第23章 云计算安全需求分析与安全保护工程
云计算四种部署模式:私有云、社区云、公有云和混合云
云计算安全威胁与需求分析
云计算安全威胁
-
云计算用户安全威胁
- 用户弱口令
- 用户隐私信息
-
云计算平台安全威胁
-
云计算平台物理安全威胁
-
云计算平台服务安全威胁
-
云平台资源滥用安全威胁
-
虚拟机安全威胁
-
-
云平台运维安全威胁
-
数据残留
-
过度依赖
扫描二维码关注公众号,回复: 12381188 查看本文章
-
利用共享技术漏洞进行的攻击
-
滥用云服务
-
云服务中断
-
利用不安全的接口的攻击
-
数据丢失、篡改或泄露
-
云计算安全需求
- 云操作系统安全
- 云端安全需求分析
- 涉及云用户的身份标识和鉴别、资源访问控制、数据安全存储、云端设备及服务软件安全
- 网络安全通信安全需求分析
- 技术包括身份认证、密钥分配、数据加密、信道加密、防火墙、VPN、抗拒绝服务
- 云计算平台安全需求分析
- 安全需求有物理环境安全、主机服务器安全、操作系统、数据库安全、应用及数据安全、云操作系统安全、虚拟机安全和多租户安全隔离
- 云端安全需求分析
- 云服务安全合规
- 云计算安全国际管理标准规范
- 云计算安全国内管理标准规范
- 《关于加强党政部门云计算服务网络安全管理的意见》
- 《云计算服务安全评估方法》
- 《信息安全技术 云计算服务安全指南》(GB/T 31167-2014)
- 《信息安全技术 云计算服务安全能力要求》(GB/T 31168-2014)
- 《信息安全技术 网络安全等级保护基本要求 第2部分:云计算安全扩展要求》(GA/T 1390.2-2017)
- 其他
- 隐私保护
- 数据采集:明确信息采集范围和用途,告知用户相关风险
- 数据传输:敏感个人信息加密传输
- 数据存储:加密、认证、访问控制、备份
- 数据使用:安全控制策略规则
- 数据维护:数据安全生命周期管理流程
- 数据安全事件处置
云计算安全保护机制与技术方案
云计算安全等级保护框架
-
云计算保护对象安全等级划分
- 根据网络安全等级保护2.0的要求,分成五个级别
-
云计算安全等级保护设计框架
云计算安全防护
- 常见安全机制:
- 身份鉴别认证机制:解决云计算中各种身份标识及鉴别问题
- 数据完整性机制
- 访问控制机制
- 入侵防范机制
- 安全审计机制
- 云操作系统安全增强机制
云计算安全管理
云计算安全运维
- 安全措施:
- 云计算安全风险评估机制:持续分析云计算平台的资产清单、安全脆弱性
- 云计算内部安全防护机制:身份认证、安全操作审计、远程安全登录
- 云计算网络安全监测机制:网络流量、系统日志、安全漏洞
- 云计算应急响应机制
- 云计算容灾备份机制
云计算安全保护案例分析
- 云计算安全应用参考案例分析
- 阿里云、腾讯云、华为云、微软云案例分析
- P514-P524
- 云计算隐私保护
- 云计算服务提供方的个人隐私保护措施
- 用户个人隐私保护措施
- 个人信息安全事件应急响应措施