-
-
[转载]网站上云端就一定是安全的吗?
-
发表于: 2013-6-6 09:09 1943
-
新闻链接:http://www.jifang360.com/news/201365/n108548660.html
新闻时间:2013-6-5 13:54:51
新闻正文:网站上云端就一定是安全的吗?
中华民国资料保护协会理事长指出,近3年来的议题仍离不开云端、个资与资安。近期有很多时事与政治议题都与资讯安全问题息息相关,如县市政府的网站个资外洩、网路银行的客户资料外洩,及台湾与菲律宾渔船事件引起的网站攻防战等,但处理网站问题的优先等级应为个资、资安,接着才是云端防护。
其中,网站个资问题的影响层面最大,试想如果菲国总统府网站出现官员个资资料时,那也同时代表着该单位的资安和云端架构出了相同严重的问题,因此网站个资的问题是极为严重的。
其次为网站资安之问题,例如网站被置换网页、挂马或置换图片等,损失的除了网站的内容服务外,失去的更是存取网站服务的信心度,若登入一个常被入侵的网站做金融或身分认证服务,相信大家都会内心惶恐不安。
网站的公开性。
最后网站的云端安全,也是非常重要的问题,採用云端服务可以让网站存取更有效率,也让使用这更快速的存取网站,但云端的资安防护已经日益成熟,于基础架构(Iaas)中就应考量整体效率的问题。
鈊保资讯邱志杰技术经理曾经扫描过超过1,000个教育网站与100个政府网站的经验后指出,网站分资料公开区与保护区,公开区之部分个资大多并没有严重个资外洩之疑虑,大部分为公开之资讯如承办业务姓名、电话、地址与联络方式等。但网站保护区的个资若外洩,无论是防护不当或骇客入侵,都是受个资法保护的一部分,则将会有民事与刑事之责任。
所以要导入云端,就必须重视其安全性,云端环境之安全是企业极为重视的问题,为了防止恶意程式的攻击、资料洩漏及骇客入侵等问题,云端安全的重要性便不容忽视。若在使用云端运用时,无法让资料安全有一定的保护,那么导入云端则有可能因安全状况产生困扰。
最后,CSA台湾云端联盟也发表云端应用安全的相关建议,引用于中文版CCSK教材中的第4章所述:
当从事供应商,涉及适当的法律,採购和合约客户组织範围内的团队,服务的标準条款可能无法满足法规性需求,将需要进一步的进行协商。
高度管制的行业(例如:金融,医疗等)专门的法规性要求时,应该考虑使用云端服务。
确定现有的法规性要求在云端服务使用,特别是这涉及到资讯安全都将受到影响。受影响的政策和程序包含活动报告、记录、数据保存、事件回应、控制测试和隐私政策等。
遵守法律和行业法规,其要求如:法律、技术、法律、法规性、风险性和安全性。
任何资讯处理。传输、储存或浏览个人身分讯息(PII)或私人资讯应做适当的监管。
责任编辑:XFF
新闻时间:2013-6-5 13:54:51
新闻正文:网站上云端就一定是安全的吗?
中华民国资料保护协会理事长指出,近3年来的议题仍离不开云端、个资与资安。近期有很多时事与政治议题都与资讯安全问题息息相关,如县市政府的网站个资外洩、网路银行的客户资料外洩,及台湾与菲律宾渔船事件引起的网站攻防战等,但处理网站问题的优先等级应为个资、资安,接着才是云端防护。
其中,网站个资问题的影响层面最大,试想如果菲国总统府网站出现官员个资资料时,那也同时代表着该单位的资安和云端架构出了相同严重的问题,因此网站个资的问题是极为严重的。
其次为网站资安之问题,例如网站被置换网页、挂马或置换图片等,损失的除了网站的内容服务外,失去的更是存取网站服务的信心度,若登入一个常被入侵的网站做金融或身分认证服务,相信大家都会内心惶恐不安。
网站的公开性。
最后网站的云端安全,也是非常重要的问题,採用云端服务可以让网站存取更有效率,也让使用这更快速的存取网站,但云端的资安防护已经日益成熟,于基础架构(Iaas)中就应考量整体效率的问题。
鈊保资讯邱志杰技术经理曾经扫描过超过1,000个教育网站与100个政府网站的经验后指出,网站分资料公开区与保护区,公开区之部分个资大多并没有严重个资外洩之疑虑,大部分为公开之资讯如承办业务姓名、电话、地址与联络方式等。但网站保护区的个资若外洩,无论是防护不当或骇客入侵,都是受个资法保护的一部分,则将会有民事与刑事之责任。
所以要导入云端,就必须重视其安全性,云端环境之安全是企业极为重视的问题,为了防止恶意程式的攻击、资料洩漏及骇客入侵等问题,云端安全的重要性便不容忽视。若在使用云端运用时,无法让资料安全有一定的保护,那么导入云端则有可能因安全状况产生困扰。
最后,CSA台湾云端联盟也发表云端应用安全的相关建议,引用于中文版CCSK教材中的第4章所述:
当从事供应商,涉及适当的法律,採购和合约客户组织範围内的团队,服务的标準条款可能无法满足法规性需求,将需要进一步的进行协商。
高度管制的行业(例如:金融,医疗等)专门的法规性要求时,应该考虑使用云端服务。
确定现有的法规性要求在云端服务使用,特别是这涉及到资讯安全都将受到影响。受影响的政策和程序包含活动报告、记录、数据保存、事件回应、控制测试和隐私政策等。
遵守法律和行业法规,其要求如:法律、技术、法律、法规性、风险性和安全性。
任何资讯处理。传输、储存或浏览个人身分讯息(PII)或私人资讯应做适当的监管。
责任编辑:XFF
赞赏
看原图
赞赏
雪币:
留言: