【正文】 解為文件服務器或硬盤驅動器。同態(tài)加密是指云計算平臺能夠在不對用戶數(shù)據(jù)進行解密的情況下，直接對用戶的密文數(shù)據(jù)進行處理，并返回正確的密文結果。在這種工作模式下，交換設備與虛擬化管理層緊密結合，能實施靈活的虛擬機流量監(jiān)控策略，同時也使得安全設備的部署變得更加簡單。從安全的角度出發(fā)，不同的虛擬機也應該像物理服務器一樣劃分到不同的安全域，采取不同的邊界隔離。 以防火墻系統(tǒng)為例:在云計算環(huán)境下的防火墻普遍采用虛擬防火墻技術，將一臺物理的防火墻基于虛擬設備資源進行劃分，每個虛擬后的防火墻不但具備獨立的管理員操作權限，能隨時監(jiān)控和調整策略的配置情況，同時多個虛擬防火墻的管理員也支持并行操作。云計算環(huán)境對外提供的應用服務、用戶提出的數(shù)據(jù)處理需求等等都需要由云服務器來完成。在開放的互聯(lián)網中如何保證云端與用戶端之間數(shù)據(jù)傳輸?shù)臋C密性、完整性是需要解決的問題。但在云計算環(huán)境下，由于大量運用虛擬化技術，資源池化技術導致云計算環(huán)境內服務器、存儲設備和網絡設備等硬件基礎設施被高度整合，多個系統(tǒng)同時運行在同一個物理設備上，傳統(tǒng)的網絡邊界正在被打破，傳統(tǒng)意義上網絡邊界防護手段也需要調整以適應新的技術變革。盡管很多研究機構認為云計算提供了最可靠、最安全的數(shù)據(jù)存儲中心，但安全問題是云計算存在的主要問題之一。云服務提供商經常共享基礎設施、平臺和應用程序，并以一種靈活擴展的方式來交付服務。因此，企業(yè)進入到云端需要與服務提供商簽訂合同，明確責任和透明度方面的問題。惡意黑客利用云服務器發(fā)動分布式拒絕服務攻擊、傳播惡意軟件或共享盜版軟件。在云服務提供商完全對數(shù)據(jù)安全負責的場合下，權限控制在保證數(shù)據(jù)安全方面有著很大作用。 “臨時工”第六大威脅是不懷好意的內部人員，這些人可能是在職或離任的員工、合同工或者業(yè)務合作伙伴。而在云計算時代，許多企業(yè)會需要一項或多項服務保持724小時的可用性，在這種情況下這個威脅顯得尤為嚴重。安全性差的API會讓企業(yè)面臨涉及機密性、完整性、可用性和問責性的安全問題。企業(yè)和第三方因而經常在這些接口的基礎上進行開發(fā)，并提供附加服務?！?16。他們進而會利用你的良好信譽，對外發(fā)動攻擊。 第三大云計算安全風險是賬戶或服務流量被劫持。讓情況更為嚴峻的是，要是用戶丟失了加密密鑰，那么對數(shù)據(jù)進行加密的行為反而會給用戶帶來麻煩。 CSA認為，云計算環(huán)境的第二大威脅是數(shù)據(jù)丟失。CSA報告認為：“你落實到位的措施可能可以緩解一種威脅，但是會加大遭遇另一種威脅的風險。 為了表明數(shù)據(jù)泄露對企業(yè)的危害程度，CSA在報告中提到了一篇研究文章，該文章描述了黑客如何利用邊信道(SideChannel)時間信息，通過侵入一臺虛擬機來獲取同一服務器上的其他虛擬機所使用的私有密鑰。然而，在云計算應用發(fā)展中面臨著諸多挑戰(zhàn)，如標準化問題、網絡帶寬問題、安全風險問題，其中安全問題被認為是最大的挑戰(zhàn)之一，對于云計算的商業(yè)模式能否成功起著至關重要的影響。216。216。216。其信息安全問題不僅僅是云計算所要解決的首要問題，也是決定云計算的發(fā)展前景的關鍵性因素。 IT運維的標準化符合安全的“縱深防御”的理念216。 信息安全公司試水運維，安全產品強化管理、監(jiān)控功能，支持IT運維216。 信息安全與IT運維都是一個過程，而不是一次事件216。 信息安全與IT運維方案要適應業(yè)務流程216。 IT運維旨在謀求安全性與方便性216。 目錄/內容管理主要對于企業(yè)需要統(tǒng)一發(fā)布或因人定制的內容管理和對公共信息的管理216。 