- Văn bản
- Lịch sử
Cross-Site Scripting (XSS)Web appli
Cross-Site Scripting (XSS)
Web application attacks are often successful because the attack is not noticed
immediately. One such attack exploits the cross-site scripting (XSS) vulnerability. An XSS vulnerability is created by the failure of a Web-based application to
validate user-supplied input before returning it to the client system.
110 Chapter 3 Cloud Computing Software Security Fundamentals
Attackers can exploit XSS by crafting malicious URLs and tricking users into
clicking on them. These links enable the attacker’s client-side scripting language,
such as JavaScript or VBScript, to execute on the victim’s browser.
If the application accepts only expected input, then the XSS vulnerability
can be significantly reduced. Many Web application vulnerabilities can be
minimized by adhering to proper design specifications and coding practices,
and implementing security early in the application’s development life cycle.
Another piece of advice: Don’t rely on client-side data for critical processes
during the application development process; and use an encrypted session,
such as SSL, without hidden fields.
Social Engineering
Social engineering describes the acquisition of sensitive information or inappropriate access privileges by an outsider, by manipulating people. It exploits the
human side of computing, tricking people into providing valuable information
or allowing access to that information.
Social engineering is the hardest form of attack to defend against because it
cannot be prevented with hardware or software alone. A company may have
rock-solid authentication processes, VPNs, and firewalls, but still be vulnerable
to attacks that exploit the human element.
Social engineering can be divided into two types: human-based, person-toperson interaction, and computer-based interaction using software that automates
the attempt to engineer information.
Common techniques used by an intruder to gain either physical access or
system access are as follows:
Asserting authority or pulling rank
Professing to have the authority, perhaps supported with altered identifi cation, to enter a facility or system
Attempting to intimidate an individual into providing information
Praising, fl attering, or sympathizing
Using positive reinforcement to coerce a subject into providing access or
information for system access
Some examples of successful social engineering attacks include the following:
E-mails to employees from a tester requesting their passwords to validate
the organizational database after a network intrusion has occurred
E-mails to employees from a tester requesting their passwords because
work has to be done over the weekend on the system
Chapter 3 Cloud Computing Software Security Fundamentals 111
An e-mail or phone call from a tester impersonating an offi cial who is
conducting an investigation for the organization and requires passwords
for the investigation
An improper release of medical information to individuals posing as
medical personnel and requesting data from patients’ records
A computer repair technician who convinces a user that the hard disk on
his or her PC is damaged and irreparable, and installs a new hard disk,
taking the old hard disk, extracting the information, and selling it to a
competitor or foreign government
The only real defense against social engineering attacks is an information
security policy that addresses such attacks and educates users about these
types of attacks.
Regression Testing
As software evolves, new features are added and existing features are modified. Sometimes these new features and modifications “break” existing functionality — that is, cause accidental damage to existing software components.
According to the IEEE Software Engineering Body of Knowledge (IEEE610.12-90),
regression testing is the “selective retesting of a system or component to verify
that modifications have not caused unintended effects.” Regression testing can
indicate that software which previously passed the tests no longer does. The
problem code can then be identified and fixed to restore the lost functionality. However, as software evolves, a fault that was previously fi xed sometimes
“reemerges.” This kind of reemergence of faults is common and occurs for a
number of reasons, including the following:
Poor revision control practices— The fix was not documented properly
or the change was accidentally reversed.
Software brittleness— The fix for the initial fault was too narrow in
scope. As the software ages and the code base grows larger (becoming
“legacy” software), new problems emerge relating to the initial fault
but are more diffi cult to fi x without negatively affecting other areas of
the software.
Repetition of mistakes— Problematic code is sometimes copied from
one area of the software to another; or when a feature is redesigned, the
same mistakes are made in the redesign that were made in the original
implementation of the feature.
112 Chapter 3 Cloud Computing Software Security Fundamentals
Increasing the code execution coverage of regression testing can help prevent
the reemergence of software faults. For example, regression tests could be varied — such as by introducing new sample data or combining tests — to catch
problems that were missed with the existing tests. In this way, regression testing
would not only verify that previous tests still work, but also mitigate the risk of
unintended side effects caused by changes.
For greater assurance, regression testing should also be more extensive for
code surrounding vulnerability fixes, code that may contain the same class of
vulnerability, and other high-consequence areas of the software. A regression
security test plan should be developed containing misuse/abuse cases and
attack scenarios (based in part on relevant attack patterns). Earlier test cases can
be augmented by any new abuse/misuse cases and attack scenarios suggested
by real-world attacks that have emerged since the software was last tested.
Regression testing is often performed by different stakeholders in the software
life cycle. During the coding phase, programmers run unit tests to verify that
individual units of source code are working properly. The unit is the smallest
testable part of the software, often a function or method and its encapsulated
data. Unit testing as part of a software development methodology, such as
extreme programming, typically relies upon an automated unit testing framework, such as JUnit (www.junit.org). The automated unit testing framework
integrates with an IDE and enables the developer to generate a stub for a unit
test that can then be completed with sample data and additional business logic.
In test-driven development, unit code should be created for every software unit.
When a programmer follows this discipline, it can result in more confident coding, and enable a programmer to verify that a fault has been fixed earlier in the
life cycle (reducing overall development costs).
At the system level, regression testing is a form of functional testing that the
software quality assurance team performs by using an automated testing suite.
Typically, if a software fault is discovered in the process of testing, it is submitted to the bug-tracking system and assigned to a programmer for remediation.
Once the bug is fixed, the software needs to be run through all the regression
test cases once again. Consequently, fixing a bug at the quality assurance stage
is more expensive than during coding.
According to the IEEE Computer Society, testing is defined as “an activity
performed for evaluating product quality, and for improving it, by identifying
defects and problems. Software testing consists of the dynamic verification of
the behavior of a program on a finite set of test cases, suitably selected from the
usually infinite executions domain, against the expected behavior.”
27
Secure software testing involves testing for quality assurance through functional, white box and black box, environment, and defect testing. Penetration
tests, fuzzing, and simulation tests complemented by conducting cloud system
scans provide additional secure software test tools.
Chapter 3 Cloud Computing Software Security Fundamentals 113
Cloud Computing and Business Continuity
Planning/Disaster Recovery
Business continuity planning (BCP) and disaster recovery planning (DRP)
involve the preparation, testing, and updating of the actions required to protect critical business processes from the effects of major system and network
failures. From the cloud perspective, these important business processes are
heavily dependent on cloud-based applications and software robustness and
security. BCP comprises scoping and initiating the planning, conducting a
business impact assessment (BIA), and developing the plan. DRP includes
developing the DRP processes, testing the plan, and implementing the disaster
recovery procedures.
