政务云安全概述.pdfVIP

Government Cloud Security Overview 李超 OWASP Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation ABOUT ME 目前就职于浪潮云服务公司，浪潮云安全技术总 监，负责云安全方向。 在政府行业的安全领域有深入研究和独特的见解 有丰富的网络安全、系统安全、访问控制、云安 全设计经验。 OWASP 2 目录 政务云安全方向 政务云安全问题 OWASP 3 从云计算定义看安全 美国国家标准与技术委员会(NIST)关于云计算可视化模型的定义 可量化的服务 快速而弹性的部署 核心本质特征 Measured Service Rapid Elasticity Essential 按需提供的自服务 通过网络广泛访问 资源的池化整合 Characteristics On-Demand Self Service Broad Network Access Resource Pooling 业务交付模式 软件即服务 平台即服务 基础架构即服务 Software as a Service Platform as a Service Infrastructure as a Service Service (SaaS) (PaaS) (IaaS) Model 架构部署模式 公有云 私有云 行业云 混合云 Deployment Public Private Community Hybird Model OWASP 云安全内涵 云安全 （Cloud Security ）： 1. 云自身的安全保护，也称之为云计算安全，包括云计算应用系统安全、 云计算应用服务安全、云计算用户信息安全。 2. 使用云的形式提供和交付安全，即云计算技术在安全领域的具体应用， 即通过采用云计算技术来提升安全系统的服务性能，如基于云计算的 防病毒技术、挂马检测技术 。 云安全的研究方向： 1. 云计算安全：主要研究研究如何保障云自身及其上的各种应用的安全： 包括云计算系统安全、用户数据的安全存储与隔离、用户接入认证、 信息传输安全、网络攻击防护、合规审计审计有等 2. 安全基础设备的云化：主要研究如何采用云计算技术新建与整合安全 基础设备资源、优化安全防护机制、包括通过云计算技术构建超大规 模安全基础设施资源，优化安全防护合机制。