云计算系统中的安全问题
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
8
云计算面临的安全挑战云计算面临的安全挑战-4/4
由此可见,云计算环境 云计算环境 的隐私安全、 的隐私安全、内容安 全是云计算研究的关键 问题之一,它为个人和 企业放心地使用云计算 云计算 服务提供了保证,从而 服务 可促进云计算持续、深 入的发展。
Trust & Security
9
主要内容
云计算的特征与安全挑战 云计算面临的安全挑战 云计算的安全体系与关键技术 云计算的安全体系与关键技术 基础架构云安全框架 云计算安全实验平台 进一步的研究工作建议
29
IBM信息安全框架 IBM信息安全框架
安全治理、 安全治理、风险管理和合规 处于企业信息安全框架的最顶层,是业务驱 动安全的出发点。通过对企业业务和运营风 险进行评估,确定其战略和治理框架、风险 管理框架,定义合规和策略遵从,确立信息 安全文档管理体系。
30
IBM信息安全框架 IBM信息安全框架
33
安全治理、风险管理和合规
企业安全战略规划服务 ISO27001认证指导咨询服务 信息安全管理体系培训服务 安全管理差距分析服务 信息安全管理体系咨询及设计服务 企业信息系统风险评估服务 PCI DSS合规遵从服务 信息安全等级保护合规遵从服务
安全运维
安全运维管理中心设计及建设服务 安全运维管理平台规划及建设服务 安全策略的开发及制定服务 安全事件响应流程设计服务 安全应急响应服务 安全绩效考核体系设计 安全事件审计咨询服务 安全事件审计平台的规划及建设服务 操作行为审计平台规划及建设服务 管理安全服务
云计算系统中的安全问题
1
主要内容
云计算的特征与安全挑战 云计算面临的安全挑战 云计算的安全体系与关键技术 基础架构云安全框架 云计算安全实验平台 进一步的研究工作建议
2
云计算的特征云计算的特征-1/2
单租户 到 多租户 数据和服务外包
3
云计算的特征云计算的特征-2/2
计算和服务虚拟化 大规模数据并行处理
云计算资 源池
计算能力
存储能力
监控管理
4
5
云计算面临的安全挑战云计算面临的安全挑战-1/4
云计算特有的数据和服务外包、虚拟化、多租户和跨域共享 云计算特有的数据和服务外包、虚拟化、多租户和跨域共享 等特点,带来了前所未有的安全挑战。云计算受到产业界的极 等特点,带来了前所未有的安全挑战。云计算受到产业界的极 大推崇并推出了一系列基于云计算平台的服务。但在已经实 现的云计算服务中,安全问题一直令人担忧。 现的云计算服务中,安全问题一直令人担忧。安全和隐私问 题已经成为阻碍云计算普及和推广主要因素之一。 题已经成为阻碍云计算普及和推广主要因素之一。 2011年 2011年1月21日,来自研究公司ITGI的消息称,考虑到自身 21日,来自研究公司ITGI的消息称,考虑到自身 数据的安全性,很多公司正在控制云计算方面的投资。在参 与调查的21家公司的834名首席执行官中,有半数的官员称, 与调查的21家公司的834名首席执行官中,有半数的官员称, 出于安全方面的考虑,他们正在延缓云的部署,并且有三分 出于安全方面的考虑,他们正在延缓云的部署,并且有三分 之一的用户正在等待。 之一的用户正在等待。 由于云计算环境下的数据对网络和服务器的依赖,隐私问题 尤其是服务器端隐私的问题比网络环境下更加突出。客户对 尤其是服务器端隐私的问题比网络环境下更加突出。客户对 云计算的安全性和隐私保密性存在质疑,企业数据无法安全 云计算的安全性和隐私保密性存在质疑,企业数据无法安全 方便的转移到云计算环境等一系列问题,导致云计算的普及 难以实现。
