云计算的安全需求

目录

一、概述

二、云安全服务基本能力要求

三、信息安全服务(云计算安全类)资质要求

3.1 概述

3.2 资质要求内容

3.2.1 组织与管理要求

3.2.2 技术能力要求

四、云安全主要合规要求

4.1 安全管理机构部门的建立

4.2 安全管理规范计划的编制

4.3 安全测评认证的筹备

4.3.1 可信云评估认证

4.3.2 C-STAR云安全评估

4.3.3 网络安全等级保护测评认证

4.4 定期风险评估和应急演练

4.4.1 信息安全风险评估

4.4.2 网络安全应急演练


一、概述

云服务商应该在满足《网络安全法》、《数据安全法》和《个人信息保护法》等法律法规要求的前提下,在其与客户之间进行合理的安全责任划分。同时,云服务商为了更好地为客户提供服务,还要通过相关的云安全服务资质认证。

二、云安全服务基本能力要求

国家标准《信息安全技术 云计算服务安全能力要求》(GB/T 31168—2014)描述了以社会化方式为特定客户提供云计算服务时,云服务商应具备的信息安全技术能力。适用于对政府部门使用的云计算服务进行安全管理,也可供重点行业和其他企事业单位使用云计算服务时参考,还适用于指导云服务商建设安全的云计算平台和提供安全的云计算服务。

标准分为一般要求和增强要求。根据拟迁移到社会化云计算平台上的政府和行业信息、业务的敏感度及安全需求的不同,云服务商应具备的安全能力也各不相同。该标准提出的安全要求分为10类,分别是系统开发与供应链安全、系统与通信保护、访问控制、配置管理、维护、应急响应与灾备、审计、风险评估与持续监控、安全组织与人员、物理与环境保护。

《信息安全技术 云计算服务安全能力要求》文档地址:

国家标准《信息安全技术云计算服务安全能力要求》(GB/T31168-2014)简介_中央网络安全和信息化委员会办公室 (cac.gov.cn)

三、信息安全服务(云计算安全类)资质要求

3.1 概述

中国信息安全测评中心的信息安全服务(云计算安全类)资质认定是对云计算安全服务提供者的资格状况、技术实力和云计算安全服务实施过程质量保证能力等方面的具体衡量和评价。

信息安全服务(云计算安全类)资质级别的评定,是依据《信息安全服务资质评估准则》和不同级别的信息安全服务资质(云计算安全类)具体要求,在对申请组织的基本资格、技术实力、云计算安全服务能力以及云计算安全服务项目的组织管理水平等方面的评估结果基础上进行综合评定后,由中国信息安全测评中心给予相应的资质级别。

基本能力要求包括组织与管理要求及技术能力要求。

3.2 资质要求内容

3.2.1 组织与管理要求

  • 必须拥有健全的组织和管理体系,为持续的云计算安全服务提供保障。
  • 必须具有专业从事云计算安全服务的队伍和相应的质量保证。
  • 与云计算安全服务相关的所有成员要签订保密合同,并遵守有关法律法规。

3.2.2 技术能力要求

  • 了解信息系统技术的最新动向,有能力掌握信息系统的最新技术。
  • 具有不断的技术更新能力。
  • 具有对信息系统面临的安全威胁、存在的安全隐患进行信息收集、识别、分析和提供防范措施的能力。
  • 能根据对用户信息系统风险的分析,向用户建议有效的安全保护策略及建立完善的安全管理制度。
  • 具有对发生的突发性安全事件进行分析和解决的能力。
  • 具有对市场上的信息系统产品进行功能分析,提出安全策略和安全解决方案及安全产品的系统集成能力。
  • 具有根据服务业务的需求开发信息系统应用、产品或支持性工具的能力。
  • 具有对集成的信息系统进行检测和验证的能力,有能力对信息系统进行有效的维护。
  • 有跟踪、了解、掌握、应用国际/国家和行业标准的能力。

四、云安全主要合规要求

4.1 安全管理机构部门的建立

组织成立的信息安全领导小组是信息安全领域的最高决策机构,其下设办公室来负责信息安全领导小组的日常事务。

信息安全领导小组负责研究重大事件,落实方针政策和制定总体策略等。职责主要包括根据国家和行业有关信息安全的政策、法律和法规,批准组织的信息安全总体策略规划、管理规范和技术标准;确定组织信息安全各有关部门工作职责,指导、监督信息安全工作;及时掌握和解决影响网络安全运行方面的有关问题,组织力量对突发事件进行应急处理,确保单位信息工作的安全。

