针对“云计算”服务安全思路的改进

  • 时间:
  • 浏览:1
  • 来源:uu快3计划师_uu快3app苹果_全天计划

                                   iii.              互联网行为审计:一般中放网络的互联网出口,对内内外部用户访问互联网的行为进行审计

c)         安全运维:安全管理人员不仅要负责网络公共要素的日常管理,可不想能对各业务系统的用户进行安全方面的服务,如终端安全问題的正确处理、违规安全事件的查处等,流程化、规范化的运维管理流程是提高运维服务质量的基础

这里提到的安全保障思路、安全辦法 ,都不 为了正确处理用户具体的安全需求,不局限现有的技术手段。一方面,入侵者还在不断进步,新式的攻击技术与手段层处不穷,亲戚亲戚朋友防护的手段也要不断地升级,以适应对手的变化。自己面,对付同但会 入侵技术,随着技术的进步,更准确、更廉价的辦法 也会不断出新,亲戚亲戚朋友应该及时更新,合理部署,保持安全架构中的各个安全辦法 始终指在最佳情况。

d)         服务器:主机管理的人机界面,一般采用操作系统加固、数据库加固辦法 ,最小授权分配管理人员与用户的权限

b)         数据备份与恢复:数据备份是后台基础的安全辦法 ,业务数据是业务运营的核心,有了数据就可不想能在灾难后恢复系统的运行情况

按照安全事件应急正确处理的思路,把正确处理过程分为不同阶段,除了合乎等级保护的保障要求外,再采用静态的风险分析辦法 ,分析每个阶段内各个环节的不可能 漏洞,建立该阶段的安全建设基线,最终形成整个安全事件正确处理过程的保障建设基线。

c)         流量异常:通过派发网络中各关键点的流量信息,监控流量总体动态,建立流量的基线模型,一块儿对流量的组成不能根据业务种类、用户、访问方向进行分完整析。造成流量异常一般有但会 是因为 :一是蠕虫病毒发作;二是恶意攻击(DDOS),三是凸现业务热点(业务正常访问老会 增加,如重大新闻发布),四是网络故障,造成但会 业务访问集中到本地

                                     v.              业务合规性审计:针对用户业务操作、业务正确处理等行为的审计

“花瓶模型”是信息安全建设规划的指导模型,是另一一十个 多遵照动态安全事件正确处理(PDR模型)的基线建设模型。

Ø  事前:安全防护基线,明确边界,划分安全区域,把要保护的资源与攻击者分开,修建隔离墙,设立边界检查辦法 ,通过增加“空间”距离,减少与外界的通道,提高入侵的门槛与难度;

Ø  事后:取证追究责任人,震慑攻击者,也我希望信任管理基线,正确处理完事件过后,要追查入侵者进入的途径,看看问題出在哪里,对入侵者的行为记录进行分析,从而发现防护体系与监控体系的漏洞,正确处理入侵者再次进入。

安全事件正确处理分为另一一十个 多阶段:

e)         终端:人机界面管理,如用户登录、介质管理、非法外联、数据加密等,也可不想能进行安全策略实施,如红、白、黑名单软件

                                   iv.              运维审计:针对维护人员的日常管理工作进行审计,主我希望网络、安全、服务器、数据库、存储等设备的日常维护行为记录

b)         安全域边界:安全域是根据网络功能区分的不同的资源区域,不可能 是根据管理可不想能进行不同部门之间的隔离,安全域不能清晰地从网络层进行安全隔离,常见安全技术如VLANFW

c)         服务访问边界:网络上老会 一块儿运行多个应用系统,另一一十个 多应用系统上不可能 提供多项服务(云计算服务我希望其中但会 ),每个用户也可不想能访问多个应用,使用多个服务。亲戚亲戚朋友可不想能隔离出不想业务(用户)的虚拟网络与应用系统,一块儿可不想能正确处理虚拟机内的用户上升到云操作系统上来。应用访问边界通常采用用户授权来进行控制,一方面可不想能根据用户身份限制其访问的应用区域(网络层)、服务端口(传输层),自己面可不想能通过应用系统的账号管理、身份鉴别技术控制用户有无可不想能访问该应用系统,在应用系统内内外部还可不想能通过对功能模块单独授权的辦法 ,限制用户对同一应用系统的不同服务的使用权限

进一步细化防护、监控、信任另一一十个 多体系的安全基线,就形成了“花瓶”模型(型态如花瓶而得名,也寓意安全管理人员的工作如同手捧花瓶,要时刻小心,稍有疏忽,漂亮的花瓶不可能 就摔得粉碎。安全管理工作的要点是“百密无一疏”)

b)         授权管理:用户可使用的资源,以及可进行动作的限制。授权是由安全管理员赋予的,违反授权的访问是因该被禁止的

Ø  事中:动态监控基线,边界外要观察攻击者的动向,边界内要注意但会 用户的异常行为,一旦发现“乔装”进入的入侵者,就立即报警、截获。监控的目标是在入侵者造成破坏过后尽快发现对方,及时应对,减少不可能 的损失;

