- Văn bản
- Lịch sử
A key element of the BCP process is
A key element of the BCP process is conducting a BIA. The purpose of a BIA is
to create a document that outlines what impact a disruptive event would have on
the business. The impact might be financial (quantitative) or operational (qualitative), such as the inability to respond to customer complaints. A vulnerability
assessment is often part of the BIA process. A BIA has three primary goals:
+ Criticality prioritization— Every critical business unit process must
be identified and prioritized, and the impact of a disruptive event must
be evaluated.
+ Downtime estimation— The BIA is used to help estimate the maximum
tolerable downtime (MTD) that the business can withstand and still remain
viable; that is, what is the longest period of time a critical process can remain
interrupted before the company can never recover? The BIA process often
determines that this time period is much shorter than expected.
+ Resource requirements— The resource requirements for the critical processes are also identified at this time, with the most time-sensitive
processes receiving the most resource allocation.
A BIA generally involves four steps:
1. Gathering the needed assessment materials
2. Performing the vulnerability assessment
118 Chapter 3 Cloud Computing Software Security Fundamentals
3. Analyzing the information compiled
4. Documenting the results and presenting recommendations
The Vulnerability Assessment
The vulnerability assessment is often part of a BIA. It is similar to a risk assessment but it is smaller than a full risk assessment and is focused on providing
information that is used solely for the business continuity plan or disaster
recovery plan.
The function of a vulnerability assessment is to conduct a loss impact analysis.
Because there are two parts to the assessment, a financial assessment and an
operational assessment, it is necessary to define loss criteria both quantitatively
and qualitatively.
Quantitative loss criteria can be defi ned as follows:
+ Incurring financial losses from loss of revenue, capital expenditure, or
personal liability resolution
+ Incurring additional operational expenses due to the disruptive event
+ Incurring financial loss resulting from the resolution of violating contract
agreements
+ incurring financial loss resulting from the resolution of violating regulatory or compliance requirements
Qualitative loss criteria can consist of the following:
+ The loss of competitive advantage or market share
+ The loss of public confidence or credibility, or incurring public embarrassment
During the vulnerability assessment, critical support areas must be defined
in order to assess the impact of a disruptive event. A critical support area is
defined as a business unit or function that must be present to sustain continuity
of the business processes, protect life, provide safety, or avoid public relations
embarrassment.
Critical support areas could include the following:
+ Telecommunications, data communications, or information technology areas
+ Physical infrastructure or plant facilities, transportation services
+ Accounting, payroll, transaction processing, customer service, purchasing
Typical steps in performing a vulnerability assessment are as follows:
1. List potential disruptive events (i.e., natural, technological, and man-made).
2. Estimate the likelihood of occurrence of a disruptive event.
Chapter 3 Cloud Computing Software Security Fundamentals 119
3. Assess the potential impact of the disruptive event on the organization
(i.e., human impact, property impact, and business impact).
4. Assess external and internal resources required to deal with the disruptive
event.
Enterprise wide awareness of the plan is important because an organization’s
ability to recover from an event will most likely depend on the efforts of many
individuals. Employee awareness of the plan also emphasizes the organization’s
commitment to its employees. Specific training may be required for certain
personnel to carry out their tasks; and quality training is perceived as a benefit,
which increases the interest and commitment of personnel in the BCP process.
Using the Cloud for BCP/DRP
Adopting a cloud strategy for BCP/DRP offers significant benefits without large
amounts of capital and human resource investments. Effective cloud-based BCP/
DRP requires planning, preparation, and selecting the cloud provider that best
meets an organization’s needs. A critical issue is the stability and viability of
the vendor. The vendor should have the financial, technical, and organizational
resources to ensure it will be around for both the short term and the long term.
In addition, in order for cloud BCP/DRP to reach its full potential, standardization across a variety of architectures has to evolve.
Proper design of a cloud-based IT system that meets the requirements of a
BCP and DRP should include the following:
+ Secure access from remote locations
+ A distributed architecture with no single point of failure
+ Integral redundancy of applications and information
+ Geographical dispersion
Redundancy Provided by the Cloud
Cloud-based BCP and DRP eliminate the need for expensive alternative sites and
the associated hardware and software to provide redundancy. This approach
also provides for low cost and widely available, dynamically scalable, and virtualized resources.
