论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 3 篇帖子 ] 
作者 内容
 文章标题 : 云计算风险管理安全性建议
帖子发表于 : 2013-10-24 14:17 
离线
高级用户

注册: 2010-01-29 11:13
最近: 2014-08-07 09:30
拥有: 238.00 安全币

奖励: 0 安全币
在线: 1051 点
帖子: 203
10.6.1 安全保证建议
o 定义功能和监管的安全及隐私需求来满足云开发及部署的需要。
o 云环境中攻击向量和风险的详细评估是可以理解的,且应对策略也要整合到需求中去。
o 执行并记录对所有风险和攻击向量的影响评估,连同每种情况下造成潜在的损失和损害。
o 安全和隐私需求及努力应优先于可能性和影响。

10.6.2 风险分析建议
o 对应用的安全和隐私的进行风险分析(机密性、完整性和可用性),并且应创建并维护威胁模型。

o 应该从云中的开发和部署角度来分析风险并维护相关风险模型。
o 应该分类并维护云架构特定的攻击向量和影响分析。
o 应该维护安全保障功能和所有已确认的风险/威胁之间的可跟踪性。
10.6.3 架构建议
o 应该开发并维护安全的软件架构框架。
o 应该使用能明确降低威胁的云计算架构模型(例如,来自“开放安全架构 ”或TOGAF/SABSA )。
o 应用架构中可复用的构建模块可用于降低众所周知的安全及违规的情况。
o 应使用云特定的安全数据架构来增强已选择的安全架构框架,这将解决如下云特定的问题和威胁:
• 动态数据库服务器的监控
• 在任意时间能确切了解数据库托管位置
• 集中记录所有活动,跨越不同(可能是全局的)系统行为的日志,来提供应用的整体视图,标记可疑事件。
• 规定必须使用加密的地方(见D12)
• 由第三方提供系统、数据和所有特权行为范围内的充分的职责分离,数据所有者企业的员工能监控它们。
10.6.3 云上渗透测试建议
o 执行常规的Web应用渗透测试来检查十大OWASP漏洞。
o 基于危急程度/影响对漏洞进行分类并且有修复流程。
o 从多租户角度执行手动测试来验证没有提升权限漏洞,并在缺乏会话执行下验证数据隔离。
o 对于迁移到IaaS或PaaS环境的应用来说,需要执行安全评估来确保VM分区和隔离、虚拟化安全等潜在的安全控制已经有效实施且不会给应用生态系统造成太大的风险。

CCSK云计算安全(热荐):
开课时间: CCSK云计算安全 :12/14-15
IT行业当中还没有几个领域能够获得像云计算这样有着如此迅猛发展的态势。,
您想顺利搭上这班“开往春天的地铁”吗?
您想凭次门票实现职业生涯的腾飞吗?
您想拥有一项信息安全的国际权威认证吗?
您是否久欲叩开信息安全行业的大门却苦于无所适从?
那么,赶紧加入我们信息安全学习的大家庭吧http://www.sitc.net.cn/ccsk_if.aspx,SITC的大平台让您不仅学到知识,更能收获良师益友。联系电话:021-62126633-6025


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 云计算风险管理安全性建议
帖子发表于 : 2015-08-18 12:02 
离线
新手

注册: 2015-08-18 11:27
最近: 2015-08-18 12:03
拥有: 1.00 安全币

奖励: 0 安全币
在线: 53 点
帖子: 11
不错啊


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 云计算风险管理安全性建议
帖子发表于 : 2016-04-23 16:44 
离线
新手

注册: 2016-04-23 16:27
最近: 2016-04-23 16:45
拥有: 1.00 安全币

奖励: 0 安全币
在线: 35 点
帖子: 5
可以参考、学习一下


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 3 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012