設備管理：對網絡設備、主機、存儲、操作系統(tǒng)運行狀況進行監(jiān)控 216。7).每季度定期抽檢業(yè)務系統(tǒng)業(yè)務流程制定與執(zhí)行、信息發(fā)布與審核等情況。3).每月完成1次全量Web漏洞掃描，每半月完成1次重要Web網站漏洞掃描。增強業(yè)務系統(tǒng)自身的訪問控制，嚴格限制運維人員的帳號、權限，確保權限、角色相符合；加強對運維人員的安全意識和技能培訓，提高安全運維能力。對業(yè)務訂購、變更、退訂要提供準確的核實和確認機制，對業(yè)務認證要重點關注敏感認證數(shù)據(jù)加密、認證算法強度和認證失敗次數(shù)控制等。增強業(yè)務系統(tǒng)外部接口安全防護，高度重視與外部系統(tǒng)有交互接口的業(yè)務平臺的安全風險，確保交互協(xié)議設計的安全可靠。 新建系統(tǒng)必須滿足本要求，對于不支持本要求的已建系統(tǒng)，應根據(jù)實際情況在系統(tǒng)升級中進行改造。對涉及客戶信息相關操作，嚴格按照《“金庫模式”實施指導意見》要求執(zhí)行，對業(yè)務系統(tǒng)涉及客戶身份資料、位置信息、通話詳單、充值記錄等高價值信息的高風險操作納入金庫管控。 客戶信息安全管理要求各系統(tǒng)管理員應明確識別各系統(tǒng)中存儲、傳輸?shù)目蛻粲嘘P信息，并具體標注需要保護的客戶信息類型，對于各相關系統(tǒng)中的客戶信息，未經授權許可不得查詢，更不能用于公司合法運營之外的其它商業(yè)用途。F 如果事件對網絡或系統(tǒng)造成重大影響，應啟動事后分析流程。所進行的操作或操作結果。地址：包括目標IP和源IP重要事件的日期和時間。系統(tǒng)文件的刪除。數(shù)據(jù)與其它資源的成功訪問和拒絕訪問記錄。操作日期和時間。 檢查人員對存在不合規(guī)項的終端進行設置，以滿足安全管理要求。8).要求安裝殺毒軟件并及時進行病毒庫更新。4).配置帳戶鎖定策略，要求設置鎖定次數(shù)為5次以下。216。216。 基線配置安全要求依據(jù)《》等管理規(guī)范與要求，公司各業(yè)務平臺操作系統(tǒng)、數(shù)據(jù)庫、服務器中間件、帳號權限分配與配置策略、防火墻需按照該規(guī)范進行配置。因系統(tǒng)原因不能進行加密保存的，系統(tǒng)管理員需提交預設帳號清單及使用人員清單。N系統(tǒng)管理員提交預設帳號清單及使用人員清單。申請部門完成審核后，轉發(fā)系統(tǒng)責任部門負責人進行書面審批后。系統(tǒng)責任部門負責人書面審批NNY部門負責人審核如存在第三方公司人員需要建立帳號的情況，應和第三方廠商簽訂相關的安全保密協(xié)議。書面審批通過，由系統(tǒng)超級管理員在系統(tǒng)中創(chuàng)建帳號或進行權限修改。 內部帳號創(chuàng)建/變更流程管理流程管理要求開 始申請人填寫《系統(tǒng)帳號創(chuàng)建/變更申請表》YN申請人部門負責人審核NY系統(tǒng)管理員在系統(tǒng)中創(chuàng)建帳號或進行權限修改。Y授權有效期內各業(yè)務系統(tǒng)層/應用層超級管理員由申請人填寫《系統(tǒng)超級管理員授權表》。安全管理員、安全審計員： 負責所轄各系統(tǒng)及設備的信息安全管理工作。216。各層帳號管理部門各自負責本部門職責層面內的帳號審批、創(chuàng)建及刪除、權限管理以及口令管理要求執(zhí)行情況審核機制，接受定期審核。 信息安全的要求216。2）、XX股份整理措施和技術措施，防止重要數(shù)據(jù)、文件、資料的丟失及泄漏。系統(tǒng)配置管理：從系統(tǒng)容錯、數(shù)據(jù)備份與恢復和運行監(jiān)控三個方面著手建立自身的運行維護體系，采用平臺監(jiān)測器實時監(jiān)測、運行檢測工具主動檢查相結合的方式，構建一個安全穩(wěn)定的系統(tǒng)。 