With a cloud computing paradigm, the backup infrastructure is always in
place. Thus, data access and running business applications are available on
cloud servers. Another option is to implement a hybrid cloud with collocation
of resources and services. Cloud service providers also offer organizations the
120 Chapter 3 Cloud Computing Software Security Fundamentals
option to control the backup process thorough the use of storage area networks
(SANs). Examples of elements that require backup are application data, media
files, files that have changed, recent documents, the operating system, and
archival files.
Secure Remote Access
In order for cloud-based BCP/DRP to be effective, the cloud applications and
data must be securely accessible from all parts of the globe. One solution is
for the cloud vendor to establish a global traffic management system that provides the following customer services:
+ Meets service-level agreements for availability and performance
+ Regulates and controls traffic among virtual machines located at multiple
data centers
+ Maximizes speed and performance by directing traffic to the closest and
most logical cloud data center
These services have to be implemented and conducted in a secure environment to protect both the cloud consumer and cloud provider from compromises
and attacks.
Integration into Normal Business Processes
Services provided by a cloud vendor at a remote location are, in almost all cases,
isolated geographically from the customer’s facilities. The cloud enterprise is
strongly protected both physically and technically. At the consumer’s site, if cloud
processing and data storage are integrated into the daily routine of the business,
recovery from a disruptive event at the user organization can be more rapid and
involve less time and personnel. In many instances, the cloud resources will be
used in normal operations and will be available during a disruptive event at the
organization’s location without large amounts of transfer activity.
to create a document that outlines what impact a disruptive event would have on
the business. The impact might be financial (quantitative) or operational (qualitative), such as the inability to respond to customer complaints. A vulnerability
assessment is often part of the BIA process. A BIA has three primary goals:
+ Criticality prioritization— Every critical business unit process must
be identified and prioritized, and the impact of a disruptive event must
be evaluated.
+ Downtime estimation— The BIA is used to help estimate the maximum
tolerable downtime (MTD) that the business can withstand and still remain
viable; that is, what is the longest period of time a critical process can remain
interrupted before the company can never recover? The BIA process often
determines that this time period is much shorter than expected.
+ Resource requirements— The resource requirements for the critical processes are also identified at this time, with the most time-sensitive
processes receiving the most resource allocation.
A BIA generally involves four steps:
1. Gathering the needed assessment materials
2. Performing the vulnerability assessment
118 Chapter 3 Cloud Computing Software Security Fundamentals
3. Analyzing the information compiled
4. Documenting the results and presenting recommendations
The Vulnerability Assessment
The vulnerability assessment is often part of a BIA. It is similar to a risk assessment but it is smaller than a full risk assessment and is focused on providing
information that is used solely for the business continuity plan or disaster
recovery plan.
The function of a vulnerability assessment is to conduct a loss impact analysis.
Because there are two parts to the assessment, a financial assessment and an
operational assessment, it is necessary to define loss criteria both quantitatively
and qualitatively.
Quantitative loss criteria can be defi ned as follows:
+ Incurring financial losses from loss of revenue, capital expenditure, or
personal liability resolution
+ Incurring additional operational expenses due to the disruptive event
+ Incurring financial loss resulting from the resolution of violating contract
agreements
+ incurring financial loss resulting from the resolution of violating regulatory or compliance requirements
Qualitative loss criteria can consist of the following:
+ The loss of competitive advantage or market share
+ The loss of public confidence or credibility, or incurring public embarrassment
During the vulnerability assessment, critical support areas must be defined
in order to assess the impact of a disruptive event. A critical support area is
defined as a business unit or function that must be present to sustain continuity
of the business processes, protect life, provide safety, or avoid public relations
embarrassment.
Critical support areas could include the following:
+ Telecommunications, data communications, or information technology areas
+ Physical infrastructure or plant facilities, transportation services
+ Accounting, payroll, transaction processing, customer service, purchasing
Typical steps in performing a vulnerability assessment are as follows:
1. List potential disruptive events (i.e., natural, technological, and man-made).
2. Estimate the likelihood of occurrence of a disruptive event.
Chapter 3 Cloud Computing Software Security Fundamentals 119
3. Assess the potential impact of the disruptive event on the organization
(i.e., human impact, property impact, and business impact).
4. Assess external and internal resources required to deal with the disruptive
event.
Enterprise wide awareness of the plan is important because an organization’s
ability to recover from an event will most likely depend on the efforts of many
individuals. Employee awareness of the plan also emphasizes the organization’s
commitment to its employees. Specific training may be required for certain
personnel to carry out their tasks; and quality training is perceived as a benefit,
which increases the interest and commitment of personnel in the BCP process.
