栗蔚-如何防范云計(jì)算服務(wù)商的上帝之手-云平臺的審計(jì)與監(jiān)管

云計(jì)算服務(wù)商的上帝之手栗蔚中國信息通信研究院主任工程師云計(jì)算開源產(chǎn)業(yè)聯(lián)盟秘書長數(shù)據(jù)中心聯(lián)盟可信云服務(wù)工作組組長——客戶的擔(dān)憂上帝之上帝之手運(yùn)動員—服務(wù)商裁判員—第三方公有云平臺系列1,數(shù)據(jù)安全與隱私,系列1,與業(yè)務(wù)連續(xù)性,系列1,服務(wù)質(zhì)量無法保證或驗(yàn)證,系列1,云安全相關(guān)技術(shù)不成熟,后的業(yè)務(wù)遷移問算服務(wù)商之間遷移系列1,后的業(yè)務(wù)遷移問算服務(wù)商之間遷移題,23.7%服務(wù)時遇到的數(shù)據(jù)標(biāo)準(zhǔn)性問題,之手云服務(wù)商第三方可信、安全監(jiān)管、審計(jì)可信云認(rèn)證TrustedCloudServiceITU-TY.3501TrustServiceAICPASOC2美國注冊會計(jì)師協(xié)會服務(wù)組織風(fēng)險控制報告數(shù)據(jù)安全、服務(wù)質(zhì)量、權(quán)益保障完備、規(guī)范、真實(shí)、公開Asetofrequirements(performance,resiliency,reversibility)andtransparencyforgovernancemanagementandsecuritytoCSCControlsofSecurity,Availability,ProcessingIntegrity,ConfidentialityandPrivacy數(shù)據(jù)數(shù)據(jù)存儲的持久性服務(wù)服務(wù)功能數(shù)據(jù)可銷毀性服務(wù)可用性數(shù)據(jù)可遷移性服務(wù)資源調(diào)配能力數(shù)據(jù)私密性故障恢復(fù)能力數(shù)據(jù)知情權(quán)網(wǎng)絡(luò)接入性能服務(wù)可審查性服務(wù)計(jì)量準(zhǔn)確性權(quán)益保障服務(wù)變更、終止條款要求運(yùn)維管理要求服務(wù)賠償條款云服務(wù)性能要求用戶約束條款信息安全要求服務(wù)商免責(zé)條款全數(shù)據(jù)存儲的持久性硬盤類型、硬盤損壞率、備份延遲時間、副本數(shù)等因素。數(shù)據(jù)可銷毀性用戶要求刪除數(shù)據(jù)或設(shè)備在棄置、轉(zhuǎn)售前必須將其所有數(shù)據(jù)徹底數(shù)據(jù)可遷移性用戶能夠控制數(shù)據(jù)或主機(jī)鏡像的遷移，保證啟用或棄用該云服務(wù)數(shù)據(jù)私密性承諾用戶應(yīng)有加密或隔離等手段保證同一資源池用戶數(shù)據(jù)互不可數(shù)據(jù)知情權(quán)數(shù)據(jù)存儲在哪些數(shù)據(jù)中心；數(shù)據(jù)位置用戶是否可選；當(dāng)?shù)嘏c數(shù)據(jù)中心相關(guān)的法律法規(guī)；用戶數(shù)據(jù)的使用人和使用的數(shù)據(jù)類型，數(shù)據(jù)類型包括日志、用戶個人信息等等：有無跨境流動；有無數(shù)據(jù)分析。服務(wù)可審查性用戶在必要的條件下由于合規(guī)或是安全取證調(diào)查等原因可以提供相關(guān)的信息：如關(guān)鍵組件的運(yùn)行日志、運(yùn)維人員的操作記錄。遵全?檢測XSS跨站攻擊風(fēng)險；?檢測Webshell、暗鏈等風(fēng)險運(yùn)維能力初評-較強(qiáng)項(xiàng)(企業(yè)達(dá)標(biāo)率>90%系)列1,數(shù)據(jù)可銷毀性,系列1,在線幫助,列1,升級、打補(bǔ)丁及運(yùn)維能力初評-較強(qiáng)項(xiàng)(企業(yè)達(dá)標(biāo)率>90%系)列1,數(shù)據(jù)可銷毀性,系列1,在線幫助,列1,升級、打補(bǔ)丁及系列1,License,94.44%系列1,用戶信息,系列1,用戶角色管理,列1,遠(yuǎn)程診斷和配置端口保護(hù),94.44%系列1,外部連接的用戶鑒別,100.00%系列1,資源庫存管理,系列1,系統(tǒng)防護(hù),系列1,拓?fù)涔芾?48.15%系列1,服務(wù)質(zhì)量事件系列1,系統(tǒng)防護(hù),系列1,拓?fù)涔芾?48.15%系列1,服務(wù)質(zhì)量事件理流程和人員職責(zé),系列1,報告機(jī)制,系列1,人員訪問權(quán)限管理,57.41%系列1,服務(wù)管理方針,系列1,安全方針文件,)運(yùn)維能力初評--較弱項(xiàng)(企業(yè)達(dá)標(biāo)率<60%)理運(yùn)云服務(wù)運(yùn)維管理系統(tǒng)的流程指導(dǎo)云服運(yùn)云服務(wù)