描述
开 本: 16开纸 张: 轻型纸包 装: 平装是否套装: 否国际标准书号ISBN: 9787121272677
第1章 云计算发展历程 (2)
1.1 云计算的出现和发展 (2)
1.2 云计算与传统IT的联系 (3)
1.2.1 云计算与网格计算的关系 (3)
1.2.2 云计算与对等计算的关系 (5)
1.2.3 云计算与集群计算的关系 (5)
1.2.4 云计算与资源虚拟化的关系 (6)
1.2.5 云计算与Web服务技术的关系 (8)
1.2.6 云计算与传统IT的区别 (8)
1.3 云计算的特点 (10)
1.3.1 泛在网络访问 (11)
1.3.2 服务可度量 (11)
1.3.3 多租户 (11)
1.3.4 按需自助服务 (11)
1.3.5 快速弹性伸缩 (12)
1.3.6 资源池化 (13)
1.4 本章小结 (14)
第2章 云计算所面临的安全问题 (15)
2.1 案例分析 (16)
2.1.1 Google安全问题及事件分析 (16)
2.1.2 Amazon宕机事件及应对措施分析 (16)
2.1.3 Apple服务安全事件及应对措施分析 (17)
2.1.4 微软云服务安全事件及应对措施分析 (17)
2.2 云计算所面临的安全问题总结 (18)
2.2.1 云安全问题的研究分析 (18)
2.2.2 安全问题分类 (23)
2.3 本章小结 (31)
第3章 云计算信息安全管理标准介绍 (32)
3.1 云计算信息安全管理标准化工作概述 (32)
3.1.1 国外标准化概况 (32)
3.1.2 国内标准概况 (37)
3.2 云计算信息安全管理标准化主要成果分析 (42)
3.2.1 CSA云安全控制矩阵 (42)
3.2.2 国标云服务安全标准 (44)
3.2.3 美国联邦政府风险与授权管理项目FedRAMP (47)
3.2.4 ENISA《云计算信息安全保障框架》 (51)
3.2.5 ISO/IEC 27018 《信息技术—安全技术—公有云中作为个人信息(PII)
处理者的个人信息保护实用规则》 (54)
3.2.6 ISO/IEC 27001:2013《信息技术—安全技术—信息安全管理体系要求》 (56)
3.3 本章小结 (58)
第4章 云计算信息安全管理方法和模型 (60)
4.1 常见的信息安全管理方法 (60)
4.1.1 信息安全管理体系 (60)
4.1.2 信息安全等级保护 (65)
4.1.3 CERT-RMM模型 (68)
4.1.4 其他ISMS 成熟度模型 (73)
4.1.5 专业领域的信息安全管理方法 (76)
4.2 云计算安全管理方法 (78)
4.2.1 云计算安全管理体系 (79)
4.2.2 云计算安全管理的实施 (81)
4.3 云计算信息安全评估模型 (84)
4.3.1 SSE-CMM模型 (84)
4.3.2 C-STAR模型 (87)
4.4 本章小结 (90)
实践篇
第5章 应用和接口安全(AIS) (94)
5.1 应用和接口安全要求 (94)
5.1.1 应用和接口安全概述 (95)
5.1.2 控制条款解读 (96)
5.2 落地实施建议 (100)
第6章 审计保证与合规性(AAC) (102)
6.1 审计保证与合规性要求 (102)
6.1.1 审计保证与合规性概述 (103)
6.1.2 控制条款解读 (103)
6.2 落地实施建议 (113)
第7章 业务连续性管理和操作弹性(BCR) (116)
7.1 业务连续性管理和操作弹性要求 (116)
7.1.1 业务连续性管理和操作弹性概述 (117)
7.1.2 控制条款解读 (117)
7.2 落地实施建议 (126)
第8章 变更控制和配置管理(CCC) (133)
8.1 变更控制和配置管理要求 (133)
8.1.1 变更控制和配置管理概述 (134)
8.1.2 控制条款解读 (135)
8.2 落地实施建议 (138)
第9章 数据安全和信息生命周期管理(DSI) (150)
9.1 数据安全和信息生命周期管理要求 (150)
9.1.1 数据安全和信息生命周期管理概述 (151)
9.1.2 控制条款解读 (151)
9.2 落地实施建议 (157)
第10章 数据中心安全(DCS) (161)
10.1 数据中心安全要求 (161)
10.1.1 数据中心安全概述 (162)
10.1.2 控制条款详解 (162)
10.2 落地实施建议 (167)
第11章 加密和密钥管理(EKM) (170)
11.1 加密和密钥管理要求 (170)
11.1.1 加密和密钥管理概述 (171)
11.1.2 控制条款解读 (172)
