云安全的基本概念(基本目标与指导方针)

news2024/12/25 12:20:25

目录

一、云安全概念概述

1.1 概述

二、云安全的基本目标

2.1 安全策略开发模型

2.1.1 信息安全三元组

2.1.1.1 保密性(Confidentiality)

2.1.1.2 完整性(Integrity)

2.1.1.3 可用性(Availability)

2.1.2 信息安全三元组的局限性

2.2 其他信息安全属性

2.2.1 真实性

2.2.2 可问责性

2.2.3 不可否认性

2.2.4 可靠性

三、云安全的指导方针

3.1 以最新理念为指导思想

3.1.1 传统网络安全防御

3.1.1.1 传统防御的思路

3.1.1.2 传统防御的缺点

3.1.2 云计算网络安全防御

3.1.2.1 云计算防御理念

3.1.2.2 主动防御

3.1.2.3 诈骗防御

3.1.2.4 面向场景

3.1.2.5 普遍联系

3.1.2.6 智能闭环

3.1.2.7 循证评价

3.2 以专业服务为辅助措施

3.3 以政策法规为达标基准

3.3.1 网络安全和信息化工作座谈会

3.3.2 网络安全法

3.4 以先进技术为创新支撑

3.5 以生命周期为覆盖范围

3.5.1 安全覆盖系统开发生命周期

3.5.2 安全覆盖数据生命周期

3.6 以能力建设为方法模型


一、云安全概念概述

1.1 概述

云安全是云计算安全的简称。云安全的目标是保障在云上运行的各种应用的保密性、完整性、可用性、可审计性、不可否认性等安全目标的满足,同时保证云上数据的保护满足相应的法律、法规、标准以及业务安全要求

二、云安全的基本目标

《信息技术 信息安全 信息安全管理体系概述和词汇》(ISO/IEC 27000—2014)中强调,通常情况下保密性、完整性和可用性被称为信息安全的基本属性。此外,信息安全的目标还可能涉及其他属性,如真实性、可问责性、不可否认性和可靠性等。同时,部署在云环境的数据需要考虑数据的可追溯性和可恢复性来帮助企业提供足够的安全。

2.1 安全策略开发模型

2.1.1 信息安全三元组

信息安全三元组(CIA)是一个著名的安全策略开发模型,用于识别信息安全领域的问题。

2.1.1.1 保密性(Confidentiality)

保密性也称机密性,是指对信息资源开放范围的控制,确保信息不被非授权的个人和计算机程序访问。对于信息系统而言,保密性涉及的范畴非常广泛,它既可以是国家涉密信息,也可以是企业或研究机构的业务数据,还可以是个人的银行账号、身份证号等敏感数据信息。

2.1.1.2 完整性(Integrity)

完整性是指保证信息系统中的数据处于完整的状态,确保信息没有遭受篡改和破坏。任何对系统信息、数据未授权的插入、篡改、伪造都是破坏系统完整性的行为,这些行为可能导致严重的服务欺骗或其他问题。

2.1.1.3 可用性(Availability)

可用性是通过系统、访问通道和身份验证机制等来确保数据和系统随时可用。这就意味着无论什么情况下,都要确保得到授权的实体所访问的信息系统是可用的。增强的可用性要求还包括时效性及避免因自然灾害(火灾、洪水、雷击、地震等)和人为破坏导致的系统失效。

高可用系统的架构就是针对特定的可用性需求进行设计,它能有效地应对断电、硬件故障等问题对可用性的影响。例如,在网络中可使用多个接入链路来避免网络中断,从而很好地应对拒绝服务攻击这类风险。

2.1.2 信息安全三元组的局限性

该模型也有其局限性。CIA三元组关注的重点是信息,虽然这是大多数信息安全的核心要素,但对于信息系统安全而言,仅考虑CIA是不够的,信息安全的复杂性决定了还存在其他的重要因素。