運(yùn)維管理系統(tǒng)的流程指導(dǎo)云服務(wù)運(yùn)維管理系統(tǒng)的功能完備性云服務(wù)運(yùn)維管理系統(tǒng)的云計(jì)算綜合服務(wù)和安全兩方面適應(yīng)DevOps等運(yùn)維技術(shù)和先發(fā)展，側(cè)重運(yùn)維管理系統(tǒng)的完備性和自動化；對比項(xiàng)目金牌對比項(xiàng)目金牌運(yùn)維ISO2000ISO27001CSA信息安全等級保護(hù)云計(jì)算網(wǎng)絡(luò)安全審查所屬領(lǐng)域基礎(chǔ)信息技術(shù)服務(wù)√√√云計(jì)算√√√審查對象服務(wù)質(zhì)量√√√信息安全√√√√審查要求流程制度√√√√√√運(yùn)維系統(tǒng)√新增自化√-流程規(guī)范服務(wù)臺運(yùn)維人員崗位職責(zé)說明服務(wù)臺與客戶的聯(lián)絡(luò)方式服務(wù)臺職責(zé)服務(wù)臺管理制度配置項(xiàng)管理工作程序管理關(guān)鍵成功因素事件的記錄和分事件的記錄和分類事件處理事件關(guān)閉錄入日志管理問題確定和記錄問題分析和轉(zhuǎn)交監(jiān)控問題問題處理問題錄入日志管理版本測試版本控制版本部署及發(fā)布理是否有本公司的知報表管理報表分類統(tǒng)計(jì)事件管理報表問題管理報表配置管理報表變更分類和記錄變更控制變更分析改進(jìn)措施資源統(tǒng)計(jì)報表資源統(tǒng)計(jì)報表TopN報表故障分析報表事件統(tǒng)計(jì)報表資產(chǎn)信息收集資產(chǎn)變更管理資產(chǎn)統(tǒng)計(jì)報表工單申請工單處理工單取消/關(guān)閉計(jì)費(fèi)規(guī)則計(jì)費(fèi)配置堡壘機(jī)防火墻云網(wǎng)絡(luò)流量監(jiān)測入侵檢測防DDOS攻擊主機(jī)安全防御漏洞掃描系統(tǒng)防病毒管理敏感數(shù)據(jù)加密數(shù)據(jù)冗余備份物理設(shè)備層系統(tǒng)層網(wǎng)絡(luò)層應(yīng)用服務(wù)層云平臺層存儲層業(yè)務(wù)層權(quán)限管理賬號管理角色管理分域管理密碼管理告警管理系統(tǒng)故障預(yù)防設(shè)計(jì)報警系統(tǒng)容災(zāi)報警內(nèi)容管理故障檢測和處理拓?fù)湔故咀远x拓?fù)渚W(wǎng)絡(luò)拓?fù)溆脩粼L問日志運(yùn)維人員操作日志系統(tǒng)運(yùn)行日志軟件預(yù)安裝和預(yù)置軟件自動化批量安裝升級、打補(bǔ)丁及回退自動化-系統(tǒng)自動化性安全與權(quán)限管理自動化監(jiān)控與告警自動化網(wǎng)絡(luò)數(shù)據(jù)管理自動化網(wǎng)絡(luò)容量管理自動化網(wǎng)絡(luò)容災(zāi)自動管理機(jī)器全生命周期管理自動化物理機(jī)器日常操作自動化安全與權(quán)限管理自動化監(jiān)控與告警自動化機(jī)器數(shù)據(jù)管理自動化操作系統(tǒng)環(huán)境管理自動化操作系統(tǒng)日常操作自動化安全與權(quán)限管理自動化監(jiān)控與告警自動化操作系統(tǒng)數(shù)據(jù)管理自動化情況電信運(yùn)營商IDC運(yùn)營商背景互聯(lián)網(wǎng)商背景設(shè)備商背景流程制度強(qiáng)弱運(yùn)維系統(tǒng)弱外包自動化管理弱強(qiáng)自動化管理強(qiáng)為促進(jìn)我國云計(jì)算創(chuàng)新發(fā)展,積極培育信息產(chǎn)業(yè)新業(yè)態(tài)，支持第三方機(jī)構(gòu)開展云計(jì)算服務(wù)質(zhì)量、可信度和網(wǎng)絡(luò)安全等評估測評工作。引導(dǎo)云計(jì)算服務(wù)企業(yè)加強(qiáng)內(nèi)部管理，提升服務(wù)質(zhì)量和誠信水平，逐步建立云計(jì)算信任體系。發(fā)《關(guān)于促進(jìn)云計(jì)算創(chuàng)新發(fā)展培育信息產(chǎn)業(yè)新業(yè)態(tài)的意見》2015.1.30事前事中事后標(biāo)準(zhǔn)入牌照準(zhǔn)入第三方認(rèn)證?IAAS/PAASIDC(互聯(lián)網(wǎng)資源協(xié)作業(yè)務(wù))?SAAS在線數(shù)據(jù)處理與交易處理業(yè)務(wù)類牌照、存儲轉(zhuǎn)發(fā)類業(yè)務(wù)牌照、信息服務(wù)業(yè)務(wù)牌照(ICP牌照等)、呼叫中心類牌照、計(jì)算機(jī)類無需牌照：可信云服務(wù)認(rèn)證、黨政機(jī)關(guān)使用云計(jì)算網(wǎng)絡(luò)安全審查、等級保護(hù)認(rèn)證等本：云計(jì)算信息披露制度國：可信云服務(wù)商認(rèn)證國：可信云計(jì)算基礎(chǔ)