【正文】 ，具體的技術(shù)手段可以采用協(xié)議安全套接層或傳輸層安全協(xié)議(SSL/TLS)或IPSec，在云終端與云服務(wù)器之間、云應(yīng)用服務(wù)器之間基于SSL協(xié)議實(shí)現(xiàn)數(shù)據(jù)傳輸加密。這種方式與交換設(shè)備無關(guān)，但消耗資源多，不能實(shí)施靈活的安全策略。經(jīng)過虛擬化之后的防火墻能像普通的物理防火墻一樣，由不同的業(yè)務(wù)系統(tǒng)使用，由各自業(yè)務(wù)系統(tǒng)自主管理和配置各自的虛擬防火墻，采用不同的安全策略，實(shí)現(xiàn)各業(yè)務(wù)系統(tǒng)之間的安全隔離。216。216。 數(shù)據(jù)安全面臨的風(fēng)險(xiǎn)1).信息遠(yuǎn)程傳輸面臨的安全風(fēng)險(xiǎn)在云計(jì)算環(huán)境下，所有的數(shù)據(jù)處理、存儲(chǔ)都是在云端完成的，用戶一端只具有較少的計(jì)算處理能力。主要存在以下安全風(fēng)險(xiǎn)：216。”如果極其重要的數(shù)據(jù)中心組成部分，比如虛擬機(jī)管理程序、共享平臺(tái)組件或者應(yīng)用程序受到攻擊，那么由此可能導(dǎo)致整個(gè)環(huán)境遭受到損害。216。216?！?16。在云服務(wù)設(shè)計(jì)不當(dāng)?shù)膱鼍跋?，不懷好意的?nèi)部人員可能會(huì)造成較大的破壞。雖然攻擊者可能無法完全摧垮服務(wù)，但是“還是可能讓計(jì)算資源消耗大量的處理時(shí)間，以至于對提供商來說運(yùn)行成本大大提高，只好被迫自行關(guān)掉服務(wù)。 分布式拒絕服務(wù)(DDoS)被列為云計(jì)算面臨的第五大安全威脅。由于這種做法會(huì)要求企業(yè)將登錄資料交給第三方，以便相互聯(lián)系，因此其也加大了風(fēng)險(xiǎn)。IT管理員們會(huì)利用API對云服務(wù)進(jìn)行配置、管理、協(xié)調(diào)和監(jiān)控。CSA認(rèn)為：“企業(yè)應(yīng)考慮禁止用戶與服務(wù)商之間共享賬戶登錄資料。如果黑客獲取了企業(yè)的登錄資料，其就有可能竊聽相關(guān)活動(dòng)和交易，并操縱數(shù)據(jù)、返回虛假信息，將企業(yè)客戶引到非法網(wǎng)站。按照法規(guī)，企業(yè)必須存儲(chǔ)某些數(shù)據(jù)存檔以備核查，然而這些數(shù)據(jù)一旦丟失，企業(yè)由此有可能陷入困境，遭到政府的處罰。不懷好意的黑客會(huì)刪除攻擊對象的數(shù)據(jù)。反過來說，如果用戶決定對數(shù)據(jù)進(jìn)行異地備份以減小數(shù)據(jù)丟失風(fēng)險(xiǎn)，卻就又加大了數(shù)據(jù)泄露的幾率。要是多租戶云服務(wù)數(shù)據(jù)庫設(shè)計(jì)不當(dāng)，哪怕某一個(gè)用戶的應(yīng)用程序只存在一個(gè)漏洞，都可以讓攻擊者獲取這個(gè)用戶的數(shù)據(jù)，而且還能獲取其他用戶的數(shù)據(jù)。CSA(Cloud Security Alliance，云計(jì)算安全聯(lián)盟)列出了云計(jì)算領(lǐng)域的9個(gè)安全威脅。另外，由于云計(jì)算具有低廉的成本及廣闊的應(yīng)用空間，不斷吸引著電信運(yùn)營商和制造商的關(guān)注。216。216。它具有如下一些特點(diǎn)：216。 IT運(yùn)維的自動(dòng)化減少了人為失誤，降低了安全的成本216。 信息安全融入IT運(yùn)維流程中216。 失去信息安全的IT運(yùn)維是失敗的運(yùn)維216。 