華為桌面云安全一

2023/12/10華為桌面云安全Page2目錄云的特點及安全風(fēng)險華為桌面云特點華為桌面云安全評估方法Page3Page4云的安全Page5云計算的風(fēng)險（gartner）

1.特權(quán)用戶的控制

在公司外的場所處理敏感信息可能會帶來風(fēng)險，因為這將繞過企業(yè)IT部門對這些信息“物理、邏輯和人工的控制”。企業(yè)需要對處理這些信息的管理員進行充分了解，并要求服務(wù)提供商提供詳盡的管理員信息。

2.可審查性

用戶對自己數(shù)據(jù)的完整性和安全性負(fù)有最終的責(zé)任。傳統(tǒng)服務(wù)提供商需要通過外部審計和安全認(rèn)證，但一些云計算提供商卻拒絕接受這樣的審查。面對這樣的提供商，用戶只能用他們的服務(wù)做一些瑣碎的工作。

3.數(shù)據(jù)位置

在使用云計算服務(wù)時，用戶并不清楚自己的數(shù)據(jù)儲存在哪里，用戶甚至都不知道數(shù)據(jù)位于哪個國家。用戶應(yīng)當(dāng)詢問服務(wù)提供商數(shù)據(jù)是否存儲在專門管轄的位置，以及他們是否遵循當(dāng)?shù)氐碾[私協(xié)議。

4.數(shù)據(jù)隔離

在云計算的體系下，所有用戶的數(shù)據(jù)都位于共享環(huán)境之中。加密能夠起一定作用，但是仍然不夠。用戶應(yīng)當(dāng)了解云計算提供商是否將一些數(shù)據(jù)與另一些隔離開，以及加密服務(wù)是否是由專家設(shè)計并測試的。如果加密系統(tǒng)出現(xiàn)問題，那么所有數(shù)據(jù)都將不能再使用。

5.數(shù)據(jù)恢復(fù)

就算用戶不知道數(shù)據(jù)存儲的位置，云計算提供商也應(yīng)當(dāng)告訴用戶在發(fā)生災(zāi)難時，用戶數(shù)據(jù)和服務(wù)將會面臨什么樣的情況。任何沒有經(jīng)過備份的數(shù)據(jù)和應(yīng)用程序都將出現(xiàn)問題。用戶需要詢問服務(wù)提供商是否有能力恢復(fù)數(shù)據(jù)，以及需要多長時間。

6.調(diào)查支持

在云計算環(huán)境下，調(diào)查不恰當(dāng)?shù)幕蚴欠欠ǖ幕顒訉㈦y以實現(xiàn)，因為來自多個用戶的數(shù)據(jù)可能會存放在一起，并且有可能會在多臺主機或數(shù)據(jù)中心之間轉(zhuǎn)移。如果服務(wù)提供商沒有這方面的措施，那么在有違法行為發(fā)生時，用戶將難以調(diào)查。

7.長期生存性

理想情況下，云計算提供商將不會破產(chǎn)或是被大公司收購。但是用戶仍需要確認(rèn)，在發(fā)生這類問題的情況下，自己的數(shù)據(jù)會不會受到影響。用戶需要詢問服務(wù)提供商如何拿回自己的數(shù)據(jù)，以及拿回的數(shù)據(jù)是否能夠被導(dǎo)入到替代的應(yīng)用程序中。

