地  址:江苏省南京市玄武区玄武湖
电  话:4008-888-888
邮  箱:9490489@qq.com
商  务QQ:2249937563
建网站免费:中国信息通讯研讨院技能与规范研讨所主任工程师高巍
作者:管理员    发布于:2020-06-05 07:38   文字:【】【】【
中国信息通讯研讨院技能与规范研讨所主任工程师高巍解读可信云效劳平安认证方案 9月1日—2日,由工业和信息化部辅导,中国信息通讯研讨院、中国通讯规范化协会主理,数据中间联盟承办的“2016可信云大会”在京盛大召开。在云平安分论坛上,中国信息通讯研讨院技能与规范研讨所主任工程师、数据中间联盟政府收购云效劳事件组组长高巍对可信云效劳平安认证方案进行了解读。

9月1日 2日,由工业和信息化部辅导,中国信息通讯研讨院、中国通讯规范化协会主理,联盟承办的 2016大会 在京盛大召开。在分论坛上,中国信息通讯研讨院技能与规范研讨所主任工程师、数据中间联盟政府收购事件组组长高巍对可信云效劳平安认证方案进行了解读。

中国信息通讯研讨院技能与规范研讨所主任工程师 高巍

以下是演讲全文:

各位领导,各位嘉宾,我们下战书好。

自己其实不算平安的专家,这里面仅是代表大家项目组。可信云其真实数据中间联盟过去发展的一个十分有影响力的认证的蠕动,可信云自身也是在不断开展,从2012年的时分以IaaS为主要有云效劳,提供认证。2014年添加了在线测试等等,本年发展了平安的认证,为什么要做平安认证这样一个事情,目前在业界有大量对于平安的认证,其实大家可信云的平安认证跟现在业内的现已在进行在发展的这些平安认证,大家以为有一个划分。第一个是从用户的角度登程,不是从经营商的内部治理,从平台的架构,不是做一个白盒的,大家是做一个黑盒认证从用户的角度登程看效劳是否是可以达成平安的要求。第二个是以这种技能危险为分析方针,我们以为认证评测是以治理危险、组织的危险为评价方针,大家是以技能危险为评价方针。什么样的技能危险,大家会具体给我们先容一下。第三个是采用业界公认的缝隙库,方才颁发了证书,由业内公认的平安专家对大家的认证结果进行评定。同时为了保证这样一个平安认证的完整性,大家也会涵盖对企业的一些治理方面平安方面评价的局部,这一局部大家是采用采信海内外遍及认可的认证的结果,以这种方式来进行,无论是经过了CSA-STAR也好,经过平安审查也好,经过等级包庇也好,大家以为治理层面现已达成了要求,技能层面组织专家评测,第三方测试机构对平安进行测试。

这个测试主要三个方面,一方面是从用户的效劳,大家认识目前的效劳现已不只仅是像本来IDC效劳一样,出一个机架,供了电、制了冷就ok了,更多的酿成一种信息的根底设备,承当的再也不是一个效劳平安的职责。意味着从我这个Portal进入为客户提供效劳的所有的用户。第二是这个体系模板,每一个效劳商会给用户提供大量的,认为例,会提供大量体系模板,这些模板自身是否是存在缝隙,有无守时更新、守时补丁这样的策略。第三个是平安配置,是否是在给用户提供的操作体系间,可以为用户提供一些提醒。现在大家所说的三方面的评测的内容,的确是由于工夫十分紧,粗略半年左右的工夫,跟大家联盟的成员单位一块,我们一块儿讨论出方案。这个工具也是在不断迭代过程当中的,也盼望将来能有专家不断参与到这个过程当中。

在效劳Portal平安评测粗略两个方面,一个是用户拜访环节的平安防护,一个是体系浸透测试。在用户拜访环节的平安危险防护,纷歧一解释,一些简单的,好比在密码重置这个环节里,是否是要允许用户来进行验证码尝试,大家的平台是否是可以避免这样的状况呈现。第二是体系模板缝隙测试,包含大家对操作体系Linux、Windows 缝隙的扫描,包含大家可能在模板里边提供了一些默许的自带效劳的平台,好比Web效劳,大家对它的缝隙进行扫描,是否是有别的的不相当的或者多余的开放的端口,都是在这里要扫描的内容。第三个是平台的云主机平安的配置测试,更可能是效劳商应该有义务向用户去提示应该进行什么样的平安的基线配置,好比在身份辨别了会去验证你在体系里边是否是配置用户密码的管束策略,你的密码有用期,你的密码是否是可以提示用户守时更新。这个对用户来说是一个有利的提示,这些都是基于效劳商把用户平安的思考当做大家为用户效劳的一局部,固然不是强制性的要求,可是效劳商应该有这样的义务向用户提示。

整个认证过程跟可信云相似,起首经过企业,有四家企业现已经过了第一批的试认证,向数据中间联盟提交请求。在请求之中有包含一些根本的产物、根本的效劳,企业的根本状况、根本资料进行审核,包含你的资质,运转的工夫。由联盟来指定第三方机构来进行测试,现在第三方机构包含信通院、赛宝试验室,这都是大家联盟现已认可的第三方的评测机构。由第三方评测机构出具的测试陈述结合大家已有的资料,交付专家组评审,在你测试的结果提交资料之中,危险的状况是什么样的,有无严峻的危险,危险的程度是否是可以契合联盟规范的要求,如果ok,颁布结果,不够,这个过程当中大家也进行了几多这样的迭代,要进行更改、重审。

整个规范的体例过程当中也的确得到了联盟大量成员单位的支撑,尤其这里边列出来的包含信通院、赛宝、世纪互联、华为、中睿全国、青藤云等,后续也盼望有更多的企业、更多的专家参与到大家这个平安评测的规范的体例过程,包含大家企业认证的过程之中来,把大家这个评测可以做得更好,可以跟大家业内别的的包含政府的认证,包含别的行业组织认证,可以结合起来,可以更好的去保证云效劳的平安。

就简单先容这里。


云资讯 阿里云陈峥:DT年代政务行业阿里云破冰实际 9月1日,由工业和信息化部辅导,中国信息通讯研讨院、中国通讯规范化协会主理,数据中间联盟承办的“2016可信云大会”在京盛大召开。在云核算重点行业应用分论坛上,阿里云
大数据资讯 芯联达杨宏桥:医疗大数据建设与考虑 9月1日,由工业和信息化部辅导,中国信息通讯研讨院、中国通讯规范化协会主理,数据中间联盟承办的“2016可信云大会”在京盛大召开。在云核算重点行业应用分论坛上,芯联达
云资讯 中投视讯CTO费有文:挪动直播产物开发那点事 9月1日,由工业和信息化部辅导,中国信息通讯研讨院、中国通讯规范化协会主理,数据中间联盟承办的“2016可信云大会”在京盛大召开。在云核算重点行业应用分论坛上,中投视
Copyright © 2002-2020 网页免费制作_免费建站平台哪个好_如何制作自己的网站_旅游网站建设方案_制作自己的网站 版权所有 (网站地图
地址:江苏省南京市玄武区玄武湖 电话:4008-888-888
邮箱:9490489@qq.com QQ:2249937563