概述 1云計算模型與安全 1云安全建設(shè)依據(jù)與參照 3云平臺安全框架原則 4云安全建設(shè)重點 4123455.15.2云安全 的主要威脅 4云安全建設(shè)的關(guān)鍵領(lǐng)域 55.2.1 云安全治理域 概述 1云計算模型與安全 1云安全建設(shè)依據(jù)與參照 3云平臺安全框架原則 4云安全建設(shè)重點 4123455.15.2云安全 的主要威脅 4云安全建設(shè)的關(guān)鍵領(lǐng)域 55.2.1 云安全治理域 治理和企業(yè)風(fēng)險管理 5法律與電子證據(jù)發(fā)現(xiàn) 6合規(guī)與審計 7信息生命周期管理 9可移植性和互操作性 115.2.2 云安全運行域 業(yè)務(wù)連續(xù)性和恢復(fù) 12數(shù)據(jù)中心運行 13應(yīng)急響應(yīng)、通告和補救 13應(yīng)用安全 14加密和密鑰管理 15和管理 16虛擬化 176Symantec云安全解決方案 6.46.5企業(yè)風(fēng)險管理（CCS/ESM） 19電子證據(jù)發(fā)現(xiàn)與歸檔（EV） 21合規(guī)與審計（SSIM） 22數(shù)據(jù)泄露防護（DLP） 25虛擬化安全（SEP+SCSP） 27SEP 27SCSP 31加密和密鑰管理（PGP） 326.6文檔信息文檔名稱：Symantec云安全解決方案文檔編號：0.1文檔版本：2011/06/22版本日期：文檔狀態(tài)：制作人：祝曉光審閱人：版本變更0.12011/06/22祝曉光初始版本版本 修訂日期 修訂人 描述屬性 內(nèi)容文檔信息文檔名稱：Symantec云安全解決方案文檔編號：0.1文檔版本：2011/06/22版本日期：文檔狀態(tài)：制作人：祝曉光審閱人：版本變更0.12011/06/22祝曉光初始版本版本 修訂日期 修訂人 描述屬性 內(nèi)容1云計算（或云）是一個演化中的詞匯，它描述了很多現(xiàn)有的計算技術(shù)和方效率的計算來降低成本的潛能。更具體地說，云描述了由“資源池”化的計算、標準。健康狀態(tài)進行，滿足日常運維的需要。務(wù)給予充分的保障2云服務(wù)的交付可以分為三種模式以及不同的衍生組合。這三種基本類型經(jīng)常被稱為“SPI”模型，其中SPI分別代表軟件、平臺和基礎(chǔ)設(shè)施（作為服務(wù)）。它們的定義如下：云軟件作為服務(wù)(SaaS).提供給用戶的能力是使用服務(wù)商運行在云基礎(chǔ)設(shè)（例如瀏覽器）等來礎(chǔ)設(shè)施，例如網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、存儲、甚至其中單個的應(yīng)用能力，除非是某些有限用戶的特殊應(yīng)用配置項。1云計算（或云）是一個演化中的詞匯，它描述了很多現(xiàn)有的計算技術(shù)和方效率的計算來降低成本的潛能。更具體地說，云描述了由“資源池”化的計算、標準。健康狀態(tài)進行，滿足日常運維的需要。務(wù)給予充分的保障2云服務(wù)的交付可以分為三種模式以及不同的衍生組合。這三種基本類型經(jīng)常被稱為“SPI”模型，其中SPI分別代表軟件、平臺和基礎(chǔ)設(shè)施（作為服務(wù)）。它們的定義如下：云軟件作為服務(wù)(SaaS).提供給用戶的能力是使用服務(wù)商運行在云基礎(chǔ)設(shè)（例如瀏覽器）等來礎(chǔ)設(shè)施，例如網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、存儲、甚至其中單個的應(yīng)用能力，除非是某些有限用戶的特殊應(yīng)用配置項。云平臺作為服務(wù)(PaaS).提供給用戶的能力是在云基礎(chǔ)設(shè)施之上部署用戶等，但是可以控制部署的應(yīng)用，以及應(yīng)用主機的某個環(huán)境配置。云基礎(chǔ)設(shè)施作為服務(wù)().提供給用戶的能力是云供應(yīng)了處理、存儲、網(wǎng)絡(luò)，以及其它基礎(chǔ)性的計算資源，以供用戶部署或運行自己任意的軟件，主機等）。NIST風(fēng)險和問解需進行安全分析的資源和服務(wù)是非常重要的涵蓋了從機房設(shè)備到其中的（或相反的能力，提供商提供一組API，允許用戶與基礎(chǔ)設(shè)施進行管理和其它形式的交互。云平臺作為服務(wù)(PaaS).提供給用戶的能力是在云基礎(chǔ)設(shè)施之上部署用戶等，但是可以控制部署的應(yīng)用，以及應(yīng)用主機的某個環(huán)境配置。云基礎(chǔ)設(shè)施作為服務(wù)().提供給用戶的能力是云供應(yīng)了處理、存儲、網(wǎng)絡(luò)，以及其它基礎(chǔ)性的計算資源，以供用戶部署或運行自己任意的軟件，主機等）。NIST風(fēng)險和問解需進行安全分析的資源和服務(wù)是非常重要的涵蓋了從機房設(shè)備到其中的（或相反的能力，提供商提供一組API，允許用戶與基礎(chǔ)設(shè)施進行管理和其它形式的交互。PaaS位于之上，又增加了一個層面用以與應(yīng)用開發(fā)框架、中間件能力發(fā)的編程語言和工具由PaaS支持提供。SaaS位于底層的和PaaS之上。SaaS能夠提供獨立的運行環(huán)境，用以交一些明顯的折中。三種云部署模型之間的折中包括：一般來說，SaaS會在產(chǎn)品中提供最為集成化的功能，最小的用戶可擴展性，相對來說較高的集成化的安全（至少提供商承擔(dān)安全的職責(zé)）。PaaS提供的是開發(fā)者在平臺之上開發(fā)自己應(yīng)用的能力。因此它傾向于提供比SaaS的可擴展性，其代價是SaaS那些已經(jīng)用戶可用的特色功能。這種折中也會延伸到安全特色和能力上，雖然內(nèi)置的安全能力不夠完備，但是用戶卻擁有的靈活性去實現(xiàn)額外的安全。幾乎不提供那些和應(yīng)用類似的特色功能，但卻有極大地“可擴展性”。這一般是指在除了保護基礎(chǔ)設(shè)施自身之外的安全保護能力和功能更少。