雲計算信息安全管理 CSA C-STAR實施指南 pdf epub mobi txt 电子书 下载 2025

☆☆☆☆☆

趙國祥，劉小茵，李堯 著

齣版社： 電子工業齣版社

ISBN：9787121272677

版次：1

商品編碼：11794732

包裝：平裝

開本：16開

齣版時間：2015-10-01

用紙：膠版紙

頁數：320

字數：428000

正文語種：中文

內容簡介

　　《雲計算信息安全管理 CSA C-STAR實施指南》包括理論篇和實踐篇兩部分，詳細介紹瞭雲計算環境下的信息安全管理指南。理論篇從梳理Gartner、雲計算安全聯盟（CSA）、歐洲網絡與信息安全局（ENISA）等知名研究組織提齣的雲計算環境下所麵臨的安全問題著手，分析總結瞭現階段常見的雲計算環境下的信息安全風險；同時，對現有的國內外成熟的雲計算信息安全管理標準及常見的雲計算信息安全管理方法和模型進行瞭分析，有針對性地提齣瞭C－STAR分級模型及評估方法。實踐篇從應用和接口安全，審計保證與閤規性，業務連續性管理和操作彈性，變*控製和配置管理，數據安全和信息生命周期管理，數據中心安全，加密和密鑰管理，治理和風險管理，人力資源，身份識彆和訪問管理，基礎設施和虛擬化安全，互操作性和可移植性，移動安全，安全事件管理、電子證據及雲端調查取證，供應鏈管理、透明性及責任，威脅和脆弱性管理等16個方麵詳細解讀瞭C－STAR體係規範中各項條款的內容和含義，同時給齣瞭企業實施落地的實踐參考，使C－STAR管理體係的建立者能深入理解各項條款的要求，並正確應用相關參考內容建設雲計算環境的信息安全管理體係，有針對性地開展雲計算安全管理。
　　《雲計算信息安全管理 CSA C-STAR實施指南》融通俗性、完整性、實用性於一體，為打算／正在建立雲計算信息安全管理體係的企業提供參考，為準備接受C－STAR評估的企業提供自我檢查的依據，為開展C－STAR的評估人員提供技術指導，也可作為雲計算工程技術人員、雲安全應用研究人員、信息安全從業人員的參考工具書。

目錄

理論篇

第1章 雲計算發展曆程 （2）
1．1 雲計算的齣現和發展 （2）
1．2 雲計算與傳統IT的聯係 （3）
1．2．1 雲計算與網格計算的關係 （3）
1．2．2 雲計算與對等計算的關係 （5）
1．2．3 雲計算與集群計算的關係 （5）
1．2．4 雲計算與資源虛擬化的關係 （6）
1．2．5 雲計算與Web服務技術的關係 （8）
1．2．6 雲計算與傳統IT的區彆 （8）
1．3 雲計算的特點 （10）
1．3．1 泛在網絡訪問 （11）
1．3．2 服務可度量 （11）
1．3．3 多租戶 （11）
1．3．4 按需自助服務 （11）
1．3．5 快速彈性伸縮 （12）
1．3．6 資源池化 （13）
1．4 本章小結 （14）
第2章 雲計算所麵臨的安全問題 （15）
2．1 案例分析 （16）
2．1．1 Google安全問題及事件分析 （16）
2．1．2 Amazon宕機事件及應對措施分析 （16）
2．1．3 Apple服務安全事件及應對措施分析 （17）
2．1．4 微軟雲服務安全事件及應對措施分析 （17）
2．2 雲計算所麵臨的安全問題總結 （18）
2．2．1 雲安全問題的研究分析 （18）
2．2．2 安全問題分類 （23）
2．3 本章小結 （31）
第3章 雲計算信息安全管理標準介紹 （32）
3．1 雲計算信息安全管理標準化工作概述 （32）
3．1．1 國外標準化概況 （32）
3．1．2 國內標準概況 （37）
3．2 雲計算信息安全管理標準化主要成果分析 （42）
3．2．1 CSA雲安全控製矩陣 （42）
3．2．2 國標雲服務安全標準 （44）
3．2．3 美國聯邦政府風險與授權管理項目FedRAMP （47）
3．2．4 ENISA《雲計算信息安全保障框架》 （51）
3．2．5 ISO/IEC 27018 《信息技術―安全技術―公有雲中作為個人信息（PII）
處理者的個人信息保護實用規則》 （54）
3．2．6 ISO/IEC 27001：2013《信息技術―安全技術―信息安全管理體係要求》 （56）
3．3 本章小結 （58）
第4章 雲計算信息安全管理方法和模型 （60）
4．1 常見的信息安全管理方法 （60）
4．1．1 信息安全管理體係 （60）
4．1．2 信息安全等級保護 （65）
4．1．3 CERT-RMM模型 （68）
4．1．4 其他ISMS 成熟度模型 （73）
4．1．5 專業領域的信息安全管理方法 （76）
4．2 雲計算安全管理方法 （78）
4．2．1 雲計算安全管理體係 （79）
4．2．2 雲計算安全管理的實施 （81）
4．3 雲計算信息安全評估模型 （84）
4．3．1 SSE-CMM模型 （84）
4．3．2 C-STAR模型 （87）
4．4 本章小結 （90）
實踐篇

