云安全責(zé)任共擔(dān)模型2024

1 1 3（三）行業(yè)用戶共擔(dān)意識(shí)仍存提升空間，實(shí)際需求為云展方向 4 6 6 8 9 9 11 14 17 17 17 19 20 20 23 25 25 27 29 31 3212多項(xiàng)標(biāo)準(zhǔn)規(guī)范推動(dòng)建立云安全責(zé)任共擔(dān)共識(shí)。YD/T4060-2022客戶兩大主體間的責(zé)任分擔(dān)方式；GB/T31168-2023軟件供應(yīng)鏈風(fēng)險(xiǎn)頻發(fā)，云計(jì)算上下游應(yīng)急響應(yīng)與協(xié)作需求迫切。2CybersecurityInsiders《2023Cloud3Sonatype《8thStateofthesoftwaresup4完整性依賴于云平臺(tái)的技術(shù)架構(gòu)。另一方面，提升了2.7%。但從調(diào)查數(shù)據(jù)可以看出，仍有一半以上用戶對(duì)云安全5作機(jī)制成為云服務(wù)客戶的迫切需求。6789對(duì)于云軟件交付+服務(wù)托管模式，云服務(wù)商負(fù)責(zé)云軟件自身的安體系。對(duì)于云上的業(yè)務(wù)和數(shù)據(jù)資產(chǎn)，云服務(wù)客戶對(duì)其安全防護(hù)負(fù)責(zé)，2）三類責(zé)任共擔(dān)主體角色，一個(gè)組織機(jī)構(gòu)可能同時(shí)承擔(dān)一種以上的2）安全管理制度：依據(jù)法律法規(guī)和業(yè)務(wù)需求制定管理制度；整5）訪問(wèn)控制安全：建立細(xì)粒度的身份權(quán)限管理體系，最小化授1）云平臺(tái)基礎(chǔ)架構(gòu)安全：實(shí)現(xiàn)虛擬資源在網(wǎng)絡(luò)層的邏輯隔離；2）云服務(wù)功能安全：提供云平臺(tái)和云服務(wù)的訪問(wèn)控制、身份鑒基線配置云平臺(tái)和服務(wù)；2）應(yīng)正確使用并及時(shí)維護(hù)云服務(wù)，使用云引入外部專家服務(wù)；5）不斷提升自身安全能力，管理者需明確責(zé)任2、留意安全通知和平臺(tái)告警，及時(shí)更新云資源版本，安裝補(bǔ)基礎(chǔ)安全能力域是保證云上安全的基石，主要包括：1）云工作與不同云平臺(tái)上的統(tǒng)一網(wǎng)絡(luò)安全管理；3）應(yīng)用安全能力，一方面對(duì)安全全局化能力域是對(duì)抗高級(jí)威脅的有效手段，主要包括：1）挖掘潛在安全隱患，并給事件溯源提供清晰的證據(jù)鏈；2）全局統(tǒng)一安全自動(dòng)化能力域?qū)⑷轿惶岣甙踩?，主要包括?）自動(dòng)著眼于真正的威脅上；2）自動(dòng)化安全處理能力，將常見(jiàn)安全操作以云服務(wù)客戶的云上安全防護(hù)體系依托云安全廠商提供的云安全戶在進(jìn)行云安全服務(wù)選型時(shí)應(yīng)充分考慮自身實(shí)際生產(chǎn)場(chǎng)景與業(yè)務(wù)需選擇云服務(wù)商作為云安全服務(wù)供應(yīng)商主要有以下優(yōu)勢(shì)：1）數(shù)據(jù)更好地理解安全數(shù)據(jù)產(chǎn)生的根本原因；2）集中的安全管控，一方面云服務(wù)商提供的云安全服務(wù)通過(guò)云平臺(tái)的統(tǒng)一身份認(rèn)證體系進(jìn)行登安全操作的需求；3）以保證業(yè)務(wù)連續(xù)性為導(dǎo)向的處理原則，當(dāng)前安益持續(xù)受損；4）原生化安全體系發(fā)展具有前瞻性，云計(jì)算技術(shù)發(fā)展選擇安全廠商作為云安全服務(wù)供應(yīng)商主要有以下優(yōu)勢(shì)：1）定制云服務(wù)客戶主要負(fù)責(zé)安全服務(wù)履約過(guò)程中的責(zé)任：1）對(duì)由操作按照說(shuō)明進(jìn)行操作；2）對(duì)由維護(hù)不當(dāng)而引發(fā)的安全事件負(fù)責(zé)，客戶云安全廠商主要負(fù)責(zé)安全服務(wù)部署前交付與服務(wù)期內(nèi)的售后支持方面的責(zé)任：1）應(yīng)保證交付工具符合驗(yàn)收標(biāo)準(zhǔn)，安全能力滿足客難度與學(xué)習(xí)成本；3）應(yīng)保證安全服務(wù)的安全可靠，在交付時(shí)無(wú)已知4）應(yīng)在服務(wù)期內(nèi)持續(xù)提供技術(shù)支持，定期更新升級(jí)規(guī)則庫(kù)保證工具安全服務(wù)。