云計算供應鏈遭遇重大安全風險！AMI MegaRAC BMC 曝兩大關鍵漏洞

邊界內的主機防御主要是一些防惡意軟件。但是網絡邊界上的防護措施并不能阻隔所有的威脅。IT基礎資源集中化的趨勢，以及客戶的不斷上云，將會使得云安全的變得愈來愈重要。如果云平臺的安全等級以及防護出現問題，其結果將會是致命的。云安全與傳統的信息安全所涉及的安全層次基本相同，包括物理安全、主機安全、網絡安全、邊界安全、應用安全、數據安全、管理安全7大類。

云計算的發展及普及應用，降低了軟硬件成本、提高了數據的可靠性，其業務按需快速定制， 時間快。但是由于云計算的開放及共享虛擬特性，使得存貯其上的信息必然面臨信息安全的挑戰。怎樣才能使得云計算安全運行于互聯網中是大家一直在探討的問題。針對互聯網環境中云計算運 行的傳統及固有安全問題，我們進行了詳細的闡述，并提出了科學、有效的信息安全防護方案，希 望對云計算運行以及互聯網的健康發展起到積極作用。

近日，天融信榮獲由中國信息安全測評中心頒發的《國家信息安全測評信息安全服務資質證書-云計算安全類一級》資質。依托分布全國的大規模監測分析引擎集群，結合天融信安全專家團隊7×24小時云端值守，支撐企業用戶、合作伙伴在線的全托管、半托管或獨立運營模式，一站式解決安全問題。目前天融信云安全資源池已在政府、運營商、能源、醫療、交通等眾多行業中廣泛應用。

為此，我國建立了云計算服務安全評估制度，并發布實施了相關國家標準。附錄A給出了不同安全能力級別選擇及相關要求的匯總情況。標準在修訂過程中通過研究對比，基本涵蓋了FedRAMP安全控制基線高級要求。二是總結云計算安全評估工作經驗，將原增強要求中要求偏高的內容調整到高級保護要求，如采用自動機制。

作者丨山志 出品丨等級保護測評 2017年6月1日《網絡安全法》正式實施，網絡安全等級保護進入有法可依的“等保”時代。網絡安全等級保護較最大的特點是等級保護對象在原有的傳統系統上增加了云計算、大數據、物聯網等新...

云內安全態勢采用多維分析技術，度量IT云池內風險，分析研判威脅，快速識別云內威脅狀態分布與趨勢，全面展示云內安全態勢。終端安全防護在中國聯通某分公司DCN網物理服務器上以輕代理的方式部署天融信終端威脅防御系統，實現終端防病毒以及物理主機間的訪問控制。基因識別通過基因識別技術不僅能夠減少EDR在DCN網物理服務器上占用的資源池，還能快速解決變種病毒，確認病毒種族歸屬范圍。

云服務商的二級供應鏈由上述一級供應商的外部供應商所組成。開源軟件社區由于資源缺乏等導致的自身安全性問題、交付途徑安全威脅會嚴重影響到云服務商的供應鏈安全。

一系列供應鏈安全事件的發生，使全球化信息化趨勢下的供應鏈安全問題日益引發各國關注。本文將就云服務商供應鏈安全理念、最佳實踐和相關方法進行簡要介紹，以期能對包括云服務商在內的 CII 運營者有所參考和借鑒。