6
云计算面临的安全挑战云计算面临的安全挑战-2/4
云计算的特点
数据和服务外包 (1)隐私泄露 (2)代码被盗 (1)信任关系的建立、管理和维护更加困难; 信任关系的建立、管理和维护更加困难; (2)服务授权和访问控制变得更加复杂; 服务授权和访问控制变得更加复杂; (3)反动、黄色、钓鱼欺诈等不良信息的云缓冲 )反动、黄色、钓鱼欺诈等不良信息的云缓冲 (4)恶意 )恶意SaaS应用 应用 虚拟化 (1)用户通过租用大量的虚拟服务使得协同攻击变得 更加容易,隐蔽性更强; 更加容易,隐蔽性更强; (2)资源虚拟化支持不同租户的虚拟资源部署在相同 的物理资源上,方便了恶意用户借助共享资源实施侧通 的物理资源上,方便了恶意用户借助共享资源实施侧通 道攻击。 道攻击。
17
云计算安全技术-数据隐私保护云计算安全技术-数据隐私保护-3/4
18
19
云计算安全技术-数据隐私保护云计算安全技术-数据隐私保护-4/4
20
云计算安全技术-虚拟机安全云计算安全技术-虚拟机安全-1/3
(1) 多虚拟机环境下基于 多虚拟机环境下基于Cache的侧通道攻击的实现 的侧通道攻击的实现 (2) 基于行为监控的侧通道攻击识别方法 (3) 基于VMM的共享物理资源隔离算法的研究 基于 的共享物理资源隔离算法的研究 (4) 侧通道信息模糊化算法的研究与实现 21
22
云计算安全技术-虚拟机安全云计算安全技术-虚拟机安全-3/3
23
设计适合虚拟环境的软件防火墙
选择NAT技术作为虚拟机的接入广域网 技术作为虚拟机的接入广域网(WAN)技术。 技术。 选择 技术作为虚拟机的接入广域网 技术 每个虚拟机在宿主机上都有其对应的一个虚拟网卡, 每个虚拟机在宿主机上都有其对应的一个虚拟网卡,所有的虚拟机 网卡通过NAT技术连接在一起, 技术连接在一起, 网卡通过 技术连接在一起 选择宿主机的虚拟网卡与虚拟机的网卡(eth0)连接的主干道路作为关 选择宿主机的虚拟网卡与虚拟机的网卡 连接的主干道路作为关 键路径, 键路径,并在该路径上布置防火墙
云计算安全技术-虚拟机安全云计算安全技术-虚拟机安全-2/3
通过在物理机、 通过在物理机、虚 物理机 拟机和虚拟机管理 程序三个方面增加 程序三个方面增加 功能模块来加强虚 拟机的安全, 拟机的安全, 包括云存储数据隔 包括云存储数据隔 离加固技术和 离加固技术和虚拟 机隔离加固技术等 机隔离加固技术等。
安全运维 安全运维是指在安全策略的指导下,安全组 织利用安全技术来达成安全保护目标的过程。 主要包括安全事件监控、安全事件响应、安 全事件审计、安全策略管理、安全绩效管理、 安全外包服务。安全运维与IT运维相辅相成、 互为依托、共享资源与信息,它与安全组织 紧密联系,融合在业务管理和IT管理体系中。
图1A 云计算系统的体系框架
图1B 云计算安全架构 13
云计算安全技术-动态服务授权与控制云计算安全技术-动态服务授权与控制-1/2
14
云计算安全技术-动态服务授权与控制云计算安全技术-动态服务授权与控制-2/2
15
云计算安全技术-数据隐私保护云计算安全技术-数据隐私保护-1/4
16
云计算安全技术-数据隐私保护云计算安全技术-数据隐私保护-2/4
企业信誉
企业信誉对于任何一个竞争领域的企业来讲都是至关重要 的。一般来讲,越大的企业对于自身信誉越看重,不会因为 利益去窃取客户的数据。
合同约束
