1700426056
零基础读懂云计算 第五章 安全与监管
1700426057
1700426058
安全是个全局性的问题,不仅是为使用云服务的你着想,对服务供给方、服务的应用载体以及允许访问服务的设备也都有益处。同时,从用户到数据中心再回到用户的过程中,还涉及数据完备性及隐私问题。在本章中我们会讨论上述问题,还有关于数据及其使用过程中的合法合规性问题,并将把讨论延展到数据主权与司法管辖权上,这也是云服务使用者格外关注之处。最后以一个简明的词汇表结束本章,其中列出了安全领域的常用术语,在这些知识的武装下,你与云计算供应商的沟通就会更为有效。
1700426059
1700426060
什么是IT安全
1700426061
1700426062
IT安全为计算机系统及其存储或操作的数据提供防护,保障它们的保密性、完整性和可得性(confidentiality、integrity、availability),这三者常被合称为“CIA”,并已经演化为下列六个特征,也被称为“帕克六要素”( Parkerian hexad)。
1700426063
1700426064
保密性:明确哪些人可以获得哪些信息。比如说,公司关心如何保护自己的知识产权,而个人则更关注自己的财务或医疗记录是否有未经授权的访问。
1700426065
1700426066
拥有或控制:明确谁或哪一系统具有信息的所有权,或者对信息的使用具有控制权。
1700426067
1700426068
完整性:指数据正确或与其使用意图一致。对数据任何未经授权的改动,无论出于有意还是无意,都是对数据完整性的破坏。
1700426069
1700426070
可靠性:指数据来源或创建过程的真实准确。
1700426071
1700426072
可得性:指在需要使用时,能够及时访问信息。
1700426073
1700426074
有效性:指有实用价值,信息可用且实用,能由用户按其意图使用。
1700426075
1700426076
可得性
1700426077
1700426078
云计算的特征之一是随处可用,这就印证了云计算资源的可得性,因此我们特别对可得性进行进一步讨论
1700426079
1700426080
可得性包含几方面内容:
1700426081
1700426082
1.这项服务是否可以从其他地点获取?
1700426083
1700426084
2.当你想要使用时,它是否已经准备好?
1700426085
1700426086
3.是否会因维护安排而在特定时段无法使用?
1700426087
1700426088
4.如果运行服务的云平台发生故障,需要多长时间才能修复?
1700426089
1700426090
5.修复后,是否会有数据丢失,如有,丢失的是多长时间内的数据?
1700426091
1700426092
后两项的衡量指标分别为恢复时间目标(Recovery Time Objective, RTO)和恢复点目标(Recovery Point Objective,RPO),两者都是以小时、分钟等时长作为单位。第三项与停机时间相关,一般以百分比表示,计算公式如下:
1700426093
1700426094
可得性百分比=100×(一段时期内的停机时长)/(一段时间的总时长)
1700426095
1700426096
列表中的前两项无法量化,但应在你和云服务供应商签署的合约中明确。服务层级协议中应当明确可得性的量化指标,并作为与云服务供应商之间协议的一部分。
1700426097
1700426098
CIA或帕克六要素中每项都能用数值来表示其严格性,比如1代表较不严格,2代表中等严格,3代表非常严格,等级的划分可能是非线性的。以可得性为例,等级1中RTO和RPO均为24小时;等级2中RTO为24小时,RPO为1小时;等级3中RTO为1小时,RPO则为0。假如你需要RTO为24小时,RPO为2小时,则可以选用本例中的等级2,即符合要求的最低等级。同样,如果你对保密性和完整性的要求分别为等级1和等级3,则你的安全性要求在CIA体系下就可以表示为1-3-2。你也可以用帕克六要素来表达安全需求,比如2-3-2-1-3-1。
1700426099
1700426100
加强安全
1700426101
1700426102
一次IT安全事故可以由上述帕克六要素来表述,这些要素具有两个特性:不可分割、互不重叠——不可分割意味着它们无法切分为更小的组成部分,而互不重叠是由于它们指向信息安全中的特定方向。我们对IT安全的定义会引出一系列追问:由谁定义哪些行为属于按意图使用或非恶意使用?如何确定数据对安全性要求的高低?谁在使用数据,是哪些数据?处理数据需要用什么系统?数据在何处及如何储存,如何被系统调用?我们按最优做法来尝试回答这些问题。
1700426103
1700426104
云服务的用户可以是自然人、流程、应用程序或运算设备之类的系统,应援前来解决问题的技术支持人员也被归类为用户。如果跟踪数据流轨迹,可以看到数据从用户处产生,通过网络到达安装了软件的运算系统,该系统对数据进行处理,并将其保存在硬盘等存储设备,然后在备份设备中进行备份,一段时间后最终归档到档案系统中。标出处理数据的节点和基本信息,分别为用户、运算系统、软件、存储设备、备份设备、档案系统。从用户角度出发,这整个数据通路都应接受安全防护,而用户对隐私、数据完备性、安全性的要求则是其他要素对应的安全指标。
[
上一页 ]
[ :1.700426055e+09 ]
[
下一页 ]