云安全的基本概念(基本目标与指导方针)

目录

一、云安全概念概述

1.1 概述

二、云安全的基本目标

2.1 安全策略开发模型

2.1.1 信息安全三元组

2.1.1.1 保密性(Confidentiality)

2.1.1.2 完整性(Integrity)

2.1.1.3 可用性(Availability)

2.1.2 信息安全三元组的局限性

2.2 其他信息安全属性

2.2.1 真实性

2.2.2 可问责性

2.2.3 不可否认性

2.2.4 可靠性

三、云安全的指导方针

3.1 以最新理念为指导思想

3.1.1 传统网络安全防御

3.1.1.1 传统防御的思路

3.1.1.2 传统防御的缺点

3.1.2 云计算网络安全防御

3.1.2.1 云计算防御理念

3.1.2.2 主动防御

3.1.2.3 诈骗防御

3.1.2.4 面向场景

3.1.2.5 普遍联系

3.1.2.6 智能闭环

3.1.2.7 循证评价

3.2 以专业服务为辅助措施

3.3 以政策法规为达标基准

3.3.1 网络安全和信息化工作座谈会

3.3.2 网络安全法

3.4 以先进技术为创新支撑

3.5 以生命周期为覆盖范围

3.5.1 安全覆盖系统开发生命周期

3.5.2 安全覆盖数据生命周期

3.6 以能力建设为方法模型


一、云安全概念概述

1.1 概述

云安全是云计算安全的简称。云安全的目标是保障在云上运行的各种应用的保密性、完整性、可用性、可审计性、不可否认性等安全目标的满足,同时保证云上数据的保护满足相应的法律、法规、标准以及业务安全要求

二、云安全的基本目标

《信息技术 信息安全 信息安全管理体系概述和词汇》(ISO/IEC 27000—2014)中强调,通常情况下保密性、完整性和可用性被称为信息安全的基本属性。此外,信息安全的目标还可能涉及其他属性,如真实性、可问责性、不可否认性和可靠性等。同时,部署在云环境的数据需要考虑数据的可追溯性和可恢复性来帮助企业提供足够的安全。

2.1 安全策略开发模型

2.1.1 信息安全三元组

信息安全三元组(CIA)是一个著名的安全策略开发模型,用于识别信息安全领域的问题。

2.1.1.1 保密性(Confidentiality)

保密性也称机密性,是指对信息资源开放范围的控制,确保信息不被非授权的个人和计算机程序访问。对于信息系统而言,保密性涉及的范畴非常广泛,它既可以是国家涉密信息,也可以是企业或研究机构的业务数据,还可以是个人的银行账号、身份证号等敏感数据信息。

2.1.1.2 完整性(Integrity)

完整性是指保证信息系统中的数据处于完整的状态,确保信息没有遭受篡改和破坏。任何对系统信息、数据未授权的插入、篡改、伪造都是破坏系统完整性的行为,这些行为可能导致严重的服务欺骗或其他问题。

2.1.1.3 可用性(Availability)

可用性是通过系统、访问通道和身份验证机制等来确保数据和系统随时可用。这就意味着无论什么情况下,都要确保得到授权的实体所访问的信息系统是可用的。增强的可用性要求还包括时效性及避免因自然灾害(火灾、洪水、雷击、地震等)和人为破坏导致的系统失效。

高可用系统的架构就是针对特定的可用性需求进行设计,它能有效地应对断电、硬件故障等问题对可用性的影响。例如,在网络中可使用多个接入链路来避免网络中断,从而很好地应对拒绝服务攻击这类风险。

2.1.2 信息安全三元组的局限性

该模型也有其局限性。CIA三元组关注的重点是信息,虽然这是大多数信息安全的核心要素,但对于信息系统安全而言,仅考虑CIA是不够的,信息安全的复杂性决定了还存在其他的重要因素。

