Transcript 投影片
網路安全與ISMS
A0963339 吳東儒
指導老師:梁明章 老師
雲端產業
產業現況
雲端服務近年來被企業大量採用,所延伸
的資訊安全管理就更受企業重視。
雲端服務供應商應更加強其資訊安全的議
題管理。
2/6
選定目標
目標:雲端服務供應商
濫用雲端進行存取
不安全的介面
惡意內部人員
共享環境
資料遺失或外洩
帳號或服務被竊取
未知風險模型
3/6
如何執行
階段
安全需求分析
內容
針對虛擬化平台做需求的安全分析
資訊安全/流程教育 針對企業內部人員做教育訓練
安全政策與架構
建立資訊安全報告以及系統整體架構
風險評鑑
進行風險評估與產生問題
風險處理
風險的處理方法與解決方式文件
施行與檢核
正式實施並進行檢核並給予內部企業建議報告
4/6
面臨資安風險、脆弱點、威脅
非法行為
IaaS PaaS
不安全的介面
IaaS PaaS SaaS
惡意內部人員
服務供應商降低使用門檻,試用免費造成外部
攻擊 EX:疆屍網路、木馬病毒
使用者透過公共的使用介面與APIs,使得驗證
功能變的格外重要
服務供應商人員管理疏失
IaaS PaaS SaaS
共享環境
看似私人擁有,但實質為虛擬共享平台
IaaS
資料遺失或外洩
資料驗證加密性是否足夠
IaaS PaaS SaaS
帳號或服務被竊取
IaaS PaaS SaaS
未知風險模型
與傳統IT架構不同,企業無控制權,導致無法
對於帳號服務進行控制
企業無法完全了解系統平台
IaaS PaaS SaaS
5/6
改善方法
創新面
與雲端安全聯盟(CSA)共同推出的Trusted Cloud,強
調其身分認證性。
自有雲端系統管理,推展虛擬機器資安防護。
顧客面
企業內部員工資安教育訓練,降低資料洩漏。
對於ISMS認證管理文件的認同與績效管理。
雲端資料解密金鑰由用戶單獨擁有或由第三方進行管
理稽核。
管理面
CPU等資源實體獨立管理。
制定安全的登入機制。
嚴格進行審查並進行資安監控。
流程面
雲端系統架構透明化、文件標準化,降低企業對於雲
端架構的不確定感。
6/6