一、安全领域分类:
内容包括:
- 基础设施安全(Infrastructure Security)
- 终端安全(Endpoint Security)
- 消息安全(Messaging Security)
- 应用安全(Application Security)
- 网络安全(Web Security)
- 物联网安全(IoT Security)
- 交易安全(Transaction Security)
- 风险与合规性安全(Risk & Compliance )
- 安全操作与事件响应(Security Operations & Incident Response )
- 威胁情报数据(Threat Intelligence )
- 威胁分析与保护(Specialized Threat Analysis & Protection )
- 移动化安全(Mobile Security)
- 认证与鉴权管理(Identity & Access Management)
- 数据安全(Data Security)
- 云安全(Cloud Security)
=============================================================================
二、安全要求分类:
1、系统开发与供应链安全:云服务商应在开发云计算平台时对其提供充分保护,对为其开发信息统、组件和服务的开发商提出相应要求,为云计算平台配置足够的资源,并充分考虑信息安全需求。云服务商应确保其下级供应商采取了必要的安全措施。云服务商还应为客户提供与安全措施有关的文档和信息,配合客户完成对信息系统和业务的管理。
2、系统与通信保护:云服务商应在云计算平台的外部边界和内部关键边界上监视、控制和保护网络通信,并采用结构化设计、软件开发技术和软件工程方法有效保护云计算平台的安全性。
3、访问控制:云服务商应严格保护云计算平台的客户数据和用户隐私,在授权信息系统用户及其进程、设备(包括其他信息系统的设备)访问云计算平台之前,应对其进行身份标识及鉴别,并限制授权用户可执行的操作和使用的功能。
4、配置管理:云服务商应对云计算平台进行配置管理,在系统生命周期内建立和维护云计算平台(包
括硬件、软件、文档等)的基线配置和详细清单,并设置和实现云计算平台中各类产品的安全配置参数。
5、维护:云服务商应定期维护云计算平台设施和软件系统,并对维护所使用的工具、技术、机制以及
维护人员进行有效的控制,且做好相关记录。
6、应急响应与灾备:云服务商应为云计算平台制定应急响应计划,并定期演练,确保在紧急情况下重
要信息资源的可用性。云服务商应建立事件处理计划,包括对事件的预防、检测、分析、控制、恢复等,对事件进行跟踪、记录并向相关人员报告。服务商应具备灾难恢复能力,建立必要的备份设施,确保客户业务可持续。
7、审计:云服务商应根据安全需求和客户要求,制定可审计事件清单,明确审计记录内容,实施审计并妥善保存审计记录,对审计记录进行定期分析和审查,还应防范对审计记录的未授权访问、篡改和删除行为。
8、风险评估与持续监控:云服务商应定期或在威胁环境发生变化时,对云计算平台进行风险评估,确保云计算平台的安全风险处于可接受水平。服务商应制定监控目标清单,对目标进行持续安全监控,并在异常和非授权情况发生时发出警报。
9、安全组织与人员:云服务商应确保能够接触客户信息或业务的各类人员(包括供应商人员)上岗时具备履行其信息安全责任的素质和能力,还应在授予相关人员访问权限之前对其进行审查并定期复查,在人员调动或离职时履行安全程序,对于违反信息安全规定的人员进行处罚。
10、物理与环境保护:云服务商应确保机房位于中国境内,机房选址、设计、供电、消防、温湿度控制等符合相关标准的要求。云服务商应对机房进行监控,严格限制各类人员与运行中的云计算平台设备进行物理接触,确需接触的,需通过云服务商的明确授权。
=============================================================================
三、安全评审
1.安全设备选型
检测
IDS入 侵 检测
IDS(Snort)、主机 入 侵 检测(Ossec)
信息审计
网络行为管理
防护
IPS入 侵 防御
WAF
防火墙
虚拟防火墙隔离组的虚拟机
V P N
病毒防护
身份认证
物理隔离系统
内容过滤网关
数据加密
2.安全服务
安全加固
安全监控
收集系统状态数据,分析管理安全和隐私风险
3.安全评估类
网络安全:
僵尸网络
拒绝服务 攻 击
系统安全
业务安全
物理和逻辑安全
漏洞扫描
高可用性
可伸缩性
可靠的计算资源池
备份与恢复
容灾服务
负载均衡
配置控制
自动化
漏洞测试
安全审计
安全平台组件的漏洞修复
安全性和隐私性:
敏感数据
关键数据和应用程序
系统的安全和隐私
隐私和安全数据和应用程序部署位置
认证:
通过认证和合规审查
符合国家安全法律法规
支付卡行业数据安全标准(PCI DSS)
风险管理:
评估和管理风险
安全和隐私
监测和评估组织
=============================================================================
四、*云安全与架构安全*
不同的云服务模式,安全关注点是不一样的无论是IaaS、PaaS,还是SaaS,都应该关注的安全,如:数据安全、加密和密钥管理、身份识别和访问管理、 安全事件管理、业务连续性等等。
###IaaS层安全策略:IaaS涵盖了从机房设备到其中的硬件平台等所 有的基础设施资源层面。
1.物理与环境安全:是指保护云计算平台免遭地震、水灾、火灾等事故以及人为行为导致的破坏。
2.主机安全:应该要求做到身份鉴别、访问控制、安全审计、剩余信息保护、入 侵 防范、恶意代码控制、资源控制等。
3.网络安全:网络结构安全、 网络访问控制、网络安全审计、边界 完整性检查、网络***防范、恶意代码防范、网络设备防护。
4.虚拟化安全:包括两个方面的问题:一是虚拟技术本身的安全,二是虚拟化引入的 新的安全问题。
5.接口安全:需要采取相应的措施来确保接口的强用户认证、加密和访问控制的 有效性,避免利用接口对内和对外的***,避免利用接口进行云服务的滥用等。
###PaaS层安全策略:PaaS位于IaaS之上,又增加了一个层面用以与应用开发框架、中间件能力以及数据库、消息和队列等功能集成。PaaS允许开发者在平台之上开发应用,开发的编程语言和工具由PaaS支持提供。
1.接口安全:需要采取相应的措施来确保接口的强用户认证、加密和访问控制的有效性,避免利用接口对内和对外的***,避免利用接口进行云服务的滥用等。
2.运行安全:主要包括对用户应用的安全审核、不同应用的监控、不同用户系统的隔离、安全审计等。
###SaaS层安全策略:SaaS位于底层的IaaS和PaaS之上,SaaS能够提供独立的运行环境,用以交付完整的用户体验,包括内容、展现、应用和管理能力。
1.SaaS层的安全,主要包括应用安全:就是要在应用的设计开发之初,充分考虑到安全性,应该制定并遵循适合SaaS模式的SDL(安全开发生命周期)规范和流程,从整个生命周期上去考虑应用安全。
1.物理安全
建立硬件环境防范体系。要保证存放SaaS服务器、通信设备等场地的安全,确保计算机的正常运行。建立多层级备份机制。数据备份是为了防止系统操作错误或系统故障而导致数据丢失的防护手段,可以确保在出现重大问题时,用户数据能够迅速恢复且不被第三方截获,保证运营服务系统的安全。
2.网络安全
启用防火墙。作为不同网络或网络安全域之间信息的出入口,防火墙能根据网络系统的安全策略控制出入网络流量,且本身具有较强的抗攻 击能力,有效地保证了内部网络的安全。
启用 入 侵 检测系统。这是防火墙之后的第二道安全闸门,能够有效地防止 攻 击,在计算机网络上实时监控网络传输,分析来自网络外部和内部的入 侵信号。在系统受到危害前发出警告,实时对攻 击做出反应,并提供补救措施。
实施网络监控。需要利用网络监控系统对网络设备的运行状况进行7×24小时实时监控,使得网络在出现故障的第一时间得到报警。
数据传输控制。SaaS应用完全基于互联网,如果采用安全超文本协议 HTTPS(HypertextTransferProtocoloverSecureSocketLayer)。
3.系统安全
系统加固。可以通过在SaaS应用服务器前端部署负载均衡设备,实现应用服务器之间的负载均衡和高可用性。
漏洞扫描修复。无论是操作系统、浏览器还是其他应用软件都存在各种各样的容易被***利用的漏洞,为此,要配置网站安全扫描平台,实时监测最新发现的漏洞和薄弱环节,并及时安装补丁修复程序。
病毒防护。通盘考虑,制定多层次、全方位的防毒策略,通过应用网络防病毒产品、关闭系统中不必要的应用程序以及做好移动硬盘、u盘等没备使用前的扫描杀毒工作建立网络病毒防护体系。
4.应用安全
数据隔离。在数据隔离方案上通常选择共享数据库、共享数据模式方式,因此必须采用数据隔离的方法来保证用户数据仍然像使用独立数据库一样安全。
数据加密。对于一些敏感数据,例如公司的财务数据,可以考虑加密。
权限控制。可采用访问控制列表(ALC)来界定访问权限,以及对数据操作,保证有效用户正常使用系统。
身份认证。多数中小型用户目前没有自己专门的身份认证中心,因此用户级控制策略的认证适合采用集中式认证,防止非法用户使用系统。
5.管理安全
完善安全管理制度。企业应按照计算机信息安全的有关要求,按责、权、利相结合的原则,建立健全SaaS系统岗位责任制度、安全日志制度等,做到有章可循、有法可依。
人员安全管理。提高安全意识是保证SaaS服务安全的重要前提,应加强对系统维护人员和技术支持人员的安全教育和技术培训。信息安全管理的根本立足点是规范企业员工的行为,增强操作人员的安全管理意识,培育提高人员的诚信和道德水平,以及应急事件处理能力。
建立监督制度。SaaS的用户可能对SaaS应用实施过程与标准不甚了解,可以利用第三方监理这种社会化、科学化、公平化和专业化的监督机制来辅助实施与管理,确保SaaS应用模式更合理、有效地运行和发展下去。