目前已经有很多云计算服务提供商退出了自己的云计算服 务的服务水平协议,这些协议从服务质量、技术支持和知识 产权等方面对服务进行了规范,对服务提供者与使用者的权 利和义务进行了明确。
(1) 加密字符串的精确检索
基于离散对数的密文检索技术 基于Bilinear Map的密文检索技术
(2) 加密字符串的模糊检索
基于BloomFilter的密文检索技术 基于矩阵和向量变换的密文检索技术
(3) 加密数值数据的算术运算
基于矩阵和向量变换的密文计算技术 含加/减/乘/除运算
(4) 加密数值数据的排序运算
在虚拟机上部署一 个精灵程序, 个精灵程序,用于 监控虚拟机的文件 系统, 系统, 拦截恶意数 据与程序
24
云计算安全技术-法律法规云计算安全技术-法律法规-1/1
云计算应用模式下的互联网安全的法律与法规问题。 云计算平台的安全风险评估与监管问题。
25
云计算安全的非技术手段
第三方认证
第三方认证是提升信任关系的一种有效手段,即采用一个 中立机构对信任双方进行约束。
战略和治理框架 风险管理框架 合规和策略遵从
安全运维
安全事件监控 安全策略管理 安全事件响应 安全绩效管理 安全事件审计 安全外包服务
基础安全服务和架构
物理安全 机房安全 视频监控 安全 基础架构安全 网络安全 主机安全 终端安全 应用安全 应用开发生命 周期安全 业务流程 安全 Web 应用安全 应用开发环境 安全 数据安全 数据生命 周期管理 数据泄露 保护 数据加密 数据归档 灾难备份 身份/访问安全 身份验证 访问管理 身份生命周 期管理
11
云计算安全的技术手段
目前的技术可以避免来自其他用户的安全威 胁,但是对于服务提供商,想要从技术上完 全杜绝安全威胁还是比较困难的,在这方面 需要非技术手段作为补充。 一些传统的非技术手段可以被用来约束服务 提供商,以改善服务质量,确保服务的安全 性。
12
云计算的安全体系云计算的安全体系-1/1
Байду номын сангаас
10
云计算安全的技术手段
安全性要求
数据访问的权限控制 数据运行时的私密性 数据在网络上传输的私 密性 数据完整性 数据持久可用性 数据访问速度
对其他用户
存储隔离 虚拟机隔离、操作系统 隔离 传输层加密 数据检验
对服务提供商
存储加密、文件加密 操作系统隔离 网络加密
数据备份、数据镜像、分布式存储 高速网络、数据缓存、CDN
安全威胁
多租户和跨域共享
7
云计算面临的安全挑战云计算面临的安全挑战-3/4
实际上,对于云计算的安全保护,通过单一的手段 实际上,对于云计算的安全保护, 是远远不够的,需要有一个完备的体系, 是远远不够的,需要有一个完备的体系,涉及多个 层面,需要从法律 技术、监管三个层面进行 法律、 三个层面进行。 层面,需要从法律、技术、监管三个层面进行。 传统安全技术, 加密机制、安全认证机制、 传统安全技术,如加密机制、安全认证机制、访问 控制策略通过集成创新 通过集成创新, 控制策略通过集成创新,可以为隐私安全提供一定 支撑,但不能完全解决云计算的隐私安全问题。 支撑,但不能完全解决云计算的隐私安全问题。 需要进一步研究多层次的隐私安全体系 模型)、 隐私安全体系( 需要进一步研究多层次的隐私安全体系(模型)、 全同态加密算法、动态服务授权协议、 全同态加密算法、动态服务授权协议、虚拟机隔离 与病毒防护策略等 与病毒防护策略等,为云计算隐私保护提供全方位 的技术支持。 的技术支持。
26
主要内容