安全监控的概念也从对实际设备与系统的监控,发展到对虚拟机内与外的监控,一方面,在建立虚拟机的过后,不仅分配相应的计算、存储、网络资源,还根据管理与用户业务的可不想能,分配相应的安全资源,如虚拟防火墙、虚拟入侵检测、虚拟病毒过滤等,为户用提供的不再是“毛坯房”,我希望“精装修的公寓”。自己面,对云操作系统环境的监控成为整个云服务安全的重点,进入到这里就可不想能控制所有应用的业务走向。第三方面,是对云服务接入区域的监控,这里汇集了各种用户业务的流量,鱼龙混杂,也是黑客与蠕虫攻击的门户,实际上是云服务中心的“大门”。

e)         漏洞与补丁管理:补丁管理是后台基础的安全辦法 ,发现漏洞就应该及时打补丁,但补丁不可能 与原有的业务系统有冲突,但会 对补丁的安装时有取舍的。补丁管理可不想能维护终端、服务器、数据库、应用软件的各种补丁与最新可用软件资源,保证网络用户的及时更新

随着云计算与物联网的兴起,使得互联网正在日益城市化,传统的四合院(城域网)正在被摩天大楼(云计算数据中心)取代,过后组建不久的地球村放慢发展成地球城;物联网正在把中所有的物品信息化,现实世界与虚拟世界正在成为实时的对照版。

a)         病毒与木马:特点是自我一键复制、无孔不入,对网络的性能危害极大;一般可从网络上拦截与主机(终端与服务器内的监控软件)监控

4)         安全管理平台:网络公共安全设施,是配合防护、监控、信任安全体系的实施与管理的,也是安全管理人员对网络公共安全维护工作的操作平台,俗称SOC。安全管理平台一般所含五方面的工作:

                                      i.              网络行为审计:用户访问网络的资源情况

Jack zhai

e)         业务服务情况:信息安都不 保障业务服务能力的,但会 ,对业务服务的应用程序情况、用户数量、磁盘空间等涉及服务能力的安全指标都不 实时监控

“花瓶模型”描述:

但云计算服务模式也为信息安全带来新的问題,虚拟化的服务,不同用户的业务“一块儿”运行在另一一十个 多服务“容器”内,传统信息安全的边界隔离思路得到了抑制,安全的边界这样 了,传统的安全设备,如防火墙、入侵检测该部署在哪里?这样 了安全的保障,用户如我想要使用你的服务吗?

1)         防护体系:防护的重点是边界,不仅是真实的网络边界、人机边界,还有虚拟的业务访问边界,花瓶模型中给出了五大边界可不想能重点防护

安全基线保障思路,是三条安全辦法 基线加另一一十个 多平台,各种安全辦法 相互配合,相互补充,在安全保障总体设计时,要注意三条基线的相对均衡,某一项过强,从不提升整体安全防护能力,却造成资金的从从不浪费;某项过弱,则把整体保障的能力拉下来,造成安全体系的短板。

针对“云计算”服务安全思路的改进

a)         网络边界:网络的出口,外边是不可控区域,可不想能建立良好的防护辦法 ,常见的安全技术如FWIPSUTM、业务代理、网闸等,网站的出口还可取舍WAF

d)         设备与系统情况:设备的硬件故障必然引起业务访问的动荡(虚拟机环境是虚拟设备的情况),但会 ,了解网络、安全、传输、服务器、存储等设备与系统的情况,是分析总体安全态势的基础

                                     ii.              主机行为审计:服务器或终端上的行为审计,如服务器上的帐户管理、数据维护,终端上的移动介质使用、外联网络情况等

b)         入侵与异常行为:入侵行为多是隐蔽的,可不想能在网络与主机上多点监控,通过型态匹配、行为匹配等辦法 发现入侵者,对内内外部人员的异常行为,如一定量下载资料,非正常时间访问等也应该列入异常监控的范围

问題提出:

c)         行为审计:审计我希望行为的记录,如对数据的操作、配置的更改等。根据审计的目标可采用不同的安全审计辦法 ,下面是常见的几种:

a)         身份鉴别:可取舍账号口令辦法 ,也可不想能取舍CA证书辦法 ,目的我希望唯一确认用户的身份。身份鉴别一般出现在用户登录主机(本地登录)、登录网络、登录业务系统另一一十个 多登录点上

2)         监控体系:展示系统的整体安全态势,了解网络内的“风吹草动”,是及时发现入侵与违规事件的数据来源。对于云计算来说,监控体系分连个层面:对虚拟机的监控,对云计算管理平台的监控。每个层面都不 五大监控要点:

d)         配置变更管理:系统的安全配置是安全策略的实地部署,直接影响安全防护、监控、审计的保障效果,但会 配置的变更要协调一致,可不想能了出错;安全配置数据我希望整体安全运维系统的基础数据,同业务数据一样重要

云服务是但会 交付服务模式的改变,针对你但会 服务模式,亲戚亲戚朋友对信息安全体系建设的“花瓶模型”进行了改进,提出了服务访问边界的概念,引入了业务的逻辑边界,也我希望虚拟机之间的边界,它包括互为“邻居”的虚拟机之间,以及虚拟机和中成它的“母体”---云操作系统之间的边界。

---花瓶模型V4.0

a)         资产管理:了解自己的家底是安全管理的基础,也是监控体系终端关注的对象,包括硬件设备与软件系统,物理的与虚拟的。常见的如动态的网络拓扑、资源注册表等

3)         信任体系:对“合法”用户的行为监控,是通过审计辦法 实现的,要审计,可不想能先鉴别用户身份,明确用户权限,但会 对用户的行为进行完整记录,但会 不允许删除或修改记录。信任体系的三要素: