將云安全等級保護(hù)模式框架融入云安全模型��,能夠?qū)υ瓢踩嚓P(guān)的信息安全等級進(jìn)行評估�����。此外���,還會對安全模型中的相關(guān)控制項(xiàng)進(jìn)行深入研究��。
接下來�,將檢查授權(quán)情況和云認(rèn)證�����,并評估是否存在如敏感文件授權(quán)�����、程序授權(quán)和登錄認(rèn)證等問題����。根據(jù)訪問控制模式的不同����,挑選出訪問控制的目標(biāo),也就是根據(jù)具體的環(huán)境來決定是角色化的訪問��、自由的訪問�,還是強(qiáng)制的訪問�����,接著采取適應(yīng)實(shí)際需求的處理策略�����。要確保網(wǎng)絡(luò)訪問的資源得到有效利用�,必須構(gòu)建更穩(wěn)健的處理策略和實(shí)施手段��。只有在使用的手段穩(wěn)定且一致的情況下�,才能確保安全策略的自我實(shí)施。
在評估網(wǎng)絡(luò)數(shù)據(jù)的加密性質(zhì)時(shí)���,應(yīng)該采取靜態(tài)或者動態(tài)的手段�,維護(hù)規(guī)范的服務(wù)種類和加密功能�����。在對數(shù)據(jù)的恢復(fù)與存儲狀態(tài)進(jìn)行審核時(shí)�,必須確認(rèn)它們是否被安全地云端存儲。同時(shí)��,也需要核對密碼鎖的使用狀況���、磁盤是否被加密�����,以及數(shù)據(jù)的真正損壞情形��。
在所有的審核環(huán)節(jié)��,測評師主要關(guān)注的是供應(yīng)商的數(shù)據(jù)備份���。在這個(gè)過程中�����,一方面,不僅要確認(rèn)是否有權(quán)限去操縱并管理用戶的身份��,還要確認(rèn)特定訪問內(nèi)容是否可被管理��。另一方面���,也將核實(shí)用戶的財(cái)務(wù)報(bào)告和保護(hù)性服務(wù)����,包括警報(bào)管理和保養(yǎng)、主機(jī)的保養(yǎng)以及網(wǎng)絡(luò)設(shè)備的監(jiān)控管理等�����。
在控制項(xiàng)的研究中����,將關(guān)注以下幾個(gè)部分:
(1)對于云端的認(rèn)證與授權(quán),其主要目標(biāo)是確保不包含對敏感信息的審查����、對軟件的操控審查、對服務(wù)的審查以及對登錄的審查等���。
(2)對于云端的訪問控制��,將依照現(xiàn)有的訪問控制模型����,判斷其是否為角色化的����、自主的或者被強(qiáng)制的訪問控制策略����,并采取合適的手段來探討。
(3)理解云安全的邊緣和隔離。了解如何執(zhí)行安全隔離的詳細(xì)流程��、安全領(lǐng)域的劃定策略,以及硬件安全的相應(yīng)技術(shù)援助等�����。
(4)云端安保儲備����。能夠把所有的信息保存為加密形態(tài),但對于使用者來說,必須從中提煉信息。
(5)預(yù)防惡意代碼。最初要確定惡意代碼的存在�����,然后實(shí)施相關(guān)的預(yù)防行動。
(6)云端安保的運(yùn)營���。必須對所有的軟件��、互聯(lián)網(wǎng)和實(shí)體/虛擬設(shè)備進(jìn)行監(jiān)控���,并且在監(jiān)控過程中,所有的評估標(biāo)準(zhǔn)必須符合等級防護(hù)的規(guī)定����。
(7)關(guān)于網(wǎng)絡(luò)的安全性�,必須明確是否采取了網(wǎng)絡(luò)安全傳輸?shù)募用懿呗浴?
蘇公網(wǎng)安備 32010502010503號