2.2 其他信息安全属性

2.2.1 真实性

真实性是指能够对信息的来源进行判断,能对伪造来源的信息予以鉴别。

2.2.2 可问责性

问责是承认和承担行动、产品、决策和政策的责任,包括在角色或就业岗位范围内的行政、治理和实施以及报告、解释,并对所造成的后果负责。

2.2.3 不可否认性

是指信息交换的双方不能否认其在交换过程中发送信息或接收信息的行为。在法律上,不可否认意味着交易方不能拒绝已经接收到的交易,另一方也不能拒绝已经发送的交易。

2.2.4 可靠性

是指产品或系统在规定的条件下、规定的时间内完成规定功能的能力。

三、云安全的指导方针

3.1 以最新理念为指导思想

3.1.1 传统网络安全防御

3.1.1.1 传统防御的思路

传统防御模型一般都是采用“发现威胁—分析威胁—处置威胁”的思路,并且基于现有的特征库或者规则对网络数据和行为进行过滤,无法有效地发现和阻断新型、未知的网络攻击。

3.1.1.2 传统防御的缺点
  • 传统网络防御存在边界化静态防御容易被绕过、安全组件缺乏联动、检测攻击具有被动性和延迟性等缺点。
  • 传统防御能力主要集中在边界,而对于目标对象内部的安全漏洞和被预先植入的后门等,攻击者能够较容易地穿透静态网络安全技术防御屏障发起攻击。
  • 传统网络安全组件(如防火墙、入侵检测系统、漏洞扫描等外置式网络防护手段)的防御能力是相对固定的,单一的安全组件所能获得的信息有限,不足以检测到复杂攻击。
  • 另外,其防御或检测能力不能动态提升,只能以人工或者定期的方式升级,防护能力的有效性、持续性和及时性主要依赖于安全人员的专业知识以及厂家的服务保障能力。

3.1.2 云计算网络安全防御

3.1.2.1 云计算防御理念

基于云计算的安全防护新理念主要体现在主动防御、诈骗防御、面向场景、普遍联系、智能闭环和循证评价等几个主要方面。

3.1.2.2 主动防御

针对传统网络防御手段存在的问题或缺陷,目前主要采用主动防御或纵深防御思想来构建网络安全防护体系。主动防御是与被动防御概念相对应的一种防御哲学理念,强调主动减少攻击面、通过态势预测来优化防御机制,利用各种技术手段将攻击扼杀在萌芽期,最大化降低信息系统面临的风险。

纵深防御体系是对边界防御体系的改进,强调的是任何防御措施都不是万能的,都存在黑客可以突破的风险。纵深防御的本质就是多层防御,企业组织通过建立纵深防御体系,使得信息系统的各个层次相互联动配合,将多种防御措施结合使用,增加攻击难度;设立多级风险检查点,阻止大多数恶意病毒及威胁的入侵;防御策略方面,管理人员可针对不同类型的威胁进行策略部署及有效防御,最终达到将风险降低到可接受程度的目的。

3.1.2.3 诈骗防御

蜜罐技术是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解它们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。

蜜罐的类型包括仿真Web蜜罐通用Web蜜罐系统服务蜜罐伪装缺陷蜜罐等。基于防护方的角度,通过蜜罐技术结合欺骗伪装手段,实现网络攻防中的主动对抗,及时诱捕、发现、处置、溯源,甚至反制攻击者。但在蜜罐使用过程中,一定要注意其安全性,在最近几年的网络攻防演习中,曾经出现过某些厂商将蜜罐无隔离地直接部署在企业内网,进而使攻击者以蜜罐为跳板渗透进内网的案例。

3.1.2.4 面向场景

不同的业务场景会有不同的差异化安全需求,通用方案落地到具体的业务场景中时必须面向场景进行威胁建模,具体分析面临的安全风险,剖析潜在的安全隐患,通过选取合适的安全控制措施进行有针对性的安全风险管理

3.1.2.5 普遍联系

威胁情报系统通过采用基于神经网络的关联分析技术基于模型推理的关联分析技术基于分布式的关联分析技术对收集到的各类信息进行关联分析,从而得到有价值的威胁信息,诸如MD5、IP、URL、木马样本等。威胁情报是某种基于证据的知识,包括上下文、机制、标识、含义和能够执行的建议,如恶意IP和域名、网络攻击和后门日志信息、恶意程序的注册表信息等,这些知识与资产所面临的已有或酝酿中的威胁相关,可用于对这些威胁或危害的相关决策提供信息支持。

企业的网络安全事件通常具备明显的攻击流程,采用关联威胁情报数据的攻击链分析,可以快速帮助企业定位攻击来源。针对APT攻击威胁情报的各个环节,可利用云端、本地以及客户自建的威胁情报库进行关联分析,对安全事件进行预警和高危安全事件关联,通过威胁情报掌握某些组织的常用IP、惯用攻击方式,选择采取攻击的某一个步骤或多个步骤进行关联,即可快速预判攻击者的目标和范围,提前做好重点区域的安全防控。

3.1.2.6 智能闭环

智能闭环是针对发现的高级威胁事件,可提供对应的安全响应处置策略和任务通报协同各个节点的下一级态势感知分析平台和安全产品实施终止、隔离、取证等的安全手段;它能够快速终止威胁、构建一体化联动防护能力,从而达到减轻安全运维人员工作负担、提升安全运维效率的目的。

