ISO27001认证
热线:
Q Q:ISO/IEC 27040存储安全及风险
发布时间:2020-06-20 作者:广汇联合 来源:广汇联合
一、存储安全简介
存储安全涉及物理、技术和管理控制,以及与存储系统和基础设施相关的预防、检测和纠正控制。
A、存储安全还可以强制引入专门技术,如: 媒体杀毒; 虚拟化安全 等;
B、为了更好地理解存储的安全问题和含义,我们应该知道存储技术的使用方式和原因。
C、要确保现有和新兴存储技术上存储和访问的数据具有足够的保密性、完整性和可用性。安全工作将侧重于:
-保护存储管理(操作和接口);
-确保充分的凭证和信任管理;
-保护数据备份和恢复资源;
-动态数据保护;
-静止数据保护;
-数据可用性保护;
-数据可用性保护;
-灾难恢复和业务连续性支持;
-适当的卫生处理和处置;
-安全的自主数据移动;
-确保多租户。
二、存储安全风险
1、背景
A、存储安全风险是由组织对特定存储系统或基础架构的使用造成的。
存储安全风险来自:
a) 针对存储系统和基础设施处理的信息的威胁;
b) 脆弱性(技术性和非技术性);以及
c) 通过威胁成功利用漏洞的影响。
B、风险管理是信息安全的一个重要概念。
根据ISO/IEC 27005,“信息安全风险管理“过程可应用于整个组织、组织的任何离散部分(如部门、物理位置、服务)、任何信息系统,控制的现有或计划的或特定方面(如业务连续性规划)。”
C、存储系统和基础架构面临的威胁,包括但不限于:
-未经授权使用;
-未经授权的访问;
-监管不合规造成的责任;
-拒绝服务(DoS)和分布式拒绝服务(DDoS)攻击存储;
-数据的损坏/修改和销毁;
-数据泄漏/泄露;
-媒体被盗或意外丢失;
-恶意软件攻击或引入;
-使用结束后处理或消毒不当。
2、数据泄露
1)数据泄露可能是安全危害的结果之一。
2)未经授权访问或披露受保护信息是两种常见的数据泄露形式。
3)数据泄露可能使组织面临因调查数据泄露而产生的重大风险。
3、数据损坏或破坏。
4、暂时或永久性的访问/可用性损失 。
5、 不符合法定、监管或法律要求组织可能会因不遵守法律、法规或法律要求而招致重大责任和处罚。
