练手项目有哪些值得推荐?
  19. Android——新大陆云平台篇
  20. Tiktok 网络、网络

热门文章

  1. 抓取新浪的每日星座运势
  2. PyTorch 之 requires_grad,requires_grad_(),grad_fn
  3. 7-4 堆栈模拟队列 (25 分)
  4. Leetcode--191. 位1的个数
  5. IntelliJ IDEA汉化版jar包
  6. linux socket资源耗尽,TCP的socket资源被耗尽的问题
  7. OpenCV与图像处理学习六——图像形态学操作:腐蚀、膨胀、开、闭运算、形态学梯度、顶帽和黑帽
  8. 利用caffe的python接口实现DeepImageSynthesis实例
  9. 【程序员薪资】2021年04月新鲜出炉,看看你拖后腿了吗?
  10. Python下载中国数据库大会(DTCC2020)PPT全集