云服務(wù)客戶在接入安全服務(wù)時(shí)往往涉及到新的安全問(wèn)題，告知用戶信息使用方式和信息公開(kāi)披露告知用戶公開(kāi)披露場(chǎng)景和知曉信息披露規(guī)則并選知曉數(shù)據(jù)跨境轉(zhuǎn)移規(guī)則制委托方使用的信息在用知曉委托處理規(guī)則并選務(wù)在服務(wù)條款和法律法規(guī)范圍內(nèi)使用云平臺(tái)和賬號(hào)知曉云服務(wù)訂閱與變更知曉云服務(wù)退訂與終止要求，對(duì)主動(dòng)退訂或終提供各類云服務(wù)的SLA協(xié)戶等級(jí)未達(dá)標(biāo)時(shí)依據(jù)協(xié)議在合規(guī)范圍內(nèi)使用第三確保云平臺(tái)符合所在地安據(jù)上傳等操作應(yīng)符合監(jiān)信息透明在確保云平臺(tái)安全的前提主動(dòng)了解并合理使用公提供隱私政策聲明期限提供必要的身份認(rèn)證信明明提供必要的身份認(rèn)證信遵循最小授權(quán)原則開(kāi)放性確保云平臺(tái)支持且符合用根據(jù)信息安全三要素和最小授權(quán)原則選擇適當(dāng)及時(shí)關(guān)注相關(guān)的威脅告及時(shí)更新產(chǎn)品補(bǔ)丁并告知云服務(wù)客戶上云用云過(guò)程中面對(duì)的供應(yīng)商不僅僅包括云服務(wù)商和云任何一個(gè)環(huán)節(jié)存在安全薄弱點(diǎn)，都有可能影響云上業(yè)務(wù)和數(shù)據(jù)安全，全責(zé)任共擔(dān)模式作用與價(jià)值，才能更好的保障千數(shù)據(jù)安全。在此過(guò)程中，云服務(wù)商、云服務(wù)客戶體應(yīng)充分發(fā)揮各方優(yōu)勢(shì)，提升云安全責(zé)任共擔(dān)意全目標(biāo)，協(xié)同推動(dòng)云安全工作的高質(zhì)量開(kāi)展，有云軟件交付+服務(wù)托管1、保障機(jī)房基礎(chǔ)設(shè)施的安全建設(shè)和運(yùn)2、保障虛擬化平臺(tái)的3、為云服務(wù)設(shè)計(jì)、開(kāi)發(fā)完備的安全功能供云服務(wù)客戶使用，如訪問(wèn)控制功1、保障交付的云軟件安全性，包括無(wú)高危漏洞、架構(gòu)安全2、為云服務(wù)設(shè)計(jì)、開(kāi)發(fā)完備的安全功能供云服務(wù)客戶使1、保障交付的云軟件安全性，包括無(wú)高危漏洞、架構(gòu)安全服務(wù)，依據(jù)云服務(wù)客戶安全配置規(guī)范1、合理配置和使用云服務(wù)的安全功能，如設(shè)置細(xì)粒度訪問(wèn)控制權(quán)限、關(guān)閉不必要開(kāi)放端口、設(shè)置數(shù)據(jù)加密算法2、可購(gòu)買云安全配置檢查相關(guān)產(chǎn)品輔助3、保障機(jī)房基礎(chǔ)設(shè)施的安全建設(shè)和運(yùn)1、按業(yè)務(wù)需求明確云服務(wù)安全配置規(guī)2、可購(gòu)買云安全配置檢查相關(guān)產(chǎn)品輔助3、保障機(jī)房基礎(chǔ)設(shè)施2、可購(gòu)買云安全配置檢查相關(guān)產(chǎn)品輔助3、可購(gòu)買其它安全服務(wù)實(shí)現(xiàn)云服務(wù)及其上業(yè)務(wù)的安全防4、可購(gòu)買其它安全服務(wù)實(shí)現(xiàn)整個(gè)云環(huán)境的安全建設(shè)和運(yùn)4、可購(gòu)買其它安全服務(wù)實(shí)現(xiàn)整個(gè)