首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

信息安全技术 计算服务安全指南

声明本文是学习GB-T 31167-2014 信息安全技术 计算服务安全指南....计算的风险管理5.1概述计算作为一种新兴的计算资源利用方式,还在不断发展之中,传统信息系统的安全问题在计算环境中大多依然存在,与此同时还出现了一些新的信息安全问题和风险。...从已通过安全审查的服务商中选择适合的服务商。客户需承担部署或迁移到计算平台上的数据和业务的最终安全责任;客户应开展计算服务的运行监管活动,根据相关规定开展信息安全检查。 第三方评估机构。...信息安全管理责任不应随服务外包而转移,无论客户数据和业务是位于内部信息系统还是服务商的计算平台上,客户都是信息安全的最终责任人。 资源的所有权不变。...承载客户数据和业务的计算平台应按照政府信息系统安全管理要求进行管理,为客户提供计算服务的服务商应遵守政府信息系统安全管理政策及标准。 坚持先审后用原则。

2.1K51

社交网络信息安全:规避计算风险

计算风险 安全及数据保护上的顾虑已成为计算服务普及化的绊脚石,尤其是关于资料保密性、完整性及法规遵循合规性,还有营业保密数据保护等顾虑。...因为服务是罔步提供多个客户服务,权限或授权滥用所造成的损失会比一般的信息服务更为严重。 6....滥用计算:隐藏于计算背后的注册信息及服务( 特别是在公共)使用匿名的做法,不但让犯罪者利用强大并可延展的E 资源从事活动,也不容易定罪。...计算用户应采用以下 7 个主要防范措施,来预防或降低安全上的风险。 1....此外,最佳密钥管理做法应采用下列规则: 最佳密钥管理做法 管理者不能接触密钥 不可以明文发布密钥信息 不同的人进行密钥管理时应有不同的身份验证 提供安全防御措施保护暂存密钥 安全的密钥存档及复制的机制

1.4K61
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    信息安全技术 计算服务安全指南》国家标准意见稿

    信息安全技术 计算服务安全指南》国家标准意见稿,本文件给出了本标准提出了党政机关及关键信息基础设施运营者采用计算服务的安全管理基本要求,明确了采用计算服务的生命周期各阶段的安全管理和技术措施。...本标准为党政机关及关键信息基础设施运营者采用计算服务,特别是采用社会化的计算服务提供全生命周期的安全指导,适用于党政机关及关键信息基础设施运营者采购和使用计算服务,也可供其他企事业单位参考。...特别是党政机关及关键信息基础设施运营者采用计算服务,尤其是社会化的计算服务时,应特别关注安全问题。...本标准指导党政机关及关键信息基础设施运营者做好采用计算服务的前期分析和规划,选择合适的服务商,对计算服务进行运行监管,考虑退出计算服务和更换服务商的安全风险。...本标准指导党政机关及关键信息基础设施运营者在计算服务的生命周期采取相应的安全技术和管理措施,保障数据和业务的安全安全地使用计算服务。

    1.2K50

    走好未来之路 剖析计算五大信息安全瓶颈

    虽然计算的优势很明显,但计算同样存在许多的问题,尤其是那些牵涉敏感信息安全防护的问题,更是受到了许多人的“诟病”。计算到底有哪些不稳定因素,它的发展瓶颈又有哪些?...下面就让信息安全领域的专家山丽网安来告诉您吧。...瓶颈之中的瓶颈 数据安全如何防护 虽然以上五条是限制计算发展的主要障碍,但有一个障碍可以说是在所有现代信息技术发展中“常态”存在的——那就是数据的安全防护问题。...再者由于加密防护特殊性,使得数据即使泄露了,加密防护依然存在,只要算法不被破译,数据和信息仍然可以称作是安全的。由于这两点保证,使得加密软件成为了现代企业防护信息安全的最主要和最可靠的手段。...总而言之,计算安全问题确实存在不少,所以人们对于计算是否安全仍较为担心。不过现实也不总是那么残酷的,事实证明,企业在使用计算之后又大量的数据迁移工作单发生数据泄漏和被窃的情况仍然是少数。