云计算的特征与安全挑战 云计算面临的安全挑战 云计算的安全体系与关键技术 云计算的安全体系与关键技术 基础架构云安全框架 云计算安全实验平台 进一步的研究工作建议
27
IBM信息安全框架 IBM信息安全框架
目前,绝大多数企业在信息安全建设过程中都面临着各种各 样的挑战,从规划、管理,到技术、运作不一而足。例如, 没有总体的信息安全规划,安全防御呈碎片化;安全意识不 到位,经常在受到攻击甚至造成损失后才意识到问题,安全 建设受具体事件驱动;企业应对经济不景气所采取的裁员策 略有可能将部分风险由外部转化到内部;安全体系的法规遵 从问题日益突出…… 遵循IBM企业信息安全框架的方法论与实施原则,企业可以 从根本上解决上述种种难题,因为企业信息安全框架正是用 于指导企业或组织如何根据业务需要,明确风险状况与安全 需求、确立企业信息安全架构蓝图及建设路线图,并选择相 应的安全功能组件。所以,通过这一框架,企业可以全面理 解,并从整体上对信息安全进行把控。
31
IBM信息安全框架 IBM信息安全框架
基础安全服务和架构 基础安全服务和架构定义和包含了企业安全 框架中的五个核心的基础技术架构和相关服 务:物理安全、基础架构安全、身份/访问安 全、数据安全和应用安全。基础安全服务和 架构是安全运维和管理的对象,其功能由各 自子系统提供保证。
32
企业信息安全框架V5.0 安全治理、风险管理和合规
28
IBM信息安全框架 IBM信息安全框架
IBM企业信息安全框架从上到下由三个主要层次组成: 安全治理风险管理及合规层、安全运维层、基础安全服 务和架构层。其中安全治理风险管理及合规层是后两者 的理论依据,安全运维层是对信息安全全生命周期的管 理,而基础安全服务和架构层则是企业安全建设技术需 求和功能的实现者。 三个层次 安全治理、 安全治理、风险管理和合规 安全运维 基础安全服务和架构
云计算面临的安全挑战云计算面临的安全挑战-4/4
由此可见,云计算环境 云计算环境 的隐私安全、 的隐私安全、内容安 全是云计算研究的关键 问题之一,它为个人和 企业放心地使用云计算 云计算 服务提供了保证,从而 服务 可促进云计算持续、深 入的发展。
Trust & Security
9
主要内容
云计算的特征与安全挑战 云计算面临的安全挑战 云计算的安全体系与关键技术 云计算的安全体系与关键技术 基础架构云安全框架 云计算安全实验平台 进一步的研究工作建议
29
IBM信息安全框架 IBM信息安全框架
安全治理、 安全治理、风险管理和合规 处于企业信息安全框架的最顶层,是业务驱 动安全的出发点。通过对企业业务和运营风 险进行评估,确定其战略和治理框架、风险 管理框架,定义合规和策略遵从,确立信息 安全文档管理体系。
30
IBM信息安全框架 IBM信息安全框架
33
安全治理、风险管理和合规
企业安全战略规划服务 ISO27001认证指导咨询服务 信息安全管理体系培训服务 安全管理差距分析服务 信息安全管理体系咨询及设计服务 企业信息系统风险评估服务 PCI DSS合规遵从服务 信息安全等级保护合规遵从服务
安全运维
安全运维管理中心设计及建设服务 安全运维管理平台规划及建设服务 安全策略的开发及制定服务 安全事件响应流程设计服务 安全应急响应服务 安全绩效考核体系设计 安全事件审计咨询服务 安全事件审计平台的规划及建设服务 操作行为审计平台规划及建设服务 管理安全服务
云计算系统中的安全问题
1
主要内容
云计算的特征与安全挑战 云计算面临的安全挑战 云计算的安全体系与关键技术 基础架构云安全框架 云计算安全实验平台 进一步的研究工作建议
