漫步在云端资安新战场.ppt

* 雲端運算的風險 組織與政策 技術 法律 歐洲網絡與資訊安全部 The European Network and Information Security Agency (ENISA) * 資安風險 不做風險評估的資安，就是威脅及恐嚇 資安風險：潛在威脅利用弱點對資產造成影響的可能性 風險 (Risk) = 潛在威脅 (Threats) x 弱點 (Vulnerabilities) x 影響 (Impact) * 風險評估矩陣 * 組織與政策 喪失管理權限 使用雲端基礎設施，客戶端必須將某些關鍵資料的控制權移轉到雲端供應商，從而影響安全性。同時，供應商可能無法提供滿足客戶需求的服務水平協議(SLA)承諾，也將形成安全性落差。 * 組織與政策 鎖定(lock-in) 目前仍缺乏工具、程序、標準資料格式或服務介面，以確保資料、應用系統及服務的可攜性。使用者將無法轉換雲端服務供應商，甚至無法回到原來企業內部使用的系統環境，這將導致過於依賴特定廠商的服務，你願意承擔這種風險嗎? * 組織與政策 適用性風險(法規或標準) 轉移到雲端後，認證公司可能面臨以下風險 1.如果雲端服務供應商不能提供證據證明自己遵守有關規定? 2.如果雲端服務供應商不允許客戶對其稽核? 這意味著使用公有雲的服務，將可能無法達到某些法規或標準的要求 * 組織與政策 惡意的內部人員 雖然平時不太可能，但