    1.1K50

    首席信息安全官如何利用计算基础设施授权管理实现多云安全

    首席信息安全官通常决定采用基于资源可用性改进和可用的创新的多云策略,因为这有助于企业更有效地满足合规性要求,并在与计算供应商的谈判中获得更大的议价优势。...一些首席信息安全官表示,多云是避免供应商锁定的好方法,大型企业也希望在全球业务中获得更高的市场覆盖率。 采用多云需要在每个实例和平台上强制执行最低特权访问。...这就是为什么首席信息安全官需要关注计算基础设施授权管理(CIEM)的主要原因之一。 CIEM的定义 Gartner公司将CIEM定义为一种SaaS解决方案,通过监控和控制授权来管理计算访问。...由于每个计算供应商仅为其平台和技术栈提供安全性,首席信息安全官和他们的团队需要识别和验证最佳的特权访问管理(PAM)、身份识别与访问管理(IAM)、微分段、多因素身份验证(MFA)应用程序和平台,这些应用程序和平台可以应用在其他计算提供商提供的平台上...CrowdStrike公司产品管理和云安全高级总监Scott Fanning说:“现有的云安全工具不一定能解决计算基础设施的特定方面的问题。

    67330

    计算“巨头”AWS如何应对计算安全威胁

    点击“博文视点Broadview”,获取更多书讯 在信息时代,计算是基础。计算产业从2006年到现在已经进入发展的第二个十年,已成为传统行业数字化转型升级、向互联网+迈进的核心支撑。...而随着越来越多的价值和使命由计算来承载和支撑,计算安全已成为影响国家安全、社会稳定、行业安全、企业安全,以及个人的人身安全、财产安全、隐私保护等方方面面的大事,而且与我们每个人的日常生活息息相关。...本书主要内容 本书将计算安全能力建设对应到NIST CSF中,从计算安全能力建设的角度由浅入深地总结计算安全产业实践的基本常识、云安全能力构建的基础实验与计算产业安全综合实践。...在简单介绍基本原理的基础上,以计算应用安全能力建设为主,重点介绍在云安全能力建设中的典型案例与实验。...亚马逊权威作者 领域专家力荐 ▼ 本书内容全面、有深度,且层层递进,非常适合从事计算相关行业的人员,以及高等院校信息安全和云安全相关专业的学生。

    86710

    计算时代的安全风险

    计算之前,企业在内部服务器甚至文件柜上来存储他们的信息。现在,很多云服务提供商(CSP)依靠第三方平台来容纳和保护他们的信息。由于需要存储大量的数据,公司在这些平台提供的服务器上租用时间更便宜。...对于处理重要客户信息(无论是合同、财务记录或应用程序)的CSP,他们需要确信这些信息安全的,不受黑客窥探。...许多第三方平台提供强大的安全层,但如果代码不好,没有正式的程序显示他们在应用程序安全性方面很强,用户应该重新评估他们的。...辨别并投向一个安全提供商 随着企业在云端寻找能够容纳敏感信息的平台,他们必须寻求一个承诺了安全服务的提供商。保护有价值的信息应该是任何平台的企业核心价值观,也是任何技术线路图的核心要素。...好处如下: ☘ 强大的安全和合规性策略,计算公司有专门的安全部门,每年花费数千万美元使得技术领先于黑客 ☘ 所有文档的中央存储库,索引,分类,且容易找到 ☘ 简化合同和其他重要内容的可访问性

    1.9K30

    计算安全还是更不安全

    此次事件后,专家疑苹果iCloud云端系统漏洞被黑客利用,对此观点苹果公司始终否认iCloud有安全隐患。即便是被很多安全专家诟病的未限制登录次数的安全机制也被苹果否认。...iCloud系统由于多项安全防护措施不完善,存在未对用户登录尝试次数进行限制,以及安全码过短等隐患,导致iCloud系统被成功破解。...在近日的乌云首届安全峰会上,乌云主站负责人“疯狗”认为,黑客通过收集网络上已泄露的用户名及密码信息,生成对应的“字典表”,到其他网站尝试批量登录,得到一批可以登录的用户账号及密码。...在明星照片泄漏事故后,各大媒体和业内专家都在纷纷质疑云计算[注]的安全性。很多资深计算评论家都表示,“我早就告诉过你,计算存在危险!”并期望这个世界回到内部部署解决方案。...同时,有相当一部分人始终持此种观点:1)计算从未被标榜为完全安全;2)计算将会继续发展壮大。安全并不是卖点,功能和价格才是卖点。

    1.3K50

    计算安全风险:你的行业安全吗?