2.2 其他信息安全属性

2.2.1 真实性

真实性是指能够对信息的来源进行判断,能对伪造来源的信息予以鉴别。

2.2.2 可问责性

问责是承认和承担行动、产品、决策和政策的责任,包括在角色或就业岗位范围内的行政、治理和实施以及报告、解释,并对所造成的后果负责。

2.2.3 不可否认性

是指信息交换的双方不能否认其在交换过程中发送信息或接收信息的行为。在法律上,不可否认意味着交易方不能拒绝已经接收到的交易,另一方也不能拒绝已经发送的交易。

2.2.4 可靠性

是指产品或系统在规定的条件下、规定的时间内完成规定功能的能力。

三、云安全的指导方针

3.1 以最新理念为指导思想

3.1.1 传统网络安全防御

3.1.1.1 传统防御的思路

传统防御模型一般都是采用“发现威胁—分析威胁—处置威胁”的思路,并且基于现有的特征库或者规则对网络数据和行为进行过滤,无法有效地发现和阻断新型、未知的网络攻击。

3.1.1.2 传统防御的缺点
  • 传统网络防御存在边界化静态防御容易被绕过、安全组件缺乏联动、检测攻击具有被动性和延迟性等缺点。
  • 传统防御能力主要集中在边界,而对于目标对象内部的安全漏洞和被预先植入的后门等,攻击者能够较容易地穿透静态网络安全技术防御屏障发起攻击。
  • 传统网络安全组件(如防火墙、入侵检测系统、漏洞扫描等外置式网络防护手段)的防御能力是相对固定的,单一的安全组件所能获得的信息有限,不足以检测到复杂攻击。
  • 另外,其防御或检测能力不能动态提升,只能以人工或者定期的方式升级,防护能力的有效性、持续性和及时性主要依赖于安全人员的专业知识以及厂家的服务保障能力。

3.1.2 云计算网络安全防御

3.1.2.1 云计算防御理念

基于云计算的安全防护新理念主要体现在主动防御、诈骗防御、面向场景、普遍联系、智能闭环和循证评价等几个主要方面。

3.1.2.2 主动防御

针对传统网络防御手段存在的问题或缺陷,目前主要采用主动防御或纵深防御思想来构建网络安全防护体系。主动防御是与被动防御概念相对应的一种防御哲学理念,强调主动减少攻击面、通过态势预测来优化防御机制,利用各种技术手段将攻击扼杀在萌芽期,最大化降低信息系统面临的风险。

纵深防御体系是对边界防御体系的改进,强调的是任何防御措施都不是万能的,都存在黑客可以突破的风险。纵深防御的本质就是多层防御,企业组织通过建立纵深防御体系,使得信息系统的各个层次相互联动配合,将多种防御措施结合使用,增加攻击难度;设立多级风险检查点,阻止大多数恶意病毒及威胁的入侵;防御策略方面,管理人员可针对不同类型的威胁进行策略部署及有效防御,最终达到将风险降低到可接受程度的目的。

3.1.2.3 诈骗防御

蜜罐技术是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解它们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。

蜜罐的类型包括仿真Web蜜罐通用Web蜜罐系统服务蜜罐伪装缺陷蜜罐等。基于防护方的角度,通过蜜罐技术结合欺骗伪装手段,实现网络攻防中的主动对抗,及时诱捕、发现、处置、溯源,甚至反制攻击者。但在蜜罐使用过程中,一定要注意其安全性,在最近几年的网络攻防演习中,曾经出现过某些厂商将蜜罐无隔离地直接部署在企业内网,进而使攻击者以蜜罐为跳板渗透进内网的案例。

3.1.2.4 面向场景

不同的业务场景会有不同的差异化安全需求,通用方案落地到具体的业务场景中时必须面向场景进行威胁建模,具体分析面临的安全风险,剖析潜在的安全隐患,通过选取合适的安全控制措施进行有针对性的安全风险管理

3.1.2.5 普遍联系

威胁情报系统通过采用基于神经网络的关联分析技术基于模型推理的关联分析技术基于分布式的关联分析技术对收集到的各类信息进行关联分析,从而得到有价值的威胁信息,诸如MD5、IP、URL、木马样本等。威胁情报是某种基于证据的知识,包括上下文、机制、标识、含义和能够执行的建议,如恶意IP和域名、网络攻击和后门日志信息、恶意程序的注册表信息等,这些知识与资产所面临的已有或酝酿中的威胁相关,可用于对这些威胁或危害的相关决策提供信息支持。

企业的网络安全事件通常具备明显的攻击流程,采用关联威胁情报数据的攻击链分析,可以快速帮助企业定位攻击来源。针对APT攻击威胁情报的各个环节,可利用云端、本地以及客户自建的威胁情报库进行关联分析,对安全事件进行预警和高危安全事件关联,通过威胁情报掌握某些组织的常用IP、惯用攻击方式,选择采取攻击的某一个步骤或多个步骤进行关联,即可快速预判攻击者的目标和范围,提前做好重点区域的安全防控。

3.1.2.6 智能闭环

智能闭环是针对发现的高级威胁事件,可提供对应的安全响应处置策略和任务通报协同各个节点的下一级态势感知分析平台和安全产品实施终止、隔离、取证等的安全手段;它能够快速终止威胁、构建一体化联动防护能力,从而达到减轻安全运维人员工作负担、提升安全运维效率的目的。