Designing, developing, and implementing a quality and effective BCP and DRP
is a major undertaking, involving many person-hours and, in many instances,
high hardware or software costs. These efforts and costs are worthwhile and
necessary, but they impact a large number of organizational resources. Cloud
computing offers an attractive alternative to total, in-house BCP/DRP implementations. Before exploring cloud computing solutions to BCP/DRP, it is important
to establish baseline definitions of key related terms.
Web application attacks are often successful because the attack is not noticed
immediately. One such attack exploits the cross-site scripting (XSS) vulnerability. An XSS vulnerability is created by the failure of a Web-based application to
validate user-supplied input before returning it to the client system.
110 Chapter 3 Cloud Computing Software Security Fundamentals
Attackers can exploit XSS by crafting malicious URLs and tricking users into
clicking on them. These links enable the attacker’s client-side scripting language,
such as JavaScript or VBScript, to execute on the victim’s browser.
If the application accepts only expected input, then the XSS vulnerability
can be significantly reduced. Many Web application vulnerabilities can be
minimized by adhering to proper design specifications and coding practices,
and implementing security early in the application’s development life cycle.
Another piece of advice: Don’t rely on client-side data for critical processes
during the application development process; and use an encrypted session,
such as SSL, without hidden fields.
Social Engineering
Social engineering describes the acquisition of sensitive information or inappropriate access privileges by an outsider, by manipulating people. It exploits the
human side of computing, tricking people into providing valuable information
or allowing access to that information.
Social engineering is the hardest form of attack to defend against because it
cannot be prevented with hardware or software alone. A company may have
rock-solid authentication processes, VPNs, and firewalls, but still be vulnerable
to attacks that exploit the human element.
Social engineering can be divided into two types: human-based, person-toperson interaction, and computer-based interaction using software that automates
the attempt to engineer information.
Common techniques used by an intruder to gain either physical access or
system access are as follows:
Asserting authority or pulling rank
Professing to have the authority, perhaps supported with altered identifi cation, to enter a facility or system
Attempting to intimidate an individual into providing information
Praising, fl attering, or sympathizing
Using positive reinforcement to coerce a subject into providing access or
information for system access
Some examples of successful social engineering attacks include the following:
E-mails to employees from a tester requesting their passwords to validate
the organizational database after a network intrusion has occurred
E-mails to employees from a tester requesting their passwords because
work has to be done over the weekend on the system
Chapter 3 Cloud Computing Software Security Fundamentals 111
An e-mail or phone call from a tester impersonating an offi cial who is
conducting an investigation for the organization and requires passwords
for the investigation
An improper release of medical information to individuals posing as
medical personnel and requesting data from patients’ records
A computer repair technician who convinces a user that the hard disk on
his or her PC is damaged and irreparable, and installs a new hard disk,
taking the old hard disk, extracting the information, and selling it to a
competitor or foreign government
The only real defense against social engineering attacks is an information
security policy that addresses such attacks and educates users about these
types of attacks.
Regression Testing
As software evolves, new features are added and existing features are modified. Sometimes these new features and modifications “break” existing functionality — that is, cause accidental damage to existing software components.
According to the IEEE Software Engineering Body of Knowledge (IEEE610.12-90),
regression testing is the “selective retesting of a system or component to verify
that modifications have not caused unintended effects.” Regression testing can
indicate that software which previously passed the tests no longer does. The
problem code can then be identified and fixed to restore the lost functionality. However, as software evolves, a fault that was previously fi xed sometimes
“reemerges.” This kind of reemergence of faults is common and occurs for a
number of reasons, including the following:
Poor revision control practices— The fix was not documented properly
or the change was accidentally reversed.
Software brittleness— The fix for the initial fault was too narrow in
scope. As the software ages and the code base grows larger (becoming
“legacy” software), new problems emerge relating to the initial fault
but are more diffi cult to fi x without negatively affecting other areas of
the software.
Repetition of mistakes— Problematic code is sometimes copied from
one area of the software to another; or when a feature is redesigned, the
same mistakes are made in the redesign that were made in the original
implementation of the feature.
112 Chapter 3 Cloud Computing Software Security Fundamentals
Increasing the code execution coverage of regression testing can help prevent
the reemergence of software faults. For example, regression tests could be varied — such as by introducing new sample data or combining tests — to catch
problems that were missed with the existing tests. In this way, regression testing
would not only verify that previous tests still work, but also mitigate the risk of
unintended side effects caused by changes.
For greater assurance, regression testing should also be more extensive for
code surrounding vulnerability fixes, code that may contain the same class of
vulnerability, and other high-consequence areas of the software. A regression
security test plan should be developed containing misuse/abuse cases and
attack scenarios (based in part on relevant attack patterns). Earlier test cases can
be augmented by any new abuse/misuse cases and attack scenarios suggested
by real-world attacks that have emerged since the software was last tested.
Regression testing is often performed by different stakeholders in the software
life cycle. During the coding phase, programmers run unit tests to verify that
individual units of source code are working properly. The unit is the smallest
testable part of the software, often a function or method and its encapsulated
data. Unit testing as part of a software development methodology, such as
extreme programming, typically relies upon an automated unit testing framework, such as JUnit (www.junit.org). The automated unit testing framework
integrates with an IDE and enables the developer to generate a stub for a unit
test that can then be completed with sample data and additional business logic.
In test-driven development, unit code should be created for every software unit.
When a programmer follows this discipline, it can result in more confident coding, and enable a programmer to verify that a fault has been fixed earlier in the
life cycle (reducing overall development costs).
At the system level, regression testing is a form of functional testing that the
software quality assurance team performs by using an automated testing suite.
Typically, if a software fault is discovered in the process of testing, it is submitted to the bug-tracking system and assigned to a programmer for remediation.
Once the bug is fixed, the software needs to be run through all the regression
test cases once again. Consequently, fixing a bug at the quality assurance stage
is more expensive than during coding.
According to the IEEE Computer Society, testing is defined as “an activity
performed for evaluating product quality, and for improving it, by identifying
defects and problems. Software testing consists of the dynamic verification of
the behavior of a program on a finite set of test cases, suitably selected from the
usually infinite executions domain, against the expected behavior.”
27
Secure software testing involves testing for quality assurance through functional, white box and black box, environment, and defect testing. Penetration
tests, fuzzing, and simulation tests complemented by conducting cloud system
scans provide additional secure software test tools.
Chapter 3 Cloud Computing Software Security Fundamentals 113
Cloud Computing and Business Continuity
Planning/Disaster Recovery
Business continuity planning (BCP) and disaster recovery planning (DRP)
involve the preparation, testing, and updating of the actions required to protect critical business processes from the effects of major system and network
failures. From the cloud perspective, these important business processes are
heavily dependent on cloud-based applications and software robustness and
security. BCP comprises scoping and initiating the planning, conducting a
business impact assessment (BIA), and developing the plan. DRP includes
developing the DRP processes, testing the plan, and implementing the disaster
recovery procedures.
