基本要求云计算安全扩展要求标准应用实践 01系列标准变化 对GB/T 22239-2008进行修订的思路和方法是针对无线移动接入、云计算、大数据、物联网和工业控制系统等新技术、新应用领域形成基本要求的多个部分 基本要求标准由原来的单一部分变更为由多个部分组成的标准,包括:安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求、大数据安全扩展要求(待立项)。 02与安全通用要求的关系 既然本部分标准作为《基本要求》系列标准在云计算安全领域的扩展,那云计算安全扩展要求与安全通用要求之间一定存在着密不可分的关系。 (二)测评指标与测评对象选择 下面我们再来看看在应用新标准过程中如何确定测评指标和测评对象。 首先对云计算系统进行测评时应同时使用安全通用要求部分和云计算安全扩展要求部分的相关要求。 然后我们参考标准附录中“云服务商与云服务客户的责任划分表”中给出的参考,找到潜在的安全组件,在根据标准附录中“云计算平台及云服务客户业务应用系统与传统信息系统保护对象差异表”中云计算系统保护对象举例,确定这个提供
来源:专知本文约1200字,建议阅读7分钟本标准可以为政府部门采用云计算服务,特别是采用社会化的云计算服务提供全生命周期的安全指导。 《信息安全技术 云计算服务安全指南》国家标准意见稿,本文件给出了本标准提出了党政机关及关键信息基础设施运营者采用云计算服务的安全管理基本要求,明确了采用云计算服务的生命周期各阶段的安全管理和技术措施。 本标准可以为政府部门采用云计算服务,特别是采用社会化的云计算服务提供全生命周期的安全指导,适用于政府部门采购和使用云计算服务,也可供关键信息基础设施行业和领域以及其他企事业单位参考。 主要内容 范围:本标准描述了云计算可能面临的主要安全风险,提出了政府部门采用云计算服务的安全管理基本要求,及云计算服务的生命周期各阶段的安全管理和技术要求。 本标准指导党政机关及关键信息基础设施运营者在云计算服务的生命周期采取相应的安全技术和管理措施,保障数据和业务的安全,安全地使用云计算服务。
代金券、腾讯视频VIP、QQ音乐VIP、QB、公仔等奖励等你来拿!
相比于云计算,边缘计算设施的资源和能力有限,难以提供与云计算同等的安全能力,同时边缘计算技术在物理位置、网络边界、业务类型等方面与云计算存在明显差异,在安全性方面也面临新的挑战,急需在技术与标准化工作方面充分开展研究 2020年,全国信息安全标准化技术委员会(TC260)立项了国家标准《信息安全技术边缘计算安全要求》和标准化研究项目《5G边缘计算安全体系及技术》。 05 边缘计算安全标准化建议 边缘计算改变了传统云端二元架构,具有内容感知、实时计算、并行处理等开放特性[7],面临云边协同控制、计算存储托管等较多安全挑战,建议从标准研制、能力建设、应用测评3方面推进安全工作 在标准研制方面,边缘计算安全标准需与云、5G等新技术安全标准[8]协同,构建“端、边、网、云” 全面覆盖的安全标准体系,重点研制边缘基础设施安全、边缘应用可信部署与安全管控、边缘节点网络安全防护、边缘数据安全保护 、边缘流量安全监控、 端边协同安全、边云协同安全等安全技术和测评标准,为边缘计算相关方在研发、测试、生产和安全运营等环节中采取的风险控制措施提供参考。
