对我们小的安全服务测评机构来说,接触最多的通保也就是门户综合网站、信息社区服务系统和网络交易系统。互联网云服务平台接触则较少,因此对于其中的一些测评项会感到困惑,今天我摘几条最容易困惑的点拿出来说说,我们共同进步。
我感觉最主要的困惑点如下:
这些测评项是只针对我这个云平台管理后台这个应用的呢?还是说针对购买云平台服务的客户的?
我通过自己较少的经验加上翻阅《YD/T3158-2016 公有云安全防护检测要求》,我认为互联网云服务平台符合项评测项主要针对的是公有云服务提供商(云管理后台),但是也包含了云服务的客户角度(使用云服务的组织)。不这样理解,很多测评项就看不明白了。另外,到底哪些是针对云服务提供商,哪些涉及到云服务的客户角度,我找一些容易混淆的地方来简单说说,希望大家也能给予指正。
题目:数据产生时,是否根据数据的敏感度进行分类?
题目解读:我们先看看云涉及哪些数据
云上数据分了四大类:
1、云用户自己存储的数据。
2、注册信息。
3、衍生数据,登陆日志。
4、云服务商的信息,配置日志等等。
云服务提供商不会直接访问或处理用户的数据内容,因此用户数据的分类分级责任主要落在用户自己身上。云服务商可以提供工具和服务来帮助用户进行数据分类分级,但最终的执行依赖于用户。所以,在这个题目中所说的数据分类,我认为是指的云服务管理后台系统的数据分类。
那么再看看《YD/T3158-2016 公有云安全防护检测要求》
我理解数据分类标识是看用户界面(UI):在云服务平台的用户界面中,可能会有专门的数据管理或安全中心模块,其中可以查看数据的分类标识。例如,腾讯云的数据分类分级配置功能允许用户通过控制台对数据进行分类和分级管理,并查看相应的分类标识。
一般来说,企业不仅在数据产生时对数据进行分类还会在数据生命周期的各个阶段都应用这些分类标准。确保数据分类标准在各个系统和服务中得到一致且有效的执行。同时,定期评估和测试数据分类和保护的有效性,及时更新分类标准,确保其符合最新的信息安全要求和企业实际情况。
题目:是否支持用户对密码算法、强度和方式等参数的可选配置?
题目解读:这个肯定是站在云租户的角度看的要求了,要求云服务平台可以给云租户密码算法,强度和方式的可选配置,一般来说有这些例子:
-
阿里云密钥管理服务(KMS):阿里云KMS提供全方位的密钥管理,支持用户生成密钥或导入自带密钥(BYOK),并提供极简的应用加密接口,支持SM2/SM3/SM4等国密算法或国际算法的对称加解密、非对称加解密、签名验签等密码服务。此外,阿里云KMS与阿里云产品广泛集成,可以实现云上数据的“默认加密”。
-
腾讯云密钥管理系统(KMS):腾讯云KMS允许用户轻松创建和管理密钥,保护密钥的保密性、完整性和可用性。它基于经过第三方认证的硬件安全模块(HSM)来生成和保护密钥,并支持对称加密以及非对称加密算法,提供密钥的全生命周期管理功能。
-
.....................................还有很多
答案示例:企业已支持用户对密码算法、强度和方式等参数进行配置。目前,公司提供了多种加密算法供用户选择,如AES.RSA等,并允许用户根据业务需求调整密码强度和加密方式。同时公司也提供了详细的用户指导和技术支持,帮助用户正确配置密码参数,确保密码安全性和实际应用的有效性。
题目:是否按用户需求提供与其相关的审计信息及审计分析报告?
题目解读:这个用户需求,我理解就是云服务的客户(使用云服务的组织)需要云平台进一步优化和完善审计信息提供机制,利用自动化和智能化审计分析技术,提高审计报告生成的效率和准确性。同时,应定期审查和更新审计服务的内容和形式,确保其能够满足用户的最新需求和合规要求。通过提升审计信息的易用性和及时性,进一步增强用户对系统安全的信任和满意度。
答案示例:企业审计系统具备按用户需求提供相关审计信息及审计分析报告的功能,用户可以根据自身需求获取定制的审计报告和分析数据。
题目:是否能汇聚服务范围内的审计数据,支持第三方审计?
题目解读:这个意思我觉得并不是说一定要做API接口或其他工具,以便第三方审计机构可以自动化地收集和分析审计数据。而是说你有完整的审计日志就行,可以记录所有关键操作和变更,以便第三方审计机构可以追溯和验证这些操作。
我们也可以看看标准,标准如下图,意思也是你能说清楚如何存储汇聚,能否导出也就行了。
云服务平台有挺多项都可以讨论一下子的,有兴趣的朋友可以留言,我们下次继续讨论。
THE END
原文始发于微信公众号(透明魔方):浅谈通保中互联网云服务平台符合项评测如何填写
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论