業(yè)務(wù)目標(biāo)的調(diào)整驅(qū)使安全與IT運(yùn)維的調(diào)整216。 信息安全正在創(chuàng)造價(jià)值信息安全與IT運(yùn)維共有一個(gè)衡量標(biāo)尺：組織業(yè)務(wù)目標(biāo)216。 信息安全管理目前信息安全管理主要依據(jù)的國際標(biāo)準(zhǔn)是ISO17799，該標(biāo)準(zhǔn)涵蓋了信息安全管理的十大控制方面，36個(gè)控制目標(biāo)和127種控制方式，如企業(yè)安全組織方式、資產(chǎn)分類與控制、人員安全、物理與環(huán)境安全、通信與運(yùn)營安全、訪問控制、業(yè)務(wù)連續(xù)性管理等216。 數(shù)據(jù)/存儲(chǔ)/容災(zāi)管理對系統(tǒng)和業(yè)務(wù)數(shù)據(jù)進(jìn)行統(tǒng)一存儲(chǔ)、備份和恢復(fù) 216。9).針對重大專項(xiàng)安全保障工作，根據(jù)專項(xiàng)工作的具體要求，信息安全組負(fù)責(zé)制定專項(xiàng)的安全保障工作安排，其中包括：內(nèi)容安全保障、業(yè)務(wù)安全保障、系統(tǒng)與網(wǎng)絡(luò)安全保障、客戶信息安全保障、第三方保障，并組織基地各部門開展各項(xiàng)安全檢查工作。5).每月出具1次安全審計(jì)月報(bào)。檢查應(yīng)包括但不限于以下內(nèi)容，1).每月進(jìn)行1次檢查生產(chǎn)終端及網(wǎng)絡(luò)接入情況。針對第三方營銷渠道，禁止層層轉(zhuǎn)包，并定期進(jìn)行營銷規(guī)范性撥測，發(fā)現(xiàn)違規(guī)情況及時(shí)處理。在業(yè)務(wù)系統(tǒng)建設(shè)過程中應(yīng)在業(yè)務(wù)系統(tǒng)與外部平臺(tái)之間規(guī)劃部署防火墻、流量監(jiān)控等安全管控措施。提高業(yè)務(wù)計(jì)費(fèi)安全控制，加強(qiáng)對業(yè)務(wù)計(jì)費(fèi)流程的梳理，嚴(yán)防計(jì)費(fèi)問題的出現(xiàn)。2).應(yīng)具備完善的權(quán)限管理策略，支持權(quán)限最小化原則、合理授權(quán)，對不能支持此原則的系統(tǒng)，應(yīng)減少掌握該權(quán)限的人員數(shù)量，并加強(qiáng)人員管理。按照最小化原則配置賬戶權(quán)限，保證對客戶信息的訪問不得超過本身工作范圍。存檔F 填寫《事件分析處理記錄》存檔。 安全審計(jì)流程工作流程工作要求/標(biāo)準(zhǔn)崗位職責(zé) 開 始安全監(jiān)控F 各業(yè)務(wù)系統(tǒng)安全監(jiān)控審計(jì)人員監(jiān)控系統(tǒng)中產(chǎn)生的事件F 系統(tǒng)管理員F 負(fù)責(zé)系統(tǒng)的日常監(jiān)控維護(hù)和日志分析檢測到需及時(shí)處理安全事件F 當(dāng)檢測到需處理事件時(shí)應(yīng)及時(shí)進(jìn)行處理F 系統(tǒng)管理員F 安全管理員F 發(fā)現(xiàn)安全事件時(shí)，系統(tǒng)管理員通過任務(wù)工單向安全管理員及時(shí)匯報(bào)；F 安全管理員接到事件報(bào)告時(shí)，要及時(shí)進(jìn)行分析定性，決定后續(xù)處理措施。所訪問的文件或資源。I/O 設(shè)備連接/分離。用戶權(quán)限升級(jí)、口令更改。用戶所進(jìn)行的操作。 安全審計(jì)管理要求事件日志記錄:將來自不同區(qū)域、不同設(shè)備、不同系統(tǒng)的日志信息集中起來，集中分析處理，創(chuàng)建記錄異常事件和安全相關(guān)事件的審計(jì)日志并按照協(xié)商認(rèn)可的保留期限將其保留一段時(shí)間。