Designing, developing, and implementing a quality and effective BCP and DRP
is a major undertaking, involving many person-hours and, in many instances,
high hardware or software costs. These efforts and costs are worthwhile and
necessary, but they impact a large number of organizational resources. Cloud
computing offers an attractive alternative to total, in-house BCP/DRP implementations. Before exploring cloud computing solutions to BCP/DRP, it is important
to establish baseline definitions of key related terms.
0/5000
Cross-Site Scripting (XSS)Cuộc tấn công ứng dụng web thường được thành công bởi vì các cuộc tấn công không nhận thấy ngay lập tức. Một như vậy cuộc tấn công khai thác lỗ hổng cross-site scripting (XSS). Một lỗ hổng XSS được tạo ra bởi sự thất bại của một ứng dụng dựa trên Web để xác nhận người sử dụng cung cấp đầu vào trước khi trở về hệ thống khách hàng.110 chương 3 Cloud máy tính phần mềm bảo mật cơ bảnKẻ tấn công có thể khai thác XSS bằng crafting URL độc hại và lừa người sử dụng vào cách nhấp vào chúng. Những liên kết này sử của kẻ tấn công ngôn ngữ kịch bản phía máy khách, chẳng hạn như JavaScript hoặc VBScript, thực hiện trên trình duyệt của nạn nhân.Nếu ứng dụng chấp nhận chỉ dự kiến đầu vào, sau đó các lỗ hổng XSS có thể được đáng kể giảm. Nhiều lỗ hổng ứng dụng Web có thể giảm thiểu bằng cách tôn trọng đặc điểm kỹ thuật thiết kế phù hợp và mã hóa thực tiễn, và thực hiện an ninh sớm trong chu kỳ cuộc sống phát triển của ứng dụng.Một mảnh của lời khuyên: không dựa vào phía khách hàng dữ liệu cho quá trình quan trọng trong quá trình phát triển ứng dụng; và sử dụng một phiên mã hóa, chẳng hạn như SSL, mà không ẩn lĩnh vực.Xã hội kỹ thuậtXã hội kỹ thuật mô tả việc mua lại của thông tin nhạy cảm hoặc không thích hợp quyền truy cập bởi một người ngoài cuộc, bởi người thao tác. Nó khai thác các con người bên của máy tính, tricking người cung cấp thông tin giá trị hoặc cho phép truy cập vào thông tin đó.Kỹ thuật xã hội là hình thức khó khăn nhất của cuộc tấn công để bảo vệ chống lại bởi vì nó không thể được ngăn chặn với phần cứng hoặc phần mềm một mình. Một công ty có thể có quy trình xác thực Rock-solid, VPN, và tường lửa, nhưng vẫn được dễ bị tổn thương tấn công khai thác yếu tố con người.Kỹ thuật xã hội có thể được chia thành hai loại: con người dựa trên, tương tác người-toperson, và máy tính dựa trên sự tương tác bằng cách sử dụng phần mềm tự động hóa nỗ lực để kỹ sư thông tin.Kỹ thuật thường được sử dụng bởi một kẻ xâm nhập để đạt được hoặc truy cập vật lý hoặc Hệ thống truy cập như sau:Asserting thẩm quyền hoặc kéo đánh giáProfessing có thẩm quyền, có lẽ được hỗ trợ với cation thay đổi identifi, để nhập một cơ sở hoặc hệ thốngAttempting để đe dọa một cá nhân cung cấp thông tinpraising, fl attering hoặc cảmUsing tăng cường tích cực để ép buộc một chủ đề cung cấp quyền truy cập hoặc thông tin cho hệ thống truy cậpMột số ví dụ về cuộc tấn công thành công xã hội kỹ thuật bao gồm:E-thư cho nhân viên từ một thử nghiệm yêu cầu mật khẩu của họ để xác nhận cơ sở dữ liệu tổ chức sau khi một sự xâm nhập mạng đã xảy raE-thư cho nhân viên từ một thử nghiệm yêu cầu mật khẩu của họ bởi vì công việc đã được thực hiện vào cuối tuần trên hệ thốngChương 3 Cloud máy tính phần mềm bảo mật cơ bản 111An e-mail hoặc điện thoại cuộc gọi từ một thử nghiệm mạo danh một offi cial là ai tiến hành một cuộc điều tra cơ quan của bạn và yêu cầu mật khẩu cuộc điều traAn không đúng cách phát hành các thông tin y tế cho các cá nhân đặt ra như là yêu cầu dữ liệu từ các hồ sơ bệnh nhân và nhân viên y tếA kỹ thuật sửa chữa máy tính người thuyết phục một người sử dụng mà đĩa cứng trên máy tính của mình là bị hư hỏng và không thể khắc phục, và cài đặt một ổ đĩa cứng mới, Lấy đĩa cứng cũ, trích xuất các thông tin, và bán nó cho một đối thủ cạnh tranh hoặc chính phủ nước ngoàiChỉ thực sự bảo vệ chống lại cuộc tấn công kỹ thuật xã hội là một thông tin chính sách bảo mật có địa chỉ các cuộc tấn công và giáo dục người dùng về những loại tấn công.Hồi qui kiểm traNhư phần mềm phát triển, tính năng mới được thêm vào và hiện có các tính năng được sửa đổi. Đôi khi các tính năng mới và sửa đổi "phá vỡ" chức năng hiện có-có nghĩa là, gây ra các thiệt hại do tai nạn cho thành phần phần mềm hiện có. Theo cơ quan kỹ thuật phần mềm IEEE của kiến thức (IEEE610.12-90), hồi qui kiểm tra là các "chọn lọc retesting của một hệ thống hoặc các thành phần để xác minh Sửa đổi đã không gây ra tác dụng không mong muốn." Hồi qui kiểm tra có thể chỉ ra rằng phần mềm mà trước đó đã thông qua các bài kiểm tra không không. Các Mã vấn đề sau đó có thể được xác định và cố định để khôi phục lại bị mất chức năng. Tuy nhiên, như phát triển phần mềm, một lỗi đã là trước đó fi xed đôi khi "reemerges." Loại reemergence lỗi phổ biến và xảy ra cho một số lý do, bao gồm những điều sau đây:Thực hành kiểm soát phiên bản Poor — không tài liệu được sửa chữa hoặc thay đổi vô tình đã được đảo ngược.Software giòn — sửa chữa cho lỗi ban đầu đã quá hẹp trong phạm vi. Là phần mềm lứa tuổi và mã cơ sở phát triển lớn hơn (trở thành phần mềm "di sản"), những vấn đề mới xuất hiện liên quan đến lỗi ban đầu nhưng là thêm khó tôn giáo Fi x mà không có tiêu cực ảnh hưởng đến các khu vực khác của Các phần mềm.repetition của những sai lầm — mã có vấn đề đôi khi sao chép từ một khu vực của các phần mềm khác; hoặc khi một tính năng thiết kế lại, các sai lầm được thực hiện trong các thiết kế lại đã được thực hiện trong bản gốc thực hiện các tính năng.112 chương 3 Cloud máy tính phần mềm bảo mật cơ bảnTăng bảo hiểm thực hiện mã của hồi quy thử nghiệm có thể giúp ngăn ngừa reemergence phần mềm lỗi. Ví dụ, bài kiểm tra hồi quy có thể khác nhau — chẳng hạn như bằng cách giới thiệu mới mẫu dữ liệu hoặc kết hợp các xét nghiệm — để bắt vấn đề đã được bỏ qua với các bài kiểm tra hiện tại. Bằng cách này, hồi qui kiểm tra sẽ không chỉ xác minh rằng trước các bài kiểm tra vẫn làm việc, nhưng cũng giảm thiểu nguy cơ không mong đợi các tác dụng phụ gây ra bởi những thay đổi.