模型要求云用戶自己管理和安全保護操作系統(tǒng)、應(yīng)用和內(nèi)容。3云安全建設(shè)依據(jù)與參照云安全CSA迅速獲際設(shè)備廠商、廠商、云計算提供商等。云安全發(fā)布的云安全指南及其開發(fā)成為云計算領(lǐng)域令人矚目的安計算和安全業(yè)界對于云計算及其安全保護的認識的一次重要升級。建設(shè)的最佳實踐來闡述云安全建設(shè)的重點和方法。PaaS位于之上，又增加了一個層面用以與應(yīng)用開發(fā)框架、中間件能力發(fā)的編程語言和工具由PaaS支持提供。SaaS位于底層的和PaaS之上。SaaS能夠提供獨立的運行環(huán)境，用以交一些明顯的折中。三種云部署模型之間的折中包括：一般來說，SaaS會在產(chǎn)品中提供最為集成化的功能，最小的用戶可擴展性，相對來說較高的集成化的安全（至少提供商承擔(dān)安全的職責(zé)）。PaaS提供的是開發(fā)者在平臺之上開發(fā)自己應(yīng)用的能力。因此它傾向于提供比SaaS的可擴展性，其代價是SaaS那些已經(jīng)用戶可用的特色功能。這種折中也會延伸到安全特色和能力上，雖然內(nèi)置的安全能力不夠完備，但是用戶卻擁有的靈活性去實現(xiàn)額外的安全。幾乎不提供那些和應(yīng)用類似的特色功能，但卻有極大地“可擴展性”。這一般是指在除了保護基礎(chǔ)設(shè)施自身之外的安全保護能力和功能更少。模型要求云用戶自己管理和安全保護操作系統(tǒng)、應(yīng)用和內(nèi)容。3云安全建設(shè)依據(jù)與參照云安全CSA迅速獲際設(shè)備廠商、廠商、云計算提供商等。云安全發(fā)布的云安全指南及其開發(fā)成為云計算領(lǐng)域令人矚目的安計算和安全業(yè)界對于云計算及其安全保護的認識的一次重要升級。建設(shè)的最佳實踐來闡述云安全建設(shè)的重點和方法。455.1云安全的主要威脅根據(jù)云安全的結(jié)果，云安全的主要威脅有：云資源的和盜用數(shù)據(jù)丟失/數(shù)據(jù)泄漏內(nèi)部賬戶服務(wù)或流量劫持共享技術(shù)潛在風(fēng)險API未知風(fēng)險安全防護包括如下方面：物理安全：數(shù)據(jù)中心進出應(yīng)有安全管控，并留存?zhèn)洳椋簲?shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)應(yīng)該妥善 ，數(shù)據(jù)傳輸必須加密驗證：建議采重驗證密鑰管理：密鑰管理服務(wù)器應(yīng)強化安全防護，且必須考量密鑰回復(fù)機制455.1云安全的主要威脅根據(jù)云安全的結(jié)果，云安全的主要威脅有：云資源的和盜用數(shù)據(jù)丟失/數(shù)據(jù)泄漏內(nèi)部賬戶服務(wù)或流量劫持共享技術(shù)潛在風(fēng)險API未知風(fēng)險安全防護包括如下方面：物理安全：數(shù)據(jù)中心進出應(yīng)有安全管控，并留存?zhèn)洳椋簲?shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)應(yīng)該妥善 ，數(shù)據(jù)傳輸必須加密驗證：建議采重驗證密鑰管理：密鑰管理服務(wù)器應(yīng)強化安全防護，且必須考量密鑰回復(fù)機制系統(tǒng)安全：必須建立安全防護措施保護系統(tǒng)安全，并定期進行漏洞掃描日志：所有操作均應(yīng)留存日志災(zāi)備管理：數(shù)據(jù)中心應(yīng)建立完善的災(zāi)備管理體系內(nèi)控流程：數(shù)據(jù)中心內(nèi)部應(yīng)有明確的控管流程，并定期進行內(nèi)外部審計合約管理：服務(wù)水平協(xié)議應(yīng)明訂安全需求與賠償條款5.2云安全建設(shè)的關(guān)鍵領(lǐng)域5.2.1云安全治理域治理和企業(yè)風(fēng)險管理定義與目標在云計算中，有效地治理和企業(yè)風(fēng)險管理是從良好開發(fā)的治理過治理過程會使管理程序一直可依據(jù)業(yè)務(wù)伸縮、可在組織內(nèi)重復(fù)、可測量、可持續(xù)、可防御、可持續(xù)改進且具有成本效益。云計算中的治理和企業(yè)風(fēng)險管理的基本問題關(guān)系到識別和實施適當(dāng)?shù)慕M織應(yīng)商和用戶，及其支持的第供應(yīng)商。關(guān)鍵性基于風(fēng)險評估的控制管理有效性指標測量可證明的服務(wù)水平協(xié)議(SLA)風(fēng)險評估和管理方法適當(dāng)?shù)娘L(fēng)險控制技術(shù)功能需求5.2云安全建設(shè)的關(guān)鍵領(lǐng)域5.2.1云安全治理域治理和企業(yè)風(fēng)險管理定義與目標在云計算中，有效地治理和企業(yè)風(fēng)險管理是從良好開發(fā)的治理過治理過程會使管理程序一直可依據(jù)業(yè)務(wù)伸縮、可在組織內(nèi)重復(fù)、可測量、可持續(xù)、可防御、可持續(xù)改進且具有成本效益。云計算中的治理和企業(yè)風(fēng)險管理的基本問題關(guān)系到識別和實施適當(dāng)?shù)慕M織應(yīng)商和用戶，及其支持的第供應(yīng)商。