同时要设置信息系统安全相关的关键岗位并加强管理,配备系统安全管理员、网络安全管理员、应用开发安全管理员、安全审计员、安全保密管理员,并各自独立遵循权限非斥原则。关键岗位人员必须严格遵守保密法规和有关信息安全管理规定。

4.2 安全管理规范计划的编制

信息安全管理作为组织完整管理体系中的一个重要环节,是指导和控制组织的关于信息安全风险的相互协调的活动。

安全管理计划的范畴包含信息安全活动过程中所涉及的各种安全管理问题,主要包括人员、组织、技术、服务等方面的安全管理要求和规定。

信息安全管理体系是一个自上而下的管理过程,GB/T 29246—2017(ISO/IEC 27000:2016)中描述了信息安全管理体系成功的主要因素,诸如:

  • 信息安全策略、目标和与目标一致的活动。
  • 与组织文化一致的,信息安全设计、实施、监视、保持和改进的方法与框架。
  • 来自所有管理层级、特别是最高管理者的可见支持和承诺。
  • 对应用信息安全风险管理(见ISO/IEC 27005)实现信息资产保护的理解。
  • 有效的信息安全意识、培训和教育计划,以使所有员工和其他相关方知悉在信息安全策略、标准等中自身的信息安全义务,并激励其做出相应的行动。
  • 有效的信息安全事件管理过程。
  • 有效的业务连续性管理方法。8)评价信息安全管理性能的测量系统和反馈的改进建议。

云计算安全体系下的安全管理规范计划的编制,主要涉及如下一些文档类型:《安全组织架构和岗位职责说明》《人员安全管理流程规范》《应用安全开发管理规范》《应用及数据安全管理规范》《云租户系统上线检测流程规范》《云平台安全运维流程规范》《安全事件应急响应流程规范》《安全应急演练规划和报告》《网络安全等级保护测评自查报告》《可信云认证测评自查清单》等。

4.3 安全测评认证的筹备

信息安全服务(云计算安全类)资质认定是对云计算安全服务提供者的资格状况、技术实力和云计算安全服务实施过程质量保证能力等方面的具体衡量和评价。目前,国内的云计算服务安全认证主要有网络安全等级保护测评认证、信息安全服务资质(云计算安全类一级)认证、可信云评估认证等;国外的云计算服务安全认证主要有C-STAR、FedRAMP认证、ISO 27001、新版ISO 20000认证、SOC独立审计、CNAS云计算国家标准测试。

4.3.1 可信云评估认证

可信云评估是中国信息通信研究院下属的云计算服务和软件评估品牌,也是我国针对云计算服务和软件的专业评估体系。可信云评估的核心目标是建立云服务商的评估体系,为用户选择安全、可信的云服务商提供支撑,促进我国云计算市场健康、创新发展,提升服务质量和诚信水平,逐步建立云计算产业的信任体系,被业界广泛接受和信任。

目前发布的重要的可信云标准及白皮书主要有《云服务用户数据保护能力参考框架》《云计算运维平台参考框架及技术要求(征求意见稿)》《可信云多云管理平台评估方法》《可信云服务认证评估方法》《开源治理能力评价方法》《可信云混合云解决方案评估方法》《可信云·云管理服务提供商能力要求》《可信物联网云平台能力评估方法》《智能云服务技术能力要求》等。

4.3.2 C-STAR云安全评估

C-STAR云安全评估是一个全新而独特的服务,旨在应对与云安全相关的特定问题,是ISO/IEC 27001的增强版本。它结合云控制矩阵、成熟度等级评价模型,以及相关法律法规和标准要求,对云计算服务进行全方位的安全评估。

C-STAR云安全评估的管控要求极为严格,评估过程采用国际先进的成熟度等级评价模型,涵盖应用和接口安全、审计保证与合规性、业务连续性管理和操作弹性、变更控制和配置管理、数据安全和信息生命周期管理、加密和密钥管理、治理和风险管理、身份识别和访问管理、基础设施和虚拟化安全、安全事件管理、供应链管理、威胁和脆弱性管理等16个控制域的全方位安全评估。

4.3.3 网络安全等级保护测评认证

网络安全等级保护测评认证是指测评机构依据国家网络安全等级保护管理制度规定,按照有关管理规范和技术标准对不涉及国家机密的信息系统安全保护状况进行等级测试评估的活动。

网络安全等级测评是测评机构依据《信息安全技术 网络安全等级保护测评要求》等管理规范和技术标准,检测评估信息系统安全等级保护状况是否达到相应等级基本要求的过程,是落实网络全等级保护制度的重要环节。在信息系统建设、整改时,信息系统运营、使用单位通过等级测评进行现状分析,确定系统的安全保护现状和存在的安全问题,并在此基础上确定系统的整改安全需求。

