2021年7月19日-7月20日,光环有云安全团队为北京区域的车联网企业客户,举办了一场Security on AWS的主题培训。车联网行业头部客户和国内领军企业均有代表参加。车联网客户具有信息敏感、系统等级高、信息泄露影响广泛的特点,针对这些特点和客户群体需求,光环有云为他们量身定制了一场培训“套餐”。
01 信息系统安全讨论
——讨论信息系统安全的目标、目标并进行一些思考
信息系统安全的目的和目标是什么?
- 安全是一种感觉。
- 安全感=(客观风险)/(主观承受能力)的动态平衡
- 客观上不受威胁,主观上不存在恐惧。
- 保护业务价值不受损。
安全的最大问题是如何确定安全的“度”,一般基于以下三个“因素”来选择一个合适的安全目标:
- 安全威胁
- 被保护资产的价值
- 安全措施所要达到的目标(objective)
02 信息系统安全概览
CSA 发布的11类云计算安全威胁
- 数据泄露
- 配置错误和变更控制不足
- 缺乏云安全架构和策略
- 身份/凭证/访问和密钥管理不足
- 账户劫持
- 内部威胁
- 不安全的接口和API
- 控制平面薄弱
- 元结构和应用程序结构时效
- 有效的云使用可见性
- 滥用及违法使用云服务
信息系统安全模型
信息系统安全合规的本质
- 以国家安全为名:内外有别,本质是保护国家政治安全、经济安全。
- 技术领域争夺数据资产的控制权:国家之间、国家与组织之间、组织之间、组织与个人之间。
- 数据/系统/网络/计算/存储:安全、自主、可控、可信赖。
- 数据保密可信/系统安全/运维及时全面/人员忠诚可信/安全审计。
- 客观上不受威胁,主观上不存在恐惧。
03 AWS 安全合规概览
AWS责任共担模型
在大规模及低成本的环境中实现敏捷性提升的能力不应当违背完善的信息安全准则。
您将开始的旅程包括以下步骤以确保您的环境保持强大的安全基础:
- 建立安全指导方针:建立符合企业环境及特点的安全管理,风险及合规性模型
- 识别安全防御措施:保护业务负载,降低威胁及系统脆弱性
- 监控及检查可能违背既定规则及策略的场景和事件:提升在AWS平台上的部署和运维的整体可见度及透明度
- 为安全响应建立运维规范:为潜在的偏离安全基线的行为建立响应及补救措施
云上安全要素
如需了解更多详情,请联系光环有云技术支持团队,support@light2cloud.com!