2
云计算的特征云计算的特征-1/2
单租户 到 多租户 数据和服务外包
3
云计算的特征云计算的特征-2/2
计算和服务虚拟化 大规模数据并行处理
云计算资 源池
计算能力
存储能力
监控管理
4
5
云计算面临的安全挑战云计算面临的安全挑战-1/4
云计算特有的数据和服务外包、虚拟化、多租户和跨域共享 云计算特有的数据和服务外包、虚拟化、多租户和跨域共享 等特点,带来了前所未有的安全挑战。云计算受到产业界的极 等特点,带来了前所未有的安全挑战。云计算受到产业界的极 大推崇并推出了一系列基于云计算平台的服务。但在已经实 现的云计算服务中,安全问题一直令人担忧。 现的云计算服务中,安全问题一直令人担忧。安全和隐私问 题已经成为阻碍云计算普及和推广主要因素之一。 题已经成为阻碍云计算普及和推广主要因素之一。 2011年 2011年1月21日,来自研究公司ITGI的消息称,考虑到自身 21日,来自研究公司ITGI的消息称,考虑到自身 数据的安全性,很多公司正在控制云计算方面的投资。在参 与调查的21家公司的834名首席执行官中,有半数的官员称, 与调查的21家公司的834名首席执行官中,有半数的官员称, 出于安全方面的考虑,他们正在延缓云的部署,并且有三分 出于安全方面的考虑,他们正在延缓云的部署,并且有三分 之一的用户正在等待。 之一的用户正在等待。 由于云计算环境下的数据对网络和服务器的依赖,隐私问题 尤其是服务器端隐私的问题比网络环境下更加突出。客户对 尤其是服务器端隐私的问题比网络环境下更加突出。客户对 云计算的安全性和隐私保密性存在质疑,企业数据无法安全 云计算的安全性和隐私保密性存在质疑,企业数据无法安全 方便的转移到云计算环境等一系列问题,导致云计算的普及 难以实现。
6
云计算面临的安全挑战云计算面临的安全挑战-2/4
云计算的特点
数据和服务外包 (1)隐私泄露 (2)代码被盗 (1)信任关系的建立、管理和维护更加困难; 信任关系的建立、管理和维护更加困难; (2)服务授权和访问控制变得更加复杂; 服务授权和访问控制变得更加复杂; (3)反动、黄色、钓鱼欺诈等不良信息的云缓冲 )反动、黄色、钓鱼欺诈等不良信息的云缓冲 (4)恶意 )恶意SaaS应用 应用 虚拟化 (1)用户通过租用大量的虚拟服务使得协同攻击变得 更加容易,隐蔽性更强; 更加容易,隐蔽性更强; (2)资源虚拟化支持不同租户的虚拟资源部署在相同 的物理资源上,方便了恶意用户借助共享资源实施侧通 的物理资源上,方便了恶意用户借助共享资源实施侧通 道攻击。 道攻击。
17
云计算安全技术-数据隐私保护云计算安全技术-数据隐私保护-3/4
18
19
云计算安全技术-数据隐私保护云计算安全技术-数据隐私保护-4/4
20
云计算安全技术-虚拟机安全云计算安全技术-虚拟机安全-1/3
(1) 多虚拟机环境下基于 多虚拟机环境下基于Cache的侧通道攻击的实现 的侧通道攻击的实现 (2) 基于行为监控的侧通道攻击识别方法 (3) 基于VMM的共享物理资源隔离算法的研究 基于 的共享物理资源隔离算法的研究 (4) 侧通道信息模糊化算法的研究与实现 21
22
云计算安全技术-虚拟机安全云计算安全技术-虚拟机安全-3/3
23
设计适合虚拟环境的软件防火墙