2005年,安全信息事件管理(Security Information Event Management, SIEM)应运而生,进而演化成用户/实体行为分析(User and Entity Behavior Analytics,UEBA)终端检测与响应(Endpoint Detection and Response, EDR)、安全编排自动化与响应(Security Orchestration Automation and Response, SOAR)等产品。

Gartner将SOAR定义为:使组织能够收集不同来源的安全威胁数据和告警的技术。SOAR将安全编排和自动化(Security Orchestration and Automation,SOA)、安全事件响应平台(Security Incident Response Platform,SIRP)和威胁情报平台(Threat Intelligence Platform,TIP)这三种技术相融合,这些技术利用人工与机器的组合来执行事件分析和分类,从而根据标准工作流来帮助定义、确定优先级并推动标准化的事件响应活动。

3.1.2.7 循证评价

在安全管理中,最重要的是基于可靠而充分的安全信息做出有效的安全决策。但令人遗憾的是,因安全决策所需的必要安全信息缺失而导致的许多安全管理失败问题经常发生。因此,可以通过确定与安全管理问题密切相关的最佳证据来获得更加有效的安全管理方案

循证实践是基于最佳证据进行有效决策的一种方法,已广泛应用于医学、法学、政策学、教育学、管理学与经济学等领域,并已发展形成数门独立的新学科,如循证医学、循证法学、循证政策学、循证教育学与循证管理学等。

当前许多企业进行网络安全防护时虽然部署了很多安全设备,但仍然存在这些设备有没有很好地基于安全策略和安全控制措施来实现安全防护目标的疑问,此时就需要使用循证评价的方式来验证安全防护效果。

3.2 以专业服务为辅助措施

单纯的网络安全设备、软件并不能带来安全的根本性提升,信息安全保障必须结合专业安全服务专业安全人员指导下的安全制度建设,才能最大化发挥安全资产和系统的价值。

网络安全服务体系是指适应整个安全管理战略的需要,为用户提供覆盖网络安全各个环节全生命周期的解决方案并予以实施的服务,从高端的全面安全体系到细节的技术解决措施,涵盖不同专业和层级的服务团队,并受各类标准规范指导。

3.3 以政策法规为达标基准

3.3.1 网络安全和信息化工作座谈会

2016年4月19日,国家主席在网络安全和信息化工作座谈会发表重要讲话,为我国网络空间安全事业的发展指明了方向。《国家网络空间安全战略》《网络空间国际合作战略》相继出台,为我国网络空间安全发展勾勒了战略指引。

3.3.2 网络安全法

2017年6月1日,《中华人民共和国网络安全法》(简称《网络安全法》,后续提及法律用类似简称方式)正式施行,它为维护国家网络主权提供了法律依据。随着《密码法》、《数据安全法》、《个人信息保护法》、《信息安全技术 网络安全等级保护基本要求》(GB/T 22239—2019)以及《信息安全技术 关键信息基础设施安全保护条例》的颁布实施,这些法律法规对保护社会公共利益,保护公民合法权益、促进经济社会信息化健康发展提出了更高的要求。

3.4 以先进技术为创新支撑

网络攻击日趋分布化、复杂化、自动化,同时,网络安全威胁检测和防御方法面临新变革。一方面,安全监测分析需求由点向面扩展,检测效率、精准度急需提升;另一方面,安全防御需求由被动向主动转化,安全态势感知、主动防御体系得到重视。

诸如基于机器学习和自然语言处理的AI技术,使分析师能够以更高的自信和更快的速度响应威胁、协同分析、全生命周期跟踪安全事件的溯源流程,可极大程度地方便运维人员进行安全威胁排除、攻击链分析、事件溯源,从而提升信息系统的整体安全防御能力。

3.5 以生命周期为覆盖范围

3.5.1 安全覆盖系统开发生命周期

系统开发生命周期涵盖了信息系统的整个生命周期,它是信息系统从产生直到报废的生命周期,周期内一般包括需求分析、系统设计、开发采购、交付实施、运行管理、废弃停用等阶段。需要将安全考虑集成在软件开发的每一个阶段,以减少漏洞,将安全缺陷和风险降低到最小程度。

3.5.2 安全覆盖数据生命周期

基于大数据分类分级和权限安全,构建数据全生命周期的安全治理体系,提供对数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁各环节的安全审计管控