云環(huán)境安全配置檢查產(chǎn)安全配置檢查產(chǎn)安全配置檢查產(chǎn)（二）軟件供應(yīng)鏈風(fēng)險(xiǎn)場(chǎng)景云軟件交付模式下責(zé)云軟件交付+服務(wù)托管賴組件暴漏安全漏洞時(shí)，及時(shí)修復(fù)并告知云服務(wù)客戶潛可能影響云服務(wù)客戶云上業(yè)務(wù)時(shí)，及時(shí)防護(hù)并告知云服大變更可能影響云服務(wù)客戶業(yè)務(wù)連續(xù)性時(shí)，提前告知云服務(wù)客戶變更計(jì)客戶提供云軟件的2、在云軟件發(fā)現(xiàn)安全問(wèn)題時(shí)，及時(shí)修復(fù)客戶提供云軟件的2、在云軟件發(fā)現(xiàn)安全問(wèn)題時(shí)，及時(shí)修復(fù)員的培訓(xùn)教育，制定規(guī)范化服務(wù)方案，避免服務(wù)人員成為軟件供應(yīng)鏈攻1、針對(duì)云服務(wù)可能存在的軟件供應(yīng)鏈風(fēng)險(xiǎn)，制定應(yīng)急響應(yīng)方案，如服務(wù)遷移2、及時(shí)接收云服務(wù)商和云安全廠商告知信息并依據(jù)應(yīng)急響3、可購(gòu)買軟件供應(yīng)鏈安全相關(guān)產(chǎn)品輔助防范軟件供應(yīng)鏈風(fēng)在的軟件供應(yīng)鏈風(fēng)險(xiǎn)，制定應(yīng)急響應(yīng)單，在發(fā)現(xiàn)云軟件依賴組件暴漏安全漏洞時(shí)，及時(shí)告知云服務(wù)商和云安全廠商并要求其協(xié)助實(shí)施應(yīng)急響應(yīng)方時(shí)，及時(shí)告知云服務(wù)商和云安全廠商并要求其解決優(yōu)安全廠商提供的補(bǔ)在的軟件供應(yīng)鏈風(fēng)險(xiǎn)，制定應(yīng)急響應(yīng)單，在發(fā)現(xiàn)云軟件依賴組件暴漏安全漏洞時(shí)，及時(shí)告知云服務(wù)商和云安全廠商并要求其協(xié)助實(shí)施應(yīng)急響應(yīng)方時(shí)，及時(shí)告知云服務(wù)商和云安全廠商并要求其解決優(yōu)安全廠商提供的補(bǔ)全管理規(guī)范，加強(qiáng)云運(yùn)維運(yùn)營(yíng)服務(wù)人件供應(yīng)鏈安全產(chǎn)2、在云安全服務(wù)的軟件依賴組件暴漏安全漏洞時(shí)，及時(shí)修復(fù)并告知云服務(wù)客重大變更可能影響云服務(wù)客戶業(yè)務(wù)連續(xù)性時(shí)，提前告知件供應(yīng)鏈安全產(chǎn)件依賴組件暴漏安全漏洞時(shí)，及時(shí)修復(fù)并告知云服務(wù)客重大變更可能影響云服務(wù)客戶業(yè)務(wù)連續(xù)性時(shí)，提前告知件供應(yīng)鏈安全產(chǎn)件依賴組件暴漏安全漏洞時(shí)，及時(shí)修復(fù)并告知云服務(wù)客重大變更可能影響云服務(wù)客戶業(yè)務(wù)連續(xù)性時(shí)，提前告知云服務(wù)客戶變更計(jì)云服務(wù)客戶變更計(jì)云服務(wù)客戶變更計(jì)（三）云上勒索風(fēng)險(xiǎn)場(chǎng)景云軟件交付模式下責(zé)云軟件交付+服務(wù)托管控制等數(shù)據(jù)安全能內(nèi)發(fā)生勒索事件時(shí)，及時(shí)將情報(bào)信息向云服務(wù)客戶預(yù)控制等數(shù)據(jù)安全能控制等數(shù)據(jù)安全能服務(wù)，依據(jù)云服務(wù)客戶要求合理開(kāi)展案，并基于云平臺(tái)數(shù)據(jù)安全能力落實(shí)相關(guān)方案，如數(shù)據(jù)2、接收到云服務(wù)商或云安全廠商的情報(bào)信息后，及時(shí)排查是否存在被勒索風(fēng)險(xiǎn)，采取應(yīng)急響應(yīng)相關(guān)產(chǎn)品輔助預(yù)防案，并基于云平臺(tái)數(shù)據(jù)安全能力落實(shí)2、接收到云安全廠商的情報(bào)信息后，及時(shí)排查是否存在被勒索