Đảm bảo đại, hồi qui kiểm tra cũng có nên rộng rãi hơn cho bản sửa lỗi dễ bị tổn thương xung quanh mã, mã mà có thể chứa cùng một lớp dễ bị tổn thương, và các khu vực khác của Trung-hậu quả của phần mềm. Một hồi quy kế hoạch kiểm tra an ninh nên được phát triển có trường hợp lạm dụng/lạm dụng và tấn công kịch bản (dựa một phần trên mô hình tấn công có liên quan). Trường hợp thử nghiệm trước đó có thể được tăng cường bởi bất kỳ trường hợp lạm dụng/lạm dụng mới và tấn công tình huống đề nghị bởi real-thế giới cuộc tấn công đã nổi lên kể từ khi các phần mềm đã được thử nghiệm cuối.Hồi qui kiểm tra được thực hiện thường xuyên bởi các bên liên quan khác nhau trong phần mềm chu kỳ cuộc sống. Trong giai đoạn mã hóa, lập trình chạy đơn vị xét nghiệm để xác minh rằng Các đơn vị cá nhân của nguồn mã đang làm việc đúng cách. Các đơn vị là nhỏ nhất testable phần của phần mềm, thường là một chức năng hoặc phương pháp và các đóng gói dữ liệu. Đơn vị thử nghiệm như là một phần của một phương pháp phát triển phần mềm, chẳng hạn như lập trình cực, thường dựa vào một đơn vị tự động thử nghiệm khuôn khổ, chẳng hạn như JUnit (www.junit.org). Khuôn khổ kiểm tra đơn vị tự động tích hợp với một IDE và cho phép các nhà phát triển để tạo ra ngẫu nhiên cho một đơn vị thử nghiệm sau đó có thể được hoàn thành với dữ liệu mẫu và logic kinh doanh bổ sung. Phát triển thử nghiệm-driven, mã số đơn vị nên được tạo ra cho mỗi đơn vị phần mềm. Khi một lập trình viên sau kỷ luật này, nó có thể dẫn đến mã hóa tự tin hơn, và cho phép một lập trình viên để xác minh rằng một lỗi đã được cố định trước đó trong các vòng đời (giảm chi phí phát triển tổng thể).Ở cấp độ hệ thống, hồi qui kiểm tra là một hình thức chức năng thử nghiệm mà các phần mềm nhóm đảm bảo chất lượng thực hiện bằng cách sử dụng một bộ kiểm tra tự động. Thông thường, nếu một lỗi phần mềm phát hiện trong quá trình thử nghiệm, nó gửi đến hệ thống theo dõi lỗi và được gán cho một lập trình viên cho khắc phục. Một khi các lỗi được cố định, các phần mềm cần phải được chạy qua tất cả các hồi quy kiểm tra trường hợp một lần nữa. Do đó, sửa chữa một lỗi ở giai đoạn bảo đảm chất lượng là đắt hơn trong mã hóa.Theo Hiệp hội máy tính IEEE, thử nghiệm được định nghĩa là "một hoạt động thực hiện để đánh giá chất lượng sản phẩm, và để cải thiện nó, bằng cách xác định Khuyết tật và các vấn đề. Kiểm thử phần mềm bao gồm kiểm tra năng động hành vi của một chương trình trên một tập hữu hạn của trường hợp thử nghiệm, phù hợp chọn từ các vụ xử tử thường vô hạn tên miền, chống lại hành vi dự kiến."27Kiểm thử phần mềm an toàn liên quan đến việc thử nghiệm đảm bảo chất lượng thông qua chức năng, trắng hộp và hộp đen, môi trường, và kiểm tra lỗi. Thâm nhập bài kiểm tra, fuzzing, và mô phỏng các bài kiểm tra bổ sung bởi tiến hành các hệ thống đám mây quét cung cấp phần mềm bảo mật bổ sung thử nghiệm công cụ.Chương 3 Cloud máy tính phần mềm bảo mật cơ bản 113Đám mây điện toán và kinh doanh liên tục Lập kế hoạch/thiên tai phục hồi Mô tả kế hoạch kinh doanh liên tục (BCP) và mô tả kế hoạch thiên tai phục hồi (DRP) liên quan đến việc chuẩn bị, thử nghiệm, và Cập Nhật của các hành động cần thiết để bảo vệ các quy trình kinh doanh quan trọng từ những ảnh hưởng của chính hệ thống và mạng thất bại. Từ khía cạnh đám mây, các quá trình kinh doanh quan trọng là heavily dependent on cloud-based applications and software robustness and security. BCP comprises scoping and initiating the planning, conducting a business impact assessment (BIA), and developing the plan. DRP includes developing the DRP processes, testing the plan, and implementing the disaster recovery procedures. Designing, developing, and implementing a quality and effective BCP and DRP is a major undertaking, involving many person-hours and, in many instances, high hardware or software costs. These efforts and costs are worthwhile and necessary, but they impact a large number of organizational resources. Cloud computing offers an attractive alternative to total, in-house BCP/DRP implementations. Before exploring cloud computing solutions to BCP/DRP, it is important to establish baseline definitions of key related terms.
đang được dịch, vui lòng đợi..
Cross-Site Scripting (XSS)
tấn công ứng dụng Web thường thành công vì các cuộc tấn công không nhận thấy
ngay lập tức. Một trong những cuộc tấn công khai thác cross-site scripting (XSS) dễ bị tổn thương. Một lỗ hổng XSS được tạo ra bởi sự thất bại của một ứng dụng trên nền web để
xác nhận người dùng cung cấp đầu vào trước khi trả lại cho hệ thống khách hàng.