216。6).設(shè)置系統(tǒng)屏保密碼，同時(shí)設(shè)定10分鐘以內(nèi)的鎖定策略。2).系統(tǒng)標(biāo)準(zhǔn)化管理，統(tǒng)一使用正版軟件，禁止安裝盜版。216。216。系統(tǒng)責(zé)任部門負(fù)責(zé)人每季度進(jìn)行復(fù)核簽字確認(rèn)，如發(fā)現(xiàn)多余或不恰當(dāng)?shù)馁~號(hào)應(yīng)進(jìn)行及時(shí)調(diào)整。YY系統(tǒng)責(zé)任部門負(fù)責(zé)人進(jìn)行書面審批授權(quán)。216。第三方公司需要增加普通帳號(hào)或進(jìn)行權(quán)限變更時(shí)，由合作引入部門填寫《系統(tǒng)帳號(hào)創(chuàng)建/變更申請表》。 第三方帳號(hào)管理流程管理流程管理要求開 始和第三方廠商簽訂安全保密協(xié)議。提交所在部門負(fù)責(zé)人進(jìn)行權(quán)限職責(zé)相容性審核。授權(quán)有效期內(nèi)，部門經(jīng)理對超級(jí)管理員的清單進(jìn)行復(fù)核并簽字確認(rèn)。216。系統(tǒng)層超級(jí)管理員、應(yīng)用層超級(jí)管理員需由部門領(lǐng)導(dǎo)分別進(jìn)行授權(quán)，不同系統(tǒng)可以兼任。在帳號(hào)審批成功并創(chuàng)建后，應(yīng)對帳號(hào)口令進(jìn)行定期修改。由公司各部門分別維護(hù)管理操作系統(tǒng)層和應(yīng)用層的系統(tǒng)，并分別作為各層帳號(hào)的管理部門。4）、機(jī)房內(nèi)重要文件、數(shù)據(jù)文件的銷毀方式為文件送入碎紙機(jī)，不得隨意丟棄。2）、XX股份有限公司定期檢查安全、保密規(guī)定的執(zhí)行情況；3）、XX股份有限公司定期組織系統(tǒng)病毒檢查，并對此負(fù)責(zé)；4）、XX股份有限公司及時(shí)向信息技術(shù)中心反映存在的安全隱患。這其中包括：綜合運(yùn)行態(tài)勢：是全面整合現(xiàn)有各類設(shè)備和系統(tǒng)的各類異構(gòu)信息，包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)和終端管理中各種事件，經(jīng)過分析后的綜合展現(xiàn)界面，注重對信息系統(tǒng)的運(yùn)行狀態(tài)、綜合態(tài)勢的宏觀展示。：是以跨平臺(tái)多數(shù)據(jù)源信息安全審計(jì)為框架，以電子數(shù)據(jù)處理審計(jì)為基礎(chǔ)的信息審計(jì)系統(tǒng)。：實(shí)現(xiàn)對事件處理過程的備案和綜合查詢，幫助用戶在處理事件時(shí)查找歷史處理記錄和流程，為運(yùn)維管理工作積累經(jīng)驗(yàn)。其中包括以下五大方面：：實(shí)現(xiàn)預(yù)案建模的圖形化管理，簡單易用的預(yù)案流程的創(chuàng)建和維護(hù)，簡潔的工作流仿真和驗(yàn)證。關(guān)于智能關(guān)聯(lián)分析：它是借助基于規(guī)則的分析算法，對獲取的各類信息進(jìn)行分析，找到信息之間的邏輯關(guān)系，結(jié)合安全事件產(chǎn)生的網(wǎng)絡(luò)環(huán)境、資產(chǎn)重要程度，對安全事件進(jìn)行深度分析，消除安全事件的誤報(bào)和重復(fù)報(bào)警?？