Page6目錄云的特點及安全風(fēng)險華為桌面云特點華為桌面云安全評估方法Page7云計算對IT生產(chǎn)環(huán)境的影響Page7現(xiàn)有辦公場景辦公區(qū)PCTC/SC云計算辦公場景云計算系統(tǒng)StorageCloudServersVMsPCNotes、W3等應(yīng)用服務(wù)器PC直接訪問應(yīng)用服務(wù)器代碼等代碼等代碼等TC/SCVMNotes、W3等應(yīng)用服務(wù)器VM訪問應(yīng)用服務(wù)器通過TC/SC登陸到VMTC/SCVMsCloudServersNetworkIT生產(chǎn)環(huán)境的變化將帶來風(fēng)險網(wǎng)絡(luò)準(zhǔn)入認(rèn)證Page8云計算對IT生產(chǎn)環(huán)境的影響Page8現(xiàn)有辦公場景辦公區(qū)網(wǎng)絡(luò)準(zhǔn)入認(rèn)證PCPCNotes、W3等應(yīng)用服務(wù)器PC直接訪問應(yīng)用服務(wù)器代碼等代碼等代碼等Page9TC/SCVMNotes、W3等應(yīng)用服務(wù)器VM訪問應(yīng)用服務(wù)器通過TC/SC登陸到VM云計算辦公場景TC/SC云計算對IT生產(chǎn)環(huán)境的影響Page9辦公區(qū)云計算系統(tǒng)StorageCloudServersVMs代碼等TC/SCVMsCloudServersNetworkIT生產(chǎn)環(huán)境的變化將帶來風(fēng)險網(wǎng)絡(luò)準(zhǔn)入認(rèn)證Page10目錄云的特點及安全風(fēng)險華為桌面云特點華為桌面云安全評估Page11桌面云安全評估方案審視問卷調(diào)查用例測試滲透測試安全需求清單（40）安全風(fēng)險清單（35）易用性需求基線安全測試用例（201個）調(diào)查問卷安全性易用性白盒測試黑盒測試Page12桌面云安全風(fēng)險/需求4145TC/SCNetworkVMsCloudServers特權(quán)用戶的控制數(shù)據(jù)隔離數(shù)據(jù)恢復(fù)信息安全需求（TC）瘦終端不能內(nèi)置用戶可訪問的存儲單元USB端口僅能接鼠標(biāo)、鍵盤，禁用數(shù)據(jù)讀寫等其它功能操作系統(tǒng)只能從系統(tǒng)內(nèi)置固件引導(dǎo)啟動用戶憑證(如用戶名、口令)不能保存在機器存儲單元中固件（Firmware）升級受控信息安全需求（VM及其他）提供安全接入（軟終端、TC）功能支持分層分級的運維權(quán)限管理系統(tǒng)需要支持虛擬機用戶的訪問區(qū)域可控制用戶鏡像文件信息要加密或變換后存放提供對接入用戶的鑒權(quán)VM之間I/O、內(nèi)存、網(wǎng)絡(luò)、CPU完全隔離Page13數(shù)據(jù)隔離測試（舉例）云計算系統(tǒng)StorageCloudServersVMs

1、找到在同一硬件服務(wù)器上的兩個用戶的虛擬機VM1，VM22、在VM1的記事本中上輸入一個特定的較長字符串A3、在VM2上利用工具winhex讀出所有內(nèi)存的內(nèi)容，并保存在文件中4、在文件中查找特定字符串A1、找到在同一硬件服務(wù)器上的兩個用戶的虛擬機VM1，VM22、在VM1上開啟網(wǎng)卡的混雜模式，啟動sniffer網(wǎng)絡(luò)抓包功能3、在VM2上使用SSH協(xié)議登錄某個unix機器，輸入一個特定的較長字符串A3、在VM1分析所有抓到的網(wǎng)絡(luò)數(shù)據(jù)包看能否找到特定字符串A內(nèi)存隔離網(wǎng)絡(luò)隔離數(shù)據(jù)隔離1、從云計算管理系統(tǒng)找到某用戶A的VM1的數(shù)據(jù)盤所在的存放路徑2、從云計算管理系統(tǒng)后臺將VM1的數(shù)據(jù)盤掛接到用戶給B3、用戶B登錄自己的VM，看能否讀出數(shù)據(jù)盤D盤的數(shù)據(jù)4、在用戶B的VM上采用winhex讀取數(shù)據(jù)盤D盤的數(shù)據(jù)Page14總體結(jié)論安全：云計算系統(tǒng)在自身架構(gòu)、技術(shù)方面具有較好的安全性，同時有效解決華為研發(fā)的安全問題。1）在TC方面未發(fā)現(xiàn)安全風(fēng)險，改進很好2