11.2 落地实施建议 (176)
第12章 治理和风险管理(GRM) (178)
12.1 治理和风险管理要求 (178)
12.1.1 治理和风险管理概述 (179)
12.1.2 控制条款解读 (179)
12.2 落地实施建议 (189)
第13章 人力资源(HRS) (197)
13.1 人力资源安全要求 (197)
13.1.1 人力资源安全概述 (198)
13.1.2 控制条款解读 (199)
13.2 落地实施建议 (208)
第14章 身份识别和访问管理(IAM) (210)
14.1 身份识别和访问管理要求 (210)
14.1.1 身份识别和访问管理概述 (211)
14.1.2 控制条款解读 (212)
14.2 落地实施建议 (221)
第15章 基础设施和虚拟化安全(IVS) (225)
15.1 基础设施和虚拟化安全要求 (225)
15.1.1 基础设施和虚拟化安全概述 (226)
15.1.2 控制条款解读 (227)
15.2 落地实施建议 (241)
第16章 互操作性和可移植性(IPY) (243)
16.1 互操作性和可移植性要求 (243)
16.1.1 互操作性和可移植性概述 (244)
16.1.2 控制条款解读 (245)
16.2 落地实施建议 (248)
第17章 移动安全(MOS) (250)
17.1 移动安全要求 (250)
17.1.1 移动安全概述 (251)
17.1.2 控制条款解读 (252)
17.2 落地实施建议 (269)
第18章 安全事件管理、电子证据及云端调查取证(SEF) (271)
18.1 安全事件管理、电子证据及云端调查取证要求 (271)
18.1.1 安全事件管理、电子证据及云端调查取证概述 (272)
18.1.2 控制条款解读 (273)
18.2 落地实施建议 (278)
第19章 供应链管理、透明性及责任(STA) (283)
19.1 供应链管理、透明性及责任要求 (283)
19.1.1 供应链管理、透明性及责任概述 (284)
19.1.2 控制条款解读 (286)
19.2 落地实施建议 (292)
第20章 威胁和脆弱性管理(TVM) (295)
20.1 威胁和脆弱性管理要求 (295)
20.1.1 威胁和脆弱性管理概述 (296)
20.1.2 控制条款解读 (297)
20.2 落地实施建议 (300)
附录A CSA云安全控制矩阵ISO/IEC 27001:2013对照条款 (302)
参考文献 (317)
信息安全是IT领域永恒的话题,在信息技术进入云计算时代后,信息安全仍然是专家、学者、CIO们热议的话题。行业统计分析显示,传统信息安全领域中有超过70%的问题是来自于管理不善或者需要管理手段解决的问题,因此,在云计算环境下,对于信息安全问题需要从管理和技术双重角度来分析和管控,一整套体系化的解决方案是必不可少的。
本书编写团队借助***科研项目的研究基础以及与CSA(云安全联盟)合作开发C-STAR过程中的积累,希望能将国际上先进的云计算安全管理理念和方法进行深入浅出的解读,以帮助读者快速了解现阶段较成熟、认可度较高的国内外云安全管理方法论。同时,本书也基于C-STAR评估内容向云服务提供商提供了体系化云安全管理的指南性解读,在帮助云服务提供商快速建立云计算安全管理体系的前提下也作为工具书帮助企业CIO、C-STAR审核员、云服务厂商安全管理员等专业人员对C-STAR各控制域进行理解。另一方面,本书也可作为云服务用户在选择云服务供应商时进行安全性的评价之用,帮助云服务用户全面了解云服务环境下常见的安全问题以及需要关注的具体内容。
本书分为理论篇和实践篇,期望能从理论分析的角度帮助读者先进行云计算安全相关背景知识的梳理,再结合全球云计算安全管理相关领域的成熟理念及方法论来帮助读者建立云计算安全管理的基础知识的基础上为读者提供可落地的具体操作指导。
理论篇共分为4个章节,通过对比云计算和传统IT环境下的信息安全不同关注点,结合对国内外主流的信息安全管理方法和模型的研究分析,针对性地提出了云计算信息安全管理方法和评估模型,为实践篇的内容介绍铺垫了基础知识和背景资料,帮助读者更加深入地理解实践篇的内容。
第1章 云计算发展历程,简单回顾了信息技术的发展历程,从发展的角度解释了云计算的出现,并总结了云计算与现有IT技术的区别和联系,提炼出了云计算的主要特征,为后续章节做了铺垫。
第2章 云计算所面临的安全问题,从云计算领域的龙头企业发生过的信息安全事件分析入手,结合Gartner、CSA、ENISA等知名研究组织提出的云计算环境下所面临的安全问题分析报告,对云计算环境与IT环境所面临的信息安全问题进行了梳理和分析,并提出了常见的云计算环境下的信息安全风险。