焖俣ㄎ缓皖A(yù)警：經(jīng)過同構(gòu)和歸并的信息，將依據(jù)預(yù)先配置的規(guī)則、事件知識(shí)庫、關(guān)聯(lián)關(guān)系進(jìn)行快速的故障定位，并根據(jù)預(yù)警條件進(jìn)行預(yù)警。實(shí)現(xiàn)對信息系統(tǒng)運(yùn)行動(dòng)態(tài)的快速掌握，以及運(yùn)行維護(hù)管理過程中的事前預(yù)警、事發(fā)時(shí)快速定位。2）、企業(yè)的信息系統(tǒng)管理仍在依靠各自的“業(yè)務(wù)骨干”支撐，缺少相應(yīng)的流程和知識(shí)積累，過多依賴于人。 安全檢查與維護(hù)作業(yè) 安全運(yùn)維的定義通常安全運(yùn)維包含兩層含義：一是指在運(yùn)維過程中對網(wǎng)絡(luò)或系統(tǒng)發(fā)生病毒或黑客攻擊等安全事件進(jìn)行定位、防護(hù)、排除等運(yùn)維動(dòng)作，保障系統(tǒng)不受內(nèi)、外界侵害。 終端安全管理216。 不可否認(rèn)性 Nonrepudiation216。 完整性 Integrity216?！?16。 英國BS7799信息安全管理標(biāo)準(zhǔn)給出的定義是：“信息安全是使信息避免一系列威脅，保障商務(wù)的連續(xù)性，最大限度地減少商務(wù)的損失，最大限度地獲取投資和商務(wù)的回報(bào)，涉及的是機(jī)密性、完整性、可用性。216。 我國“計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品分類原則”中的定義是：“涉及實(shí)體安全、 運(yùn)行安全和信息安全三個(gè)方面。 關(guān)于信息安全的定義也有很多，國內(nèi)學(xué)者與國外學(xué)者、不同的社會(huì)組織也給出了不同的定義。進(jìn)入21世紀(jì)后，隨著信息技術(shù)的不斷發(fā)展，信息安全問題也日顯突出。它不僅單單是一個(gè)體系的建設(shè)，更是IT系統(tǒng)管理中的夯實(shí)基礎(chǔ)。尤其是隨著信息系統(tǒng)建設(shè)工作從大規(guī)模建設(shè)階段逐步轉(zhuǎn)型到“建設(shè)和運(yùn)維”并舉的發(fā)展階段，運(yùn)維人員需要管理越來越龐大的IT系統(tǒng)這樣的情況下，信息安全運(yùn)維體系的建設(shè)已經(jīng)被提到了一個(gè)空前的高度上。 信息安全的概念在二十世紀(jì)經(jīng)歷了一個(gè)漫長的歷史階段，90年代以來得到了深化。中國目前也已有一批專門從事信息安全基礎(chǔ)研究、技術(shù)開發(fā)與技術(shù)服務(wù)工作的研究機(jī)構(gòu)與高科技企業(yè)，形成了中國信息安全產(chǎn)業(yè)的雛形。”216。這里面涉及了物理安全、運(yùn)行安全與信息安全三個(gè)層面。”216。它包含5種安全服務(wù)，包括機(jī)密性、完整性、可用性、真實(shí)性和不可抵賴性。 機(jī)密性 Confidentiality216。 真實(shí)性 Authenticity216。 系統(tǒng)漏洞安全管理216。 業(yè)務(wù)安全管理216。時(shí)時(shí)處于被動(dòng)服務(wù)之中，無法提供量化的服務(wù)質(zhì)量標(biāo)準(zhǔn)。 XX股份運(yùn)維五大架構(gòu)體系基于關(guān)鍵業(yè)務(wù)點(diǎn)面向業(yè)務(wù)系統(tǒng)可用性和業(yè)務(wù)連續(xù)性進(jìn)行合理布控和監(jiān)測，以關(guān)鍵績效指標(biāo)指導(dǎo)和考核信息系統(tǒng)運(yùn)行質(zhì)量和運(yùn)維管理工作的實(shí)施和執(zhí)行，XX股份幫助用戶建立全面覆蓋信息系統(tǒng)的監(jiān)測中心，并對各類事件做出快速、準(zhǔn)確的定位和展現(xiàn)。