以信息資產管理為核心 IT資產管理是全面實現(xiàn)信息系統(tǒng)運行維護管理的基礎，提供的豐富的IT資產信息屬性維護和備案管理，以及對業(yè)務應用系統(tǒng)的備案和配置管理。：遵循國際和工業(yè)標準及指南建立平臺的運行質量評估框架，通過評估模型使用戶了解運維需求、認知運行風險、采取相應的保護和控制，有效的保證信息系統(tǒng)的建設投入與運行風險的平衡，系統(tǒng)地保證信息化建設的投資效益，提高關鍵業(yè)務應用的連續(xù)性。：智能的規(guī)則匹配和處理，基于用戶管理規(guī)范的自動處理，降低事件、任務發(fā)起到處理的延時，以及人工派發(fā)的誤差。關于告警響應和處理：它提供了事件生成、過濾、短信告警、郵件告警、自動派發(fā)工單、啟動預案等多種響應方式，內置監(jiān)控界面的圖形化告警方式；提供了與事件響應中心的智能接口，可基于事件關聯(lián)響應規(guī)則自動生成工單并觸發(fā)相應的預案工作流進行處理。同時，告警中心提供了多種告警響應方式，內置與事件響應中心的工單和預案處理接口，可依據(jù)事件關聯(lián)和響應規(guī)則的定義，觸發(fā)相應的預案處理，實現(xiàn)運維管理過程中突發(fā)事件和問題處理的自動化和智能化。監(jiān)控的主要內容包括：基礎環(huán)境、網絡、通信、安全、主機、中間件、數(shù)據(jù)庫和核心應用系統(tǒng)等。正是因為目前運維服務中存在的弊端，XX股份有限公司依靠長期從事應用平臺信息系統(tǒng)運維服務的經驗，同時結合信息安全保障體系建設中運維體系建設的要求，遵循ITIL（最佳實踐指導）、ISO/IEC 27000系列服務標準、以及《中國移動廣東公司管理支撐系統(tǒng)SOA規(guī)范》等相關標準，建立了一整套完善和切實可行的信息安全運維服務管理的建設方案。目前，大多數(shù)企業(yè)還停留在被動的、傳統(tǒng)意義上的安全運維服務，這樣安全運維服務存在著以下弊端：1）、出現(xiàn)故障縱有眾多單一的廠商管理工具，但無法迅速定位安全事件，忙于“救火”，卻又不知火因何而“著”。 客戶信息安全管理216。 系統(tǒng)基線配置安全管理216。 可控性 controllability216。216。 美國國家安全局信息保障主任給出的定義是：“因為術語‘信息安全’一直僅表示信息的機密性，在國防部我們用‘信息保障’來描述信息安全，也叫‘IA’。綜合起來說，就是要保障電子信息的有效性。 我國相關立法給出的定義是：“保障計算機及其相關的和配套的設備、設施（網絡）的安全，運行環(huán)境的安全，保障信息安全，保障計算機功能的正常發(fā)揮，以維護計算機信息系統(tǒng)的安全”。 國內學者的定義：“信息安全保密內容分為：實體安全、運行安全、數(shù)據(jù)安全和管理安全四個方面。國際上對于信息安全問題的研究起步較早，投入力度大，已取得了許多成果，并得以推廣應用。在混亂階段：運維服務沒有建立綜合的支持中心，也沒有用戶通知機制；在被動階段：運維服務開始關注事件的發(fā)生和解決，也開始關注信息資產，擁有了統(tǒng)一的運維控制臺和故障記錄和備份機制；在主動階段：運維服務建立了安全運行的定義，并將系統(tǒng)性能，問題管理、可用性管理、自動化與工作調度作為重點；在服務階段，運維服務工作中已經可以支持任務計劃和服務級別管理；在價值階段，運維服務實現(xiàn)了性能、安全和核心幾大應用的緊密結合，體現(xiàn)其價值所在。 IT運維信息安全解決方案隨著信息安全管理體系和技術體系在企業(yè)領域的信息安全建設中不斷推進，安全運維占信息系統(tǒng)生命周期70% 80%的信息，并且安全運維體系的建設已經越來越被廣大用戶重視。運維服務的發(fā)展趨勢對于企業(yè)的安全運維服務管理的發(fā)展，通?？梢詫⑵浞譃榛靵y階段、被動階段、主動階段、服務階段和價值階段這五個階段。如何確保信息系統(tǒng)的安全已經成為了全社會關注的問題。216。”216。 