Using the Cloud for BCP/DRP
Adopting a cloud strategy for BCP/DRP offers significant benefits without large
amounts of capital and human resource investments. Effective cloud-based BCP/
DRP requires planning, preparation, and selecting the cloud provider that best
meets an organization’s needs. A critical issue is the stability and viability of
the vendor. The vendor should have the financial, technical, and organizational
resources to ensure it will be around for both the short term and the long term.
In addition, in order for cloud BCP/DRP to reach its full potential, standardization across a variety of architectures has to evolve.
Proper design of a cloud-based IT system that meets the requirements of a
BCP and DRP should include the following:
+ Secure access from remote locations
+ A distributed architecture with no single point of failure
+ Integral redundancy of applications and information
+ Geographical dispersion
Redundancy Provided by the Cloud
Cloud-based BCP and DRP eliminate the need for expensive alternative sites and
the associated hardware and software to provide redundancy. This approach
also provides for low cost and widely available, dynamically scalable, and virtualized resources.
With a cloud computing paradigm, the backup infrastructure is always in
place. Thus, data access and running business applications are available on
cloud servers. Another option is to implement a hybrid cloud with collocation
of resources and services. Cloud service providers also offer organizations the
120 Chapter 3 Cloud Computing Software Security Fundamentals
option to control the backup process thorough the use of storage area networks
(SANs). Examples of elements that require backup are application data, media
files, files that have changed, recent documents, the operating system, and
archival files.
Secure Remote Access
In order for cloud-based BCP/DRP to be effective, the cloud applications and
data must be securely accessible from all parts of the globe. One solution is
for the cloud vendor to establish a global traffic management system that provides the following customer services:
+ Meets service-level agreements for availability and performance
+ Regulates and controls traffic among virtual machines located at multiple
data centers
+ Maximizes speed and performance by directing traffic to the closest and
most logical cloud data center
These services have to be implemented and conducted in a secure environment to protect both the cloud consumer and cloud provider from compromises
and attacks.
Integration into Normal Business Processes
Services provided by a cloud vendor at a remote location are, in almost all cases,
isolated geographically from the customer’s facilities. The cloud enterprise is
strongly protected both physically and technically. At the consumer’s site, if cloud
processing and data storage are integrated into the daily routine of the business,
recovery from a disruptive event at the user organization can be more rapid and
involve less time and personnel. In many instances, the cloud resources will be
used in normal operations and will be available during a disruptive event at the
organization’s location without large amounts of transfer activity.
0/5000
