开发者学堂课程【云安全简史:云安全相关的政策】学习笔记,与课程紧密联系,让用户快速学习知识。
课程地址:https://developer.aliyun.com/learning/course/541/detail/7370
云安全相关的政策
目录
一、澳大利亚对云计算服务的安全管理
二、欧盟对云计算服务的安全管理
三、美国云计算服务安全管理
四、中国的安全标准
五、法律责任
六、等级保护
一、澳大利亚对云计算服务的安全管理
澳大利亚较为轻松,因为它只是在2011年发布了《云计算的安全注意事项》,以澳大利亚国防部的名义,说明他对安全重视级别高,但是管理相对较为轻松。注意事项中将云计算中可能遇到的风险都列出来了,告诉大家如果迁移到云上的话,数据应该如何保护以及如何选供应商等。具体内容如下:
迁移到云中数据或功能是否是关键业务
是否审查供应商的业务连续性和灾难恢复计划
是否保持最新的数据副本
数据或业务功能将被复制到第二家供应商
与供应商之间的网络链接带宽是否足够
SLA 能否保证足够的系统可用性
是否可以接受计划中断
计划停电的影响
违反 SLA 或合同,是否得到足够补信
敏感数据是否采用足够强的加密
审查云服务商的安全事故应急预案
云服务商的员工是否经过了安全事故处理培训
云服务商是否及时通报安全事件
二、欧盟对云计算服务的安全管理
欧盟不只是一个国家,是一个比较大的联盟。相对来说比较宽泛,但是指南比澳洲的更加具体,也就是说明确写出了基本上可能遇到的风险。欧盟网络与信息安全局于2012年4月正式出台《云计算合同安全服务水平监测指南》。
欧盟对云计算 服务风险分类
内容如下:1.策略和组织管理中的风险
锁定风险
失治风险
资源耗尽
合规挑战
隔离故障
由于多租户中就他用户的
云服务终止或故牌
云服务商收购
供应链故阳
2.技术上的风险
资源耗尽
隔离故障
云内部的恶意人员
管理接口漏洞
截获传输中的数据
数据泄漏
不安全或无效的数据删除
DDoS
EDoS
密钥丢失
恶意探测或扫描
危害服务引擎
客户强化程序和云环墙之间的冲突
3.法律上的风险
传讯和电子风险
管辖变更风险
数据保护风险
许可风险
有些国家对安全防范非常重视,例如英国。出台战略规划和立法,加强网络反恐和情报能力,强调关键信息基础设施的保护,用于保护英国互联网的发展。
1、战略规则:2011年11月,推出《英国网络安全战略-在数字时代保护和推进英国的发展》
2、信息共享:2013年,建立了产业界与政府部门间网络威胁和漏洞信息共享机制。
3、技术投入:2014年,首相卡梅伦增拔11亿英镑国防经费,其中8亿用于研究网络防御技术。抵御黑客在网络上对国家进行的攻击。
4、安全立法:持续修改《反恐与安全法》,要求 ISP 保留用户上网日志备查。在英国很早之前就有反恐安全法,但是是对于现实世界的反恐。具体如何去保护没有准确的说法,但是从战略投入及法律方面给予了保障。
三、美国云计算服务安全管理
美国认为云计算是一个大的未来,且云计算确实能够提效。
1.FedRAMP:
2010年12月,美国联邦行政管理和预算办公室发布了《改革联邦信息技术管理的25点实施规划》,规定了联邦政府在对云计算进行采购的时候,必须应该遵守的原则。
2011年2月,美国发布了联邦云计算战略:阐述了云计算带来的利益以及需要考虑和权衡的问题;提供决策框架与案例,支持政府部门服务从传统方式迁移到云计算平台;强调云计算实施资源
2011年2月,OMB 颁布政策备忘录,宣布建立 FedRAMP (美国联邦政府风险和授权管理项目【FederalRiskand Authorization Management Program】)目标:
增加安全能力
减少部门之间的重复工作
加快部门云计算服务采购过程方便多部门间共享系统的使用
确保从国家的层面实现政府部门采用云计算的安全增加安全的透明度,该项目比较详细,有许多办公室,有项目管理,有对研究技术进行规范,还有应急小组等等。具体内容如下:
管理和预算政策办公室、信息安全和身份认证管理委员会、跨机构协调 F、ISMA 标准、技术指导、技术规范、美国计算机应急响应小组事件协调、网络范围连接监测数据分析、联合授权委员会、FedAMP项目管理办公室。
2.目标:
1、2010年就提出“云优先战略”,认为云计算是未来,制作很多部门通过政策引导,加速采购,云计算让企业统一标准以后有一个好处,就是打消政府的顾虑,因为有专门的项目去把关。
2、希望通过政策引导、政府资金投入来加速云计算的发展,鼓励政府、企业向云计算平台迁移。
3、打消政府客户(联邦政府)的安全顾虑,建立统一、可信的安全评估认证。
3.落地:
1、形成统一的安全控制基线,打消顾虑。
2、一次认证,结果多次复用,各联邦互认。
3、形成安全控制基线蝴蝶效应,引导企业效防。
四、中国的安全标准
目前来说,中国的网络安全标准是最具体也是最严格的。没有网络安全就没有国家安全
《中华人民共和国网络安全法》 2017年6月1日正式实施、开启网络安全新时代,这是第一次进行网络安全立法。我们认为开启了网安的新时代。国家认为没有网络安全就没有国家安全。网络空间已经和海陆空并行,作为国家的领空的安全高度。
五、法律责任
具体如何落地,内容如下:
网络运营者
关键信息基础设施运营者
网络产品或服务提供者,类似于云厂商。
信息发送或软件发布服务提供者,发布商都有专门的规定。比如采集用户信息不能超越实际用途的范围,如果超越范围,可能会受到惩罚。
网信部门和有关部门
罚款,在网络安全诞生以来,已经有许多部门受到了惩罚。
治安管理处罚民事责任
刑事责任
六、等级保护
等级保护是一个评测的机制,也是一个监督检查执行的机制。级别越高,对国家影响程度越大。执行力度也会越强。级别如下:
第一级:信息系统受到破坏后,会对公民法人和其他组织的合法权益造成伤害,但不伤害国家安全社会秩序和公共利益。第一级信息系统运营使用单位应当遵循国家有关管理规范和技术标准进行保护。
第二级:信息系统受到破坏后,会对公民法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。
第三级:信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督检查。
第四级:信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督检查。
第五级:信息系统受到破坏后,会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督和检查。