關(guān)鍵性基于風(fēng)險評估的控制管理有效性指標測量可證明的服務(wù)水平協(xié)議(SLA)風(fēng)險評估和管理方法適當(dāng)?shù)娘L(fēng)險控制技術(shù)功能需求合規(guī)性檢查模板，可基于該模板定制、細化適合用戶自己的內(nèi)容提供安全風(fēng)險對應(yīng)的解決方案，具有廣泛的漏洞庫、知識庫內(nèi)容系統(tǒng)之間的通信使用128位的DES-X加密算法及高級Diffie-Helman密鑰交換算法保證組件的通信安全提供ODBC接口可將安全風(fēng)險數(shù)據(jù)導(dǎo)入用戶定制的數(shù)據(jù)庫文件中，如：WORD、EXCEL、FoxPro、ACCESS、VisualFoxProDatabase提供ODBC接口可將安全風(fēng)險數(shù)據(jù)導(dǎo)入用戶定制的數(shù)據(jù)庫文件中，如：WORD、EXCEL、FoxPro、ACCESS、VisualFoxProDatabaseVMS,，AS400，AT&T/NCR等等法律與電子證據(jù)發(fā)現(xiàn)定義與目標題，包括：利益相關(guān)者（stakeholder）的法律問題司法方面主要包括數(shù)據(jù)資產(chǎn)的影響合同方面主要包括合同的結(jié)構(gòu)、條件和環(huán)境，以及云計算環(huán)境中的Stakeholder解決和管理法律和安全問題的實施辦法實施安全策略以滿足當(dāng)?shù)貙邕吔鐢?shù)據(jù)流合規(guī)要求的先決條件，是所有者信息。關(guān)鍵性非結(jié)構(gòu)化數(shù)據(jù)的歸檔、搜索、電子證據(jù)發(fā)現(xiàn)頻繁流動的員工使企業(yè)信息外流對電子信息保存要求郵件系統(tǒng)遷移對歸檔數(shù)據(jù)產(chǎn)生的影響功能需求Sharepoint等消息平臺的歸檔Exchange00Exchage2007IMLotusDomino等支持單實例存儲靈活的郵件遷移策略，需要圖形化的而非語言實現(xiàn)簡化管理。歸檔壓縮存儲，存儲歸檔文件的時候，文件是經(jīng)過壓縮的。壓縮比例不功能需求Sharepoint等消息平臺的歸檔Exchange00Exchage2007IMLotusDomino等支持單實例存儲靈活的郵件遷移策略，需要圖形化的而非語言實現(xiàn)簡化管理。歸檔壓縮存儲，存儲歸檔文件的時候，文件是經(jīng)過壓縮的。壓縮比例不低于60%，從而節(jié)省近一半的存儲資源安全審計平臺合規(guī)與審計定義與目標在云計算平臺中各層面的安全性審計與安全合規(guī)性管理的要求尤為重要，該部分功能是云平臺的各層面安全已經(jīng)具備一定的日志和專項審計功能基礎(chǔ)上，達到統(tǒng)一、集中的安全審計管理和安全合規(guī)性管理功能。包括：安全管理、安全合規(guī)管理的內(nèi)容。需要理解如下幾點：使用特定云服務(wù)時的監(jiān)管適用性云提供商和消費者在合規(guī)責(zé)任上的區(qū)別云提供商提供合規(guī)所需資料的能力云消費者需要協(xié)助云提供商縮小和審計者/評估者之間的差異關(guān)鍵性基于SAS70TYPEII的審計和安全控制ISO/IEC27001/27002認證和標準合規(guī)證據(jù)的收集與存儲合規(guī)對基礎(chǔ)架構(gòu)和流程的影響合規(guī)對數(shù)據(jù)安全的影響滿足各種當(dāng)前和未來的合規(guī)需求功能需求除需支持通用主機系統(tǒng)的運行狀態(tài)監(jiān)控、日志審計、安全配置外，還應(yīng)支持對于虛擬層的上述；可依賴虛擬層相關(guān)產(chǎn)品提供的數(shù)據(jù)，納入該平臺的統(tǒng)一分析和管理；安全事件、IDS安全事件、漏洞掃描系統(tǒng)報和管理。包括但不限于：告、防系統(tǒng)事件等。應(yīng)廣泛支持云平臺環(huán)境下的各類安全系統(tǒng)，形成統(tǒng)一的安全。及審計內(nèi)容包括但內(nèi)容。除需支持通用主機系統(tǒng)的運行狀態(tài)監(jiān)控、日志審計、安全配置外，還應(yīng)支持對于虛擬層的上述。平臺環(huán)境下具體的安全配置要求的檢查。規(guī)檢查、告警與報告，以及相應(yīng)的修復(fù)建議。SLA要求的合規(guī)標準。出詳細描述、損害分析、解決方法及補丁等資源；報表功能內(nèi)置可支持ISO/IEC27001/27002認證和標準合規(guī)證據(jù)的收集與存儲合規(guī)對基礎(chǔ)架構(gòu)和流程的影響合規(guī)對數(shù)據(jù)安全的影響滿足各種當(dāng)前和未來的合規(guī)需求功能需求除需支持通用主機系統(tǒng)的運行狀態(tài)監(jiān)控、日志審計、安全配置外，還應(yīng)支持對于虛擬層的上述；可依賴虛擬層相關(guān)產(chǎn)品提供的數(shù)據(jù)，納入該平臺的統(tǒng)一分析和管理；安全事件、IDS安全事件、漏洞掃描系統(tǒng)報和管理。包括但不限于：告、防系統(tǒng)事件等。應(yīng)廣泛支持云平臺環(huán)境下的各類安全系統(tǒng)，形成統(tǒng)一的安全。及審計內(nèi)容包括但內(nèi)容。除需支持通用主機系統(tǒng)的運行狀態(tài)監(jiān)控、日志審計、安全配置外，還應(yīng)支持對于虛擬層的上述。平臺環(huán)境下具體的安全配置要求的檢查。規(guī)檢查、告警與報告，以及相應(yīng)的修復(fù)建議。SLA要求的合規(guī)標準。出詳細描述、損害分析、解決方法及補丁等資源；報表功能內(nèi)置可支持SOX、ISO27001、PCI、FSIMA、HIPPA等主流合規(guī)報表模板；信息生命周期管理定義與目標的主要目標之一是保護我們系統(tǒng)和應(yīng)用程序的基礎(chǔ)數(shù)據(jù)。當(dāng)向云周期可分為六個階段，即創(chuàng)建、存儲、使用、共享、歸檔、銷毀。關(guān)鍵性數(shù)據(jù)安全。性、完整性、可用性、真實性、授權(quán)、認證和不可抵賴性。務(wù)水平協(xié)議和允許的地理位置。數(shù)據(jù)刪除或持久性。數(shù)據(jù)必須徹底有效地去除才被視為銷毀。因此，必須/銷毀數(shù)據(jù)，數(shù)據(jù)已被完全消除或使其無法恢復(fù)。的混合數(shù)據(jù)尤其是 /敏感數(shù)據(jù)不能在使用儲存或傳輸過不同數(shù)據(jù)安全和地緣位置等方面增加了安全的。蓋和破壞。不要隨便假定云模式的數(shù)據(jù)肯定有備份并可恢復(fù)。商和數(shù)據(jù)擁有者將需要把重點放在發(fā)現(xiàn)數(shù)據(jù)并確保法律和監(jiān)管要求的所有數(shù)據(jù)可被找回。