2005年,安全信息事件管理(Security Information Event Management, SIEM)应运而生,进而演化成用户/实体行为分析(User and Entity Behavior Analytics,UEBA)终端检测与响应(Endpoint Detection and Response, EDR)、安全编排自动化与响应(Security Orchestration Automation and Response, SOAR)等产品。

Gartner将SOAR定义为:使组织能够收集不同来源的安全威胁数据和告警的技术。SOAR将安全编排和自动化(Security Orchestration and Automation,SOA)、安全事件响应平台(Security Incident Response Platform,SIRP)和威胁情报平台(Threat Intelligence Platform,TIP)这三种技术相融合,这些技术利用人工与机器的组合来执行事件分析和分类,从而根据标准工作流来帮助定义、确定优先级并推动标准化的事件响应活动。

3.1.2.7 循证评价

在安全管理中,最重要的是基于可靠而充分的安全信息做出有效的安全决策。但令人遗憾的是,因安全决策所需的必要安全信息缺失而导致的许多安全管理失败问题经常发生。因此,可以通过确定与安全管理问题密切相关的最佳证据来获得更加有效的安全管理方案

循证实践是基于最佳证据进行有效决策的一种方法,已广泛应用于医学、法学、政策学、教育学、管理学与经济学等领域,并已发展形成数门独立的新学科,如循证医学、循证法学、循证政策学、循证教育学与循证管理学等。

当前许多企业进行网络安全防护时虽然部署了很多安全设备,但仍然存在这些设备有没有很好地基于安全策略和安全控制措施来实现安全防护目标的疑问,此时就需要使用循证评价的方式来验证安全防护效果。

3.2 以专业服务为辅助措施

单纯的网络安全设备、软件并不能带来安全的根本性提升,信息安全保障必须结合专业安全服务专业安全人员指导下的安全制度建设,才能最大化发挥安全资产和系统的价值。

网络安全服务体系是指适应整个安全管理战略的需要,为用户提供覆盖网络安全各个环节全生命周期的解决方案并予以实施的服务,从高端的全面安全体系到细节的技术解决措施,涵盖不同专业和层级的服务团队,并受各类标准规范指导。

3.3 以政策法规为达标基准

3.3.1 网络安全和信息化工作座谈会

2016年4月19日,国家主席在网络安全和信息化工作座谈会发表重要讲话,为我国网络空间安全事业的发展指明了方向。《国家网络空间安全战略》《网络空间国际合作战略》相继出台,为我国网络空间安全发展勾勒了战略指引。

3.3.2 网络安全法

2017年6月1日,《中华人民共和国网络安全法》(简称《网络安全法》,后续提及法律用类似简称方式)正式施行,它为维护国家网络主权提供了法律依据。随着《密码法》、《数据安全法》、《个人信息保护法》、《信息安全技术 网络安全等级保护基本要求》(GB/T 22239—2019)以及《信息安全技术 关键信息基础设施安全保护条例》的颁布实施,这些法律法规对保护社会公共利益,保护公民合法权益、促进经济社会信息化健康发展提出了更高的要求。

3.4 以先进技术为创新支撑

网络攻击日趋分布化、复杂化、自动化,同时,网络安全威胁检测和防御方法面临新变革。一方面,安全监测分析需求由点向面扩展,检测效率、精准度急需提升;另一方面,安全防御需求由被动向主动转化,安全态势感知、主动防御体系得到重视。

诸如基于机器学习和自然语言处理的AI技术,使分析师能够以更高的自信和更快的速度响应威胁、协同分析、全生命周期跟踪安全事件的溯源流程,可极大程度地方便运维人员进行安全威胁排除、攻击链分析、事件溯源,从而提升信息系统的整体安全防御能力。

3.5 以生命周期为覆盖范围

3.5.1 安全覆盖系统开发生命周期

系统开发生命周期涵盖了信息系统的整个生命周期,它是信息系统从产生直到报废的生命周期,周期内一般包括需求分析、系统设计、开发采购、交付实施、运行管理、废弃停用等阶段。需要将安全考虑集成在软件开发的每一个阶段,以减少漏洞,将安全缺陷和风险降低到最小程度。

3.5.2 安全覆盖数据生命周期

基于大数据分类分级和权限安全,构建数据全生命周期的安全治理体系,提供对数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁各环节的安全审计管控

3.6 以能力建设为方法模型

国家标准《信息安全技术 云计算服务安全能力要求》(GB/T 31168—2014)描述了以社会化方式为特定客户提供云计算服务时,云服务商应具备的信息安全技术能力。

