颐卓咨询
颐卓咨询总公司
  • 关注微信
  • 公司总机: 020-38860656
    业务咨询: 134 339 33194
    【颐卓咨询集团】020-38860656专业提供ISO认证咨询、管理咨询、培训辅导服务,集团经过超15年发展及管理沉甸,聚集100余名各行业专业精英咨询团队。颐卓咨询本着"专业诚信,一心为客户提升管理水平"的服务理念,发展成为华南地区规模最大的咨询机构之一!
    有目标、沉住气、踏实干。拒绝喧嚷、拒绝浮躁、拒绝摆秀、拒绝浮名、拒绝速成,慢慢地蓄深养厚,最终把事业搞辉煌,把自己搞平淡。
    真诚沟通,互动双赢
    新闻动态
    NEWS CENTER
     
    N 新闻中心 News center 最专业的品牌服务,为您创造更高的价值

    云端时代七项信息安全关注点

    来源: 网络
    日期: 2020-07-10
    浏览次数: 111


    随着网络基础建设更加完善、资料传输速度的提升,及云端资料存取的便利性,都加速云端服务的普及,包括 Google、Dropbox、Amazon 等厂商也都竞相推出相关云端服务,使用云端进行资料分享、协作及保存,也成为日常生活中重要的一环。


    为何企业都爱用云端服务?


    企业之所以使用云端服务,主要着眼于 成本降低、布署弹性、提升效率 等三大特性,透过外部厂商提供的云端服务,不仅可降低企业购置 IT 设备的资本支出 ( Capital Expenditure ),也不必提列设备折旧的费用,实现企业轻量级资产的经营模式外,也连带助攻了网络电商等各种新创企业的发展性。


    以美国国家标准技术研究所(National Institute of Standards and Technology,以下简称 NIST ) 对云端运算的定义而言,是一个透过网络存取的“资源共享池”,它可让使用者便利且弹性地依照自身需求,向服务供应商取得所需的硬件或软件资源,如网络、服务器、储存设备、应用程序和服务等等。


    云端三大服务模式: SaaS、PaaS、IaaS


    根据 NIST 的定义,云端模式共分为 3 项:


    一、软件即服务 SaaS(Software as a Service , SaaS)

    SaaS 常见范例象是 Gmail、Google 行事历、Office 工具、ERP 系统,使用的对象多为“一般大众”。用户只需透过网络、登入帐户,不论你在何处,使用的是自己或亲友的手机、平板计算机等行动装置,便可连接至云端服务提供者的网页,存取资料,且无须购买、安装、更新、维护任何硬件或软件。


    二、平台即服务 PaaS(Platform as a Service, PaaS)

    PaaS 的典型例子为 Google APP Engine、Microsoft Azure,使用的对象多为“软件开发工程师”。藉由云端服务供应商提供的运算平台或解决方案,包括服务器、储存空间、作业系统、程序语言、数据库等服务,用户端可进行软件或应用程序的开发、测试、管理、营运,却不用负起云端基础设施的建造与维护,只需要控管所在的主机组态即可。


    三、基础设施即服务 IaaS( Infrastructure as a Service, IaaS)

    IaaS 代表性的服务为 Google Drive、Microsoft Azure、Amazon EC2,使用的对象多为“IT 管理人员”。供应商提供云端运算服务所需的设备,例如服务器、云端硬盘储存等,让用户能够使用各种基础运算资源,用多少、付多少,且不需维修或更新基础设施,仅需控制其作业系统、储存装置,或是有限制地控制防火墙,负载均衡器等网络组件。


    七项云端信息安全新标准关注点


    国际标准 ISO / IEC 27017 ( 云端服务之信息安全管理 ) 已于 2015 年正式发布,它是在 ISO / IEC 27002 条款 5 ~ 18 的控制措施上,额外补充、增加与云端相关的控制措施指引。


    ISO / IEC 27017 引用 ISO / IEC 27002 的 37 个控制措施,提供“云端服务客户”( CSC ) 和“云端服务提供商”( CSP ) 在云端信息安全上的相关指南,并针对云端相关信息安全威胁 ( threats )与风险 ( risks ) 等考量面向,额外新增 7 个延伸的安全控制措施,内容分别罗列如下:


    CLD.6.3.1 在云端运算环境内共享的角色和责任 ( Shared roles and responsibilities within a cloud computing environment )

    CLD.8.1.5 云端服务客户资产的移除 ( Removal of cloud service customer assets )

    CLD.9.5.1 虚拟运算环境的区隔 ( Segregation in virtual computing environments )

    CLD.9.5.2 虚拟机器的强化 ( Virtual machine hardening )

    CLD.12.1.5 管理者的操作安全 ( Administrator’s operational security )

    CLD.12.4.5 云端服务的监视 ( Monitoring of Cloud Services )

    CLD.13.1.4 虚拟和实体网络安全管理的一致性 ( Alignment of security management for virtual and physical networks )


    如果企业、其他单位组织或客户的资料皆存放在同一台机器设备上,一旦其中一家公司或用户发生信息安全意外,此时就非常可能波及自家企业的各类资料。因此,ISO / IEC 27017 强调在多租户 ( multi-tenancy ) 的环境下,必须确保用户间的 资料安全、网络区隔及存取权限控制 等管理无虞。如同百货公司提供场地给各大专柜进驻时,除了提供水电、空调等基础营业环境,更应提供清楚的专柜位置或实体隔间墙,以确保各家专柜内的资产、产品不致遗失或混淆。


    善用云端科技 更要注意安全措施


    如同广受推崇的订阅经济模式,云端服务可为云端供应商带来持续性的营收,取代过去一次卖断的商业模式;对云端使用者而言,除了能够“以量计价”( 亦即“用多少付多少”),还可弹性地配置资源,不用在一开始就投入大量建构软硬件的成本。


    总的来说,在云端服务发展不可逆的趋势下,虽然可能会衍生相关风险,但若能参考国际标准 ISO / IEC 27017 的指引,云端服务提供商和使用者间以书面化签订协议或合约,载明双方权责义务,双方也提早做好相对应的管控措施,确保资料存取获得完善保护,同时了解“GDPR 资料跨境传输规范”等特定产业的法规、避免违法,云端科技将有助于企业研发更具前瞻性与创新力的产品及服务,成为公司持续成长的下一波动力来源。


    公司地址:中国 · 广州市番禺区兴南大道421号南村壹号大厦608室

    热线电话:020-38860656

    体系认证:13822209696

    课程培训:020-38860656

    公司邮箱:1197097228@qq.com

    版权所有:www.chinakec.com广州市颐卓企业管理咨询有限公司
    地址:广州市番禺区南村镇兴南大道421号南村壹号大厦608室
    X
    3

    SKYPE 设置

    4

    阿里旺旺设置

    5

    电话号码管理

    • 020-38860656
    6

    二维码管理

    展开