綜合展現(xiàn)：合理規(guī)劃與布控，整合來自各種不同的監(jiān)控管理工具和信息源，進(jìn)行標(biāo)準(zhǔn)化、歸一化的處理，并進(jìn)行過濾和歸并，實(shí)現(xiàn)集中、綜合的展現(xiàn)。關(guān)于事件基礎(chǔ)庫維護(hù)：它是事件知識(shí)庫的基礎(chǔ)定義，內(nèi)置大量的標(biāo)準(zhǔn)事件，按事件類型進(jìn)行合理劃分和維護(hù)管理，可基于事件名稱和事件描述信息進(jìn)行歸一化處理的配置，定義了多源、異構(gòu)信息的同構(gòu)規(guī)則和過濾規(guī)則。 建立安全運(yùn)維事件響應(yīng)中心借鑒并融合了ITIL（信息系統(tǒng)基礎(chǔ)設(shè)施庫）/ITSM（IT服務(wù)管理）的先進(jìn)管理規(guī)范和最佳實(shí)踐指南，借助工作流模型參考等標(biāo)準(zhǔn)，開發(fā)圖形化、可配置的工作流程管理系統(tǒng)，將運(yùn)維管理工作以任務(wù)和工作單傳遞的方式，通過科學(xué)的、符合用戶運(yùn)維管理規(guī)范的工作流程進(jìn)行處置，在處理過程中實(shí)現(xiàn)電子化的自動(dòng)流轉(zhuǎn)，無需人工干預(yù)，縮短了流程周期，減少人工錯(cuò)誤，并實(shí)現(xiàn)對事件、問題處理過程中的各個(gè)環(huán)節(jié)的追蹤、監(jiān)督和審計(jì)。：實(shí)現(xiàn)對事件響應(yīng)處理全過程的跟蹤記錄和監(jiān)控，根據(jù)ITIL管理建議和用戶運(yùn)維要求，對事件處理的響應(yīng)時(shí)限和處理時(shí)限的監(jiān)督和催辦。：在評(píng)價(jià)過程中避免主觀臆斷和片面隨意性，可以實(shí)現(xiàn)工作量、工作效率、處理考核、狀態(tài)考核等的一種客觀評(píng)價(jià)功能?；陉P(guān)鍵業(yè)務(wù)點(diǎn)配置關(guān)鍵業(yè)務(wù)的基礎(chǔ)設(shè)施關(guān)聯(lián)，通過資產(chǎn)對象信息配置豐富業(yè)務(wù)應(yīng)用系統(tǒng)的運(yùn)行維護(hù)內(nèi)容，實(shí)現(xiàn)各類IT基礎(chǔ)設(shè)施與用戶關(guān)鍵業(yè)務(wù)的有機(jī)結(jié)合，以及全面的綜合監(jiān)控。 安全管理原則1）、XX股份有限公司負(fù)責(zé)業(yè)務(wù)支撐中心的安全、保密管理工作，遵守南方基地已有各項(xiàng)安全規(guī)定，以此為基礎(chǔ)制定詳細(xì)的《安全管理實(shí)施辦法》，并采取適當(dāng)措施保證有關(guān)措施的有效執(zhí)行。3）、XX股份有關(guān)計(jì)費(fèi)清單、用戶資料、業(yè)務(wù)數(shù)據(jù)、重要文件等均屬機(jī)密，不得任意抄錄、復(fù)制及帶出機(jī)房，也不得轉(zhuǎn)告與工作無關(guān)的人員。 賬號(hào)口令管理要求按照“誰主管，誰負(fù)責(zé)”原則，業(yè)務(wù)系統(tǒng)責(zé)任部門負(fù)責(zé)按照本辦法管理公司內(nèi)部人員及第三方協(xié)維人員在系統(tǒng)應(yīng)用層的帳號(hào)。用戶需按照帳號(hào)審批流程向各責(zé)任部門申請所需帳號(hào)、修改權(quán)限或者撤銷帳號(hào)。 