110 Chương 3 Cloud Phần mềm máy tính an Fundamentals
Những kẻ tấn công có thể khai thác XSS bởi crafting URL độc hại và lừa người dùng
nhấn chuột vào chúng. Những liên kết này cho phép các ngôn ngữ kịch bản phía máy khách của kẻ tấn công,
chẳng hạn như JavaScript hoặc VBScript, để thực thi trên trình duyệt của nạn nhân.
Nếu ứng dụng chỉ chấp nhận đầu vào dự kiến, sau đó các lỗ hổng XSS
có thể được giảm đáng kể. Nhiều lỗ hổng ứng dụng web có thể được
giảm thiểu bằng cách tôn trọng những thông số kỹ thuật thiết kế thích hợp và thực hành mã hóa,
và việc thực hiện an sớm trong vòng đời phát triển của ứng dụng.
Một lời khuyên: Đừng dựa vào dữ liệu phía máy khách cho các quá trình quan trọng
trong quá trình phát triển ứng dụng ; và sử dụng một phiên mã hóa,
chẳng hạn như SSL, mà không có các trường ẩn.
Kỹ thuật Xã hội
Kỹ thuật xã hội mô tả việc mua lại các thông tin nhạy cảm hoặc đặc quyền truy cập không phù hợp bởi một người ngoài cuộc, bởi thao của người dân. Nó khai thác
khía cạnh con người tính toán, lừa người vào cung cấp thông tin có giá trị
hoặc cho phép truy cập vào các thông tin đó.
Kỹ thuật xã hội là hình thức khó khăn nhất của cuộc tấn công để bảo vệ chống lại bởi vì nó
không thể được ngăn chặn bằng phần cứng hoặc phần mềm một mình. Một công ty có thể có
quá trình rock-rắn xác thực, VPN, và tường lửa, nhưng vẫn còn dễ bị tổn thương
để tấn công khai thác các yếu tố con người.
Kỹ thuật xã hội có thể được chia thành hai loại:, tương tác người-toperson, và tương tác dựa trên máy tính của con người dựa trên sử dụng phần mềm tự động
. các nỗ lực để thiết kế các thông tin
kỹ thuật thường được sử dụng bởi kẻ xâm nhập để đạt được hoặc truy cập vật lý hoặc
truy cập hệ thống như sau:
Asserting quyền hoặc kéo rank
Professing để có quyền, có lẽ được hỗ trợ với biến đổi identifi cation, để nhập một cơ sở hay hệ thống
Attempting để đe dọa một cá nhân vào cung cấp thông tin
Praising, fl attering, hay cảm thông, chia
Using tăng cường tích cực để ép buộc một đối tượng vào việc cung cấp truy cập hoặc
thông tin để truy cập hệ thống
Một số ví dụ về các cuộc tấn công kỹ thuật xã hội thành công bao gồm những điều sau đây:
E -mails cho nhân viên từ một thử nghiệm yêu cầu mật khẩu của mình để xác nhận
các cơ sở dữ liệu của tổ chức sau khi một sự xâm nhập mạng đã xảy ra
E-mail cho nhân viên từ một thử nghiệm yêu cầu mật khẩu của mình vì
công việc đã được thực hiện cuối tuần qua trên hệ thống
Chương 3 Cloud Computing Phần mềm bảo mật cơ bản 111
An e-mail hoặc điện thoại cuộc gọi từ một người thử mạo nhận một tài offi đang
tiến hành một cuộc điều tra đối với tổ chức và yêu cầu mật khẩu
cho việc điều tra
An phát hành không đúng các thông tin y tế cho các cá nhân giả danh là
nhân viên y tế và yêu cầu dữ liệu từ hồ sơ của bệnh nhân
A kỹ thuật viên sửa chữa máy tính, người đã thuyết phục người dùng rằng các ổ cứng trên
máy tính của mình bị hư hỏng và không thể khắc phục, và cài đặt một ổ đĩa cứng mới,
lấy đĩa cứng cũ, giải nén thông tin, và bán nó cho một
đối thủ cạnh tranh hoặc chính phủ nước ngoài
duy nhất bảo vệ thực chống lại các cuộc tấn công social engineering là một thông tin
chính sách bảo mật để giải quyết các cuộc tấn công như vậy và giáo dục người dùng về các
loại tấn công.
Regression Testing
Là tiến triển phần mềm, các tính năng mới được bổ sung và các tính năng hiện có được sửa đổi. Đôi khi, những tính năng mới và sửa đổi "break" chức năng hiện có -. Nghĩa là, gây thiệt hại ngẫu nhiên với các thành phần phần mềm hiện tại
Theo IEEE Software Engineering Body of Knowledge (IEEE610.12-90),
thử nghiệm hồi quy là "kỳ thi lại chọn lọc của một hệ thống hoặc thành phần để xác minh
rằng những sửa đổi đã không gây ra tác dụng ngoài ý muốn. "Regression thử nghiệm có thể
chỉ ra rằng phần mềm mà trước đó đã thông qua các bài kiểm tra không còn làm. Các
mã vấn đề sau đó có thể được xác định và cố định để khôi phục lại các chức năng bị mất. Tuy nhiên, như phần mềm phát triển, một lỗi mà trước đây fi cố định đôi khi
"reemerges." Kiểu này tái xuất hiện các lỗi thường gặp và xảy ra cho một
số lý do, bao gồm:
kiểm soát sửa đổi Poor practices- Việc sửa chữa được không ghi đúng cách
hoặc các thay đổi đã được vô tình đảo ngược.
Software brittleness- Việc sửa chữa cho các lỗi ban đầu quá hẹp trong
phạm vi. Khi bị lão hóa phần mềm và các mã cơ bản phát triển rộng hơn (trở thành
"di sản" phần mềm), các vấn đề mới nổi lên có liên quan đến các lỗi ban đầu
nhưng là sùng bái diffi hơn tôn giáo để fi x mà không ảnh hưởng tiêu cực đến các khu vực khác của
phần mềm.
Repetition mã Problematic mistakes- đôi khi được sao chép từ
một vùng của các phần mềm khác; hoặc khi một tính năng được thiết kế lại,
cùng một sai lầm được thực hiện trong những thiết kế mới đã được thực hiện trong bản gốc
thực hiện các tính năng.
112 Chương 3 Fundamentals Cloud Phần mềm máy tính An ninh
tăng độ che phủ thực thi mã thử nghiệm hồi quy có thể giúp ngăn chặn
sự tái xuất hiện của các phần mềm lỗi. Ví dụ, kiểm tra hồi quy có thể được thay đổi - chẳng hạn như bằng cách đưa dữ liệu mẫu mới hoặc kết hợp các xét nghiệm - để bắt
những vấn đề đó đã bị bỏ lỡ với các xét nghiệm hiện có. Bằng cách này, thử nghiệm hồi quy
sẽ không chỉ xác minh rằng các xét nghiệm trước đó vẫn còn làm việc, mà còn giảm thiểu các nguy cơ
tác dụng phụ không mong muốn gây ra bởi những thay đổi.