第5章 應用和接口安全（AIS） （94）
5．1 應用和接口安全要求 （94）
5．1．1 應用和接口安全概述 （95）
5．1．2 控製條款解讀 （96）
5．2 落地實施建議 （100）
第6章 審計保證與閤規性（AAC） （102）
6．1 審計保證與閤規性要求 （102）
6．1．1 審計保證與閤規性概述 （103）
6．1．2 控製條款解讀 （103）
6．2 落地實施建議 （113）
第7章 業務連續性管理和操作彈性（BCR） （116）
7．1 業務連續性管理和操作彈性要求 （116）
7．1．1 業務連續性管理和操作彈性概述 （117）
7．1．2 控製條款解讀 （117）
7．2 落地實施建議 （126）
第8章 變更控製和配置管理（CCC） （133）
8．1 變更控製和配置管理要求 （133）
8．1．1 變更控製和配置管理概述 （134）
8．1．2 控製條款解讀 （135）
8．2 落地實施建議 （138）
第9章 數據安全和信息生命周期管理（DSI） （150）
9．1 數據安全和信息生命周期管理要求 （150）
9．1．1 數據安全和信息生命周期管理概述 （151）
9．1．2 控製條款解讀 （151）
9．2 落地實施建議 （157）
第10章 數據中心安全（DCS） （161）
10．1 數據中心安全要求 （161）
10．1．1 數據中心安全概述 （162）
10．1．2 控製條款詳解 （162）
10．2 落地實施建議 （167）
第11章 加密和密鑰管理（EKM） （170）
11．1 加密和密鑰管理要求 （170）
11．1．1 加密和密鑰管理概述 （171）
11．1．2 控製條款解讀 （172）
11．2 落地實施建議 （176）
第12章 治理和風險管理（GRM） （178）
12．1 治理和風險管理要求 （178）
12．1．1 治理和風險管理概述 （179）
12．1．2 控製條款解讀 （179）
12．2 落地實施建議 （189）
第13章 人力資源（HRS） （197）
13．1 人力資源安全要求 （197）
13．1．1 人力資源安全概述 （198）
13．1．2 控製條款解讀 （199）
13．2 落地實施建議 （208）
第14章 身份識彆和訪問管理（IAM） （210）
14．1 身份識彆和訪問管理要求 （210）
14．1．1 身份識彆和訪問管理概述 （211）
14．1．2 控製條款解讀 （212）
14．2 落地實施建議 （221）
第15章 基礎設施和虛擬化安全（IVS） （225）
15．1 基礎設施和虛擬化安全要求 （225）
15．1．1 基礎設施和虛擬化安全概述 （226）
15．1．2 控製條款解讀 （227）
15．2 落地實施建議 （241）
第16章 互操作性和可移植性（IPY） （243）
16．1 互操作性和可移植性要求 （243）
16．1．1 互操作性和可移植性概述 （244）
16．1．2 控製條款解讀 （245）
16．2 落地實施建議 （248）
第17章 移動安全（MOS） （250）
17．1 移動安全要求 （250）
17．1．1 移動安全概述 （251）
17．1．2 控製條款解讀 （252）
17．2 落地實施建議 （269）
第18章 安全事件管理、電子證據及雲端調查取證（SEF） （271）
18．1 安全事件管理、電子證據及雲端調查取證要求 （271）
18．1．1 安全事件管理、電子證據及雲端調查取證概述 （272）
18．1．2 控製條款解讀 （273）
18．2 落地實施建議 （278）
第19章 供應鏈管理、透明性及責任（STA） （283）
19．1 供應鏈管理、透明性及責任要求 （283）
19．1．1 供應鏈管理、透明性及責任概述 （284）
19．1．2 控製條款解讀 （286）
19．2 落地實施建議 （292）
第20章 威脅和脆弱性管理（TVM） （295）
20．1 威脅和脆弱性管理要求 （295）
20．1．1 威脅和脆弱性管理概述 （296）
20．1．2 控製條款解讀 （297）
20．2 落地實施建議 （300）
附錄A CSA雲安全控製矩陣ISO/IEC 27001：2013對照條款 （302）
參考文獻 （317）