帳號(hào)管理人員邏輯分類崗位職責(zé)涉及相關(guān)記錄部門負(fù)責(zé)人需對相關(guān)授權(quán)表進(jìn)行審批授權(quán)簽字，每季度需復(fù)核審批；需對員工變動(dòng)情況進(jìn)行審批；需對遠(yuǎn)程維護(hù)接入申請進(jìn)行審批系統(tǒng)層/應(yīng)用層超級(jí)管理員： 系統(tǒng)層超級(jí)管理員：按各系統(tǒng)進(jìn)行設(shè)置 應(yīng)用層超級(jí)管理員：按業(yè)務(wù)應(yīng)用管理進(jìn)行設(shè)置系統(tǒng)/應(yīng)用程序最高權(quán)限管理員，負(fù)責(zé)管理所轄系統(tǒng)的帳號(hào)分配和管理，需要部門負(fù)責(zé)人對其進(jìn)行授權(quán)。每月檢查信息安全管理的執(zhí)行情況，匯總安全分析報(bào)告；與系統(tǒng)層超級(jí)管理員、應(yīng)用層管理員需職責(zé)分離。部門經(jīng)理審批并進(jìn)行授權(quán)。系統(tǒng)責(zé)任部門負(fù)責(zé)人書面審批Y內(nèi)部員工需要增加帳號(hào)或進(jìn)行權(quán)限變更時(shí)，由申請人填寫《系統(tǒng)帳號(hào)創(chuàng)建/變更申請表》。216。保密協(xié)議應(yīng)注明擁有帳號(hào)列表及相關(guān)保密責(zé)任，以合理確保第三方廠商能夠執(zhí)行中國移動(dòng)的安全管理要求和職責(zé)不相容要求。系統(tǒng)超級(jí)管理員在系統(tǒng)中創(chuàng)建帳號(hào)或進(jìn)行權(quán)限修改。系統(tǒng)責(zé)任部門負(fù)責(zé)人對預(yù)設(shè)帳號(hào)清單每季度進(jìn)行復(fù)核并簽字確認(rèn)。系統(tǒng)責(zé)任部門負(fù)責(zé)人進(jìn)行書面審批授權(quán)。定期組織相關(guān)檢查人員按時(shí)對各業(yè)務(wù)系統(tǒng)進(jìn)行安全基線配置檢查，對檢查中存在風(fēng)險(xiǎn)的系統(tǒng)發(fā)出整改通知書，督促其及時(shí)進(jìn)行整改，并根據(jù)整改反饋進(jìn)行復(fù)查，對業(yè)務(wù)系統(tǒng)上線前進(jìn)行基線配置安全檢查工作，存在有安全風(fēng)險(xiǎn)的系統(tǒng)必須進(jìn)行限期整改，驗(yàn)收合格后才能上線。 系統(tǒng)漏洞安全要求定期對公司各生產(chǎn)系統(tǒng)進(jìn)行操作系統(tǒng)、數(shù)據(jù)庫、中間件、Web網(wǎng)站等進(jìn)安全漏洞檢查，對檢查中存在漏洞的系統(tǒng)發(fā)出整改通知書，督促其及時(shí)進(jìn)行整改，并根據(jù)整改反饋進(jìn)行復(fù)查，對業(yè)務(wù)系統(tǒng)上線前進(jìn)行系統(tǒng)漏洞安全檢查工作，存在有安全風(fēng)險(xiǎn)的系統(tǒng)必須進(jìn)行整改驗(yàn)收后才能上線。 終端安全管理要求終端安全策略配置項(xiàng)應(yīng)滿足以下要求：1).終端統(tǒng)一命名，統(tǒng)一采用“公司+人員姓名”中文方式。5).禁用匿名訪問網(wǎng)絡(luò)。9).要求統(tǒng)一安裝公司采購的終端監(jiān)控軟件。216。終端標(biāo)識(shí)或位置。2).日志審計(jì)類型網(wǎng)絡(luò)類日志（鑒權(quán)平臺(tái)、網(wǎng)絡(luò)設(shè)備日志）主機(jī)類日志（主機(jī)本身日志）應(yīng)用類日志（交換機(jī)、智能網(wǎng)等應(yīng)用系統(tǒng)日志）安全類日志（IDS、防火墻等）3).所有特權(quán)操作新帳戶的創(chuàng)建。系統(tǒng)啟動(dòng)和停止。事件類型。