安全俠
2
等保中級測評師
CICSA
安全俠2
等保中級測評師
CICSA
信息系統安全審計是評判一個信息系統是否真正安全的重要標準之一。通過安全審計收集、分析、評估安全信息、掌握安全狀態,制定安全策略,確保整個安全體系的完備性、合理性和適用性,才能將系統調整到“最安全”和“最低風險”的狀態。
在國際通用的CC準則給出了明確定義:信息系統安全審計主要指對與安全有關的活動的相關信息進行識別、記錄、存儲和分析;審計記錄的結果用于檢查網絡上發生了哪些與安全有關的活動,誰(哪個用戶)對這個活動負責;主要功能包括:安全審計自動響應、安全審計數據生成、安全審計分析、安全審計瀏覽、安全審計事件選擇、安全審計事件存儲等。
安全俠
2
等保中級測評師
CICSA
安全俠2
等保中級測評師
CICSA
信息系統安全審計是評判一個信息系統是否真正安全的重要標準之一。通過安全審計收集、分析、評估安全信息、掌握安全狀態,制定安全策略,確保整個安全體系的完備性、合理性和適用性,才能將系統調整到“最安全”和“最低風險”的狀態。信息系統安全審計主要指對與安全有關的活動的相關信息進行識別、記錄、存儲和分析;審計記錄的結果用于檢查網絡上發生了哪些與安全有關的活動,誰(哪個用戶)對這個活動負責。
信息安全的具體防護措施有以下這些:
數據安全隔離:為實現不同用戶間數據信息的隔離,可根據應用具體需求,采用物理隔離、虛擬化和Multi-tenancy等方案實現不同租戶之間數據和配置信息的安全隔離,以保護每個租戶數據的安全與隱私。
數據訪問控制:在數據的訪問控制方面,可通過采用基于身份認證的權限控制方式,進行實時的身份監控、權限認證和證書檢查,防止用戶間的非法越權訪問。如可采用默認“deny all”的訪問控制策略,僅在有數據訪問需求時才顯性打開對應的端口或開啟相關訪問策略。在虛擬應用環境下,可設置虛擬環境下的邏輯邊界安全訪問控制策略,如通過加載虛擬防火墻等方式實現虛擬機間、虛擬機組內部精細化的數據訪問控制策略。
數據加密存儲:對數據進行加密是實現數據保護的一個重要方法,即使該數據被人非法竊取,對他們來說也只是一堆亂碼,而無法知道具體的信息內容。在加密算法選擇方面,應選擇加密性能較高的對稱加密算法,如AES、3DES等國際通用算法,或我國國有商密算法SCB2等。在加密密鑰管理方面,應采用集中化的用戶密鑰管理與分發機制,實現對用戶信息存儲的高效安全管理與維護。對云存儲類服務,云計算系統應支持提供加密服務,對數據進行加密存儲,防止數據被他人非法窺探;對于虛擬機等服務,則建議用戶對重要的用戶數據在上傳、存儲前自行進行加密。
數據加密傳輸:在云計算應用環境下,數據的網絡傳輸不可避免,因此保障數據傳輸的安全性也很重要。數據傳輸加密可以選擇在鏈路層、網絡層、傳輸層等層面實現,采用網絡傳輸加密技術保證網絡傳輸數據信息的機密性、完整性、可用性。對于管理信息加密傳輸,可采用SSH、SSL等方式為云計算系統內部的維護管理提供數據加密通道,保障維護管理信息安全。對于用戶數據加密傳輸,可采用IPSec VPN、SSL等VPN技術提高用戶數據的網絡傳輸安全性。
數據備份與恢復:不論數據存放在何處,用戶都應該慎重考慮數據丟失風險,為應對突發的云計算平臺的系統性故障或災難事件,對數據進行備份及進行快速恢復十分重要。如在虛擬化環境下,應能支持基于磁盤的備份與恢復,實現快速的虛擬機恢復,應支持文件級完整與增量備份,保存增量更改以提高備份效率。
剩余信息保護:由于用戶數據在云計算平臺中是共享存儲的,今天分配給某一用戶的存儲空間,明天可能分配給另外一個用戶,因此需要做好剩余信息的保護措施。所以要求云計算系統在將存儲資源重分配給新的用戶之前,必須進行完整的數據擦除,在對存儲的用戶文件/對象刪除后,對對應的存儲區進行完整的數據擦除或標識為只寫(只能被新的數據覆寫),防止被非法惡意恢復。
推薦文章
