毕业论文网
本文是一篇关于管理经验论文范文,可作为相关选题参考,和写作参考文献。
云安全管理经验谈
在云计算的环境下,如何更好的保障云计算平台及云计算用户的安全成了当下热门的研究话题.本文结合本人在云计算安全管理方面的经验,阐述了云安全管理的一些观点,如有不当之处恳请各位读者予以指正.
一、云安全管理框架
云安全管理与传统安全有着一定的差异,主要体现在云计算的资源池化、按需自服务、多种网络访问、弹性资源使用、服务可计量的多个特点.由于虚拟化、存储、高可用等技术大范围在云计算中使用,必须系统的设计一个合理的全面的安全管理框架,从安全管理设计的角度保证云计算的安全.结合本人实际经验,经过综合对比,认为CSA CCM 安全管理框架是目前云安全管理中较为优秀的成熟安全管理框架.
二、云平台的安全治理
1、治理和风险管理.基准安全要求:对于自行开发或者外部获取、组织自有或由组织所管理的物理的或虚拟的应用程序、基础设施系统和网络模块,应当建立一个基准安全要求,并且应符合法律法规的要求.数据安全评估:数据治理需求相关的风险评估应当定期执行管理监督:管理者应当意识到与他们职责相关的安全策略、程序和标准,并且负责符合这些安全策略、程序和标准的要求.管理程序:信息安全管理体系应当被建立、文件化、得到批准并且进行实施.管理支持/ 参与:管理层应当正式通过文件定义信息安全方向和目标,支持信息安全活动,并应确保相关活动都进行了指派.信息安全策略:应当建立信息安全策略和程序,并且对所有受其影响的人员和外部业务伙伴稳定可用.处罚策略:应当有一个正式的纪律或处罚策略,当雇员违反信息安全策略和程序时,应当处罚.风险评估对安全策略的影响:风险评估结果应当包含安全策略、程序、标准和控制措施进行相应的更新,以确保它们持续相关和有效.安全策略的评审:组织领导层(或其他等同的业务角色和部门)应当定期或在组织发生变更时对安全策略进行评审风险评估:应当每年至少一次或定期进行正式的信息安全风险评估,通过定量和定性的方法识别风险的可能性和影响.风险管理框架:应当将安全风险降低到可接受水平.
2、审计保证与合规性.审计计划:应编制和维护审计计划,最小化造成业务过程中断的风险.定期审计:应当定期(至少一年一次)进行独立审计和评估.合规对照:组织应当建立和维护一套控制机制,用于识别记录和维护与自身业务需求相关的标准、规章、法律和法令要求.
三、云平台的安全设计及开发
由于云平台中大量采用了虚拟化等技术,并且有自服务门户等多个平台同时需要考虑平台的互操作性和可移植性,对平台的安全设计及开发有严格的要求.
1、应用及接口安全.应用安全:应用程序和API 的设计、开发、部署要遵循行业标准.用户访问需求:授予用户对数据、资产、信息系统访问权限之前,所识别出的与用户访问相关的安全、合同以及监管方面的需求都要被处理和纠正.数据完整性:要确保应用程序和数据库的输入输出的完整性.数据安全:应建立和维护安全策略、程序,保证在多个系统接口、司法管辖区域和业务功能模块之间的数据的安全性.
2、加密及密钥管理.在加密和密钥管理策略中,考虑密钥生成到密钥回收,以及替换、PKI、加密协议设计、使用的加密算法、用于保护密钥安全生成的访问控制措施、对数据或会话进行加密的密钥的交换和存储、确保产品采购和使用符合国家主管部门的要求等内容.使用技术,进行数据的安全保护,包括对存储中的敏感数据(如文件服务器、数据库、用户终端工作站)、使用中的数据(内存中的)以及传输中(系统接口之间通过公共网络、电子消息等)的数据进行有效保护.确保云服务提供商配备适当的公开有效以及标准的加密算法(如AES-256).密钥不能存储与云商(如由云服务提供商保存),而交由用户或者可信的密钥管理服务提供商.对密钥的管理和密钥的使用进行有效的职责分离.
3、互操作性和可移植性.要求提供商使用开放和公开的APIs,一最大化模块间和应用程序迁移的互操作性.而且这个工作将成为云计算发展的一个长期目标.要求所有非结构化数据应对用户可用,并且在用户请求时,以行业标准格式向用户予以提供,以此保证用户数据的可移植性.满足用户(租户)进行应用开发、信息(交换、使用和保密性保证)相关的API 和信息处理的互操作性和可移植性的需求.要求提供商选用安全标准的网络协议进行数据导入、导出以及进行服务管理,并且应给用户提供所涉及的可移植性和可操作性方面的详尽说明文档.要求提供商使用行业认可的虚拟化平台和标准化的虚拟化格式,以保证互操作性.
四、供应链及人力资源的安全管理
1、供应链管理:供应链是云平台运行的重要组成部分,许多APT 攻击也是一供应链为目标进行攻击的.对供应链的安全管理应当考虑数据的质量及完整性、信息安全事件的通报、网络及基础设施服务、供应商内部评估、供应链协议、供应链治理评审、供应链度量、第三方评估、第三方审计等方面的内容.
2、人力资源安全管理.信息安全的核心是人,只有对人力资源进行有效的安全管控才能保证信息系统的安全.人力资源安全需要关注生命周期的安全管理.1. 任用前.任用前,组织需要进行背景调查,随后正式签署雇佣协议、保密协议,在雇佣协议中明确现用的信息治理和安全策略中所要求遵守的内容2. 任用中.通过文件明确定义雇员、承包方和第三方用户的安全角色和职责.3. 人用终止或变更目标.在任用终止或变更时,将保护组织利益作为变更或终止任用过程的一部分,确保员工、承包方和第三方人员,以适当的方式离开组织或变更任用事项.
具体我们可以通过对资产归还、背景调查、雇佣协议、雇佣终止、移动设备管理、保密协议、安全角色及职责、资产可接受使用、安全意识教育培训、用户职责、工作区域安全的管控保障人力资源的安全管理.
安全管理是一项系统性工程,云安全的管理基础为传统安全管理,但又有自己的特点.只要我们按照上述框架及管控点进行全面管理,云安全管理控制必能得到有效执行.
管理经验论文范文结:
适合不知如何写管理经验方面的相关专业大学硕士和本科毕业论文以及关于管理经验论文开题报告范文和相关职称论文写作参考文献资料下载。
1、物流管理论文题目
6、医学教育管理杂志