網路安全與ISMS A0963339 吳東儒 指導老師:梁明章 老師
雲端產業 產業現況 雲端服務近年來被企業大量採用,所延伸的資訊安全管理就更受企業重視。 雲端服務供應商應更加強其資訊安全的議題管理。
選定目標 目標:雲端服務供應商 濫用雲端進行存取 不安全的介面 惡意內部人員 共享環境 資料遺失或外洩 帳號或服務被竊取 未知風險模型
如何執行 階段 內容 安全需求分析 針對虛擬化平台做需求的安全分析 資訊安全/流程教育 針對企業內部人員做教育訓練 安全政策與架構 建立資訊安全報告以及系統整體架構 風險評鑑 進行風險評估與產生問題 風險處理 風險的處理方法與解決方式文件 施行與檢核 正式實施並進行檢核並給予內部企業建議報告
面臨資安風險、脆弱點、威脅 服務供應商降低使用門檻,試用免費造成外部攻擊 EX:疆屍網路、木馬病毒 非法行為 服務供應商降低使用門檻,試用免費造成外部攻擊 EX:疆屍網路、木馬病毒 IaaS PaaS 不安全的介面 使用者透過公共的使用介面與APIs,使得驗證功能變的格外重要 IaaS PaaS SaaS 惡意內部人員 服務供應商人員管理疏失 共享環境 看似私人擁有,但實質為虛擬共享平台 IaaS 資料遺失或外洩 資料驗證加密性是否足夠 帳號或服務被竊取 與傳統IT架構不同,企業無控制權,導致無法對於帳號服務進行控制 未知風險模型 企業無法完全了解系統平台
改善方法 創新面 與雲端安全聯盟(CSA)共同推出的Trusted Cloud,強調其身分認證性。 自有雲端系統管理,推展虛擬機器資安防護。 顧客面 企業內部員工資安教育訓練,降低資料洩漏。 對於ISMS認證管理文件的認同與績效管理。 雲端資料解密金鑰由用戶單獨擁有或由第三方進行管理稽核。 管理面 CPU等資源實體獨立管理。 制定安全的登入機制。 嚴格進行審查並進行資安監控。 流程面 雲端系統架構透明化、文件標準化,降低企業對於雲端架構的不確定感。