该标准分为一般要求和增强要求。根据拟迁移到社会化云计算平台上的政府和行业信息、业务的敏感度及安全需求的不同,云服务商应具备的安全能力也各不相同。该标准提出的安全要求分为10类,分别是系统开发与供应链安全系统与通信保护访问控制配置管理维护应急响应与灾备审计风险评估与持续监控安全组织与人员物理与环境保护等。

中国信息安全测评中心的信息安全服务(云计算安全类)资质认定是对云计算安全服务提供者的资格状况、技术实力和云计算安全服务实施过程质量保证能力等方面的具体衡量和评价。基本能力要求包括组织与管理要求和技术能力要求,后面章节会详细阐述。

好了,本次内容就分享到这,欢迎大家关注《云计算安全》专栏,后续会继续输出相关内容文章。如果有帮助到大家,欢迎大家点赞+关注+收藏,有疑问也欢迎大家评论留言!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1445282.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

CTFshow-WEB入门-信息搜集

web1(查看注释1) wp 右键查看源代码即可找到flag web2(查看注释2) wp 【CtrlU】快捷键查看源代码即可找到flag web3(抓包与重发包) wp 抓包后重新发包,在响应包中找到flag web4(robo…

服务器解析漏洞及任意文件下载

1.服务器文件解析漏洞 文件解析漏洞,是指Web容器(Apache、nginx、iis等)在解析文件时出现了漏洞,以其他格式执行出脚本格式的效果。从而,黑客可以利用该漏洞实现非法文件的解析。 (1) Apache linux系统中的apache的php配置文件在/etc/apac…

PyTorch深度学习实战(26)——多对象实例分割

PyTorch深度学习实战(26)——多对象实例分割 0. 前言1. 获取并准备数据2. 使用 Detectron2 训练实例分割模型3. 对新图像进行推断小结系列链接 0. 前言 我们已经学习了多种图像分割算法,在本节中,我们将学习如何使用 Detectron2 …

openssl3.2 - osslsigncode工程的学习

文章目录 openssl3.2 - osslsigncode工程的学习概述笔记工程库地址工程的编译osslsigncodeM工程文件列表osslsigncodeM工程搭建细节原始工程实现的改动自己封装的包含openssl和curl的实现osslsigncodeM工程命令行的用法备注学学作者怎么对签好的PE进行验签(code sgin)END opens…

视觉开发板—K210自学笔记(二)

视觉开发板—K210 一、开发之前的准备 工欲善其事必先利其器。各位同学先下载下面的手册: 1.Sipeed-Maix-Bit 资料下载:https://dl.sipeed.com/shareURL/MAIX/HDK/Sipeed-Maix-Bit/Maix-Bit_V2.0_with_MEMS_microphone 2.Sipeed-Maix-Bit 规格书下载&…

c语言求多边形面积

多边形有现成的面积公式&#xff0c;直接套用即可。area函数接受两个参数&#xff1a;顶点坐标&#xff0c;顶点个数。 #include <stdio.h> #include <math.h>struct point {int x;int y; };float area(point p[], int n) {int i;float sum 0.0;for (i 0; i <…

专业140+总分410+华南理工大学811信号与系统考研经验华工电子信息与通信,真题,大纲,参考书。

23考研已经落幕&#xff0c;我也成功的上岸华工&#xff0c;回首这一年多的历程&#xff0c;也是有一些经验想和大家分享一下。 首先说一下个人情况&#xff0c;本科211&#xff0c;初试成绩400分。专业课140。 整体时间安排 对于考研&#xff0c;很重要的一环就是时间安排&…

《Python 网络爬虫简易速速上手小册》第10章:未来展望与新兴技术(2024 最新版)

文章目录 10.1 机器学习在爬虫中的应用10.1.1 重点基础知识讲解10.1.2 重点案例&#xff1a;使用机器学习进行自动化内容抽取10.1.3 拓展案例 1&#xff1a;利用深度学习识别复杂的网页结构10.1.4 拓展案例 2&#xff1a;机器学习辅助的动态反反爬虫策略 10.2 处理 JavaScript …

visual studio code could not establish connection to *: XHR failed

vscode远程连接服务器时&#xff0c;输入密码&#xff0c;又重新提示输入密码&#xff0c;就这样循环了好几次&#xff0c;然后会报上述的错误。由于我是window系统&#xff0c;我用cmd&#xff0c;然后ssh */你的IP地址/*发现可以远程到服务器上&#xff0c;但是通过Vscode就不…

