认识达内从这里开始

广州IT培训小编就当前，云租户无法知道处在公有云上的信息资产是否真的安全，缺乏独立的第三方安全审计，在出现权责纠纷时，云服务提供商“既是运动员又 是裁判员”，租户处于绝对弱势。广州达内IT培训小编从另一方面了解到，由于云服务提供商得不到权威的审计和认证，导致合规性要求高的业务系统无法选择公有云模式，成为了公有云发展的阻碍。

曾经有一个高薪的岗位放在我面前，我没有珍惜，等我失去的时候我才后悔莫及，人世间最痛苦的事莫过于此-送给现在仍旧年轻的您!

每个月都有达内学员成功走向岗位!

每个月都有新学员加入!

梦想的接力棒在新老学员手中不断传递!

相信通过4个月努力学习，他们都会找到心仪工作，拿到理想薪资!

达内免费试听课活动正式开启，扫描二维码限额报名，先报先得!

最近国内的云建设如火如荼，且看1元、0.01元甚至0元中标的千万级云平台建设项目一个接一个冲击着我们的视野。作为一个有10多年网络安全从业经验的老兵，最近也常常被客户、友商问及如何去评估一个云建设和运维项目抑或是如何评估一个云平台、云服务提供商的服务内容与质量。

其实，国际、国内早有了对云安全评估的详细的建设指南、评估矩阵、资质认证体系，很多资料也躺在笔者的电脑里多年，没有机会发挥这些资料的价值。所以一个想法突然出现：将我拥有的这些资料加上我的一些理解，梳理思路后进行分享，让更多刚投入到网络安全领域的新人或刚接触到某一领域的同行能有一定的帮助，这样就能和大家一起为网络安全行业发展做一点努力。

当前的云安全审计，审计主体和审计标准还不够权威，也缺乏权威的审计标准，审计的主体和审计的范围也不够全面、完整。笔者认为未来成熟的审计模型必定是具有第三方机构参与的涵盖“行为”、“状态”两个维度的安全审计模型，最终实现全面性、权威性、实时性和审计报告披露的科学性。

那么如何进行云安全评估呢?以下是一个以评估云服务商为主及评估云平台相关为辅的案例，供参考。

1.确定评估方法

拟以安全服务招标需求为依据，通过文档审核、访谈、审计验证、抽样测试等手段进行评估。评估内容包括：等级保护三级(云平台、业务系统等)、事前评估检测与加固、事中监控与防护、安全事后评估与应急处置、安全工作与能力、项目管理等方面。

2.确定评估框架

3.评估操作指南

本文不针对文档审核、渗透测试等环节提供操作指南，这部分各家公司都有自己的一套方法。针对云安全评估部分，是以C-STAR评估体系(此体系综合了等同参考或修订的CSA标准、ISO27001、CSA_CCM对应的中国国家标准与规范)为主(如需相关的评估操作指导文档，可通过关注“赛博朔方”公众号后留下邮箱和索取资料名称的方式获取)。

C-STAR评估体系，包括应用和接口安全、审计保证及合规性、业务连续性管理和操作弹性、变更控制和配置管理、数据安全和信息生命周期管理、数据中心安全、加密和密钥管理、治理和风险管理、人力资源、身份识别和访问管理、基础设施和虚拟化安全、互操作性和可移植性、移动安全、安全事件管理与电了证据及云端调查取证、供应链管理与透明性及责任、威胁和脆弱性管理16个领域164个条款。

4.输出评估报告

按照上述的评估框架，最终输出《验证与测试报告》、《安全服务评估总结报告》。

最后，说一点关于云平台建设、运营过程中各方最为关注的重点，就是云平基础设施提供者、云平台建设者、云平台管理者、云平台运营者、第三方安全服务商(有受雇于云平台方或云租户方)云租户、云上业务的用户等各方之前的关于网络安全的责任边界问题，下次有机会再与大家分享。