同时,与云计算市场相匹配的相关标准体系也在朝着更专业、更细致、更可信的目标迈进,可信云就是其中之一。从2013年至今,可信云已经成为云计算领域信任体系的权威认证。 系列标准全方位指导 为保险企业成功上云保驾护航 虽然云计算能带来资源利用率提升、快速开发迭代等优势,但保险企业对数据安全、网络安全要求较高,安全性、可靠性等一直是保险企业的顾虑。 、开放性和安全性视为保险企业在云计算迁移过程中最为重要的架构特性,并制定出保险业云平台体系架构。 随着云计算在保险行业的落地,以及中国首个保险行业云计算标准的发布,势必将对保险业的IT转型以及业务创新产生巨大的影响。 这一系列标准,意义在于:一方面指导保险企业采购云服务,一方面评价保险企业云计算成熟度。
当时一台标准配置的微机大概卖1500美元,但是一台网机只要400美元,却可以享受标配微机的计算功能。 服务标准需完善 目前,云计算的产业正在飞速发展,但相关标准的缺失,却成为行业进一步壮大的阻碍。 一位在国家机关从事政府采购的负责人介绍,标准缺失是阻碍相关部门、行业企业使用云计算的障碍,“比方说使用某一公司提供的公共云或者私有云服务,没有具体的参考标准,就无法提前作出合理的预算。 吴基传建议,应当尽快完善和制定云计算服务的标准。 具体来说,应当明确使用云服务的准入条件,提供云服务企业的资质认证和行业自律,“应当完善云计算相关法律和制度,明确信息服务者和信息消费者的权益和责任,并建立一套完善的云计算标准体系和云计算安全评估认证体系
此次事件后,专家疑苹果iCloud云端系统漏洞被黑客利用,对此观点苹果公司始终否认iCloud有安全隐患。即便是被很多安全专家诟病的未限制登录次数的安全机制也被苹果否认。 iCloud系统由于多项安全防护措施不完善,存在未对用户登录尝试次数进行限制,以及安全码过短等隐患,导致iCloud系统被成功破解。 在近日的乌云首届安全峰会上,乌云主站负责人“疯狗”认为,黑客通过收集网络上已泄露的用户名及密码信息,生成对应的“字典表”,到其他网站尝试批量登录,得到一批可以登录的用户账号及密码。 在明星照片泄漏事故后,各大媒体和业内专家都在纷纷质疑云计算[注]的安全性。很多资深云计算评论家都表示,“我早就告诉过你,云计算存在危险!”并期望这个世界回到内部部署解决方案。 同时,有相当一部分人始终持此种观点:1)云计算从未被标榜为完全安全;2)云计算将会继续发展壮大。安全并不是卖点,功能和价格才是卖点。
作为重要的数字技术之一,云计算可以帮助企业提高效率、降低数据中心运维成本等,与此同时,企业使用基于云的服务时的安全性也逐渐受到关注。 下面是三个在云计算大环境下,云安全面临的风险。 如今,越来越多的国家将云安全列为国家安全的重要工作,因为云平台承载了大量的核心数据,这些数据甚至关乎到国家的经济发展、安全,有的国家就会打压他国的云厂商的发展。 企业上云后的风险 企业上云后,面临的云上安全风险是很大的。在复杂的云环境下,云配置出现错误、AK特权凭证泄露、云厂商对一些产品的信任等问题都有可能导致企业陷入云安全风险。 基础设施安全风险 与云安全息息相关的,还有企业的基础设施。 如何做好企业使用云计算后的安全的评估,成为了企业上云前的重要一环。接下来,企业在云计算服务安全评估中,应当做好事前评估与持续监督,才能保障安全与促进应用相统一。
