企業(yè)組織在信息化辦公情況中，在收集中進(jìn)行辦公及數(shù)據(jù)傳輸?shù)臐撛谖ｋU(xiǎn)正在加大，有需要對(duì)數(shù)據(jù)平安進(jìn)行提防。在上周召開(kāi)的RSA會(huì)議上，CSA(云平安聯(lián)盟)列出的“Treacherous12”，即企業(yè)組織在2016年將面臨的12大頂級(jí)云爭(zhēng)論平安威脅。CSA發(fā)布了相關(guān)的呈報(bào)，來(lái)接濟(jì)云客戶和供給商增強(qiáng)他們的防御力度。

　　云爭(zhēng)論

　　云爭(zhēng)論的共享、按需的性質(zhì)，天然帶來(lái)了新的平安縫隙，從而可能抵消了企業(yè)用戶轉(zhuǎn)折到利用云手藝所帶來(lái)的任何收益，CSA警告說(shuō)。在CSA之前所發(fā)布的呈報(bào)中指出，云辦事生成的性質(zhì)決議了其或許使得用戶繞過(guò)整個(gè)企業(yè)組織的平安政策，并在辦事的影子IT項(xiàng)目中創(chuàng)設(shè)本身的賬戶。是以，必需采納新的管制辦法，并將其落實(shí)到位了。

　　“這項(xiàng)2016年頂級(jí)云平安威脅名單的發(fā)布，反映了企業(yè)經(jīng)管步隊(duì)所做出的糟糕的云爭(zhēng)論計(jì)劃將發(fā)生可怕的后果。”CSA的研究執(zhí)行副總裁J.R.Santos默示說(shuō)。

　　平安威脅1：數(shù)據(jù)泄露

　　在云情況中其實(shí)面臨著很多與傳統(tǒng)企業(yè)收集不異的平安威脅，但因?yàn)榇罅康臄?shù)據(jù)存儲(chǔ)在云辦事器，使得云辦事供給商成為了一個(gè)更具吸引力的進(jìn)犯方針。潛在損害的嚴(yán)重水平往往取決于數(shù)據(jù)的敏感性。表露了小我財(cái)務(wù)信息往往會(huì)成為頭條新聞，但其實(shí)涉及到涉及健康信息、貿(mào)易奧秘和常識(shí)產(chǎn)權(quán)的數(shù)據(jù)泄露往往是更具毀壞性的。

　　當(dāng)發(fā)生數(shù)據(jù)泄露變亂時(shí)，企業(yè)組織可能會(huì)被罰款，他們甚至可能會(huì)面臨訴訟或刑事指控。而響應(yīng)的違規(guī)查詢拜訪舉動(dòng)和客戶通知會(huì)花費(fèi)大量的成本。而間接的惡性影響，還包孕諸如企業(yè)品牌損失和營(yíng)業(yè)損失，甚至可能會(huì)影響企業(yè)組織多年的時(shí)候而無(wú)法翻身。

　　云辦事供給商每每城市擺設(shè)平安節(jié)制來(lái)護(hù)衛(wèi)他們的情況。但最終，企業(yè)組織都需要負(fù)責(zé)護(hù)衛(wèi)他們存儲(chǔ)在云中的數(shù)據(jù)。CSA建議企業(yè)組織利用多身分身份驗(yàn)證和加密的格局，來(lái)盡量防止數(shù)據(jù)泄露變亂的發(fā)生。

　　平安威脅2：根據(jù)或身份驗(yàn)證遭到進(jìn)犯或毀壞

　　數(shù)據(jù)泄露和其他進(jìn)犯經(jīng)常是因?yàn)槠髽I(yè)組織內(nèi)部松散的身份驗(yàn)證、弱暗碼、和糟糕的密鑰或證書(shū)經(jīng)管所造成的。因?yàn)槠髽I(yè)組織試圖將權(quán)限安排給響應(yīng)的工作地位上的員工用戶，故而經(jīng)常需要處理身份經(jīng)管的問(wèn)題。更主要的是，當(dāng)某個(gè)工作機(jī)能發(fā)生改變或某位用戶分開(kāi)該企業(yè)組織時(shí)，他們有時(shí)會(huì)忘掉刪除該用戶的會(huì)見(jiàn)權(quán)限

　　諸如一次性暗碼、手機(jī)認(rèn)證和智能卡認(rèn)證如許的多身分認(rèn)證系統(tǒng)或許護(hù)衛(wèi)云辦事，因?yàn)檫@些手段或許讓進(jìn)犯者很難哄騙其竊取的暗碼來(lái)登錄企業(yè)系統(tǒng)。例如，在美國(guó)第二大醫(yī)療保險(xiǎn)辦事商Anthem公司數(shù)據(jù)泄露事務(wù)中，導(dǎo)致有高出8000萬(wàn)客戶的小我信息被表露，就是因?yàn)橛脩舾鶕?jù)被盜所導(dǎo)致的成績(jī)。Anthem公司沒(méi)有擺設(shè)多身分認(rèn)證，所以一旦進(jìn)犯者獲得憑證，就會(huì)導(dǎo)致**煩。

　　很多開(kāi)發(fā)人員誤將憑證和密鑰嵌入到了源代碼中，并將其發(fā)布到了諸如GitHub等面向公家的存儲(chǔ)庫(kù)。密鑰需要進(jìn)行恰當(dāng)?shù)淖o(hù)衛(wèi)，而平安的公共密鑰根基措施是需要的，CSA默示說(shuō)。他們還需要按期點(diǎn)竄密鑰，從而使得進(jìn)犯者在沒(méi)有獲得授權(quán)的狀況下更難哄騙他們所竊取的密鑰了。

　　那些設(shè)計(jì)與云辦事供給商結(jié)合采納身份驗(yàn)證辦法的企業(yè)組織需要領(lǐng)會(huì)他們的云辦事供給商所采用的平安辦法，以便護(hù)衛(wèi)身份驗(yàn)證平臺(tái)。將身份驗(yàn)證集中到一個(gè)單一的存儲(chǔ)庫(kù)中有其風(fēng)險(xiǎn)。企業(yè)組織需要在集中利便的身份驗(yàn)證與面臨成為進(jìn)犯者最高價(jià)值進(jìn)犯方針存儲(chǔ)庫(kù)的風(fēng)險(xiǎn)之間進(jìn)行衡量棄取。 上一頁(yè)1234下一頁(yè)