“I”:完整性(Integrity)风险 这些风险影响了信息的有效性和信息正确性的保证。一些政府法规特别关注保证信息的准确性。如果信息在没有预警,授权或审计线索的情况下改变,其完整性无法保证。 1)故障 计算机和存储故障,可能会导致数据损坏。
防御:请确保你选择的服务提供商拥有内置到它的存储网络的相应的RAID冗余,而对重要数据建立归档是服务的一部分。 检测:采用那些使用了校验和或者其他方式的数据校验的完整性验证软件。 阻止:由于数据的特性,和无人交互的原因,我们可以采取的措施很少。 剩余风险:损坏数据的技术故障可能导致运作和承诺风险(尤其是Sarbanes-Oxley)。
2)数据删除和数据……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
“I”:完整性(Integrity)风险
这些风险影响了信息的有效性和信息正确性的保证。一些政府法规特别关注保证信息的准确性。如果信息在没有预警,授权或审计线索的情况下改变,其完整性无法保证。
1)故障
计算机和存储故障,可能会导致数据损坏。
防御:请确保你选择的服务提供商拥有内置到它的存储网络的相应的RAID冗余,而对重要数据建立归档是服务的一部分。
检测:采用那些使用了校验和或者其他方式的数据校验的完整性验证软件。
阻止:由于数据的特性,和无人交互的原因,我们可以采取的措施很少。
剩余风险:损坏数据的技术故障可能导致运作和承诺风险(尤其是Sarbanes-Oxley)。
2)数据删除和数据丢失
意外或恶意破坏任何数据,包括财务,公司,个人,和审计跟踪信息。由于计算机系统故障或误操作造成的数据破坏。
防御:在云环境中,请确保对你的关键数据进行备份存储,并将其安置在多个云服务提供商的环境中。
检测:保持和审查数据删除相关的审计日志。
阻止:保持对访问和管理数据的个人的教育和警觉方案。确保对数据拥有充分的权利和 控制的合适的数据所有者得到分配。
剩余风险:一旦关键数据丢失了,它就永远丢失而不能恢复了。
3)数据损坏和数据篡改
由于计算机或存储系统损害,或者恶意的人为操作或软件而造成的数据改变。企图诈骗的数据修改。
防御:利用版本控制软件,在重要数据被修改之前保存归档拷贝。云服务提供了几乎无限的数据存储,这意味着你可以保持对以前的版本的近乎无限的备份。确保所有的虚拟服务器都由防病毒(AV )软件进行保护。保持对基于最小特权原则的数据,和基于“需要了解”原则的角色或工作职能的基于角色的访问控制。
检测:对关键数据的任何修改,都需要使用完整性检查软件来监控和报告。
阻止:保持对访问和管理数据的个人的教育和警觉方案。确保对数据拥有充分的权利和控制的适当的数据所有者得到分配。
剩余风险:损毁或被破坏的数据可能会导致重大的问题,因为有效可靠的数据是任何计算系统的基石。
4)意外修改
数据完整性的损失也许是最常见的原因,数据改变要么是因为个人,尽管他可能是在修改其它的信息,要么就是因为不正确的输入。
防御:利用版本控制软件,在重要数据被修改之前保存归档拷贝。云服务提供了几乎无限的数据存储,这意味着你可以保持对以前的版本的近乎无限的备份。确保所有的虚拟服务器是由防病毒(AV )软件进行保护。保持对基于最小特权原则,根据“需要知道”的工作职能的数据的访问控制。
检测:对关键数据的任何修改,都需要使用完整性检查软件来监控和报告。
阻止:保持对访问和管理数据的个人的教育和警觉方案。确保对数据拥有充分的权利和控制的适当的数据所有者得到分配。
剩余风险:损毁或被破坏的数据可能会导致重大的问题,因为有效可靠的数据是任何计算系统的基石。
5)网络钓鱼
通过电子邮件欺骗受害者透漏个人信息的行为,是“社会工程”的常见策略。例如,发送了一封电子邮件,它看起来像是来自一个指导用户登录并提供信用卡信息的合法公司。
防御:使用反钓鱼技术,来防御恶意网站,并检测错误的URL。使用面向客户系统的多因素身份验证,来确保用户知道何时他们被重定向到你的网站的假冒副本。定期发送最新资讯和教育材料给客户来解释系统是如何工作的,以及如何避免网络钓鱼。永远不要发送那些包含或者请求有个人资料,包括客户ID或密码的电子邮件。
检测:使用应用程序防火墙来检测何时远程站点试图复制或冒用你的网站。
阻止:为使用和存储雇员或客户的个人信息的人维持教育和警觉方案。
剩余风险:由于公众媒体的暴露或者个人数据丢失的指控,所带来的丢失备份磁盘或者包含客户信息的数据库折衷的商业风险,造成了重大的声誉风险。负面宣传可能导致长期和短期的企业声誉亏损。
请继续阅读:
应用“CIA三性”来界定云计算风险和防护措施(三)相关推荐
-
人为错误会带来重大云安全风险
黑客总是在IT系统中寻找漏洞,企业一直在警惕防备。虽然有许多工具可以帮助保护数据和检测威胁,但这些工具都存在云 […]
-
数据泄露后:是否应强制执行密码重置?
据报道,在重大数据泄露事故后,雅虎公司信息安全团队希望公司强制对所有电子邮件账户进行密码重置,但被管理层拒绝。那么,对于遭遇数据泄露的公司,应强制执行密码重置吗?这种做法有什么缺点?
-
多重认证并非固若金汤,谁是救命稻草?
就像是所有的安全措施一样,多重认证并不是一种保护凭据的万全之策。但是,理解多重认证局限性的风险是减轻威胁的首要一步……
-
加密后门是否让美国科技企业面临倒退?
“为什么政府不能从过去的错误中吸取教训?”Herold问道,“他们应该听听专家们的意见:要求所有美国企业部署加密后门程序只会给政府领导以及相信政府的公众一种安全的错觉。”