Đối với bảo đảm hơn, kiểm tra hồi quy cũng cần được mở rộng hơn cho
mã xung quanh các bản sửa lỗi lỗ hổng, mã có thể chứa cùng lớp
dễ bị tổn thương, và các khu vực hậu quả cao khác của phần mềm. Một hồi quy
kế hoạch kiểm tra an ninh cần phải được phát triển có sử dụng sai / trường hợp lạm dụng và
các kịch bản tấn công (một phần dựa trên mô hình tấn công có liên quan). Trường hợp kiểm tra trước đó có thể
được tăng cường bởi sự lạm dụng / trường hợp lạm dụng mới và các tình huống tấn công đề nghị
bởi các cuộc tấn công trong thế giới thực mà đã xuất hiện từ các phần mềm đã được kiểm tra lần cuối.
Regression thử nghiệm thường được thực hiện bởi các bên liên quan khác nhau trong các phần mềm
chu kỳ cuộc sống. Trong giai đoạn mã hóa, lập trình chạy thử nghiệm đơn vị để xác minh rằng
các đơn vị cá nhân của mã nguồn được làm việc đúng cách. Đơn vị là nhỏ nhất
có thể kiểm chứng một phần của phần mềm, thường là một chức năng hoặc các phương pháp và Encapsulated của
dữ liệu. Đơn vị kiểm tra như một phần của một phương pháp phát triển phần mềm, chẳng hạn như
lập trình cực đoan, thường dựa vào một đơn vị khuôn khổ kiểm tra tự động, chẳng hạn như JUnit (www.junit.org). Các khuôn khổ kiểm tra đơn vị tự động
tích hợp với một IDE và cho phép các nhà phát triển để tạo ra một sơ khai cho một đơn vị
thử nghiệm mà sau đó có thể được hoàn thành với dữ liệu mẫu và thêm logic kinh doanh.
Trong phát triển thử nghiệm điều khiển, mã đơn vị cần được tạo ra cho mỗi đơn vị phần mềm.
Khi một lập trình viên sau kỷ luật này, nó có thể dẫn đến việc mã hóa tự tin hơn, và cho phép một lập trình để xác minh rằng một lỗi đã được cố định trước đó trong
chu kỳ sống (giảm chi phí phát triển tổng thể).
Ở cấp độ hệ thống, kiểm tra hồi quy là một hình thức chức năng kiểm tra rằng các
đội bóng đảm bảo chất lượng phần mềm thực hiện bằng cách sử dụng một thử nghiệm bộ phần mềm tự động.
Thông thường, nếu một lỗi phần mềm được phát hiện trong quá trình thử nghiệm, nó được gửi đến các hệ thống theo dõi lỗi, và giao cho một lập trình để khắc phục.
Một khi các lỗi là cố định, các phần mềm cần phải được chạy qua tất cả các hồi quy
các trường hợp kiểm tra một lần nữa. Do đó, sửa chữa một lỗi ở khâu đảm bảo chất lượng
là đắt hơn trong quá trình mã hóa.
Theo Hiệp hội IEEE Computer, thử nghiệm được định nghĩa là "một hoạt động
được thực hiện để đánh giá chất lượng sản phẩm, và để cải thiện nó, bằng cách xác định
các khuyết tật và các vấn đề. Kiểm thử phần mềm bao gồm việc xác minh năng động của
các hành vi của một chương trình trên một tập hữu hạn các trường hợp thử nghiệm, phù hợp được lựa chọn từ các
miền hành thường vô hạn, chống lại các hành vi mong đợi. "
27
thử nghiệm phần mềm bảo mật liên quan đến việc kiểm tra để đảm bảo chất lượng thông qua chức năng, hộp màu trắng và hộp đen, môi trường và kiểm tra lỗi. Thâm nhập
kiểm tra, fuzzing, và thử nghiệm mô phỏng tiến hành bổ sung bởi hệ thống đám mây
quét cung cấp thêm công cụ kiểm tra phần mềm an toàn.
Chương 3 Cloud Computing Phần mềm bảo mật cơ bản 113
Cloud Computing và liên tục kinh doanh
Hoạch định / phục hồi thảm họa
kế hoạch kinh doanh liên tục (BCP) và lập kế hoạch khôi phục thảm họa ( DRP)
liên quan đến việc chuẩn bị, kiểm tra, và cập nhật của các hành động cần thiết để bảo vệ các quá trình kinh doanh quan trọng từ những tác động của hệ thống và mạng lưới lớn
thất bại. Từ góc nhìn đám mây, các quy trình kinh doanh quan trọng là
phụ thuộc nhiều vào các ứng dụng dựa trên đám mây và phần mềm mạnh mẽ và
an ninh. BCP bao gồm xác định phạm vi và bắt đầu lập kế hoạch, tiến hành một
đánh giá tác động kinh doanh (BIA), và phát triển các kế hoạch. DRP bao gồm
phát triển các quá trình DRP, kiểm tra kế hoạch và thực hiện các thảm họa
thủ tục phục hồi.
Thiết kế, phát triển và triển khai thực hiện có chất lượng và hiệu quả BCP và DRP
là một chủ trương lớn, liên quan đến nhiều người-giờ và trong nhiều trường hợp,
phần cứng cao hoặc chi phí phần mềm. Những nỗ lực và chi phí là đáng giá và
cần thiết, nhưng chúng ảnh hưởng đến một số lượng lớn các nguồn lực tổ chức. Đám mây
máy tính cung cấp một thay thế hấp dẫn cho tổng số, trong nhà BCP / triển khai DRP. Trước khi tìm kiếm giải pháp điện toán đám mây để BCP / DRP, điều quan trọng là
để thiết lập các định nghĩa cơ bản của điều khoản liên quan chủ chốt.
tấn công ứng dụng Web thường thành công vì các cuộc tấn công không nhận thấy
ngay lập tức. Một trong những cuộc tấn công khai thác cross-site scripting (XSS) dễ bị tổn thương. Một lỗ hổng XSS được tạo ra bởi sự thất bại của một ứng dụng trên nền web để
xác nhận người dùng cung cấp đầu vào trước khi trả lại cho hệ thống khách hàng.
110 Chương 3 Cloud Phần mềm máy tính an Fundamentals
Những kẻ tấn công có thể khai thác XSS bởi crafting URL độc hại và lừa người dùng
nhấn chuột vào chúng. Những liên kết này cho phép các ngôn ngữ kịch bản phía máy khách của kẻ tấn công,
chẳng hạn như JavaScript hoặc VBScript, để thực thi trên trình duyệt của nạn nhân.