精彩書摘

　　《雲計算信息安全管理 CSA C-STAR實施指南》：
　　2.管理安全
　　數據的所有權與管理權分離是雲服務模式的一個重要特點。由於用戶並不直接控製雲計算係統，對係統的防護依賴於雲服務提供商，而雲服務提供商對用戶的上層應用並不清楚，因此雙方需要在安全界麵上達成一緻。安全責任分配不清，很可能帶來新的安全風險。用戶使用雲計算模式，也意味著放棄或降低瞭諸多影響安全問題的決策權和管理權。用戶將所屬的數據外包給雲服務商或者委托其運行所屬的應用時，雲服務商就獲得瞭該數據或應用的優先訪問權。在這種情況下，雲服務提供商的管理規範度、對閤同的履行情況、雙方安全界麵的劃分、服務提供商的連續服務能力將直接影響到用戶應用和數據的安全。雲計算管理方麵的安全問題主要體現在以下幾個方麵。
　　1）資産管理
　　針對雲服務的特性，在信息安全領域將組織的資産劃分為數據資産和應用／功能／過程資産兩個方麵。企業的核心價值通過這兩類資産的形式體現齣來，通過風險評估識彆齣每類資産所麵臨的風險（如泄露、破壞、篡改等），以對每類資産采取相應的控製措施，將組織資産遭受損失的可能性和破壞性降到最低。
　　（1）數據資産。信息安全的主要目標之一是保護係統和應用程序的基礎數據。當嚮雲計算過渡的時候，傳統的數據安全方法將遭遇到雲模式架構的挑戰。彈性、多租戶、新的物理和邏輯架構，以及抽象的控製需要新的數據安全策略。在許多雲部署中，數據會傳輸到外部甚至公眾的環境中，這種方式在前幾年是無法想象的。雲服務提供商必須嚮數據所有者保證按照SLA中定義的安全實踐和規程提供“全麵披露”（透明性）。
　　（2）應用／功能／過程資産。把應用／功能／過程（從某些部分功能一直到全部的應用程序）搬進雲裏，在雲計算體係中，應用並不需要一定在同一地點，可以隻轉移部分功能到雲裏。在這樣的情況下，對於雲風險的評估就首先需要確定把什麼樣的功能遷移進雲，某些資産在項目範圍逐漸擴大時有可能會逐漸被牽扯進來。對於這類資産也應當作為資産管理所考慮的一部分。2）人員管理
　　人員管理的風險主要體現在內部人員管理風險和用戶管理風險。雲服務提供商的內部人員，特彆是具有高級權限管理員的失職，將可能給用戶數據安全帶來很大的威脅，如導緻用戶數據泄露，甚至將其盜賣給競爭對手。而另一方麵，雲服務提供商如果對用戶登記管理不嚴，任何人或組織都可以注冊並立即使用雲服務，將為網絡犯罪分子濫用雲計算提供便利，網絡犯罪分子將可以利用雲服務進行攻擊或發送惡意軟件，危及其他用戶的安全。
　　3）業務連續性管理
　　服務供應商應保證數據中心的運行連續性，保障服務連續性，尤其是在齣現一些嚴重問題時，如火災、長時間停電以及網絡故障等。對於雲服務提供商，需要進行業務連續性管理，製定相應的業務連續性規劃，並且能夠得以落實和實施，使得當齣現災難時，可以快速地恢復業務，繼續為用戶提供服務。
　　4）閤規性管理
　　雲計算的虛擬性及國際性特點催生齣瞭許多法律和監管層麵的問題。首先，雲計算應用具有地域性弱、信息流動性大的特點，信息服務或用戶數據可能分布在不同地區甚至國傢，在政府信息安全監管等方麵可能存在法律差異與糾紛，不同國傢有不同的司法係統，這就會帶來潛在的法律風險。將數據存儲到雲上或許會突破本地政府的監管範圍，而這是監管部門通常所不允許的；即便允許，當齣現衝突時，應該遵從哪一方製定的規則也是一個問題。其次，如果齣現瞭雲計算安全問題，誰應該為此負責，不同國傢對數據丟失責任、數據知識産權保護、數據的公開政策的司法解釋可能是不一樣的。最後，由於虛擬化等技術引起的用戶間物理界限模糊而可能導緻的司法取證問題也十分棘手。
　　5）運營管理
　　雲計算的發展趨勢之一是IT服務專業化，雲服務提供商在對外提供服務的同時，自身也購買其他雲服務提供商所提供的服務。因而用戶所享用的雲服務間接涉及多個服務提供商，多層轉包無疑極大地增加瞭問題的復雜性，也進一步增加瞭安全風險。此外，在理想情況下，雲服務提供商將不會破産或被大公司收購，但是用戶仍需要確認，在這類問題的情況下，自己的數據不會受到影響。用戶需要嚮雲服務提供商確認如何拿迴自己的數據，以及拿迴的數據是否能被導入到替代的應用程序中。
　　……

前言/序言

评分☆☆☆☆☆

挺好的，不錯，京東還是很快的。

评分☆☆☆☆☆

賣傢很熱情！東西很精緻的！下次再來光顧！

评分☆☆☆☆☆

雲安全的參考書，適閤研究人員

评分☆☆☆☆☆

京東購書，一種習慣，質量保證，服務態度好，價格閤理。收藏瞭全套。優惠力度比較大的。

评分☆☆☆☆☆

支持京東，正品，物流速度快

评分☆☆☆☆☆

好好?好好好好好好?好

评分☆☆☆☆☆

還沒看過啊。但是要評論啊

评分☆☆☆☆☆

很專業，寫的很到位

评分☆☆☆☆☆

直接用上瞭。非常好