选择NAT技术作为虚拟机的接入广域网 技术作为虚拟机的接入广域网(WAN)技术。 技术。 选择 技术作为虚拟机的接入广域网 技术 每个虚拟机在宿主机上都有其对应的一个虚拟网卡, 每个虚拟机在宿主机上都有其对应的一个虚拟网卡,所有的虚拟机 网卡通过NAT技术连接在一起, 技术连接在一起, 网卡通过 技术连接在一起 选择宿主机的虚拟网卡与虚拟机的网卡(eth0)连接的主干道路作为关 选择宿主机的虚拟网卡与虚拟机的网卡 连接的主干道路作为关 键路径, 键路径,并在该路径上布置防火墙
云计算安全技术-虚拟机安全云计算安全技术-虚拟机安全-2/3
通过在物理机、 通过在物理机、虚 物理机 拟机和虚拟机管理 程序三个方面增加 程序三个方面增加 功能模块来加强虚 拟机的安全, 拟机的安全, 包括云存储数据隔 包括云存储数据隔 离加固技术和 离加固技术和虚拟 机隔离加固技术等 机隔离加固技术等。
安全运维 安全运维是指在安全策略的指导下,安全组 织利用安全技术来达成安全保护目标的过程。 主要包括安全事件监控、安全事件响应、安 全事件审计、安全策略管理、安全绩效管理、 安全外包服务。安全运维与IT运维相辅相成、 互为依托、共享资源与信息,它与安全组织 紧密联系,融合在业务管理和IT管理体系中。
图1A 云计算系统的体系框架
图1B 云计算安全架构 13
云计算安全技术-动态服务授权与控制云计算安全技术-动态服务授权与控制-1/2
14
云计算安全技术-动态服务授权与控制云计算安全技术-动态服务授权与控制-2/2
15
云计算安全技术-数据隐私保护云计算安全技术-数据隐私保护-1/4
16
云计算安全技术-数据隐私保护云计算安全技术-数据隐私保护-2/4
企业信誉
企业信誉对于任何一个竞争领域的企业来讲都是至关重要 的。一般来讲,越大的企业对于自身信誉越看重,不会因为 利益去窃取客户的数据。
合同约束
目前已经有很多云计算服务提供商退出了自己的云计算服 务的服务水平协议,这些协议从服务质量、技术支持和知识 产权等方面对服务进行了规范,对服务提供者与使用者的权 利和义务进行了明确。
(1) 加密字符串的精确检索
基于离散对数的密文检索技术 基于Bilinear Map的密文检索技术
(2) 加密字符串的模糊检索
基于BloomFilter的密文检索技术 基于矩阵和向量变换的密文检索技术
(3) 加密数值数据的算术运算
基于矩阵和向量变换的密文计算技术 含加/减/乘/除运算
(4) 加密数值数据的排序运算
在虚拟机上部署一 个精灵程序, 个精灵程序,用于 监控虚拟机的文件 系统, 系统, 拦截恶意数 据与程序
24
云计算安全技术-法律法规云计算安全技术-法律法规-1/1
云计算应用模式下的互联网安全的法律与法规问题。 云计算平台的安全风险评估与监管问题。
25
云计算安全的非技术手段
第三方认证
第三方认证是提升信任关系的一种有效手段,即采用一个 中立机构对信任双方进行约束。
战略和治理框架 风险管理框架 合规和策略遵从
安全运维
安全事件监控 安全策略管理 安全事件响应 安全绩效管理 安全事件审计 安全外包服务
基础安全服务和架构
物理安全 机房安全 视频监控 安全 基础架构安全 网络安全 主机安全 终端安全 应用安全 应用开发生命 周期安全 业务流程 安全 Web 应用安全 应用开发环境 安全 数据安全 数据生命 周期管理 数据泄露 保护 数据加密 数据归档 灾难备份 身份/访问安全 身份验证 访问管理 身份生命周 期管理
11
云计算安全的技术手段
目前的技术可以避免来自其他用户的安全威 胁,但是对于服务提供商,想要从技术上完 全杜绝安全威胁还是比较困难的,在这方面 需要非技术手段作为补充。 一些传统的非技术手段可以被用来约束服务 提供商,以改善服务质量,确保服务的安全 性。