Nếu ứng dụng chỉ chấp nhận đầu vào dự kiến, sau đó các lỗ hổng XSS
có thể được giảm đáng kể. Nhiều lỗ hổng ứng dụng web có thể được
giảm thiểu bằng cách tôn trọng những thông số kỹ thuật thiết kế thích hợp và thực hành mã hóa,
và việc thực hiện an sớm trong vòng đời phát triển của ứng dụng.
Một lời khuyên: Đừng dựa vào dữ liệu phía máy khách cho các quá trình quan trọng
trong quá trình phát triển ứng dụng ; và sử dụng một phiên mã hóa,
chẳng hạn như SSL, mà không có các trường ẩn.
Kỹ thuật Xã hội
Kỹ thuật xã hội mô tả việc mua lại các thông tin nhạy cảm hoặc đặc quyền truy cập không phù hợp bởi một người ngoài cuộc, bởi thao của người dân. Nó khai thác
khía cạnh con người tính toán, lừa người vào cung cấp thông tin có giá trị
hoặc cho phép truy cập vào các thông tin đó.
Kỹ thuật xã hội là hình thức khó khăn nhất của cuộc tấn công để bảo vệ chống lại bởi vì nó
không thể được ngăn chặn bằng phần cứng hoặc phần mềm một mình. Một công ty có thể có
quá trình rock-rắn xác thực, VPN, và tường lửa, nhưng vẫn còn dễ bị tổn thương
để tấn công khai thác các yếu tố con người.
Kỹ thuật xã hội có thể được chia thành hai loại:, tương tác người-toperson, và tương tác dựa trên máy tính của con người dựa trên sử dụng phần mềm tự động
. các nỗ lực để thiết kế các thông tin
kỹ thuật thường được sử dụng bởi kẻ xâm nhập để đạt được hoặc truy cập vật lý hoặc
truy cập hệ thống như sau:
Asserting quyền hoặc kéo rank
Professing để có quyền, có lẽ được hỗ trợ với biến đổi identifi cation, để nhập một cơ sở hay hệ thống
Attempting để đe dọa một cá nhân vào cung cấp thông tin
Praising, fl attering, hay cảm thông, chia
Using tăng cường tích cực để ép buộc một đối tượng vào việc cung cấp truy cập hoặc
thông tin để truy cập hệ thống
Một số ví dụ về các cuộc tấn công kỹ thuật xã hội thành công bao gồm những điều sau đây:
E -mails cho nhân viên từ một thử nghiệm yêu cầu mật khẩu của mình để xác nhận
các cơ sở dữ liệu của tổ chức sau khi một sự xâm nhập mạng đã xảy ra
E-mail cho nhân viên từ một thử nghiệm yêu cầu mật khẩu của mình vì
công việc đã được thực hiện cuối tuần qua trên hệ thống
Chương 3 Cloud Computing Phần mềm bảo mật cơ bản 111
An e-mail hoặc điện thoại cuộc gọi từ một người thử mạo nhận một tài offi đang
tiến hành một cuộc điều tra đối với tổ chức và yêu cầu mật khẩu
cho việc điều tra
An phát hành không đúng các thông tin y tế cho các cá nhân giả danh là
nhân viên y tế và yêu cầu dữ liệu từ hồ sơ của bệnh nhân
A kỹ thuật viên sửa chữa máy tính, người đã thuyết phục người dùng rằng các ổ cứng trên
máy tính của mình bị hư hỏng và không thể khắc phục, và cài đặt một ổ đĩa cứng mới,
lấy đĩa cứng cũ, giải nén thông tin, và bán nó cho một
đối thủ cạnh tranh hoặc chính phủ nước ngoài
duy nhất bảo vệ thực chống lại các cuộc tấn công social engineering là một thông tin
chính sách bảo mật để giải quyết các cuộc tấn công như vậy và giáo dục người dùng về các
loại tấn công.
Regression Testing
Là tiến triển phần mềm, các tính năng mới được bổ sung và các tính năng hiện có được sửa đổi. Đôi khi, những tính năng mới và sửa đổi "break" chức năng hiện có -. Nghĩa là, gây thiệt hại ngẫu nhiên với các thành phần phần mềm hiện tại
Theo IEEE Software Engineering Body of Knowledge (IEEE610.12-90),
thử nghiệm hồi quy là "kỳ thi lại chọn lọc của một hệ thống hoặc thành phần để xác minh
rằng những sửa đổi đã không gây ra tác dụng ngoài ý muốn. "Regression thử nghiệm có thể
chỉ ra rằng phần mềm mà trước đó đã thông qua các bài kiểm tra không còn làm. Các
mã vấn đề sau đó có thể được xác định và cố định để khôi phục lại các chức năng bị mất. Tuy nhiên, như phần mềm phát triển, một lỗi mà trước đây fi cố định đôi khi
"reemerges." Kiểu này tái xuất hiện các lỗi thường gặp và xảy ra cho một
số lý do, bao gồm:
kiểm soát sửa đổi Poor practices- Việc sửa chữa được không ghi đúng cách
hoặc các thay đổi đã được vô tình đảo ngược.
Software brittleness- Việc sửa chữa cho các lỗi ban đầu quá hẹp trong
phạm vi. Khi bị lão hóa phần mềm và các mã cơ bản phát triển rộng hơn (trở thành
"di sản" phần mềm), các vấn đề mới nổi lên có liên quan đến các lỗi ban đầu
nhưng là sùng bái diffi hơn tôn giáo để fi x mà không ảnh hưởng tiêu cực đến các khu vực khác của
phần mềm.
Repetition mã Problematic mistakes- đôi khi được sao chép từ
một vùng của các phần mềm khác; hoặc khi một tính năng được thiết kế lại,
cùng một sai lầm được thực hiện trong những thiết kế mới đã được thực hiện trong bản gốc
thực hiện các tính năng.
112 Chương 3 Fundamentals Cloud Phần mềm máy tính An ninh
tăng độ che phủ thực thi mã thử nghiệm hồi quy có thể giúp ngăn chặn
sự tái xuất hiện của các phần mềm lỗi. Ví dụ, kiểm tra hồi quy có thể được thay đổi - chẳng hạn như bằng cách đưa dữ liệu mẫu mới hoặc kết hợp các xét nghiệm - để bắt
những vấn đề đó đã bị bỏ lỡ với các xét nghiệm hiện có. Bằng cách này, thử nghiệm hồi quy
sẽ không chỉ xác minh rằng các xét nghiệm trước đó vẫn còn làm việc, mà còn giảm thiểu các nguy cơ
tác dụng phụ không mong muốn gây ra bởi những thay đổi.
Đối với bảo đảm hơn, kiểm tra hồi quy cũng cần được mở rộng hơn cho
mã xung quanh các bản sửa lỗi lỗ hổng, mã có thể chứa cùng lớp
dễ bị tổn thương, và các khu vực hậu quả cao khác của phần mềm. Một hồi quy
kế hoạch kiểm tra an ninh cần phải được phát triển có sử dụng sai / trường hợp lạm dụng và
các kịch bản tấn công (một phần dựa trên mô hình tấn công có liên quan). Trường hợp kiểm tra trước đó có thể
được tăng cường bởi sự lạm dụng / trường hợp lạm dụng mới và các tình huống tấn công đề nghị
bởi các cuộc tấn công trong thế giới thực mà đã xuất hiện từ các phần mềm đã được kiểm tra lần cuối.
Regression thử nghiệm thường được thực hiện bởi các bên liên quan khác nhau trong các phần mềm
chu kỳ cuộc sống. Trong giai đoạn mã hóa, lập trình chạy thử nghiệm đơn vị để xác minh rằng
các đơn vị cá nhân của mã nguồn được làm việc đúng cách. Đơn vị là nhỏ nhất
có thể kiểm chứng một phần của phần mềm, thường là một chức năng hoặc các phương pháp và Encapsulated của
dữ liệu. Đơn vị kiểm tra như một phần của một phương pháp phát triển phần mềm, chẳng hạn như
lập trình cực đoan, thường dựa vào một đơn vị khuôn khổ kiểm tra tự động, chẳng hạn như JUnit (www.junit.org). Các khuôn khổ kiểm tra đơn vị tự động
tích hợp với một IDE và cho phép các nhà phát triển để tạo ra một sơ khai cho một đơn vị
thử nghiệm mà sau đó có thể được hoàn thành với dữ liệu mẫu và thêm logic kinh doanh.
Trong phát triển thử nghiệm điều khiển, mã đơn vị cần được tạo ra cho mỗi đơn vị phần mềm.
Khi một lập trình viên sau kỷ luật này, nó có thể dẫn đến việc mã hóa tự tin hơn, và cho phép một lập trình để xác minh rằng một lỗi đã được cố định trước đó trong
chu kỳ sống (giảm chi phí phát triển tổng thể).
Ở cấp độ hệ thống, kiểm tra hồi quy là một hình thức chức năng kiểm tra rằng các
đội bóng đảm bảo chất lượng phần mềm thực hiện bằng cách sử dụng một thử nghiệm bộ phần mềm tự động.
Thông thường, nếu một lỗi phần mềm được phát hiện trong quá trình thử nghiệm, nó được gửi đến các hệ thống theo dõi lỗi, và giao cho một lập trình để khắc phục.
Một khi các lỗi là cố định, các phần mềm cần phải được chạy qua tất cả các hồi quy
các trường hợp kiểm tra một lần nữa. Do đó, sửa chữa một lỗi ở khâu đảm bảo chất lượng
là đắt hơn trong quá trình mã hóa.
Theo Hiệp hội IEEE Computer, thử nghiệm được định nghĩa là "một hoạt động
được thực hiện để đánh giá chất lượng sản phẩm, và để cải thiện nó, bằng cách xác định
các khuyết tật và các vấn đề. Kiểm thử phần mềm bao gồm việc xác minh năng động của
các hành vi của một chương trình trên một tập hữu hạn các trường hợp thử nghiệm, phù hợp được lựa chọn từ các
miền hành thường vô hạn, chống lại các hành vi mong đợi. "
27
thử nghiệm phần mềm bảo mật liên quan đến việc kiểm tra để đảm bảo chất lượng thông qua chức năng, hộp màu trắng và hộp đen, môi trường và kiểm tra lỗi. Thâm nhập
kiểm tra, fuzzing, và thử nghiệm mô phỏng tiến hành bổ sung bởi hệ thống đám mây
quét cung cấp thêm công cụ kiểm tra phần mềm an toàn.
Chương 3 Cloud Computing Phần mềm bảo mật cơ bản 113
Cloud Computing và liên tục kinh doanh
Hoạch định / phục hồi thảm họa
kế hoạch kinh doanh liên tục (BCP) và lập kế hoạch khôi phục thảm họa ( DRP)
liên quan đến việc chuẩn bị, kiểm tra, và cập nhật của các hành động cần thiết để bảo vệ các quá trình kinh doanh quan trọng từ những tác động của hệ thống và mạng lưới lớn
thất bại. Từ góc nhìn đám mây, các quy trình kinh doanh quan trọng là
phụ thuộc nhiều vào các ứng dụng dựa trên đám mây và phần mềm mạnh mẽ và
an ninh. BCP bao gồm xác định phạm vi và bắt đầu lập kế hoạch, tiến hành một
đánh giá tác động kinh doanh (BIA), và phát triển các kế hoạch. DRP bao gồm
phát triển các quá trình DRP, kiểm tra kế hoạch và thực hiện các thảm họa
thủ tục phục hồi.
Thiết kế, phát triển và triển khai thực hiện có chất lượng và hiệu quả BCP và DRP
là một chủ trương lớn, liên quan đến nhiều người-giờ và trong nhiều trường hợp,
phần cứng cao hoặc chi phí phần mềm. Những nỗ lực và chi phí là đáng giá và
cần thiết, nhưng chúng ảnh hưởng đến một số lượng lớn các nguồn lực tổ chức. Đám mây
máy tính cung cấp một thay thế hấp dẫn cho tổng số, trong nhà BCP / triển khai DRP. Trước khi tìm kiếm giải pháp điện toán đám mây để BCP / DRP, điều quan trọng là
để thiết lập các định nghĩa cơ bản của điều khoản liên quan chủ chốt.
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- move to the last tracked coordinates in
- Rồng Trắng
- cònerence
- 白龙
- Bố mẹ tôi kinh doanh vật liệu phân bón n
- Cà Phê Chồn có vị đắng rất dễ chịu, vị đ
- • Having experiences in ISO 9001 – 2008
- 응 우 엔 탄 loi
- Darren is the oldest of Lydia and Clive’
- neutrality
- lấy bối cảnh học đường
- Dans une terrine assez grande, mélanger
- Cho tôi xuống ở đây
- Soap update: Family Business
- Mechanical Treatment of Water and Waste
- DefinitionsA disasteris a rapidly occurr
- stumble into 25 barriers.
- tôi muốn mua thêm sản phẩm cùng loại nữa
- You just did , i was just checking , My
- nhóm chúng tôi vừa trình bày về khách sạ
- KNOWLEDGE
- thi công
- outbreak
- Inoculation of seedlings of peanuts, cow