    信息安全解决方案并非万能,在制定计划前,你需要将行业特性考虑在内。 涉及到企业部署带来的安全风险及危险时,更是如此。...正因如此,CloudLock的第四季度网络安全报告中提到了八个不同行业的计算威胁以及预防措施。 首先,让我们看下共同的趋势。...零售业,高等教育,K-12教育,政府,科技,金融服务,制造业,医疗行业都面临着以下的隐忧: 1:账号被盗 2:恶意软件 3:数据过度暴露 4:个人身份信息(PII)及支付卡信息(PCI)数据泄露 5:...协作 也许企业能做的最简单的保护计算用户的是保护他们的证书,即他们的账号密码。...高等教育 高等教育计算中,保护学生信息及内容是最优先考虑的事。PII是最大隐忧,PCI紧随其后,分别占77%和61%。

    2.1K81

    计算安全威胁集中营

    安全联盟是中立的非盈利世界性行业组织,致力于国际计算安全的全面发展,也是计算安全领域的权威组织。...计算内部的资源不再是由某个用户独享,而是几万、几十万甚至更多互相不认识的用户共有,当然也包含一些恶意用户,这些用户可以轻而易举进入计算内部,窃取私密信息。...传统划分安全域做隔离已经行不通了,哪里有计算提供的服务,哪里就需要安全安全防护要贯穿到整个计算的所有环节,这无疑将提升计算安全部署的成本,即便这样防御效果还不见比以前好。...攻击频率急剧增大 正所谓“树大招风”,没有部署计算时,承载信息服务的各个数据中心散列在各处,即便被攻击,受影响的面都不会太大。...解决好计算安全威胁问题,将会为计算的发展打下坚实的基础,让更多的人乐于接受计算,将自己的信息数据安心放到计算应用中来。

    1.9K100

    阻止计算攻击的安全指南

    此外,主要的计算提供商只提供有限的内部部署安全控制措施。这些通常包括安全组、Web应用程序防火墙和日志流。但是,这些安全控制措施本身不足以抵御网络攻击和高级持续威胁(APT)。...计算安全战略需要解决四个潜在的问题: •从一个平台转到另一个平台:网络攻击者在侵入一个平台环境之后,其目标可能是转到另一个平台或在同一计算基础设施中分段的其他系统。...现在还提供了一些新功能,可以解决针对计算环境中的许多挑战,防止网络攻击者移动到任何地方。 广泛的欺骗和更高的可见性 以下最佳实践将使安全团队能够在生态系统中获得更大的可见性和潜在的漏洞。...映射和连接计算服务提供商的高特权用户,并将他们连接到内部部署目录服务中的信息。发现并识别凭证和SaaS应用程序的缓存连接,以及来自授权部门的SaaS应用程序的凭证信息的存在。...这为安全团队提供了计算内部和外部的全面可见性和修复能力。 •创建监视和补救规则:实施程序以确定应用于计算用户和应用程序的配置错误或保护层不足,并纠正这些违规行为。

    82220

    计算时代,云安全面临的安全风险

    作为重要的数字技术之一,计算可以帮助企业提高效率、降低数据中心运维成本等,与此同时,企业使用基于的服务时的安全性也逐渐受到关注。 下面是三个在计算大环境下,云安全面临的风险。...如今,越来越多的国家将云安全列为国家安全的重要工作,因为平台承载了大量的核心数据,这些数据甚至关乎到国家的经济发展、安全,有的国家就会打压他国的厂商的发展。...企业上后的风险 企业上后,面临的安全风险是很大的。在复杂的环境下,配置出现错误、AK特权凭证泄露、厂商对一些产品的信任等问题都有可能导致企业陷入云安全风险。...上后,企业的基础设施会面临网络安全、应用安全、数据安全和系统安全风险,一旦安全防护被攻破,攻击者就会进入企业的基础设施盗取企业数据,这将对企业的发展造成灭顶之灾。...如何做好企业使用计算后的安全的评估,成为了企业上前的重要一环。接下来,企业在计算服务安全评估中,应当做好事前评估与持续监督,才能保障安全与促进应用相统一。