Một yếu tố quan trọng của quá trình BCP tiến hành một BIA. Mục đích của một BIA để tạo một tài liệu đó vạch ra những gì tác động đến một sự kiện gây rối sẽ có Các doanh nghiệp. Tác động có thể được tài chính (định lượng) hoặc hoạt động (chất lượng), chẳng hạn như không có khả năng đáp ứng với khách hàng khiếu nại. Một lỗ hổng đánh giá thường xuyên là một phần của quá trình BIA. Một BIA có ba mục tiêu chính:+ Criticality ưu tiên — quá trình mỗi đơn vị kinh doanh quan trọng phải được xác định và ưu tiên, và tác động của một sự kiện gây rối phải được đánh giá. + Dự toán thời gian chết-The BIA được sử dụng để giúp tối đa ước tính tolerable downtime (MTD) có các doanh nghiệp có thể chịu được và vẫn còn khả thi; có nghĩa là, những gì là giai đoạn dài nhất của thời gian một quá trình quan trọng có thể vẫn còn gián đoạn trước khi công ty có thể không bao giờ phục hồi? Trình BIA thường xác định khoảng thời gian này là ngắn hơn nhiều hơn dự kiến.+ Tài nguyên yêu cầu-yêu cầu tài nguyên cho quá trình quan trọng cũng được xác định tại thời gian này, với hầu hết thời gian nhạy cảm quy trình nhận được phân bổ nguồn lực nhất.Một BIA thường bao gồm bốn bước: 1. thu thập các tài liệu cần thiết đánh giá 2. thực hiện việc giám định tổn thương118 chương 3 Cloud máy tính phần mềm bảo mật cơ bản 3. việc phân tích thông tin biên dịch 4. tài liệu các kết quả và trình bày các khuyến nghịViệc đánh giá dễ bị tổn thươngViệc đánh giá dễ bị tổn thương thường là một phần của một BIA. Nó là tương tự như một đánh giá rủi ro, nhưng nó là nhỏ hơn so với một đánh giá đầy đủ các rủi ro và là tập trung vào việc cung cấp thông tin được sử dụng chỉ duy nhất cho kế hoạch kinh doanh liên tục hoặc thiên tai kế hoạch phục hồi.Chức năng của một đánh giá dễ bị tổn thương là để tiến hành một phân tích tác động của mất mát. Vì có hai phần để đánh giá, một đánh giá tài chính và một hoạt động đánh giá, nó là cần thiết để xác định tiêu chí mất cả hai định và chất lượng.Tiêu chí định lượng mất mát có thể là defi ned như sau:+ Phát sinh các tổn thất tài chính từ mất doanh thu, chi phí vốn, hoặc độ phân giải trách nhiệm cá nhân+ Phát sinh thêm chi phí hoạt động do các sự kiện gây rối+ Phát sinh mất mát tài chính kết quả từ việc giải quyết vi phạm hợp đồng thỏa thuận+ phát sinh mất mát tài chính do độ phân giải của vi phạm quy định hoặc yêu cầu tuân thủTiêu chuẩn chất lượng mất mát có thể bao gồm những điều sau đây:+ Mất lợi thế cạnh tranh hoặc chia sẻ thị trường+ Sự mất mát của sự tự tin công cộng hoặc độ tin cậy, hoặc phát sinh sự bối rối công cộngTrong đánh giá dễ bị tổn thương, quan trọng hỗ trợ khu vực phải được xác định để đánh giá tác động của một sự kiện gây rối. Là một khu vực quan trọng hỗ trợ định nghĩa là một đơn vị kinh doanh hoặc chức năng phải có mặt để duy trì liên tục Các quy trình kinh doanh, bảo vệ cuộc sống, cung cấp an toàn, hoặc tránh quan hệ công chúng bối rối.Quan trọng hỗ trợ khu vực có thể bao gồm:+ Viễn thông, truyền dữ liệu, hoặc các khu vực công nghệ thông tin+ Vật lý cơ sở hạ tầng hoặc thực vật Tiện nghi, Dịch vụ giao thông vận tải+ Kế toán, biên chế, xử lý, giao dịch Dịch vụ khách hàng, MuaĐiển hình bước trong việc thực hiện một đánh giá lỗ hổng như sau: 1. danh sách các sự kiện gây rối tiềm năng (tức là, tự nhiên, công nghệ, và nhân tạo). 2. ước tính khả năng xảy ra một sự kiện gây rối.Chương 3 Cloud máy tính phần mềm bảo mật cơ bản 119 3. đánh giá tác động tiềm năng của các sự kiện gây rối vào việc tổ chức (ví dụ, tác động của con người, tác động bất động sản, và tác động kinh doanh). 4. đánh giá bên ngoài và nội bộ nguồn lực cần thiết để đối phó với các phá hoại sự kiện. Doanh nghiệp rộng nhận thức của kế hoạch là quan trọng bởi vì một tổ chức khả năng phục hồi từ một sự kiện rất có thể sẽ phụ thuộc vào những nỗ lực của nhiều cá nhân. Nhân viên nhận thức của kế hoạch cũng nhấn mạnh của tổ chức cam kết cho nhân viên của nó. Đào tạo cụ thể có thể được yêu cầu cho một số Các nhân viên để thực hiện nhiệm vụ của họ; và chất lượng đào tạo được coi là một lợi ích, mà tăng lãi suất và các cam kết của nhân viên trong quá trình BCP.Sử dụng các đám mây cho BCP/DRPViệc áp dụng một chiến lược đám mây cho BCP/DRP cung cấp các lợi ích đáng kể mà không lớn một lượng vốn và nguồn nhân lực đầu