> 厂商 >

一手资料!等保2.0云计算安全与风险评估

一、等保2.0对云计算发展提出“新要求”

与等保1.0的标准体系相比,等保2.0在适用性、时效性、易用性、可操作性上得到进一步扩充和完善,以适应云计算、物联网、工业控制系统等新技术的发展。如下表给出了等保2.0发生的重要变化。针对等保2.0标准提出的新要求,要在分析研究云计算面临的威胁的基础上,对云计算平台的安全风险加以有效评估,确保云计算平台安全。

  表等保1.0与等保2.0的区别对比表

一手资料!等保2.0云计算安全与风险评估

二、云计算面临的“主要威胁”

IaaS、PaaS、SaaS是云计算的三种服务模式。

1、IaaS面临的主要威胁

采用IaaS服务时,客户可以用镜像模板来创建虚拟机实例,并在虚拟机上部署自己的应用软件。客户不需要负责底层的硬件资源和虚拟化软件。因此除了硬件层和虚拟化软件层的安全措施由云服务商负责实施外,位于其他层的安全措施由客户负责实施,需要对这些安全措施实施有效监管,其中包括镜像篡改、虚拟机隔离、资源迁移、虚拟机逃逸以及主机越权等。

2、PaaS面临的主要威胁

利用PaaS来开发和部署自己的软件,需要对应用的运行环境进行配置,控制自己部署的应用。客户需要对自己部署、自己使用的系统和应用负责,制定相应的安全策略,实施必要的安全措施。

3、SaaS面临的主要威胁

SaaS是采用先进技术上云的最好途径,它消除了企业购买、构建和维护基础设施和应用程序的需要。但随着SaaS的日益普遍,关于SaaS的安全问题也随之而来,主要包括存储数据泄露、传输数据泄露和鉴别信息泄露等安全问题。

三、云计算平台的“风险评估”

为了确保客户实施的安全措施安全有效,客户可自行或委托第三方评估机构对自己实施的安全策略进行评估。

1、云安全标准体系

目前,国内外多个标准化组织和机构都在开展云计算安全标准化工作,除此之外,各国也开展了云安全管理和合规方面的工作。下图给出了国内外在云安全标准方面的成果。

一手资料!等保2.0云计算安全与风险评估

云计算标准发布

2%20、云平台风险评估

1)评估框架

云计算平台安全风险评估关注云计算平台业务层面的风险,其评估对象为云服务业务流程涉及的组件及设备,评估范围覆盖了云服务业务在信息系统层面的数据流、数据处理活动及其关联关系。云平台风险评估的框架如下图所示。

  云平台风险评估模型

评估过程覆盖了基础设施、虚拟化控制、管理平台和安全防护等多种类型的对象,针对多种指标进行综合风险分析,并且在监管、业务和客户的要求下做出相应的调整。

2)云安全评估方法的特殊性

在对云平台开展风险评估工作时,需要结合多种评估方法,比如配置检查、漏洞扫描,但云平台引入了更多的有价值的资源,且与租户存在服务水平约定,所以一些评估方法要结合云计算的特征做出调整,主要包括问卷调查、现场访谈、安全渗透测试、安全漏洞扫描以及安全配置检查等五种常见评估方法。

一手资料!等保2.0云计算安全与风险评估

  云计算已有控制措施识别框架

四、结束语

本文在对云计算发展趋势及等保2.0的新要求进行分析的基础上,结合三种云计算服务模式的特点和传统的信息安全风险评估方法,对如何在云计算模式下进行信息安全风险评估进行了阐述,论述了云平台安全风险评估中对资产、威胁和脆弱性进行评估时,要考虑到的一些指标。相信随着云计算的深入发展,国内云计算安全标准化工作的推进,各种安全实践会不断成熟,将进一步丰富云计算平台及云服务风险评估理论。


企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。

2019-08-16
一手资料!等保2.0云计算安全与风险评估
一、等保2.0对云计算发展提出“新要求”与等保1.0的标准体系相比,等保2.0在适用性、时效性、易用性、可操作性上得到进一步扩充和完善,

长按扫码 阅读全文

Baidu
map