    1.3K20

    计算机基础:信息安全相关知识笔记

    可控性:可控制授权的范围内的信息流向以及行为方式。可审查性:可以对出现的信息安全问题提供调查的依据。2、信息的存储安全2.1 用户的标识与认证用户的标识与认证主要是限制访问系统的人员。...存储控制是对所有的直接存取活动通过授权进行控制以保证计算机系统安全保密机制,是对处理状态下的信息进行保护。方法如下:1、隔离控制法:在电子数据处理成分的周围建立屏障,以便在该环境中实施存取规则。...2.4 计算机病毒的防护计算机病毒的特性:隐蔽性、传递性、潜伏性、触发性、破坏性。计算机病毒防护的日常要注意的问题1、经常从官网安装安全程序补丁和升级杀毒软件2、定时查杀敏感文件。...5、选择安全经过安全认证的防病毒软件、定期查杀。6、启用防火墙,可以大大提高系统的安全性。7、计算机不使用的时候,要断网。8、重要的计算机系统和网络一定要严格与因特网物理隔离。...3、计算信息安全保护等级介绍第一级:用户自主保护级C1通过隔离用户和数据,使用户具备自主安全保护的能力。

    29020

    计算发展惹质疑 安全厂商竞逐“云安全

    人无信不立,同样如此。不久之前发生的支付宝故障和携程官网瘫痪等事件再次将信息安全推至风口浪尖。技术从来都是把双刃剑,在提高生产力的同时,也使得安全更为脆弱。 这一点在计算领域表现的尤其明显。...早在2010年5月,埃森哲与中国电子学会共同发布的一份名为《中国计算发展的务实之路》的报告指出,“安全问题是全球对计算最大的质疑。...而这种担忧在中国尤为突出,以至于首席信息官们如履薄冰,特别是面对公有服务时。” 阿里巴巴集团安全部资深专家魏兴国表示,当前计算面临着非常恶劣的网络环境。...“未来,安全产品将逐步软件化,特别是随着NFV和SDN的逐步应用,安全产品就更多以软件形式存在。”上述中国联通计算公司的专家向记者表示。 计算的发展推动了大数据的应用。...谭晓生表示,服务不是零和博弈,计算的复杂性超出了一家企业的掌控能力;安全威胁是计算产业链中所有人的敌人。“因此,只有合作才能共赢,赢得云安全。”他说。

    1.3K70

    如何展现计算安全领导力

    网络安全计算技术领域专家就如何有效展现计算安全领导力分享了一些见解和体会。 ? 展现云安全领导力时需要考虑什么?...Netskope公司EMEA地区首席信息安全官Neil Thacker表示:“企业决策者可以通过获得对计算的真正了解对其组织真正意义的全面可见性和洞察力,来证明其在组织中的云安全领导地位。...这些风险中的许多都可以通过一些基本原则来克服,例如保护每个计算服务、确保与每个服务的连接安全、对每个服务应用威胁和数据保护,以及最终确保计算安全的消费者(即员工)有一个安全和高性能的网络来访问这些服务...也就是公共提供商负责计算基础设施安全,企业负责应用程序和系统等其他事项的安全,从这个意义上讲,没有‘云安全’这个单一的概念。...Red Hat公司首席安全架构师Mike Bursell说:“有时候不必展现领导能力,因为已经掌握了一切。”一般而言,自动化为计算的应用提供帮助,而计算安全性也必须实现自动化。

    53830

    计算安全扩展要求标准应用实践

    所以说《基本要求》已经从原来的单一部分标准进化为“1+N”的多部分标准,“1”代表安全通用要求,也就是说这部分要求是所有等级保护对象都要满足的最基本的部分,是存在共性的要求,无论是传统信息系统还是计算系统...计算系统边界划分方法与传统信息系统边界划分存在不同,在介绍计算系统边界划分方法之前,我们先来看看传统信息系统的边界划分方法是怎样的。 这里我们举一个例子。 ?...计算系统定级过程中还有几点注意: 1.应根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,原则上应不低于其承载的等级保护对象的安全保护等级 2.国家关键信息基础设施(重要计算平台)的安全保护等级应不低于第三级...然后我们参考标准附录中“服务商与服务客户的责任划分表”中给出的参考,找到潜在的安全组件,在根据标准附录中“计算平台及服务客户业务应用系统与传统信息系统保护对象差异表”中云计算系统保护对象举例,确定这个提供...如:服务客户业务应用系统测评得分为85分,计算平台得分为90分,则服务客户业务应用系统等级测评报告得分栏填写“(85,90)”。 来源:公安部信息安全等级保护评估中心  张振峰