12
云计算的安全体系云计算的安全体系-1/1
Байду номын сангаас
10
云计算安全的技术手段
安全性要求
数据访问的权限控制 数据运行时的私密性 数据在网络上传输的私 密性 数据完整性 数据持久可用性 数据访问速度
对其他用户
存储隔离 虚拟机隔离、操作系统 隔离 传输层加密 数据检验
对服务提供商
存储加密、文件加密 操作系统隔离 网络加密
数据备份、数据镜像、分布式存储 高速网络、数据缓存、CDN
安全威胁
多租户和跨域共享
7
云计算面临的安全挑战云计算面临的安全挑战-3/4
实际上,对于云计算的安全保护,通过单一的手段 实际上,对于云计算的安全保护, 是远远不够的,需要有一个完备的体系, 是远远不够的,需要有一个完备的体系,涉及多个 层面,需要从法律 技术、监管三个层面进行 法律、 三个层面进行。 层面,需要从法律、技术、监管三个层面进行。 传统安全技术, 加密机制、安全认证机制、 传统安全技术,如加密机制、安全认证机制、访问 控制策略通过集成创新 通过集成创新, 控制策略通过集成创新,可以为隐私安全提供一定 支撑,但不能完全解决云计算的隐私安全问题。 支撑,但不能完全解决云计算的隐私安全问题。 需要进一步研究多层次的隐私安全体系 模型)、 隐私安全体系( 需要进一步研究多层次的隐私安全体系(模型)、 全同态加密算法、动态服务授权协议、 全同态加密算法、动态服务授权协议、虚拟机隔离 与病毒防护策略等 与病毒防护策略等,为云计算隐私保护提供全方位 的技术支持。 的技术支持。
26
主要内容
云计算的特征与安全挑战 云计算面临的安全挑战 云计算的安全体系与关键技术 云计算的安全体系与关键技术 基础架构云安全框架 云计算安全实验平台 进一步的研究工作建议
27
IBM信息安全框架 IBM信息安全框架
目前,绝大多数企业在信息安全建设过程中都面临着各种各 样的挑战,从规划、管理,到技术、运作不一而足。例如, 没有总体的信息安全规划,安全防御呈碎片化;安全意识不 到位,经常在受到攻击甚至造成损失后才意识到问题,安全 建设受具体事件驱动;企业应对经济不景气所采取的裁员策 略有可能将部分风险由外部转化到内部;安全体系的法规遵 从问题日益突出…… 遵循IBM企业信息安全框架的方法论与实施原则,企业可以 从根本上解决上述种种难题,因为企业信息安全框架正是用 于指导企业或组织如何根据业务需要,明确风险状况与安全 需求、确立企业信息安全架构蓝图及建设路线图,并选择相 应的安全功能组件。所以,通过这一框架,企业可以全面理 解,并从整体上对信息安全进行把控。
31
IBM信息安全框架 IBM信息安全框架
基础安全服务和架构 基础安全服务和架构定义和包含了企业安全 框架中的五个核心的基础技术架构和相关服 务:物理安全、基础架构安全、身份/访问安 全、数据安全和应用安全。基础安全服务和 架构是安全运维和管理的对象,其功能由各 自子系统提供保证。
32
企业信息安全框架V5.0 安全治理、风险管理和合规
28
IBM信息安全框架 IBM信息安全框架
IBM企业信息安全框架从上到下由三个主要层次组成: 安全治理风险管理及合规层、安全运维层、基础安全服 务和架构层。其中安全治理风险管理及合规层是后两者 的理论依据,安全运维层是对信息安全全生命周期的管 理,而基础安全服务和架构层则是企业安全建设技术需 求和功能的实现者。 三个层次 安全治理、 安全治理、风险管理和合规 安全运维 基础安全服务和架构