4.4 定期风险评估和应急演练

《网络安全法》第二十五条规定:网络运营者应当制订网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。

《网络安全法》第三十八条规定:关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

4.4.1 信息安全风险评估

随着信息化的不断深入,信息化在给组织带来便利的同时,也带来了新的安全问题,信息系统本身的不安全因素和人为的攻击破坏及安全管理制度的不完善或执行不到位等,都潜伏着很多安全隐患。因此,组织亟需建立完善的信息安全保障体系,防范信息安全风险。信息安全保障体系的建设是一项系统工程,风险评估在其中占有非常重要的地位,是信息安全保障体系建设的基础和前提。

信息安全风险评估就是从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件发生的概率及可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,为防范和化解信息安全风险,将风险控制在可接受的水平,最大限度地保障信息安全提供科学依据。

信息安全风险评估作为信息安全保障工作的基础性工作和重要环节,要贯穿于信息系统的规划、设计、实施、运行维护以及废弃各个阶段,是信息安全等级保护制度建设的重要科学方法之一。

4.4.2 网络安全应急演练

应急演练是指各行业主管部门、各级政府及其部门、企事业单位、社会团体等(以下统称演练组织单位)组织相关单位及人员,依据有关网络安全应急预案,开展应对网络安全事件的活动。

通过开展应急演练,查找应急预案中存在的问题,进而完善应急预案,提高应急预案的实用性和可操作性;检查应对网络安全事件所需应急队伍、物资、装备、技术等方面的准备情况,发现不足并及时予以调整补充,做好应急准备工作;增强演练组织单位、参与单位和人员等对应急预案的熟悉程序,加强配合,提高其应急处置能力;进一步明确相关单位和人员的职责任务,理顺工作关系,完善各关联方之间分离、阻隔、配套应急联动机制,防范网络安全风险扩展。

好了,本次内容就分享到这,欢迎大家关注《云计算安全》专栏,后续会继续输出相关内容文章。如果有帮助到大家,欢迎大家点赞+关注+收藏,有疑问也欢迎大家评论留言!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/299426.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【Flutter】Getx设计模式及Provider、Repository、Controller、View等

本文基于Getx 4,x 本本 1、引入 再次接触到Flutter项目,社区俨然很完善和活跃。pubs.dev 寻找状态管理的时候看到很熟悉的Getx时间,俨然发现Getx的版本已到是4.x版本,看到Getx的功能已经非常强大了,庞大的API俨然成为一种开发框架…

Windows Server 2008添加Web服务器(IIS)、WebDAV服务、网络负载均衡

一、Windows Server 2008添加Web服务器(IIS) (1)添加角色,搭建web服务器(IIS) (2)添加网站,关闭默认网页,添加默认文档 在客户端浏览器输入服务器…

蓝桥杯 十一届C++A组 字符排序 21分(运行超时)

思路: 1. 此题考查的冒泡排序中的交换次数,其实就是考察当前数与后面的逆序对个数问题。而为了最大利用位数,应当使每一位都不小于后面的字符,否则会造成一次逆序对的浪费(贪心,为了使总位数最少&#xff…

每日OJ题_优先级队列_堆③_力扣692. 前K个高频单词

目录 力扣692. 前K个高频单词 解析代码 力扣692. 前K个高频单词 692. 前K个高频单词 难度 中等 给定一个单词列表 words 和一个整数 k ,返回前 k 个出现次数最多的单词。 返回的答案应该按单词出现频率由高到低排序。如果不同的单词有相同出现频率&#xff0c…

《QT实用小工具·三》偏3D风格的异型窗体

1、概述 源码放在文章末尾 可以在窗体中点击鼠标左键进行图片切换,项目提供了一些图片素材,整体风格偏向于3D类型,也可以根据需求自己放置不同的图片。 下面是demo演示: 项目部分代码如下所示: 头文件部分&#xff…

基于SSM+Vue的服装商城系统

绪论 项目研究的背景 困扰管理层的许多问题当中,服装定制将是广大用户们不可忽视的一块。但是管理好服装定制又面临很多麻烦需要解决,例如,如何在工作琐碎,记录繁多的情况下将服装定制的当前情况反应给相关管理人员决策,等等。在此情况下开发一款服装定制系统,于是…

DataLoader的使用

DataLoader的使用 测试DataLoader,batch_size大小为4 import torchvision.datasets from torch.utils.data import DataLoadertest_data torchvision.datasets.CIFAR10("./dataset", trainFalse, transformtorchvision.transforms.ToTensor()) test_loa…

