云计算系统中的安全问题概要.ppt

* IBM信息安全框架 安全治理、风险管理和合规处于企业信息安全框架的最顶层，是业务驱动安全的出发点。通过对企业业务和运营风险进行评估，确定其战略和治理框架、风险管理框架，定义合规和策略遵从，确立信息安全文档管理体系。 * IBM信息安全框架 安全运维安全运维是指在安全策略的指导下，安全组织利用安全技术来达成安全保护目标的过程。主要包括安全事件监控、安全事件响应、安全事件审计、安全策略管理、安全绩效管理、安全外包服务。安全运维与IT运维相辅相成、互为依托、共享资源与信息，它与安全组织紧密联系，融合在业务管理和IT管理体系中。 * IBM信息安全框架 基础安全服务和架构基础安全服务和架构定义和包含了企业安全框架中的五个核心的基础技术架构和相关服务：物理安全、基础架构安全、身份/访问安全、数据安全和应用安全。基础安全服务和架构是安全运维和管理的对象，其功能由各自子系统提供保证。 * 企业信息安全框架V5.0 安全治理、风险管理和合规 安全运维 物理安全 基础架构安全 应用安全 数据安全 身份/访问安全 基础安全服务和架构 机房安全 网络安全 应用开发生命周期安全 数据生命 周期管理 战略和治理框架 安全事件监控 安全事件响应 安全事件审计 安全策略管理 安全绩效管理 安全外包服务 业务流程 安全 Web 应用安全 应用开发环境安全 主机安全 终端安全 视频监控 安全 数据泄露 保护 数据加密 数据归档 灾难备份 身份验证 访问管理 身份生命周期管理 合规和策略遵从 风险管理框架 * 安全治理、风险管理和合规 企业安全战略规划服务 ISO27001认证指导咨询服务 信息安全管理体系培训服务 安全管理差距分析服务 信息安全管理体系咨询及设计服务 企业信息系统风险评估服务 PCI DSS合规遵从服务 信息安全等级保护合规遵从服务 基础安全服务和架构 基础架构安全 基础架构安全评估服务 网络入侵防护系统 统一威胁管理系统 脆弱性管理系统 网络安全加固服务 主机入侵防护系统 主机访问控制系统 主机系统加固服务 终端安全控制系统 物理安全 机房物理安全评估服务 机房物理安全设计服务 智能视频监控平台建设服务 数据安全 数据生命周期安全评估服务 数据安全管理规范设计服务 数据安全保护系统集成服务 数据敏感性分析服务 数据防丢失集成服务 数据加密保护服务 数据归档设计及实施服务 信息系统灾难恢复的规划及实施 应用安全 应用开发生命周期安全评估和设计服务 应用系统代码审计服务 渗透测试服务 应用安全规范设计服务 应用安全评测服务 网页防篡改服务 Web应用渗透测试及评估 应用开发环境安全评估及建设服务 身份/访问安全 统一身份及访问管理架构设计服务 统一身份及访问管理平台建设服务 强身份认证集成服务 应用系统身份及访问管理平台整合服务 企业单点登录(ESSO)集成服务 统一身份及访问管理帐号清理服务 统一身份及访问管理帐号管理流程设计及实施服务 安全运维 安全运维管理中心设计及建设服务 安全运维管理平台规划及建设服务 安全策略的开发及制定服务 安全事件审计咨询服务 安全事件审计平台的规划及建设服务 操作行为审计平台规划及建设服务 管理安全服务 安全事件响应流程设计服务 安全应急响应服务 安全绩效考核体系设计 * IBM企业信息安全框架v5.0给客户带来的价值 IBM企业信息安全框架可以： - 帮助客户获得信息安全建设的全景视图； - 呈现给客户目前安全建设所存在的差距； - 帮助客户识别业务风险； - 帮助客户识别安全能力现状， 以作为帮助客户规避相应风险的技术指导； - 帮助客户发现安全能力差距弥补的办法； - 帮助客户指定安全建设的优先级。 * IBM企业信息安全框架v5.0给IBM自身带来的价值 IBM企业信息安全框架v5.0将作为客户需求和IBM信息安全解决方案的桥梁。成为客户和IBM共通的语言。 IBM企业信息安全框架v5.0中的每一个模块都对应了一系列的IBM信息安全服务。它可以帮助IBM销售团队快速的理解客户的安全需求并提供恰当的信息安全解决方案。 IBM企业信息安全框架v5.0将成为IBM标准化的可复用知识资产，降低为客户做架构设计的重复投资成本，在提高有效知识资产利用率的同时，帮助企业加速安全建设的周期，降低设计实施的风险。 IBM企业信息安全框架v5.0帮助IBM信息安全服务产品线成为安全架构设计领域的领导者。 IBM企业信息安全框架v5.0来源于IBM ISF和ESA的安全架构建设方法论。并在此基础上针对中国客户的需求做了客户化的定制，使得架构建设的理念和方法更加适合于本地客户IT建设的要求。 * 主要内容 * 云计算面临的安全挑战 云计算的安全体系与关键技术