信息生命周期管理定義與目標的主要目標之一是保護我們系統(tǒng)和應(yīng)用程序的基礎(chǔ)數(shù)據(jù)。當(dāng)向云周期可分為六個階段，即創(chuàng)建、存儲、使用、共享、歸檔、銷毀。關(guān)鍵性數(shù)據(jù)安全。性、完整性、可用性、真實性、授權(quán)、認證和不可抵賴性。務(wù)水平協(xié)議和允許的地理位置。數(shù)據(jù)刪除或持久性。數(shù)據(jù)必須徹底有效地去除才被視為銷毀。因此，必須/銷毀數(shù)據(jù)，數(shù)據(jù)已被完全消除或使其無法恢復(fù)。的混合數(shù)據(jù)尤其是 /敏感數(shù)據(jù)不能在使用儲存或傳輸過不同數(shù)據(jù)安全和地緣位置等方面增加了安全的。蓋和破壞。不要隨便假定云模式的數(shù)據(jù)肯定有備份并可恢復(fù)。商和數(shù)據(jù)擁有者將需要把重點放在發(fā)現(xiàn)數(shù)據(jù)并確保法律和監(jiān)管要求的所有數(shù)據(jù)可被找回。可能會導(dǎo)致敏感和資料的性。功能需求創(chuàng)建識別可用的數(shù)據(jù)標簽和分類。（DRM）可能是一種選擇。WEB2.0環(huán)境中應(yīng)用存儲DBMS和文檔管理系統(tǒng)等環(huán)境中的控制。加密解決方案，涵蓋如電子郵件、網(wǎng)絡(luò)傳輸、數(shù)據(jù)庫、文件和文件系統(tǒng)。內(nèi)容發(fā)現(xiàn)工具（如DLP數(shù)據(jù)丟失防護）更有助于識別和審計。使用活動，可以通過日志文件和基于的工具?；跀?shù)據(jù)庫管理系統(tǒng)解決方案的對象級控制。共享活動，可以通過日志文件和基于的工具?；跀?shù)據(jù)庫管理系統(tǒng)解決方案的對象級控制。識別文件系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和文檔管理系統(tǒng)等環(huán)境中的控制。加密解決方案，涵蓋如電子郵件、網(wǎng)絡(luò)傳輸、數(shù)據(jù)庫、文件和文件系統(tǒng)。DLP實現(xiàn)基于內(nèi)容的數(shù)據(jù)保護。歸檔加密，如磁帶備份和其他長期儲存介質(zhì)。資產(chǎn)管理和跟蹤銷毀加密和粉碎：所有加密數(shù)據(jù)相關(guān)的關(guān)鍵介質(zhì)的銷毀。通過磁盤“擦拭”和相關(guān)技術(shù)實現(xiàn)安全刪除。創(chuàng)建識別可用的數(shù)據(jù)標簽和分類。（DRM）可能是一種選擇。WEB2.0環(huán)境中應(yīng)用存儲DBMS和文檔管理系統(tǒng)等環(huán)境中的控制。加密解決方案，涵蓋如電子郵件、網(wǎng)絡(luò)傳輸、數(shù)據(jù)庫、文件和文件系統(tǒng)。內(nèi)容發(fā)現(xiàn)工具（如DLP數(shù)據(jù)丟失防護）更有助于識別和審計。使用活動，可以通過日志文件和基于的工具?；跀?shù)據(jù)庫管理系統(tǒng)解決方案的對象級控制。共享活動，可以通過日志文件和基于的工具?；跀?shù)據(jù)庫管理系統(tǒng)解決方案的對象級控制。識別文件系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和文檔管理系統(tǒng)等環(huán)境中的控制。加密解決方案，涵蓋如電子郵件、網(wǎng)絡(luò)傳輸、數(shù)據(jù)庫、文件和文件系統(tǒng)。DLP實現(xiàn)基于內(nèi)容的數(shù)據(jù)保護。歸檔加密，如磁帶備份和其他長期儲存介質(zhì)。資產(chǎn)管理和跟蹤銷毀加密和粉碎：所有加密數(shù)據(jù)相關(guān)的關(guān)鍵介質(zhì)的銷毀。通過磁盤“擦拭”和相關(guān)技術(shù)實現(xiàn)安全刪除。物理銷毀，如物理介質(zhì)消磁。通過內(nèi)容發(fā)現(xiàn)以確認銷毀過程.信息生命周期管理貫穿整個云安全建設(shè)的過程，其它具體功能需求參考其它治理域和運行域中相應(yīng)的技術(shù)和管理需求?？梢浦残院突ゲ僮餍远x與目標可移植性和互操作性必須被作為云項目風(fēng)險管理和安全保證的一部分而提前考慮。在云中提供提供異地災(zāi)備可提供高可用性的服務(wù)；使用SaaS的客戶關(guān)注的重點不在于應(yīng)用的可移植性，而是保持或增強舊應(yīng)用程序的安全功能，以成功的完成數(shù)據(jù)遷移。在PaaS情況下，為達到可移植性，一定程度上對應(yīng)用的修改是需要的。關(guān)成功的完成數(shù)據(jù)遷移。在并順利運行。關(guān)鍵性無法接受續(xù)約帶來的費用增加提供商停止了業(yè)務(wù)運營提供商在沒有給出合理的數(shù)據(jù)遷移計劃之前，關(guān)停了企業(yè)正在使用的服務(wù)SLA發(fā)生在云用戶和提供商之間的?？梢浦残院突ゲ僮餍远x與目標可移植性和互操作性必須被作為云項目風(fēng)險管理和安全保證的一部分而提前考慮。在云中提供提供異地災(zāi)備可提供高可用性的服務(wù)；使用SaaS的客戶關(guān)注的重點不在于應(yīng)用的可移植性，而是保持或增強舊應(yīng)用程序的安全功能，以成功的完成數(shù)據(jù)遷移。在PaaS情況下，為達到可移植性，一定程度上對應(yīng)用的修改是需要的。關(guān)成功的完成數(shù)據(jù)遷移。在并順利運行。關(guān)鍵性無法接受續(xù)約帶來的費用增加提供商停止了業(yè)務(wù)運營提供商在沒有給出合理的數(shù)據(jù)遷移計劃之前，關(guān)停了企業(yè)正在使用的服務(wù)SLA發(fā)生在云用戶和提供商之間的。功能需求廣泛平臺支持IBMAIXSolarisLinux等，以邏輯卷的方式透明統(tǒng)一地使用和管理各種品牌的隨機存儲。邏功能Oracle不受影響的情況下對磁盤陣列進行障擴大性能優(yōu)化等。同時支持 或刪除RAC節(jié)點。