由于边缘云计算需要实现边缘设备与中心云的互联互通,部分应用(如工业控制、医疗监控等)对安全性和可靠性提出了更高的要求,需要制定相关安全标准规范,确保边缘云计算系统的安全可靠。 需要通过标准化等手段对边缘云计算系统进行规范,保障其安全性。 5. 制定针对特定行业以及应用的边缘云计算标准,指导边缘云计算在行业领域的推广和创新应用。 6. 、安全标准、行业及应用标准。 边缘云计算安全标准 根据边缘云计算系统的特征制定边缘云计算的安全规范,包括边缘云安全指南、安全模型与框架、边缘云系统安全等标准以及对应的测试规范。 5. 边缘云计算行业及应用标准 边缘云计算涉及的行业及应用差别较大,需要针对各个行业应用在技术、管理和安全等方面的特定要求制定相应的标准。
云计算安全就是这样一个紧迫和重要的问题,因为数据是任何现代组织的黄金和石油。各种规模的企业需要考虑他们如何防止黑客损害其云计算服务。然而,并非所有的攻击都来自组织外部。 但是,只要进行安全审计,并实现云安全原则到位,云计算环境可以是安全的,而且在许多情况下甚至比企业内部IT还要安全。 云计算安全合规性 企业没有必要从头开始开发自己的云计算安全原则,因为具有有据可查的最佳实践,如英国内阁办公室的指导性文件。 还有一些标准并不局限于云计算的安全原则。云计算的相互联系意味着,他们往往涉及企业的整个IT系统。 以下是最佳实践:国际标准组织(ISO)正在努力帮助企业开发和实施云安全的最佳实践。例如,云计算安全联盟(CSA)公布了一个顶级的云计算安全威胁报告。
早在2010年5月,埃森哲与中国电子学会共同发布的一份名为《中国云计算发展的务实之路》的报告指出,“安全问题是全球对云计算最大的质疑。 报告认为,云平台的逐步普及,将加大数据泄露和网络攻击风险,防护措施和管理机制有待完善。云计算技术的发展推动数据的集中化,在大数据时代,海量数据既是企业和用户的核心资产,也成为网络攻击瞄准的目标。 谭晓生表示,云服务不是零和博弈,云计算的复杂性超出了一家企业的掌控能力;安全威胁是云计算产业链中所有人的敌人。“因此,只有合作才能共赢,赢得云安全。”他说。 技术之外,建立云安全标准体系也成为云安全的一条必经之路。云安全联盟(CSA)常务董事吉姆·雷维斯认为,由于企业迁移到云中的速度变得越来越快,建立安全标准已经成为不可忽视的头等问题。 国内云计算专家指出,目前云安全的标准化尚处于初级阶段,我们要尽快开展云安全标准研究,填补国内外云安全标准空白。
信息安全解决方案并非万能,在制定计划前,你需要将行业特性考虑在内。 涉及到企业云部署带来的安全风险及危险时,更是如此。 正因如此,CloudLock的第四季度网络安全报告中提到了八个不同行业的云计算威胁以及预防措施。 首先,让我们看下共同的趋势。 协作 也许企业能做的最简单的保护云计算用户的是保护他们的证书,即他们的账号密码。 K-12 随着越来越多的平板电脑及Chromebook类的轻量级终端开始进入K-12学校系统,毫无疑问云计算也变成一个越来越大的隐忧。潜在的法律风险非常巨大,年轻的用户群让情况变得更加复杂起来。 高等教育 高等教育云计算中,保护学生信息及内容是最优先考虑的事。PII是最大隐忧,PCI紧随其后,分别占77%和61%。
1、decimal: from decimal import * print(Decimal.from_float(12.222)) getcontext...