    3.1K30

    计算容器安全性知多少

    随着Docker的崛起,Linux LXC以及其他的容器供应商已经多次提出了计算容器技术对于企业应用是否具有足够安全性的问题。...然而,由于其性能方面的优势是显而易见的,因此业内对于容器技术的安全性并未多做讨论。 ? 什么是计算容器? 容器技术在很多方面都不同于诸如VMware和VirtualBox这样的技术。...这样一来,计算容器就成为了受计算供应商安全性程序垂青的组件。例如,Docker就与所有的主要计算服务供应商有着一个合作伙伴关系,如亚马逊、微软以及谷歌等。...计算容器技术的安全性问题 容器技术的最大问题在于,它们缺少一个像虚拟机所拥有的安全边界。从理论上来说,如果一名黑客能够在底层操作系统中找到一个漏洞,那么他就同样可以利用这个漏洞来获得访问容器的权限。...对于计算供应商和计算用户来说,这个问题都有可能是灾难性的。所以,容器技术的部署需要深思熟虑。 容器的另一个问题是实际的创建过程。

    1.2K40

    信息安全度量:什么是要收集的

    ——CISO们也在寻找能够高效度量基于战略目标的控制的方式,并且汇报这些发现。 如果没有深入风险和花费,以及高官们实际关心的其他信息安全度量的仪表盘,那么怎么才能正确度量上的安全运维呢?...缓慢但坚定地,IT部门正在调整安全控制(文档化的流程)和架构模型来适应公有和私有环境里的信息系统。...随着预防性的,检测性的和响应式的控制正在进入混合模型,CISO们现在必须思考里的管控以及新的信息安全度量标准,为了内部跟踪以及服务级别协议(SLA)。...有一些监控活动,信息安全度量基本上都在内部数据中心和里。机会在于引入环境的安全工具能够大量抓取相同的数据,并且提供目前收集的任何信息安全度量。...花费还可能包括认证和加密服务,以及为这些环境提供控制的其他服务。安全团队不能忽略使用的财务和预算方面,因为信息安全控制和服务现在已经是部署和运维的不可缺少的一部分。

    1.1K50

    行业首批︱腾讯云云镜荣获计算产品信息安全和 CSA CSTR 双证书

    腾讯云安全能力再获业界认可 在本次论坛上,腾讯云云镜主机安全防护系统荣获计算产品信息安全认证证书(SaaS 增强级认证)和 全球顶级认证 CSA CSTR 云安全标准认证证书, 双证书的获得,是通过了公安部第三研究所检测中心联合云安全联盟...(CSA)针对计算产品推出的一种全新测评认证,这种全新的认证模式能够对服务产品本身的安全性与产品提供的安全能力进行测评认证。...02 上用户免安装,自动关联镜防护系统 在腾讯平台,客户新建和购买的服务器自动同步安全策略,用户无需再维护各种安全检测脚本;安全事件可在腾讯的控制台统一管理,省去登录多台服务器的麻烦,无需用户做任何操作...03 轻量化架构,低资源占用 镜采用“+端”防护架构,自研轻量 agent,绝大部分计算和防护在云端进行,充分利用腾讯云和腾讯内部安全产品线积累的海量威胁数据和腾讯平台强大的计算能力,低资源消耗,...End 在过去十多年的互联网业务运营和开发经验中,腾讯云安全已积累了丰富的抗 DDoS 攻击、反入侵、业务安全信息安全、防诈骗等一系列安全能力与技术。

    13.9K30

    计算支持IT安全的12种方式

    计算的共享安全模型规定,例如AWS和Azure等计算服务提供商(CSP)需要负责物理基础设施的安全性。用户自己负责安全使用计算资源。然而,关于共享责任模型存在很多误解,这带来了风险。...以下将了解计算破坏安全性的方式,深入了解安全团队如何利用这些变化,并成功完成保证数据安全的关键任务。...1.计算减轻了一些重大责任 企业在采用计算技术时,可以摆脱获取和维护物理IT基础设施的负担,这意味着企业的安全部门不再对物理基础设施的安全负责。...计算的共享安全模型规定,例如AWS和Azure等计算服务提供商(CSP)需要负责物理基础设施的安全性。用户自己负责安全使用计算资源。然而,关于共享责任模型存在很多误解,这带来了风险。...7.计算安全性与配置错误有关 计算运营完全与计算资源配置有关,其中包括网络、安全组等安全敏感资源,以及数据库和对象存储的访问策略。

    93630
    领券