首页 > 其他分享 >GB/T 35279-2017 信息安全技术 云计算安全参考架构 附录下载地址

GB/T 35279-2017 信息安全技术 云计算安全参考架构 附录下载地址

时间:2023-01-08 22:00:34浏览次数:62  
标签:风险 35279 服务 用户 GB 计算 服务商 2017 数据

声明

本文是学习​​GB-T 35279-2017 信息安全技术 云计算安全参考架构. 下载地址 http://github5.com/view/594​​而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

云计算的安全风险

云计算法律风险

云计算服务具有应用地域广、信息流动性大等特点,信息服务或用户数据可能分布在不同地区甚至不同国家,可能导致组织(例如政府)信息安全监管等方面的法律差异与纠纷;同时,云计算的多租户、虚拟化等特点使用户间的物理界限模糊,可能导致司法取证难等问题。

政策与组织风险

可移植性风险(过度依赖风险)

用户将数据存放在云计算平台,没有云服务商的配合很难独自将其数据安全迁出。因此,在服务终止或发生纠纷时,云服务商可能以删除或不归还用户数据为要挟,损害用户对数据的所有权与支配权。此外,云服务商可以通过收集统计用户的资源消耗、通讯流量、缴费等数据,获取用户的大量信息。对这些信息的归属往往没有明确规定,容易引起纠纷。

云计算服务缺乏统一的标准与接口,导致不同云计算平台上的用户数据与业务难以相互迁移,同样也难以从云计算平台迁移回用户的数据中心。同时,云服务商出于自身利益考虑,往往不愿意为用户的数据与业务提供可迁移能力。这种对特定云服务商的潜在依赖,可能导致用户的业务因云服务商的干扰或停止服务而终止,也可能导致数据与业务迁移到其他云服务商的代价过高。

可审查性风险(合规风险)

可审查性风险是指用户无法对云服务商如何存储、处理、传输数据进行审查。虽然云服务商对云服务的安全性提供技术支持,但最终仍是云服务客户对其数据安全负责。因此,云服务商应满足合规性要求,并应进行公正的第三方审查。

云计算技术安全风险

数据泄露风险

一方面,云服务客户能够在任何地点通过网络直接访问云计算平台;另一方面,云服务商可能控制用户的某些数据。因此,云服务商应提供安全、可靠、有效的用户认证及相应的访问控制机制保护用户数据的完整性与保密性,防止数据泄露与非法篡改。同时,云服务商拥有存储用户数据的介质,用户不能直接管理与控制存储介质,所以用户终止云计算服务后其数据还可能保存或残留在云计算平台上,仍然存在数据泄露风险。

隔离失败风险

在云计算环境中,计算能力、存储与网络在多个用户之间共享。如果不能对不同用户的存储、内存、虚拟机、路由等进行有效隔离,恶意用户就可能访问其他用户的数据并进行修改、删除等操作。

应用程序接口(API)滥用风险

云服务中的应用程序接口(API)允许任意数量的交互应用,虽然可以通过管理进行控制,但API滥用风险仍然存在。

业务连续性风险

业务连续性风险包括但不限于以下方面:

网络性能。例如,“宽带不宽”已成为云计算发展的瓶颈。网络攻ji事件层出不穷、防不胜防,因此由于网络而造成云服务不可用的情况是云服务商无法控制的。

终端风险。在海量终端接入云服务的情况下,终端风险会严重威胁到云服务的质量:此外,如果用户在使用云服务时对云服务中某些参数设置不当,会对云服务的性能造成一定影响。

拒绝服务攻。由于用户、信息资源的高度集中,云计算平台容易成为黑客击的目标,由此拒绝服务造成的后果与破坏性将会明显超过传统的企业网应用环境。

当用户的数据与业务应用于云计算平台时,其业务流程将依赖于云计算服务的连续性,这对SLA、IT流程、安全策略、事件处理与分析等都提出了挑战。另外,当发生系统故障时,应保证用户数据的快速恢复。