、网络技术标准、运营管理标准、运维管理标准、安全标准等各个角度推动相关内容标准化;国内CCSA、CESI、云计算发展论坛、“基于云计算的电子政务公共平台”标准组等,也在推动云计算标准化在国内的落地。 例如,在云计算网络技术标准化领域,云中用户隔离、大二层网络转发、数据中心间迁移、虚拟网络中的安全解决以及SDN等挑战重重,但由于不同产业集团与组织间的利益冲突及角力,使得在该领域标准化发展尽管各方参与热情高涨 又如在备受重视的云计算安全标准领域,CSA、ITU-T、NIST、OASIS等组织均在开展云计算安全标准研究,但却偏重于对云控制矩阵、安全概念和基本原则、安全框架、公有云安全和隐私指南等宏观层面的描述, 李洁指出,面对监管需求的安全标准,如云平台管控、信息安全管控,亟需制定相关标准。 国内:产业标准陆续出台 在国内,云计算一直被视为国内企业弯道超车的重要机会,所以标准化研究也一直受到重视。 此前在云计算大会上,原信息产业部部长吴基传表示,应当明确使用云服务的准入条件,提供云服务企业的资质认证和行业自律,完善云计算相关法律和制度,明确信息服务者和信息消费者的权益和责任,并建立一套完善的云计算标准体系和云计算安全评估认证体系
在信息化大数据时代,出现了诸如云安全、数据治理、个人隐私保护等一系列亟待解决的企业管理难题,那么是否有相应的国际化标准与服务呢? 5月10日,在2018年全球云计算大会上,科技云报道专访BSI中国区ICT技术总监万鑫博士,针对云计算和大数据行业标准制定、企业认证等问题进行了深入探讨。 云计算标准化的探索 云计算2.0时代,随着云计算商用化的程度越来越高,云服务商能力的提升及证明的需求也越来越大,云计算作为信息领域的重要一环不断面临挑战。 万鑫博士介绍,云计算标准化分两个方向,一个是技术标准化,一个是服务标准化。从技术的角度看,包括四个方向的标准化,分别是计算虚拟化、存储格式、网络协议,API接口的标准化。 IT服务标准化主要分为两类,一类是控制风险,实现合规,比较典型的是ISO 27000系列,关注的是信息安全的标准,如:网络通信的安全、基础设施的安全、业务连续性,基础设施保护等。
云安全联盟是中立的非盈利世界性行业组织,致力于国际云计算安全的全面发展,也是云计算安全领域的权威组织。 传统划分安全域做隔离已经行不通了,哪里有云计算提供的服务,哪里就需要安全,安全防护要贯穿到整个云计算的所有环节,这无疑将提升云计算安全部署的成本,即便这样防御效果还不见比以前好。 一般服务器是一台标准Linux服务器,运行着标准的Linux操作系统以及各种标准的服务,被攻击者攻破的通道很多。 拥有海量数据的数据中心,目标太大,很容易成为别人的目标。还有云计算用户多样性而且规模巨大,这样遭受的攻击频率也是急剧增大。 在这里将云计算的安全威胁比作了集中营,就是希望放到集中营中的安全威胁越来越少,最后集中营能够解散掉,彻底消除各种云计算安全威胁。
在云计算之前,企业在内部服务器甚至文件柜上来存储他们的信息。现在,很多云服务提供商(CSP)依靠第三方平台来容纳和保护他们的信息。由于需要存储大量的数据,公司在这些平台提供的服务器上租用时间更便宜。 除了明显的安全问题之外,数据泄露不仅危及这些数据来源的保密性和可访问性,而且可能损害CSP和用户的声誉。 当你的数据存储在云端,你必须对这些信息进行一些控制。 许多第三方平台提供强大的安全层,但如果代码不好,没有正式的程序显示他们在应用程序安全性方面很强,用户应该重新评估他们的云。 辨别并投向一个安全的云提供商 随着企业在云端寻找能够容纳敏感信息的平台,他们必须寻求一个承诺了安全服务的提供商。保护有价值的信息应该是任何平台的企业核心价值观,也是任何技术线路图的核心要素。 好处如下: ☘ 强大的安全和合规性策略,云计算公司有专门的安全部门,每年花费数千万美元使得技术领先于黑客 ☘ 所有文档的中央存储库,索引,分类,且容易找到 ☘ 简化合同和其他重要内容的可访问性
