项目详情

《云计算信息安全管理 CSA C-STAR实施指南》

8
发表时间:2021-04-15 18:35作者:舜心咨询认证管家来源:舜心咨询认证管家网址:http://www.zixunguanjia.com

数据的所有权与管理权分离是云服务模式的一个重要特点。由于用户并不直接控制云计算系统,对系统的防护依赖于云服务提供商,而云服务提供商对用户的上层应用并不清楚,因此双方需要在安全界面上达成一致。安全责任分配不清,很可能带来新的安全风险。用户使用云计算模式,也意味着放弃或降低了诸多影响安全问题的决策权和管理权。用户将所属的数据外包给云服务商或者委托其运行所属的应用时,云服务商就获得了该数据或应用的优先访问权。在这种情况下,云服务提供商的管理规范度、对合同的履行情况、双方安全界面的划分、服务提供商的连续服务能力将直接影响到用户应用和数据的安全。云计算管理方面的安全问题主要体现在以下几个方面。
(1)资产管理
针对云服务的特性,在信息安全领域将组织的资产划分为数据资产和应用/功能/过程资产两个方面。企业的核心价值通过这两类资产的形式体现出来,通过风险评估识别出每类资产所面临的风险(如泄露、破坏、篡改等),以对每类资产采取相应的控制措施,将组织资产遭受损失的可能性和破坏性降到最低。
(1)数据资产。信息安全的主要目标之一是保护系统和应用程序的基础数据。当向云计算过渡的时候,传统的数据安全方法将遭遇到云模式架构的挑战。弹性、多租户、新的物理和逻辑架构,以及抽象的控制需要新的数据安全策略。在许多云部署中,数据会传输到外部甚至公众的环境中,这种方式在前几年是无法想象的。云服务提供商必须向数据所有者保证按照SLA中定义的安全实践和规程提供“全面披露”(透明性)。
(2)应用/功能/过程资产。把应用/功能/过程(从某些部分功能一直到全部的应用程序)搬进云里,在云计算体系中,应用并不需要一定在同一地点,可以只转移部分功能到云里。在这样的情况下,对于云风险的评估就首先需要确定把什么样的功能迁移进云,某些资产在项目范围逐渐扩大时有可能会逐渐被牵扯进来。对于这类资产也应当作为资产管理所考虑的一部分。
(2)人员管理
人员管理的风险主要体现在内部人员管理风险和用户管理风险。云服务提供商的内部人员,特别是具有高级权限管理员的失职,将可能给用户数据安全带来很大的威胁,如导致用户数据泄露,甚至将其盗卖给竞争对手。而另一方面,云服务提供商如果对用户登记管理不严,任何人或组织都可以注册并立即使用云服务,将为网络犯罪分子滥用云计算提供便利,网络犯罪分子将可以利用云服务进行攻击或发送恶意软件,危及其他用户的安全。
(3)业务连续性管理
服务供应商应保证数据中心的运行连续性,保障服务连续性,尤其是在出现一些严重问题时,如火灾、长时间停电以及网络故障等。对于云服务提供商,需要进行业务连续性管理,制定相应的业务连续性规划,并且能够得以落实和实施,使得当出现灾难时,可以快速地恢复业务,继续为用户提供服务。
(4)合规性管理
云计算的虚拟性及国际性特点催生出了许多法律和监管层面的问题。首先,云计算应用具有地域性弱、信息流动性大的特点,信息服务或用户数据可能分布在不同地区甚至国家,在政府信息安全监管等方面可能存在法律差异与纠纷,不同国家有不同的司法系统,这就会带来潜在的法律风险。将数据存储到云上或许会突破本地政府的监管范围,而这是监管部门通常所不允许的;即便允许,当出现冲突时,应该遵从哪一方制定的规则也是一个问题。其次,如果出现了云计算安全问题,谁应该为此负责,不同国家对数据丢失责任、数据知识产权保护、数据的公开政策的司法解释可能是不一样的。最后,由于虚拟化等技术引起的用户间物理界限模糊而可能导致的司法取证问题也十分棘手。
(5)运营管理
云计算的发展趋势之一是IT服务专业化,云服务提供商在对外提供服务的同时,自身也购买其他云服务提供商所提供的服务。因而用户所享用的云服务间接涉及多个服务提供商,多层转包无疑极大地增加了问题的复杂性,也进一步增加了安全风险。此外,在理想情况下,云服务提供商将不会破产或被大公司收购,但是用户仍需要确认,在这类问题的情况下,自己的数据不会受到影响。用户需要向云服务提供商确认如何拿回自己的数据,以及拿回的数据是否能被导入到替代的应用程序中。

在线客服
 
 
 
 
 联系方式
电话:136 8648 1360
邮箱:815997790@qq.com