基础设施不可控风险

公有云服务商的用户管理接口可以通过互联网访问,并可获得较大的资源集,可能导致多种潜在的风险,使恶意用户能够控制多个虚拟机的用户界面、操作云服务商界面等。

运营风险

云服务商常常通过硬件提供商和基础软件提供商采购硬件与软件,然后采用相关技术构建云计算平台,然后再向云服务客户提供云服务。硬件提供商和基础软件提供商等都是云服务供应链中不可缺少的参与角色,如果任何一方突然无法继续供应,云服务商又不能立即找到新的供应方,就会导致供应链中断,进而导致相关的云服务故障或终止。

恶意人员风险

在大多数情形,任何用户都可以注册使用云计算服务。恶意用户搜索并利用云计算服务的安全漏洞,上传恶意攻代码,非法获取或破坏其他用户的数据和应用。此外,内部工作人员(例如云服务商系统管理员与审计员)的失误或恶意攻更加难于防范,并会导致云计算服务的更大破坏。

GB/T 35279-2017 信息安全技术 云计算安全参考架构 附录下载地址_云计算平台

延伸阅读

更多内容 可以​​点击下载 GB-T 35279-2017 信息安全技术 云计算安全参考架构. http://github5.com/view/594​​进一步学习

联系我们

​DB32-T 3428-2018 桃标准园建设规范 江苏省.pdf​

标签:风险,35279,服务,用户,GB,计算,服务商,2017,数据
From: https://blog.51cto.com/baidu666/5996802

相关文章

  • springboot的配置文件
    springboot为了简化spring,是一个用于方便使用spring的工具今天,这里分享springboot的配置文件一、分类springboot的配置文件有3种,分别以properties,yml,yaml后缀名结......
  • SpringBoot——Swagger2的集成和使用
    前言现在都奉行前后端分离开发和微服务大行其道,分微服务及前后端分离后,前后端开发的沟通成本就增加了。所以一款强大的RESTfulAPI文档就至关重要了。而目前在后端领域,基本......
  • SpringBoot——Redis 的集成和简单使用
    前言在实际工作中,在存储一些非结构化或者缓存一些临时数据及热点数据时,一般上都会用上mongodb和redis进行这方面的需求。所以本文准备讲下缓存数据库Redis的集成,同时会介......
  • SpringBoot——异步开发之异步调用
    何为异步调用说异步调用前,我们说说它对应的同步调用。通常开发过程中,一般上我们都是同步调用,即:程序按定义的顺序依次执行的过程,每一行代码执行过程必须等待上一行代码执行......
  • SpringBoot——异步开发之异步请求
    何为异步请求在Servlet3.0之前,Servlet采用Thread-Per-Request的方式处理请求,即每一次Http请求都由某一个线程从头到尾负责处理。如果一个请求需要进行IO操作,比如访问数据......
  • SpringBoot——定时任务的使用
    前言在JAVA开发领域,目前可以通过以下几种方式进行定时任务:Timer:jdk中自带的一个定时调度类,可以简单的实现按某一频度进行任务执行。提供的功能比较单一,无法实现复杂的调......
  • SpringBoot——日志管理
    SpringBoot在所有内部日志中使用CommonsLogging,但是默认配置也提供了对常用日志的支持,如:JavaUtilLogging,Log4J, Log4J2和Logback。每种Logger都可以通过配置使用控制台......
  • SpringBoot——多环境配置
    多环境配置在开发应用时,常用部署的应用是多个的,比如:开发、测试、联调、生产等不同的应用环境,这些应用环境都对应不同的配置项,比如swagger一般上在生产时是关闭的;不同环境数......
  • SpringBoot——常用注解介绍及简单使用
    常用注解@SpringBootApplication前几章,在系统启动类里面,都加入了此启动注解,此注解是个组合注解,包括了@SpringBootConfiguration、@EnableAutoConfiguration和@ComponentSc......
  • SpringBoot——过滤器、监听器、拦截器
    前言在实际开发过程中,经常会碰见一些比如系统启动初始化信息、统计在线人数、在线用户数、过滤敏高词汇、访问权限控制(URL级别)等业务需求。这些对于业务来说一般上是无关......