,云用户不知道服务提供商提供的云服务是否真的达到许诺的标准等担忧。 2.1 等级保护挑战 传统的等级保护标准主要面向静态的具有固定边界的系统环境。然而,对于云计算而言,保护对象和保护区域边界都具有动态性。 ,构建在安全管理中心支持下的可信通信网络、可信应用边界和可信计算环境三重安全防护框架,并按照GB/17859评估准则进行评估。 姜政伟]等人则提出了基于等级保护的云计算安全评估模型。构建了云计算安全评估指标体系。 上述工作表明,云计算环境下的等级保护问题得到了广泛的关注。 云数据安全建设,依据客户实际需求和相关安全合规标准,进行数据创建、传输、存储、使用、共享和销毁在内的全生命周期的云环境下的数据安全设计,以及数据安全体系建设。
“云计算成为产业互联网+转型最重要的基础设施,云端数据安全性则成为用户在选用云服务时的最重要考量因素。 2 “六原则+三举措” 标准化流程打造安全可靠底层平台 为了更好践行数据保护承诺,腾讯云在白皮书中首次提出了同等保护、数据私密、质量保障、最小授权、公开透明、安全审计等六大数据保护原则,并承诺将这六大原则贯穿于腾讯云数据安全实践的每一个环节 腾讯云参考《云服务用户数据保护能力参考框架》还为用户建立起事前防范、事中保护、事后追溯的数据安全保护的标准流程,为用户数据打造一个安全可靠的底层平台。 此外,基于CSA STAR、ISO 27001、网络安全等级保护、PCI DSS、可信云等多项权威第三方认证,腾讯云还能为云平台上行业多样、业务繁多的各企业用户提供助力合规的服务;并能基于SOC信托服务标准 腾讯云副总裁黎巍表示:“数据安全是用户业务的生命线,腾讯云无论怎么重视数据安全都不为过。腾讯云希望通过建设云端数据安全保护标准体系,并通过云端科技能力,全力为用户云端数据安全保驾护航。”
据了解,我国目前正在着手建立党政机关云计算服务安全管理制度,基础标准之一的《信息安全技术云计算服务安全能力要求》将于2015年4月1日正式颁布实施。 这份文件对政府部门和重要行业使用的云计算服务规定了应具备的基本安全能力,对云服务商提出了一般要求和增强要求,标志着云计算国家标准化工作进入了一个新阶段。 构建我国云计算安全标准 左晓栋透露,云计算国家标准工作的进一步发展和逐步完善,将为我国的云计算营造公平、规范、有序的市场环境发挥更积极的作用,为政府监管、行业管理和产业发展提供助力,为政府采购云服务提供参考依据 在制定《信息安全技术云计算服务安全能力要求》时,我们的原则是,第一,充分参考国际和国外已有的标准,对于国外先进的经验,我们要借鉴;第二,能够指导和规划云计算服务发展,提升安全能力;第三,符合云计算发展的实际 参照美国的FedRAMP,我国正在建立党政机关云计算服务安全管理体系,其中之一就是《信息安全技术云计算服务安全能力要求》,并将于2015年4月1日开始实施,其将与另一部国家级的云计算安全标准共同构成我国云计算服务安全管理制度的基础标准
---- 一.云计算安全治理与风险管理 1.1 治理 管理云计算时要记住 的首要问题是,一个组织永远不能外包治理的责任,即使是使用外部供应商的情况下。 2.3.2 相关建议 根据选定的云部署和服务模型确定安全和风险管理的责任共担模型 参考相关行 业最佳实践、国际标准和法规,开发一个云治理框架/模型,例如 CSA CCM、COBIT 5、NIST ---- 四.合规和审计 4.1 云计算上的合规和审计挑战 当组织将其业务从传统数据中心迁移至云计算数据中心之时就将面临新的安全挑战。 CCM 将云安全控制映 射到通用的合规框架、法规和标准,为这些控制构建通用语言。 (包括标准 HIPAA/HITECH, PCI, …),它有助于构建云安全需求列表,并帮助您评估和部署程序, 同时指导云服务提供者和云消费者。总的来说:CCM 告诉你做什么,而指南告诉你怎 么做。
云安全隐私计算(TCSPC)以联邦学习、MPC(安全多方计算)、TEE(可信执行环境)等隐私数据保护技术为基础的隐私计算平台,TCSPC针对机器学习算法进行订制化的隐私保护改造,保证数据不出本地即可完成联合建模,同时支持安全多方PSI、安全隐私查询统计分析,提供基于硬件的TEE可信计算。通过TCSPC最大化各个合作企业在数据安全的基础上的数据价值,很好地解决了业界数据孤岛的难题。
扫码关注云+社区
领取腾讯云代金券
云服务器
测试服务 WeTest
文件存储
SSL 证书
WordPress