国产人前暴露户外露出,亚洲国产在线精品国自产拍

一、等保2.0對云計算發(fā)展提出“新要求”

與等保1.0的標準體系相比，等保2.0在適用性、時效性、易用性、可操作性上得到進一步擴充和完善，以適應云計算、物聯網、工業(yè)控制系統等新技術的發(fā)展。如下表給出了等保2.0發(fā)生的重要變化。針對等保2.0標準提出的新要求，要在分析研究云計算面臨的威脅的基礎上，對云計算平臺的安全風險加以有效評估，確保云計算平臺安全。

　　表等保1.0與等保2.0的區(qū)別對比表

一手資料！等保2.0云計算安全與風險評估

二、云計算面臨的“主要威脅”

IaaS、PaaS、SaaS是云計算的三種服務模式。

1、IaaS面臨的主要威脅

采用IaaS服務時，客戶可以用鏡像模板來創(chuàng)建虛擬機實例，并在虛擬機上部署自己的應用軟件。客戶不需要負責底層的硬件資源和虛擬化軟件。因此除了硬件層和虛擬化軟件層的安全措施由云服務商負責實施外，位于其他層的安全措施由客戶負責實施，需要對這些安全措施實施有效監(jiān)管，其中包括鏡像篡改、虛擬機隔離、資源遷移、虛擬機逃逸以及主機越權等。

2、PaaS面臨的主要威脅

利用PaaS來開發(fā)和部署自己的軟件，需要對應用的運行環(huán)境進行配置，控制自己部署的應用?？蛻粜枰獙ψ约翰渴稹⒆约菏褂玫南到y和應用負責，制定相應的安全策略，實施必要的安全措施。

3、SaaS面臨的主要威脅

SaaS是采用先進技術上云的最好途徑，它消除了企業(yè)購買、構建和維護基礎設施和應用程序的需要。但隨著SaaS的日益普遍，關于SaaS的安全問題也隨之而來，主要包括存儲數據泄露、傳輸數據泄露和鑒別信息泄露等安全問題。

三、云計算平臺的“風險評估”

為了確保客戶實施的安全措施安全有效，客戶可自行或委托第三方評估機構對自己實施的安全策略進行評估。

1、云安全標準體系

目前，國內外多個標準化組織和機構都在開展云計算安全標準化工作，除此之外，各國也開展了云安全管理和合規(guī)方面的工作。下圖給出了國內外在云安全標準方面的成果。

一手資料！等保2.0云計算安全與風險評估

云計算標準發(fā)布

2%20、云平臺風險評估

1)評估框架

云計算平臺安全風險評估關注云計算平臺業(yè)務層面的風險，其評估對象為云服務業(yè)務流程涉及的組件及設備，評估范圍覆蓋了云服務業(yè)務在信息系統層面的數據流、數據處理活動及其關聯關系。云平臺風險評估的框架如下圖所示。

　　云平臺風險評估模型

評估過程覆蓋了基礎設施、虛擬化控制、管理平臺和安全防護等多種類型的對象，針對多種指標進行綜合風險分析，并且在監(jiān)管、業(yè)務和客戶的要求下做出相應的調整。

2）云安全評估方法的特殊性

在對云平臺開展風險評估工作時，需要結合多種評估方法，比如配置檢查、漏洞掃描，但云平臺引入了更多的有價值的資源，且與租戶存在服務水平約定，所以一些評估方法要結合云計算的特征做出調整，主要包括問卷調查、現場訪談、安全滲透測試、安全漏洞掃描以及安全配置檢查等五種常見評估方法。

一手資料！等保2.0云計算安全與風險評估

　　云計算已有控制措施識別框架

四、結束語

本文在對云計算發(fā)展趨勢及等保2.0的新要求進行分析的基礎上，結合三種云計算服務模式的特點和傳統的信息安全風險評估方法，對如何在云計算模式下進行信息安全風險評估進行了闡述，論述了云平臺安全風險評估中對資產、威脅和脆弱性進行評估時，要考慮到的一些指標。相信隨著云計算的深入發(fā)展，國內云計算安全標準化工作的推進，各種安全實踐會不斷成熟，將進一步豐富云計算平臺及云服務風險評估理論。

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。

一手資料！等保2.0云計算安全與風險評估

下一篇