安全责任共担模型
- 云安全基本原则
- 安全防御SCE
- 安全目标CIA :
- 安全防御SCE
- 安全责任共担模型
- 云安全保障需要客户和云厂商共同承担相应责任,采取有效防御备份措施
- 云安全保障需要客户和云厂商共同承担相应责任,采取有效防御备份措施
云安全标准与技术
- 云安全指南
- CSA4.0定义两大类13个领域,介绍战略和战术上云安全的痛点与措施。
- 治理域(战略/策略)
- 治理和企业风险管理
- 法律问题:合同和电子举证
- 合规性和审计管理
- 信息治理
- 运行域(战术/技术)
- 管理平面和业务连续性
- 基础设施安全
- 虚拟化及容器(Container)技术
- 事件响应、通告和补救
- 应用安全
- 数据安全和加密
- 身份、授权和访问管理
- 安全即服务
- 相关技术
- 治理域(战略/策略)
- CSA4.0定义两大类13个领域,介绍战略和战术上云安全的痛点与措施。
- 等级保护标准
- 云等保2.0架构为两大部分(管理领域和技术领域),重点考虑合规性。
- 管理要求:
- 安全管理机构和人员安全建设管理
- 安全运维管理
- 安全策略和管理制度
- 技术要求
- 物流和环境安全
- 网络和通信安全
- 设备和计算安全
- 应用和数据安全
- 管理要求:
- 云等保2.0架构为两大部分(管理领域和技术领域),重点考虑合规性。
- 可信云服务认证
- 可信云服务(TRUCS)认证是我国目前唯一针对云服务的权威认证体系。
- 三大类16个指标覆盖云服务商承诺的服务的SLA中90%的问题。
- 腾讯云多个业务通过可信云服务认证、首批通过可信云金牌运维专项评估。
- Gartner十大安全项目
- Privileged Access Management,特权账户管理( PAM )
- CARTA-Inspired Vulnerability Management,符合CARTA方法论的弱点管理
- Detection and Response,检测与响应
- Cloud Security Posture Management,云安全配置管理( CSPM )
- Cloud Access Security Broker,云访问安全代理( CASB )
- Business Email Compromise,商业邮件失陷
- Dark Data Discovery,暗数据发现
- Security Incident Response,安全事件响应
- Container Security,容器安全
- Security Rating Services,安全评级服务
常见云安全威胁
- 病毒攻击:黑客通过在互联网上传播病毒等恶意代码,对计算机系统或者系统中的文件进行破坏,造成系统或文件无法正常使用。
- DDoS网络攻击:官网、支付接口、APP等业务面临风险,攻击对象主要是金融、电商、游戏平台各种在线实时业务体系
- 木马攻击WebShell:黑客通过漏洞入侵网站后放置动态脚,通过后门木马持续控制服务器,进行文件上传下载、执行命令等各种破坏.
- 渗透攻击数据拖取:黑客通过拖库、撞库、入侵的方式盗取数据,潜伏期很长,企业发现的时候数据已经大面积流失。
- APP漏洞:黑客利用APP开发者在逻辑设计上的缺陷或错误编写所产生的漏洞,能轻易的人植入恶意代码,窃取敏感信息和远程控制。
- 营销薅羊毛:“羊毛党”有选择性的参加线上的活动,以相对较低或者零成本获取物质上的优惠,严重破环了活动的目的、侵占了活动的资源。
| 互联网业务 | 安全风险 |
|---|---|
| 业务层 | 逾期欺诈,贷款黑中介通过身份数据来骗取消费贷款;业务平台遭遇羊毛党,出现垃圾注册、活动作弊、抢红包等事件 |
| APP应用层 | APP源代码存在漏洞,大量用户被黑客劫持;APP遭遇破解植入恶意代码,造成用户支付等敏感信息的泄露 |
| Web应用层 | 无法及时发现Web网站安全漏洞,难以实现代码快速修复; |
| 主机层 | 无法及时发现服务器存在高危漏洞,缺少快速修复能力;服务器可能存在木马和后门,如何及时发现;服务器遇到暴力破解;遭遇DDoS攻击,导致服务器宕机无法对外提供服务 |
腾讯云安全体系
网络安全
主机安全
数据安全
应用安全
业务安全
…
版权声明:本文为weixin_44949189原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接和本声明。