國家信息安全重點實驗室給出的定義是：“信息安全涉及到信息的機密性、完整性、可用性、可控性?！?216。 國際標準化委員會給出的定義是：“為數(shù)據(jù)處理系統(tǒng)而采取的技術的和管理的安全保護，保護計算機硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞、更改、顯露”。 可用性 Availability216。 帳號口令管理216。 安全審計管理216。二是指對運維過程中發(fā)生的基礎環(huán)境、網絡、安全、主機、中間件、數(shù)據(jù)庫乃至核心應用系統(tǒng)發(fā)生的影響其正常運行的事件（包含關聯(lián)事件）通稱為安全事件，而圍繞安全事件、運維人員和信息資產，依據(jù)具體流程而展開監(jiān)控、告警、響應、評估等運行維護活動，稱為安全運維服務。3）、對安全事件缺少關聯(lián)性分析和評估分析，并且沒有對安全事件定義明確的處理流程，更多的是依靠人的經驗和責任心，缺少必要的審核和工具的支撐。其主要包括：集中監(jiān)控：采用開放的、遵循國際標準的、可擴展的架構，整合各類監(jiān)控管理工具的監(jiān)控信息，實現(xiàn)對信息資產的集中監(jiān)視、查看和管理的智能化、可視化監(jiān)控系統(tǒng)。 建立安全運維告警中心基于規(guī)則配置和自動關聯(lián)，實現(xiàn)對監(jiān)控采集、同構、歸并的信息的智能關聯(lián)判別，并綜合的展現(xiàn)信息系統(tǒng)中發(fā)生的預警和告警事件，幫助運維管理人員快速定位、排查問題所在。關于綜合查詢和展現(xiàn)：它實現(xiàn)了多種視角的故障告警信息和業(yè)務預警信息的查詢和集中展現(xiàn)。2．可配置的預案流程：所有運維管理流程均可由用戶自行配置定義，即可實現(xiàn)ITIL/ITSM的主要運維管理流程，又可根據(jù)用戶的實際管理要求和規(guī)范，配置個性化的任務、事件處理流程。 建立安全運維審核評估中心安全運維審核評估中心具有對信息系統(tǒng)運行質量、服務水平、運維管理工作績效的綜合評估、考核、審計管理三大功能。主要包括：系統(tǒng)流程和輸入輸出數(shù)據(jù)以及數(shù)據(jù)接口的完整性、合規(guī)性、有效性、真實性審計。系統(tǒng)采集管理：以信息系統(tǒng)內各種IT資源及各個核心業(yè)務系統(tǒng)的監(jiān)控管理為主線，采集相關異構監(jiān)控系統(tǒng)的信息，通過對不同來源的信息數(shù)據(jù)的整合、同構、規(guī)格化處理、規(guī)則匹配，生成面向運行維護管理的事件數(shù)據(jù)，實現(xiàn)信息的共享和標準化。1）、XX股份嚴格遵守南方基地各項安全保密制度，加強服務工程師的保密意識，制定有效的管理制度。5）、安全保密工作XX股份安排專人負責，定期向XX信息技術中心提交《安全工作報告》。各層帳號管理部門各自負責本部門職責層面內的帳號審批及授權管理，推動制定帳號審批流程、表格模版等并落實責任人，監(jiān)督落實帳號申請表、用戶帳號登記表的維護管理。并應做到嚴格保護帳號口令，不得故意泄露，否則需承擔由此導致安全問題的責任。系統(tǒng)層/應用層普通用戶：系統(tǒng)維護、應用操作執(zhí)行人員，為普通維護人員及第三方人員，只能申請自身帳號進行操作，不能進行帳號分配管理。 超級管理員帳號管理流程管理流程管理要求開 始申請人填寫《超級管理員授權表》YN審批并授權NY對系統(tǒng)超級管理員清單每季度進行復核并簽字確認。216。申請部門完成審核后，轉發(fā)系統(tǒng)責任部門負責人進行書面審批。Y合作引入部門填寫《系統(tǒng)帳號創(chuàng)建/變更申請表》YY系統(tǒng)管理員在系統(tǒng)中創(chuàng)建帳號或進行權限修改。提交所在部門負責人進行權限職責相容性審核。 系統(tǒng)預設帳號管理流程管理流程管理要求開 始