網路安全與 ISMS
description
Transcript of 網路安全與 ISMS
網路安全與 ISMS
A0963339 吳東儒
指導老師:梁明章 老師
2/6
雲端產業
產業現況雲端服務近年來被企業大量採用,所延伸的資訊安全管理就更受企業重視。雲端服務供應商應更加強其資訊安全的議題管理。
3/6
選定目標
目標:雲端服務供應商 濫用雲端進行存取 不安全的介面 惡意內部人員 共享環境 資料遺失或外洩 帳號或服務被竊取 未知風險模型
4/6
如何執行階段 內容
安全需求分析 針對虛擬化平台做需求的安全分析
資訊安全 / 流程教育
針對企業內部人員做教育訓練
安全政策與架構 建立資訊安全報告以及系統整體架構
風險評鑑 進行風險評估與產生問題
風險處理 風險的處理方法與解決方式文件
施行與檢核 正式實施並進行檢核並給予內部企業建議報告
5/6
面臨資安風險、脆弱點、威脅非法行為 服務供應商降低使用門檻,試用免費造成外部
攻擊 EX :疆屍網路、木馬病毒IaaS PaaS
不安全的介面 使用者透過公共的使用介面與 APIs ,使得驗證功能變的格外重要IaaS PaaS SaaS
惡意內部人員 服務供應商人員管理疏失IaaS PaaS SaaS
共享環境 看似私人擁有,但實質為虛擬共享平台IaaS
資料遺失或外洩 資料驗證加密性是否足夠IaaS PaaS SaaS
帳號或服務被竊取 與傳統 IT 架構不同,企業無控制權,導致無法對於帳號服務進行控制IaaS PaaS SaaS
未知風險模型 企業無法完全了解系統平台IaaS PaaS SaaS
6/6
改善方法創新面 與雲端安全聯盟 (CSA) 共同推出的 Trusted Cloud ,
強調其身分認證性。自有雲端系統管理,推展虛擬機器資安防護。
顧客面 企業內部員工資安教育訓練,降低資料洩漏。對於 ISMS 認證管理文件的認同與績效管理。雲端資料解密金鑰由用戶單獨擁有或由第三方進行管理稽核。
管理面 CPU 等資源實體獨立管理。制定安全的登入機制。嚴格進行審查並進行資安監控。
流程面 雲端系統架構透明化、文件標準化,降低企業對於雲端架構的不確定感。