3.6 以能力建设为方法模型

国家标准《信息安全技术 云计算服务安全能力要求》(GB/T 31168—2014)描述了以社会化方式为特定客户提供云计算服务时,云服务商应具备的信息安全技术能力。

该标准分为一般要求和增强要求。根据拟迁移到社会化云计算平台上的政府和行业信息、业务的敏感度及安全需求的不同,云服务商应具备的安全能力也各不相同。该标准提出的安全要求分为10类,分别是系统开发与供应链安全系统与通信保护访问控制配置管理维护应急响应与灾备审计风险评估与持续监控安全组织与人员物理与环境保护等。

中国信息安全测评中心的信息安全服务(云计算安全类)资质认定是对云计算安全服务提供者的资格状况、技术实力和云计算安全服务实施过程质量保证能力等方面的具体衡量和评价。基本能力要求包括组织与管理要求和技术能力要求,后面章节会详细阐述。

好了,本次内容就分享到这,欢迎大家关注《云计算安全》专栏,后续会继续输出相关内容文章。如果有帮助到大家,欢迎大家点赞+关注+收藏,有疑问也欢迎大家评论留言!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/257537.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

HarmonyOS鸿蒙学习基础篇 - 自定义组件(一)

前言 在ArkUI中,UI显示的内容均为组件,由框架直接提供的称为系统组件,由开发者定义的称为自定义组件。在进行 UI 界面开发时,通常不是简单的将系统组件进行组合使用,而是需要考虑代码可复用性、业务逻辑与UI分离&#…

[Angular 基础] - 自定义事件 自定义属性

[Angular 基础] - 自定义事件 & 自定义属性 之前的笔记: [Angular 基础] - Angular 渲染过程 & 组件的创建 [Angular 基础] - 数据绑定(databinding) [Angular 基础] - 指令(directives) 以上是能够实现渲染静态页面的基础 之前的内容主要学习了怎么通过…

项目访问量激增该如何应对

✨✨ 欢迎大家来到喔的嘛呀的博客✨✨ 🎈🎈希望这篇博客对大家能有帮助🎈🎈 目录 引言 一. 优化数据库 1.1 索引优化 1.2 查询优化 1.3 数据库设计优化 1.4 事务优化 1.5 硬件优化 1.6 数据库配置优化 二. 增加服务器资源…

收藏:不错的讲座《拆解成功领导者的三重底层思维逻辑》

在B 站看到个不错的讲座《拆解成功领导者的三重底层思维逻辑》,地址:第145期-拆解成功领导者的三重底层思维逻辑_哔哩哔哩_bilibili 演讲内容文章摘要在这里:《直播精华 | 拆解成功领导者的思维逻辑》(直播精华 | 拆解成功领导者的…

c语言操作符(上)

目录 ​编辑 原码、反码、补码 1、正数 2、负数 3、二进制计算1-1 移位操作符 1、<<左移操作符 2、>>右移操作符 位操作符&、|、^、~ 1、&按位与 2、|按位或 3、^按位异或 特点 4、~按位取反 原码、反码、补码 1、正数 原码 反码 补码相同…

专业140+总分420+浙江大学842信号系统与数字电路考研经验电子信息与通信,真题,大纲,参考书。

今年考研已经结束&#xff0c;初试专业课842信号系统与数字电路140&#xff0c;总分420&#xff0c;很幸运实现了自己的目标&#xff0c;被浙大录取&#xff0c;这在高考是想都不敢想的学校&#xff0c;在考研时实现了&#xff0c;所以大家也要有信心&#xff0c;通过自己努力实…

【c语言】字符串常见函数 下

&#x1f388;个人主页&#xff1a;甜美的江 &#x1f389;欢迎 &#x1f44d;点赞✍评论⭐收藏 &#x1f917;收录专栏&#xff1a;c语言 &#x1f91d;希望本文对您有所裨益&#xff0c;如有不足之处&#xff0c;欢迎在评论区提出指正&#xff0c;让我们共同学习、交流进步&a…

CVE-2023-41892 漏洞复现

CVE-2023-41892 开题&#xff0c;是一个RCE Thanks for installing Craft CMS! You’re looking at the index.twig template file located in your templates/ folder. Once you’re ready to start building out your site’s front end, you can replace this with someth…

【Web】CVE-2021-31805 s2-062漏洞复现学习

目录 Struts2介绍 漏洞概况 OGNL与Struts2 简单原理 漏洞复现 正向rce 反弹shell payload分析 Struts2介绍 Struts 2 是一个流行的用于构建 Java Web 应用程序的开源 Web 应用程序框架。它是 Apache 软件基金会下的一个顶级项目&#xff0c;是 Struts 框架的升级版本。…