和縮小調(diào)整，以及存儲虛擬化管理異構(gòu)存儲設(shè)備時，支持磁盤陣列能夠?qū)崿F(xiàn)的A/A以及A/P的工作方式跨卷遷移支持跨卷（磁盤陣列）的文件系統(tǒng)，并支持在文件系統(tǒng)架構(gòu)不變的情況下，結(jié)構(gòu)，不定頓應(yīng)用的前提下，在任何時候?qū)⑷魏挝募w移到任何存儲上去5.2.2云安全運行域業(yè)務(wù)連續(xù)性和恢復(fù)定義與目標傳統(tǒng)的物理安全、業(yè)務(wù)連續(xù)性計劃（BCP）和恢復(fù)（DR）等形成的?；謴?fù)領(lǐng)域的專業(yè)不斷進行和監(jiān)測。當(dāng)前的的是如何合作進行風(fēng)險識別、確認相互依存、整合、動態(tài)術(shù)領(lǐng)域的重要的深入，傳統(tǒng)安全原則依然存在。關(guān)鍵性功能需求Oracle不受影響的情況下對磁盤陣列進行障擴大性能優(yōu)化等。同時支持 或刪除RAC節(jié)點。和縮小調(diào)整，以及存儲虛擬化管理異構(gòu)存儲設(shè)備時，支持磁盤陣列能夠?qū)崿F(xiàn)的A/A以及A/P的工作方式跨卷遷移支持跨卷（磁盤陣列）的文件系統(tǒng)，并支持在文件系統(tǒng)架構(gòu)不變的情況下，結(jié)構(gòu)，不定頓應(yīng)用的前提下，在任何時候?qū)⑷魏挝募w移到任何存儲上去5.2.2云安全運行域業(yè)務(wù)連續(xù)性和恢復(fù)定義與目標傳統(tǒng)的物理安全、業(yè)務(wù)連續(xù)性計劃（BCP）和恢復(fù)（DR）等形成的?；謴?fù)領(lǐng)域的專業(yè)不斷進行和監(jiān)測。當(dāng)前的的是如何合作進行風(fēng)險識別、確認相互依存、整合、動態(tài)術(shù)領(lǐng)域的重要的深入，傳統(tǒng)安全原則依然存在。關(guān)鍵性功能需求數(shù)據(jù)中心運行定義與目標云計算數(shù)據(jù)中心通過IT資源共享來創(chuàng)造效率和規(guī)模效益，不同云服務(wù)提供須全部能夠展示系統(tǒng)、數(shù)據(jù)、網(wǎng)絡(luò)、管理、部署和方面的全方位相互，為了不互相干擾，每一層基礎(chǔ)設(shè)施的控制需要適當(dāng)加以整合。處理資源動態(tài)分配，以便在商業(yè)系統(tǒng)的正常起伏波動過程中系統(tǒng)可用客戶。關(guān)鍵性如何實現(xiàn)前面所論述的“云計算的5大關(guān)鍵特征”技術(shù)架構(gòu)和基礎(chǔ)設(shè)施是否會影響滿足服務(wù)水平協(xié)議SLA和解決安全問題的能力承諾或授權(quán)進行客戶方或外部第 審計的權(quán)利用IT視角去審視業(yè)務(wù)連續(xù)性和恢復(fù)計劃功能需求應(yīng)急響應(yīng)、通告和補救定義與目標部署到云的應(yīng)用程序并不總是把數(shù)據(jù)完整性和安全性設(shè)計放在第一位，這的數(shù)據(jù)中心運行定義與目標云計算數(shù)據(jù)中心通過IT資源共享來創(chuàng)造效率和規(guī)模效益，不同云服務(wù)提供須全部能夠展示系統(tǒng)、數(shù)據(jù)、網(wǎng)絡(luò)、管理、部署和方面的全方位相互，為了不互相干擾，每一層基礎(chǔ)設(shè)施的控制需要適當(dāng)加以整合。處理資源動態(tài)分配，以便在商業(yè)系統(tǒng)的正常起伏波動過程中系統(tǒng)可用客戶。關(guān)鍵性如何實現(xiàn)前面所論述的“云計算的5大關(guān)鍵特征”技術(shù)架構(gòu)和基礎(chǔ)設(shè)施是否會影響滿足服務(wù)水平協(xié)議SLA和解決安全問題的能力承諾或授權(quán)進行客戶方或外部第 審計的權(quán)利用IT視角去審視業(yè)務(wù)連續(xù)性和恢復(fù)計劃功能需求應(yīng)急響應(yīng)、通告和補救定義與目標部署到云的應(yīng)用程序并不總是把數(shù)據(jù)完整性和安全性設(shè)計放在第一位，這的在通知、補救、以及隨后可能采取的法律行動中發(fā)揮關(guān)鍵作用。關(guān)鍵性針對應(yīng)用程序數(shù)據(jù)的 授權(quán) 的補救選項事故和事件的精確識別事件檢測和分析工具以及兼容性協(xié)助事件響應(yīng)的關(guān)鍵能力功能需求應(yīng)用安全定義與目標由于云環(huán)境其靈活性、開放性、以及公眾可用性這些特性，給應(yīng)用安全的基本假設(shè)帶來了很多DMZ理信息的性、完整性，以及可用性等方面。關(guān)鍵性應(yīng)用安全架構(gòu)置管理和緊隨的配置供應(yīng)比傳統(tǒng)的應(yīng)用程序部署更為復(fù)雜。軟件開發(fā)生命周期（SDLC）云計算影響SDLC的各個方面，涵蓋應(yīng)用程序體系結(jié)構(gòu)、設(shè)計、開發(fā)、質(zhì)量保證、文署、管理、維護和退役。合規(guī)性關(guān)鍵性針對應(yīng)用程序數(shù)據(jù)的 授權(quán) 的補救選項事故和事件的精確識別事件檢測和分析工具以及兼容性協(xié)助事件響應(yīng)的關(guān)鍵能力功能需求應(yīng)用安全定義與目標由于云環(huán)境其靈活性、開放性、以及公眾可用性這些特性，給應(yīng)用安全的基本假設(shè)帶來了很多DMZ理信息的性、完整性，以及可用性等方面。關(guān)鍵性應(yīng)用安全架構(gòu)置管理和緊隨的配置供應(yīng)比傳統(tǒng)的應(yīng)用程序部署更為復(fù)雜。軟件開發(fā)生命周期（SDLC）云計算影響SDLC的各個方面，涵蓋應(yīng)用程序體系結(jié)構(gòu)、設(shè)計、開發(fā)、質(zhì)量保證、文署、管理、維護和退役。合規(guī)性（如對安全事件的報告要求）。工具和服務(wù)圍繞著開發(fā)和維護運行應(yīng)用程序需要的工具和服務(wù)，云計算對工具和服務(wù)帶來了一系列的新后果、并承擔(dān)相關(guān)的責(zé)任非常重要。