第3章 云计算信息安全管理标准介绍,对现有云计算安全管理相关的标准化进行梳理和介绍,根据云计算安全管理标准化初步呈现的发展趋势为第4章的云计算信息安全管理提出参考依据。
第4章 云计算信息安全管理方法和模型,本章结合对信息安全管理领域成熟的管理模型/标准(ISMS、CERT-RMM、等级保护、PCI-DSS等)的研究分析,提出了云计算领域的信息安全管理方法和评估模型(C-STAR),在帮助云服务提供商开展体系化的信息安全管理的同时,为被评估方的云安全管理体系的改进提供方向和指引。评估的结果同样可供云服务使用者评价其云服务提供商的安全管理能力及情况。
实践篇分为16章,作为本书的重点部分,根据C-STAR的评估内容,针对每一个条款进行深入的分析和解读,力求帮助读者快速理解云计算信息安全管理体系的要求,为打算/正在建立云计算信息安全管理体系的企业提供参考,为准备接受C-STAR评估的企业提供自我检查的依据。
第5章 应用和接口安全,从数据的完整性、抗抵赖性、应用安全等方面提出应满足的管理的要求。
第6章 审计保证与合规性,从审计计划、独立审计、信息系统合规性评价、密码产品的使用、安全产品的使用、选择安全服务商、个人信息安全管理、个人信息保护的评审、个人信息的收集、个人信息的加工、个人信息的转移、个人信息的删除、个人信息安全培训、个人信息投诉与质询、个人信息安全事件处置等方面提出云服务安全管理的审计与合规应满足的要求。
第7章 业务连续性管理和操作弹性,从业务连续性计划、业务连续性测试、数据中心条件、信息系统文件、环境风险、设备位置、电力和通信保障、中断影响分析、安全策略和保存策略、数据备份等方面提出了云环境下应满足的12条控制要求。
第8章 变更控制和配置管理,从系统的开发、变更、测试、交付等方面针对组织内外的变更配置管理等方面提出了云环境下应满足的7条控制要求。
第9章 数据安全和信息生命周期管理,从数据的分类、标记、管理等方面针对组织的数据安全保护提出了云环境下应满足的15条控制要求。
第 10 章 数据中心安全,从物理、技术等方面针对组织的数据中心安全保护提出了云环境下应满足的10条控制要求。
第 11 章 加密和密钥管理,本控制域提出了在云环境下使用加密和密钥管理的要求,从授权、密钥生成、敏感数据保护、保存与访问控制等方面提出了具体要求。
第 12 章 治理和风险管理,提出了对云计算安全管理体系的管理框架,包括基准安全要求、数据安全评估、管理监督、管理程序、管理支持/参与、信息安全策略、罚则、风险评估对安全策略的影响、安全策略的评审、风险评估、风险管理框架等要求。
第 13 章 人力资源,对于人员聘用前、中、后环节的关注点提出了管理要求,并结合设备设施的授权使用管理以及重要岗位配备多人并签署专门的保密协议等方面提出了具体要求。
第14章 身份识别和访问管理,从“身份识别信息的生命周期管理”和“系统、工具和数据的访问控制管理”两大方面(包含审计工具、验证证书、诊断和配置端口、源码、第三方、身份验证信息、身份凭证、特权程序等方面的访问控制管理以及访问控制策略、访问控制程序、访问权限分离、访问授权管理、访问权限评审、访问权限变更、多因素认证等方面的控制措施)提出了云环境下应满足的14条控制要求。
第 15 章 基础设施和虚拟化安全,本章从云计算基础设施环境安全管理的角度提出了需要满足的要求,内容涵盖了审计日志、变更检测、时钟同步、系统文档、脆弱性管理、网络安全、操作系统加固、生产环境隔离、系统隔离、虚拟机安全、Hypervisor加固、无线安全、恶意代码、审计进程保护、资源控制等方面的内容。
第 16 章 互操作性和可移植性,对于开放式接口、数据和虚拟机的互操作性和可移植性提出具体管理要求。
第17章 移动安全,重点针对BYOD设备的接入和使用提出了要求。
第 18 章 安全事件管理、电子证据及云端调查取证,提出了在提供云服务的过程中为及时应对信息安全事件,保障云服务的持续提供,需要关注的内容。
第 19 章 供应链管理、透明性及责任,提出对于供应链上下游的管理要求,内容涵盖数据安全、事件通报、供应链协议、第三方评审等环节。
第20章 威胁和脆弱性管理,提出了云服务环境下的恶意代码、漏洞/补丁以及移动代码的管理要求。
本书力求全面、深入浅出地阐述云计算安全所面临的问题和风险,通过分析和介绍信息安全管理的成熟标准和模型,提出了云计算环境下的信息安全管理理念和方法,期望能给本书的读者以有用的参考。由于本书编写人员的能力有限,书中难免会有错误和不太合适的地方,请读者不吝赐教,以便我们不断改进。
编 者
2015年6月
评论
还没有评论。