LabVIEW智能温度监控系统

LabVIEW智能温度监控系统 介绍了一个基于LabVIEW的智能温度监控系统&#xff0c;实现对工业环境中温度的实时监控与调控。通过集成传感器技术和LabVIEW软件平台&#xff0c;系统能够自动检测环境温度&#xff0c;及时响应温度变化&#xff0c;并通过图形用户界面(GUI)为用户提…

CFS三层靶机

参考博客&#xff1a; CFS三层内网靶场渗透记录【详细指南】 - FreeBuf网络安全行业门户 CFS三层靶机搭建及其内网渗透【附靶场环境】 | TeamsSix CFS三层网络环境靶场实战 - PANDA墨森 - 博客园 (cnblogs.com) CFS三层靶机实战--内网横向渗透 - 知乎 (zhihu.com) CFS靶机…

C语言——枚举类型

&#x1f4dd;前言&#xff1a; 在之前的文章中我们已经讲解了自定义类型中的结构体类型和联合体类型&#xff0c;现在我们再充分学习一下C语言中的枚举类型&#xff1a; 1&#xff0c;什么是枚举类型 2&#xff0c;枚举类型的定义和变量的声明 3&#xff0c;对变量进行赋值 &a…

【C++】类和对象(四)

前言&#xff1a;在类和对象中&#xff0c;我们走过了十分漫长的道路&#xff0c;今天我们将进一步学习类和对象&#xff0c;类和对象这块荆棘地很长&#xff0c;各位一起加油呀。 &#x1f496; 博主CSDN主页:卫卫卫的个人主页 &#x1f49e; &#x1f449; 专栏分类:高质量&a…

docker (一)-简介

1.什么是docker Docker 是一个开源的应用容器引擎&#xff0c;由于docker影响巨大&#xff0c;今天也用"Docker" 指代容器化技术。 2.docker的优势 一键部署&#xff0c;开箱即用 容器使用基于image镜像的部署模式&#xff0c;image中包含了运行应用程序所需的一…

auto关键字详讲

目录 1.问题思考 2.auto关键字介绍 3. 早期auto的缺陷&#xff1a; 4.什么叫自动存储器&#xff1f; 5. c标准auto关键字 5.1auto的使用细节 5.2 auto什么时候不能推导变量的类型呢&#xff1f; 5.3基于范围的for循环 5.3.1范围for的用法 5.3.2 范围for的使用条件 6.…

软考27-上午题-查找

一、基本概念 1-1、查找表&#xff1a; 同一类型的数据元素构成的集合。 对查找表常用的操作&#xff1a; 从查找表中查询某个特定的元素&#xff1b;检索某个特定的元素的各种属性。 通常只进行这两种操作的查找表&#xff1a;静态查找表 1-1-2、静态查找表&#xff1a; 顺…

快速搭建PyTorch环境:Miniconda一步到位

快速搭建PyTorch环境&#xff1a;Miniconda一步到位 &#x1f335;文章目录&#x1f335; &#x1f333;一、为何选择Miniconda搭建PyTorch环境&#xff1f;&#x1f333;&#x1f333;二、Miniconda安装指南&#xff1a;轻松上手&#x1f333;&#x1f333;三、PyTorch与Minic…

新年开始更新自己!八大出生缺陷惠民项目!漫漫回程路——“早”读

时间不等人呢&#xff01; 引言代码第一篇 人民日报 【夜读】新的一年&#xff0c;从更新自己开始第二篇&#xff08;跳&#xff09;人民日报 来啦 新闻早班车要闻社会政策 结尾 引言 天还是那个天 但是今天是一个不一样的日子 是我爷爷的忌日 所以按习俗 我们早早就开始拜 然后…

机器学习:Softmax介绍及代码实现

Softmax原理 Softmax函数用于将分类结果归一化&#xff0c;形成一个概率分布。作用类似于二分类中的Sigmoid函数。 对于一个k维向量z&#xff0c;我们想把这个结果转换为一个k个类别的概率分布p(z)。softmax可以用于实现上述结果&#xff0c;具体计算公式为&#xff1a; 对于…

Spring 用法学习总结(三)之 AOP

Spring学习 7 bean的生命周期8 AOP面向切面编程8.1 AOP相关术语8.2 AOP使用 7 bean的生命周期 bean的生命周期主要为bean实例化、bean属性赋值、bean初始化、销毁bean&#xff0c;其中在实例化和初始化前后都使用后置处理器方法&#xff0c;而InstantiationAwareBeanPostProce…