脆弱性web被部署進云中。功能需求加密和密鑰管理定義與目標云用戶和提供商需要避免數(shù)據(jù)丟失和被竊。強加密及密鑰管理是云計算系此問控制。關(guān)鍵性加密的工具和服務(wù)圍繞著開發(fā)和維護運行應(yīng)用程序需要的工具和服務(wù)，云計算對工具和服務(wù)帶來了一系列的新后果、并承擔(dān)相關(guān)的責(zé)任非常重要。脆弱性web被部署進云中。功能需求加密和密鑰管理定義與目標云用戶和提供商需要避免數(shù)據(jù)丟失和被竊。強加密及密鑰管理是云計算系此問控制。關(guān)鍵性加密的性和完整性加密網(wǎng)絡(luò)傳輸中的數(shù)據(jù)加密靜止數(shù)據(jù)加密備份媒介中的數(shù)據(jù)密鑰管理保護密鑰存儲密鑰存儲密鑰備份和恢復(fù)功能需求支持Windows/Linux/MacOS/RIM/WindowsMobile等各種平臺PGP以及X.509密鑰；具備密鑰恢復(fù)和密鑰重建功能管理與報表呈現(xiàn)提供加密傳輸，對云平臺應(yīng)用中傳輸?shù)臄?shù)據(jù)進行加密保護。受保護的應(yīng)用包括但不限于：郵件、文件傳輸；SSL、secure-FTP等提供對不同租戶的敏感數(shù)據(jù)的存儲的功能。支持密鑰的生成、、回收等密鑰管理功能和管理定義與目標企業(yè)應(yīng)用程序的控制仍然是 的IT管理和的最大之一，延伸企業(yè)基于云的和統(tǒng)的必要前提。關(guān)鍵性供應(yīng)：云計算服務(wù)的主要）的用戶。此認證：當(dāng)開始利用云端服務(wù)時，以賴及易于管理方式來認證用戶是一個認證有關(guān)的（通常定義為多因素所有云服務(wù)類型的密鑰備份和恢復(fù)功能需求支持Windows/Linux/MacOS/RIM/WindowsMobile等各種平臺PGP以及X.509密鑰；具備密鑰恢復(fù)和密鑰重建功能管理與報表呈現(xiàn)提供加密傳輸，對云平臺應(yīng)用中傳輸?shù)臄?shù)據(jù)進行加密保護。受保護的應(yīng)用包括但不限于：郵件、文件傳輸；SSL、secure-FTP等提供對不同租戶的敏感數(shù)據(jù)的存儲的功能。支持密鑰的生成、、回收等密鑰管理功能和管理定義與目標企業(yè)應(yīng)用程序的控制仍然是 的IT管理和的最大之一，延伸企業(yè)基于云的和統(tǒng)的必要前提。關(guān)鍵性供應(yīng)：云計算服務(wù)的主要）的用戶。此認證：當(dāng)開始利用云端服務(wù)時，以賴及易于管理方式來認證用戶是一個認證有關(guān)的（通常定義為多因素所有云服務(wù)類型的信任管理。：管理在使企業(yè)能夠利用所選擇的提供商（IdP）去認證的作用的。 提供商（IdP）與服務(wù)提供商（SP）屬性也是一個重要的要求。應(yīng)了解各種 和可能的云用戶提供了以安全的方式交換性和完整性；與此同時支持不可抵賴性。授權(quán)和用戶配置文件管理：用戶配置文件和戶是否以自己的名義行事或作為一個機構(gòu)。在SPI環(huán)境下的控制的要求包括建立問，而且運行方式符合審核的要求。功能需求管理分布式環(huán)境下的用戶，包括能夠為用戶配置一個或多個角色；主動強制安全策略，實現(xiàn)基于角色和規(guī)則的自動化管理；可模擬策略變更，從而便于掌握新的安全策略對用戶可能產(chǎn)生的影響；通過自動化流程分配請求，在未得到即時響應(yīng)的情況下送至上一級審批人；提供執(zhí)行口令和個人信息變更的Web自助接口；虛擬化定義與目標虛擬化的可擴展有利于加強在基礎(chǔ)設(shè)施、平臺、軟件層面提供多租戶云服有許多種，最常用的是操作系統(tǒng)虛擬化，如果云服務(wù)的基礎(chǔ)設(shè)施采用了虛擬機（VM）技術(shù)，這些VM系統(tǒng)間的加固是必須要考慮的。虛擬操作系統(tǒng)管理方面的實踐現(xiàn)狀是：大多數(shù)提供缺省安全保護的進程都信任管理。：管理在使企業(yè)能夠利用所選擇的提供商（IdP）去認證的作用的。 提供商（IdP）與服務(wù)提供商（SP）屬性也是一個重要的要求。應(yīng)了解各種 和可能的云用戶提供了以安全的方式交換性和完整性；與此同時支持不可抵賴性。授權(quán)和用戶配置文件管理：用戶配置文件和戶是否以自己的名義行事或作為一個機構(gòu)。在SPI環(huán)境下的控制的要求包括建立問，而且運行方式符合審核的要求。功能需求管理分布式環(huán)境下的用戶，包括能夠為用戶配置一個或多個角色；主動強制安全策略，實現(xiàn)基于角色和規(guī)則的自動化管理；可模擬策略變更，從而便于掌握新的安全策略對用戶可能產(chǎn)生的影響；通過自動化流程分配請求，在未得到即時響應(yīng)的情況下送至上一級審批人；提供執(zhí)行口令和個人信息變更的Web自助接口；虛擬化定義與目標虛擬化的可擴展有利于加強在基礎(chǔ)設(shè)施、平臺、軟件層面提供多租戶云服有許多種，最常用的是操作系統(tǒng)虛擬化，如果云服務(wù)的基礎(chǔ)設(shè)施采用了虛擬機（VM）技術(shù)，這些VM系統(tǒng)間的加固是必須要考慮的。虛擬操作系統(tǒng)管理方面的實踐現(xiàn)狀是：大多數(shù)提供缺省安全保護的進程都未被加入，因此必須特別注意如何代替它們的功能。虛擬化技術(shù)本身引入了hypervisor和其它管理模塊這些新的層面，但更重要的是虛擬化對信流量對標準的封堵，類似這些安全控制功能在虛擬化環(huán)境中都需要采用新的形式。數(shù)據(jù)混合在集中的服務(wù)和存儲中是另一需考慮的問題，云計算服務(wù)提供的如何共存。在云計算中，某一最低安全保護的租戶，其安全性會成為多租戶不會通過網(wǎng)絡(luò)相互依賴。關(guān)鍵性Hypervisor層具備的防口、命令、文件等方面的內(nèi)容）與Hypervisor層具備的安全配置要求及補丁管理要求Hypervisor層的接口及安全控制要求功能需求VMImage文件嚴格的控制及文件泄露防護支持offlinevmdk掃描和安全的BaseImage排除功能支持VM掃描結(jié)果的共享，對于虛擬機中掃描后安全的文件列表需信流量對標準的封堵，類似這些安全控制功能在虛擬化環(huán)境中都需要采用新的形式。