Transcript 投影片

網路安全與ISMS
A0963339 吳東儒
指導老師：梁明章 老師
雲端產業

產業現況
雲端服務近年來被企業大量採用，所延伸
的資訊安全管理就更受企業重視。
雲端服務供應商應更加強其資訊安全的議
題管理。
2/6
選定目標
目標：雲端服務供應商







濫用雲端進行存取
不安全的介面
惡意內部人員
共享環境
資料遺失或外洩
帳號或服務被竊取
未知風險模型
3/6
如何執行
階段
安全需求分析
內容
針對虛擬化平台做需求的安全分析
資訊安全/流程教育 針對企業內部人員做教育訓練
安全政策與架構
建立資訊安全報告以及系統整體架構
風險評鑑
進行風險評估與產生問題
風險處理
風險的處理方法與解決方式文件
施行與檢核
正式實施並進行檢核並給予內部企業建議報告
4/6
面臨資安風險、脆弱點、威脅
非法行為
IaaS PaaS
不安全的介面
IaaS PaaS SaaS
惡意內部人員
服務供應商降低使用門檻，試用免費造成外部
攻擊 EX：疆屍網路、木馬病毒
使用者透過公共的使用介面與APIs，使得驗證
功能變的格外重要
服務供應商人員管理疏失
IaaS PaaS SaaS
共享環境
看似私人擁有，但實質為虛擬共享平台
IaaS
資料遺失或外洩
資料驗證加密性是否足夠
IaaS PaaS SaaS
帳號或服務被竊取
IaaS PaaS SaaS
未知風險模型
與傳統IT架構不同，企業無控制權，導致無法
對於帳號服務進行控制
企業無法完全了解系統平台
IaaS PaaS SaaS
5/6
改善方法
創新面
與雲端安全聯盟(CSA)共同推出的Trusted Cloud，強
調其身分認證性。
自有雲端系統管理，推展虛擬機器資安防護。
顧客面
企業內部員工資安教育訓練，降低資料洩漏。
對於ISMS認證管理文件的認同與績效管理。
雲端資料解密金鑰由用戶單獨擁有或由第三方進行管
理稽核。
管理面
CPU等資源實體獨立管理。
制定安全的登入機制。
嚴格進行審查並進行資安監控。
流程面
雲端系統架構透明化、文件標準化，降低企業對於雲
端架構的不確定感。
6/6