云计算信息安全测评框架研究

围绕云环境下安全模式与传统安全模式的差异,结合信息安全保障要求,对三种不同的云服务模式(包括IaaS,PaaS和SaaS)进行了安全需求分析,同时对美国云计算联邦风险评估管理计划(FedRAMP)中的安全控制措施和国内相关信息安全标准中的安全要求进行了对比分析,提出了云计算信息安全测评的基本框架,探讨了云计算信息安全测评需要特别关注的内容。

基于ISO 27001的宝信eCop认证分析

通过研究ISO 27001的目标、措施和当前我国信息安全的现状,指出建设信息安全管理体系的主要任务在于建立安全的内网环境。宝信eCop内网安全产品在访问控制、保障终端运行安全、防范违规行为、事件响应、审计监督等方面给企事业单位面临的风险提供了解决方案。

网络安全等级保护云计算安全防护技术体系设计

云计算打破了信息系统的边界,使得以边界防护为核心的传统信息安全防护体系不再适用,云安全问题已成为制约云计算发展的关键因素之一。同时云计算服务包括云服务提供者和服务客户两大责任主体,如何进行安全责任界定、进行安全监管也成为亟需解决问题。此次修订在原有等级保护标准基础上增加了云计算、移动互联网、物联网和工业控制等新技术新应用的内容。从云计算的定级对象明确、安全防护体系架构设计、云计算分等级安全设计实现等角度出发,阐述如何利用安全计算环境、安全区域边界、安全通信网络和安全管理中心"一个中心三重防护"的纵深防御体系,实现对云计算平台系统的分等级保护安全防护设计。

网络安全国家标准在证券软件开发安全过程中的应用

围绕证券行业安全性要求高、合规性要求高的特点,通过等级保护国家标准与个人信息保护国家标准的深入实践,逐步建立了适应行业和企业发展的应用开发安全和个人信息保护的闭环管控流程,并构建了由威胁建模、软件成分分析、代码白盒测试、灰盒安全测试、黑盒安全测试等开发安全引擎组成的应用开发安全支撑平台,提升了核心业务系统的内生安全,为证券行业落实网络安全国家标准、促进行业网络安全生态起到了行业示范作用。

云环境下的信息安全

背景：阿里云已获得由BSI（英国标准协会）审核的ISO27001信息安全管理体系国际认证，该体系涵盖基础设施、数据中心和云产品，包括阿里云弹性计算、开放数据处理服务（ODPS）、关系型数据库服务（RDS）、云安全服务（云盾）。ISO27001是一种被广泛采用的全球安全标准，它建立在定期评估风险的基础上，采用安全控制和最佳实践相结合的系统化方法来管理公司和客户信息。为了实现认证，阿里云必须表明它有一个系统的和持续的方法来管理信息安全风险，影响公司及客户信息的保密性、完整性和可用性。该认证巩固了阿里云对安全控制透明化的服务承诺。