數(shù)據(jù)混合在集中的服務(wù)和存儲中是另一需考慮的問題，云計算服務(wù)提供的如何共存。在云計算中，某一最低安全保護的租戶，其安全性會成為多租戶不會通過網(wǎng)絡(luò)相互依賴。關(guān)鍵性Hypervisor層具備的防口、命令、文件等方面的內(nèi)容）與Hypervisor層具備的安全配置要求及補丁管理要求Hypervisor層的接口及安全控制要求功能需求VMImage文件嚴格的控制及文件泄露防護支持offlinevmdk掃描和安全的BaseImage排除功能支持VM掃描結(jié)果的共享，對于虛擬機中掃描后安全的文件列表需VM中對于同一文件的掃描，提高掃描效率能風(fēng)暴可同時虛擬化平臺hypervisor/GuestOS的安全性問題，并鎖定ESXhypervisorandGuestOS安全配置，并且進行分層控制對GuestOS的多個sym-link卷的多文件進行時候生成單個事件6Symantec云安全解決方案Symantec整體云安全解決方案涵蓋并符合CSA云安全建設(shè)指南的核心指導(dǎo)思想，包括治理域和運行域的內(nèi)容，其邏輯架構(gòu)如下圖所示：6.1企業(yè)風(fēng)險管理（CCS/ESM）企業(yè)的一項主要就是如何確保IT系統(tǒng)符合管理層制定的安全準則，應(yīng)的補救措施。6Symantec云安全解決方案Symantec整體云安全解決方案涵蓋并符合CSA云安全建設(shè)指南的核心指導(dǎo)思想，包括治理域和運行域的內(nèi)容，其邏輯架構(gòu)如下圖所示：6.1企業(yè)風(fēng)險管理（CCS/ESM）企業(yè)的一項主要就是如何確保IT系統(tǒng)符合管理層制定的安全準則，應(yīng)的補救措施。是一種融主機和漏洞掃描于一體和策略一致性風(fēng)險評估工具，用于評估各種網(wǎng)絡(luò)設(shè)備（包括交換機、ESM可評估的操作系統(tǒng)包括不同種類的網(wǎng)絡(luò)設(shè)備，UNIX（HP-UX，Solaris，AIX），Windows，Linux，etwareS40和OpenMSWeb（ApacheIIiPlnet對下列標準和安全最佳實踐的檢查策略：ISO17799Sarbanes-Oxley法案FISMA–NIST800-53，SANSTop對下列標準和安全最佳實踐的檢查策略：ISO17799Sarbanes-Oxley法案FISMA–NIST800-53，SANSTop20CISBenchmarksGraham-Leach-BlileyAct(GLBA)HIPAANERC-NorthAmericanEnergyReliabilityCouncilVISACardholderInformationSecurityProgram(CISP)SymantecESM目錄文件系統(tǒng)、網(wǎng)絡(luò) 安全及DOS等均提供了有效的管理、檢查和保證。ESM在35個以上的平臺上共執(zhí)行超過4000種安全檢查。ESM的邏輯部署架構(gòu)圖如下所示：SymantecControlComplianceSuite實現(xiàn)了關(guān)鍵IT遵從流程的自動化，即（NERCCIP要求）相對應(yīng)，將不明通過將策略與多個框架、標準和確的規(guī)則轉(zhuǎn)化成切實可行的ITSymantecplianceSuite還包括程序活動的手動個企業(yè)提供制定和發(fā)布策略的自動化策略管理，CCS可減少IT部門遵從多項（（NERCCIP要求）相對應(yīng)，將不明通過將策略與多個框架、標準和確的規(guī)則轉(zhuǎn)化成切實可行的ITSymantecplianceSuite還包括程序活動的手動個企業(yè)提供制定和發(fā)布策略的自動化策略管理，CCS可減少IT部門遵從多項（NERCCIP）所致的成本增加。其工作流程如下圖所示：6.2電子證據(jù)發(fā)現(xiàn)與歸檔（EV）在云平臺中給客戶帶來以下好處：自動管理電子郵件的整個生命周期。根據(jù)企業(yè)定義策略，保護企業(yè)知識產(chǎn)權(quán)，保持，快速發(fā)現(xiàn)內(nèi)容?？梢詫⑦@些策略定義用于企業(yè)用戶組(OU)或者用戶組或者單個用戶提供了靈活的歸檔框架，從而幫助減少存儲成本并簡化管理的同時可以發(fā)現(xiàn)保存在電子郵件、文件系統(tǒng)和共享環(huán)境中的內(nèi)容松耦合架構(gòu)保障郵件系統(tǒng)和文件系統(tǒng)的性能和可靠性通過在策略控制下將內(nèi)容自動地歸檔至存儲區(qū)（用于主動保存和無縫檢索信息）來對其進行管理專門的客戶端應(yīng)用程序進行補充以增強企業(yè)管理、風(fēng)險管理和法律保護幫助企業(yè)降低圍繞應(yīng)用程序存儲管理、一致性保留和發(fā)現(xiàn)以及升級、遷移和整合等問題的業(yè)務(wù)量和IT風(fēng)險EV幫助企業(yè)進行歸檔和電子證據(jù)發(fā)現(xiàn)的邏輯架構(gòu)如下圖所示：6.3合規(guī)與審計（SSIM）為了能全面反映IT安全風(fēng)險，協(xié)調(diào)處理安全事件，降低安全風(fēng)險，增強析、風(fēng)險的各種行為能夠及時和供靈活的審計和查詢能力。SymantecSecurityInformation通過在策略控制下將內(nèi)容自動地歸檔至存儲區(qū)（用于主動保存和無縫檢索信息）來對其進行管理專門的客戶端應(yīng)用程序進行補充以增強企業(yè)管理、風(fēng)險管理和法律保護幫助企業(yè)降低圍繞應(yīng)用程序存儲管理、一致性保留和發(fā)現(xiàn)以及升級、遷移和整合等問題的業(yè)務(wù)量和IT風(fēng)險EV幫助企業(yè)進行歸檔和電子證據(jù)發(fā)現(xiàn)的邏輯架構(gòu)如下圖所示：6.3合規(guī)與審計（SSIM）為了能全面反映IT安全風(fēng)險，協(xié)調(diào)處理安全事件，降低安全風(fēng)險，增強析、風(fēng)險的各種行為能夠及時和供靈活的審計和查詢能力。