215 基于matlab的快速跟踪算法

基于matlab的快速跟踪算法,提出一种简单又快速、 鲁棒性的算法,基于贝叶斯框架下,该模型 (即图像强度和从目标位置) 的低级功能及周边地区的统计相关性的时空关系。跟踪问题是通过计算信心地图,并将以最大限…

闪站侠洗护管理系统,洗衣洗鞋小程序软件定制,干洗连锁店软件系统搭建;

闪站侠洗护管理系统,洗衣洗鞋小程序软件定制,干洗连锁店软件系统搭建; 为了让每一个洗衣洗鞋工厂与门店的连接更加高效便捷,送洗流程更加简单轻松,拽牛科技倾心打造洗衣洗鞋管理软件。我们的目标是通过高效和优质的服务…

Navicat Premium工具安装教程(超详细讲解)

Navicat Premium是一款功能强大并可支持多连接的数据库管理工具,它允许在单一程序中同时连接多达7种数据库,包括MySQL、MariaDB、MongoDB、SQL server、SQLite、Oracle和PostgreSQl数据库,让管理不同类型的数据库更加快速便捷。 安装Navicat…

隐私计算实训营学习九:隐语多方安全计算在安全核对的行业实践

文章目录 一、业务背景:安全核对产生的土壤二、产品方案:从试点到规模化的路三、技术共建:与隐语的共同成长 一、业务背景:安全核对产生的土壤 业务背景:很多粗放使用数据的方式被新出台的法律法规所规范,…

Redis的I/O多路复用

Redis是单线程的,为什么还那么快? 1.redis是基于内存的 2.redis使用I/O多路复用模型 关于I/O多路复用: 多路:多个客户端连接复用:使用单线程就能够实现同时处理多个客户端的连接 单线程去监控多个Socket&#xff…

数据库的简单查询

一、检索一列或多列1.检索单独一列 select 列名 from 表名; select order_num from orders; 2.检索多列数据 select 列 1,列 2... from 表名; select order_num,order_date from orders; select order_date,order_num from orders; 3.查询所有字段 select * from…

SQL注入---POST注入

文章目录 前言一、pandas是什么?二、使用步骤 1.引入库2.读入数据总结 一. POST提交概述 在Webshell文章中介绍过post提交和get提交的区别,这里不再赘述 post提交和get提交的区别: get方式提交URL中的参数信息,post方式则是将信…

博客部署001-centos安装docker

1、安装docker 1.1 卸载旧版本的 Docker sudo yum remove docker \docker-client \docker-client-latest \docker-common \docker-latest \docker-latest-logrotate \docker-logrotate \docker-engine1.2 设置 Docker 仓库 安装 Docker Engine 之前,首先需要设置…

幕译--本地字幕生成与翻译--Whisper客户端

幕译–本地字幕生成与翻译–Whisper客户端 本地离线的字幕生成与翻译,支持显卡加速。可免费试用,无次数限制 基于Whisper,希望做最好的Whisper客户端 功能介绍 本地离线,不用担心隐私问题支持显卡(CUDA)…

重读Java设计模式: 适配器模式解析

引言 在软件开发中,经常会遇到不同接口之间的兼容性问题。当需要使用一个已有的类,但其接口与我们所需的不兼容时,我们可以通过适配器模式来解决这一问题。适配器模式是一种结构型设计模式,它允许接口不兼容的类之间进行合作。本…

C++设计模式:装饰器模式(四)

1、定义与动机 装饰器模式定义:动态(组合)地给一个对象增加一些额外的职责。就增加功能而言,Decorator模式比生成子类(继承)更为灵活(消除重复代码 & 减少子类个数)。 在某些情…

c++的STL(8) -- queue

queue容器概述 queue容器实现了实现了和队列相同结构的容器。 如图,队列这种结构有两端: 队首和队尾。 对于队列,我们添加数据只能从队尾添加,删除数据只能从队首删除。是一种先进先出的结构。 -- 当然读取数据也只能从队首或者队尾读取。…

Python TensorFlow 2.6 获取 MNIST 数据

Python TensorFlow 2.6 获取 MNIST 数据 2 Python TensorFlow 2.6 获取 MNIST 数据1.1 获取 MNIST 数据1.2 检查 MNIST 数据 2 Python 将npz数据保存为txt3 Java 获取数据并使用SVM训练4 Python 测试SVM准确度 2 Python TensorFlow 2.6 获取 MNIST 数据 1.1 获取 MNIST 数据 …