数据分析基础之《pandas(8)—综合案例》

一、需求 1、现在我们有一组从2006年到2016年1000部最流行的电影数据 数据来源&#xff1a;https://www.kaggle.com/damianpanek/sunday-eda/data 2、问题1 想知道这些电影数据中评分的平均分&#xff0c;导演的人数等信息&#xff0c;我们应该怎么获取&#xff1f; 3、问题…

《UE5_C++多人TPS完整教程》学习笔记1 ——《P2 关于本课程(About This Course)》

本文为B站系列教学视频 《UE5_C多人TPS完整教程》 —— 《P2 关于本课程&#xff08;About This Course&#xff09;》 的学习笔记&#xff0c;该系列教学视频为 Udemy 课程 《Unreal Engine 5 C Multiplayer Shooter》 的中文字幕翻译版&#xff0c;UP主&#xff08;也是译者&…

关于物理机ping不通虚拟机问题

方法一 设置虚拟机处于桥接状态即可&#xff1a;&#xff08;虚拟机->设置->网络适配器&#xff09;&#xff0c;选择完确定&#xff0c;重启虚拟机即可。 方法二 如果以上配置还是无法ping通&#xff1a;&#xff08;编辑->虚拟网络编辑器&#xff09; 首先查看主机网…

leaflet 显示自己geoserver发布的中国地图

安装vscode 安装 通义灵码 问题&#xff1a; 用leaflet显示一个wms地图 修改下代码&#xff0c;结果如下&#xff1a; 例子代码 <!DOCTYPE html> <html lang"en"> <head><meta charset"UTF-8"><meta name"viewport&q…

《21天精通IPv4 to IPv6》第6天:IPv6的安全配置——如何处理IPv6安全问题?

博主猫头虎的技术世界 &#x1f31f; 欢迎来到猫头虎的博客 — 探索技术的无限可能&#xff01; 专栏链接&#xff1a; &#x1f517; 精选专栏&#xff1a; 《面试题大全》 — 面试准备的宝典&#xff01;《IDEA开发秘籍》 — 提升你的IDEA技能&#xff01;《100天精通鸿蒙》 …

Linux:docker在线仓库(docker hub 阿里云)基础操作

把镜像放到公网仓库&#xff0c;这样可以方便大家一起使用&#xff0c;当需要时直接在网上拉取镜像&#xff0c;并且你可以随时管理自己的镜像——删除添加或者修改。 1.docker hub仓库 2.阿里云加速 3.阿里云仓库 由于docker hub是国外的网站&#xff0c;国内的对数据的把控…

【蓝桥杯Python】试题 算法训练 N车

资源限制 内存限制&#xff1a;256.0MB C/C时间限制&#xff1a;1.0s Java时间限制&#xff1a;3.0s Python时间限制&#xff1a;5.0s 问题描述 给定NN的棋盘&#xff0c;问有多少种放置N个车使他们不互相攻击的方案。 输入格式 一行一个整数&#xff0c;N。 输出格式 一…

机器学习:过拟合和欠拟合的介绍与解决方法

过拟合和欠拟合的表现和解决方法。 其实除了欠拟合和过拟合&#xff0c;还有一种是适度拟合&#xff0c;适度拟合就是我们模型训练想要达到的状态&#xff0c;不过适度拟合这个词平时真的好少见。 过拟合 过拟合的表现 模型在训练集上的表现非常好&#xff0c;但是在测试集…

小程序-上传图片功能

技术前置&#xff1a; 1.框架采用colorUI 2.原生开发 功能&#xff1a; 上传图片 1.上传已经拍摄的图片 2.实时拍摄上传 3.设置上传图片数量&#xff0c;每次上传数量 4.上传等待 ChooseImage() {if(this.data.imgList.length>4){_this.ErrorEvent("最多上传4…

MMKV:轻巧高效的跨平台键值存储解决方案

MMKV&#xff1a;轻巧高效的跨平台键值存储解决方案 引言 在移动应用的开发中&#xff0c;数据存储是一个至关重要的环节。随着移动应用的普及和功能的增多&#xff0c;应用需要存储和管理各种类型的数据&#xff0c;包括用户配置信息、缓存数据、临时状态等。传统的数据存储…

【深度学习每日小知识】全景分割

全景分割 全景分割是一项计算机视觉任务&#xff0c;涉及将图像或视频分割成不同的对象及其各自的部分&#xff0c;并用相应的类别标记每个像素。与传统的语义分割相比&#xff0c;它是一种更全面的图像分割方法&#xff0c;传统的语义分割仅将图像划分为类别&#xff0c;而不…