SymantecSecurityInformationManager(SSIM)系統(tǒng)以模塊化架構(gòu)提力，并著力減少管理的工作負擔(dān)，提高工作效率。其整體架構(gòu)如下：Symantec合規(guī)與審計系統(tǒng)總體架構(gòu)分為四個層次：信息收集層對云平臺中各種原始設(shè)備（如、主機設(shè)備、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、應(yīng)用等SyslogAgentSNMP等ODBC、JDBCOPSEC在該層面，除了能對多種類型的原始設(shè)備進行安全事件收集外，還會定期從Symantec（包括漏洞庫、威脅庫、解決方案庫）以提高整個安全Symantec合規(guī)與審計系統(tǒng)總體架構(gòu)分為四個層次：信息收集層對云平臺中各種原始設(shè)備（如、主機設(shè)備、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、應(yīng)用等SyslogAgentSNMP等ODBC、JDBCOPSEC在該層面，除了能對多種類型的原始設(shè)備進行安全事件收集外，還會定期從Symantec（包括漏洞庫、威脅庫、解決方案庫）以提高整個安全系統(tǒng)平臺的安全風(fēng)險檢測能力。協(xié)調(diào)分析層在信息收集層面收集到原始數(shù)據(jù)后，相關(guān)數(shù)據(jù)會自動進入?yún)f(xié)調(diào)分析層面。該層面是合規(guī)審計與安全行正則化/標準化處理，轉(zhuǎn)變?yōu)镾ymantec安全據(jù)標準化）。關(guān)聯(lián)分析引擎可將不同類型的安全事件依據(jù)定義的規(guī)則進行關(guān)聯(lián)分析，這功能——脆弱性驗證，即管理員可以對該風(fēng)險中涉及的安全漏洞進行實時驗證，以保證風(fēng)險數(shù)據(jù)的真實、可靠。綜合處理層/短消息等。行內(nèi)部的數(shù)據(jù)共享。緊急響應(yīng)層為緊急響應(yīng)服務(wù)提供支持，允許利用經(jīng)驗來響應(yīng)安全風(fēng)險。正如專業(yè)安全服務(wù)一樣，合規(guī)審計與安全系統(tǒng)可以通過/等方式與安全專家建立聯(lián)系，以快速獲得級的安全服務(wù)。合規(guī)審計系統(tǒng)的邏輯部署架構(gòu)如下圖所示：行正則化/標準化處理，轉(zhuǎn)變?yōu)镾ymantec安全據(jù)標準化）。關(guān)聯(lián)分析引擎可將不同類型的安全事件依據(jù)定義的規(guī)則進行關(guān)聯(lián)分析，這功能——脆弱性驗證，即管理員可以對該風(fēng)險中涉及的安全漏洞進行實時驗證，以保證風(fēng)險數(shù)據(jù)的真實、可靠。綜合處理層/短消息等。行內(nèi)部的數(shù)據(jù)共享。緊急響應(yīng)層為緊急響應(yīng)服務(wù)提供支持，允許利用經(jīng)驗來響應(yīng)安全風(fēng)險。正如專業(yè)安全服務(wù)一樣，合規(guī)審計與安全系統(tǒng)可以通過/等方式與安全專家建立聯(lián)系，以快速獲得級的安全服務(wù)。合規(guī)審計系統(tǒng)的邏輯部署架構(gòu)如下圖所示：6.4數(shù)據(jù)泄露防護（DLP）信息泄露防護是云計算平臺中之一。有效的DLP解決方案一般有四個基本功能：夠鑒定和區(qū)分敏感數(shù)據(jù)根據(jù)數(shù)據(jù)的內(nèi)容和范圍采用不同的策略對流動數(shù)據(jù)進行實時以確保相關(guān)策略正確地被落實檔處理Symantec6.4數(shù)據(jù)泄露防護（DLP）信息泄露防護是云計算平臺中之一。有效的DLP解決方案一般有四個基本功能：夠鑒定和區(qū)分敏感數(shù)據(jù)根據(jù)數(shù)據(jù)的內(nèi)容和范圍采用不同的策略對流動數(shù)據(jù)進行實時以確保相關(guān)策略正確地被落實檔處理SymantecVontuDLP行“脅，提供充分的保障！其部署架構(gòu)如下圖所示：DLP網(wǎng)絡(luò)部署模式DLP端點部署模式Vontu存儲部署模式（NetworkDiscover）可以過程掃描任何數(shù)據(jù)存儲庫，對敏感數(shù)據(jù)可按預(yù)定的策略進行DLP網(wǎng)絡(luò)部署模式DLP端點部署模式Vontu存儲部署模式（NetworkDiscover）可以過程掃描任何數(shù)據(jù)存儲庫，對敏感數(shù)據(jù)可按預(yù)定的策略進行、告警等行為，支持掃描的目標包括：文件服務(wù)器：Windows、Linux、Unix、Novell、SolarisNAS文件等數(shù)據(jù)庫：Oracle、MicrosoftSQLServer和IBMDB2等Notes、Exchange、SharePoint、DocumentumLiveLink等Webwebweb的應(yīng)用等。臺式機和筆記本總體來講，SymantecVontuDLP解決方案是基于內(nèi)容的信息泄露防護，并且在終端層面、網(wǎng)絡(luò)層面、存儲層面提供全方位的立體式與防護6.5虛擬化安全（SEP+SCSP）6.5.1SEP臺式機和筆記本總體來講，SymantecVontuDLP解決方案是基于內(nèi)容的信息泄露防護，并且在終端層面、網(wǎng)絡(luò)層面、存儲層面提供全方位的立體式與防護6.5虛擬化安全（SEP+SCSP）6.5.1SEP術(shù)以提高安全掃描效率、減少誤報等，包括：VirtualImageException–允許用戶排除掃描基線虛機的所有文件。VMWARE和CITRIX技術(shù)需要使用相同掃描引擎在虛擬環(huán)境中分別獨立的進尤其是文件存儲成為了共享資源的