tư. Hiệu quả dựa trên đám mây BCP /DRP đòi hỏi phải lập kế hoạch, chuẩn bị, và lựa chọn các nhà cung cấp đám mây xuất sắc nhất đáp ứng nhu cầu của tổ chức. Một vấn đề quan trọng là sự ổn định và tính khả thi của Các nhà cung cấp. Người bán hàng cần phải có tài chính, kỹ thuật, và tổ chức nguồn lực để đảm bảo nó sẽ xung quanh cho cả ngắn hạn và dài hạn. Ngoài ra, để cho đám mây BCP/DRP để đạt được tiêu chuẩn hóa đầy đủ tiềm năng của nó trên một loạt các kiến trúc có tiến triển. Các thiết kế phù hợp của một hệ thống CNTT dựa trên đám mây mà đáp ứng các yêu cầu của một BCP và DRP nên bao gồm những điều sau đây:+ Truy cập từ các địa điểm từ xa an toàn + Một kiến trúc phân phối với không có điểm lỗi duy nhất+ Không thể tách rời sự thừa của ứng dụng và thông tin+ Địa lý phân tán Dư thừa cung cấp bởi đám mâyDựa trên đám mây BCP và DRP loại bỏ sự cần thiết cho các trang web thay thế đắt tiền và liên quan đến phần cứng và phần mềm để cung cấp sự thừa. Cách tiếp cận này cũng cung cấp cho các chi phí thấp và có sẵn rộng rãi, tự động khả năng mở rộng và diện tài nguyên.Với một mô hình tính toán đám mây, cơ sở hạ tầng dự phòng là luôn luôn ở nơi. Do đó, dữ liệu truy cập và chạy ứng dụng kinh doanh có sẵn trên đám mây máy chủ. Một lựa chọn khác là để thực hiện một đám mây lai với collocation tài nguyên và dịch vụ. Nhà cung cấp dịch vụ đám mây cũng cung cấp cho tổ chức các 120 chương 3 Cloud máy tính phần mềm bảo mật cơ bảntùy chọn để kiểm soát quá trình sao lưu kỹ lưỡng sử dụng lưu trữ mạng (SANs). Ví dụ về các yếu tố đó có yêu cầu bản sao lưu là dữ liệu ứng dụng, phương tiện truyền thông tập tin, tập tin đã thay đổi, tài liệu vừa dùng, Hệ điều hành, và tập tin lưu trữ.Truy cập từ xa an toànĐể dựa trên đám mây BCP/DRP có hiệu quả, các ứng dụng đám mây và dữ liệu phải một cách an toàn có thể truy cập từ mọi nơi trên thế giới. Một giải pháp là Đối với các nhà cung cấp đám mây để thiết lập một hệ thống quản lý lưu lượng truy cập toàn cầu cung cấp dịch vụ khách hàng sau đây:+ Đáp ứng dịch vụ cấp thỏa thuận cho tính khả dụng và hiệu suất+ Quy định và điều khiển giao thông giữa các máy ảo nằm ở nhiều Trung tâm dữ liệu+ Tối đa tốc độ và hiệu suất do chỉ đạo lưu lượng truy cập đến gần nhất và Trung tâm dữ liệu hợp lý nhất của đám mây Các dịch vụ này phải được thực hiện và thực hiện trong một môi trường an toàn để bảo vệ cả hai người tiêu dùng đám mây và điện toán đám mây nhà cung cấp từ thỏa hiệp và cuộc tấn công.Tích hợp vào các quá trình kinh doanh bình thườngDịch vụ cung cấp bởi một đại lý của đám mây tại một địa điểm từ xa là, trong hầu hết trường hợp, bị cô lập về mặt địa lý từ Tiện nghi của khách hàng. Các doanh nghiệp đám mây là mạnh mẽ bảo vệ cả về thể chất và kỹ thuật. Tại trang web của người tiêu dùng, nếu đám mây xử lý và lưu trữ dữ liệu được tích hợp vào các thói quen hàng ngày của các doanh nghiệp, phục hồi từ một sự kiện gây rối tại tổ chức người sử dụng có thể nhanh hơn và liên quan đến ít thời gian và nhân sự. Trong nhiều trường hợp, các nguồn tài nguyên đám mây sẽ được sử dụng trong hoạt động thường xuyên và sẽ có sẵn trong một sự kiện gây rối tại các của tổ chức các vị trí mà không có một lượng lớn chuyển hoạt động.
đang được dịch, vui lòng đợi..
Một yếu tố quan trọng của quá trình BCP đang tiến hành một BIA. Mục đích của một BIA là
để tạo ra một tài liệu đó vạch ra những gì tác động một sự kiện gây rối sẽ có vào
công việc kinh doanh. Các tác động có thể là tài chính (định lượng) hoặc hoạt động (định tính), chẳng hạn như không có khả năng trả lời khiếu nại của khách hàng. Một lỗ hổng
đánh giá thường là một phần của quá trình BIA. Một BIA có ba mục tiêu chính:
+ Criticality prioritization- Mỗi quá trình đơn vị kinh doanh quan trọng phải
được xác định và ưu tiên, và các tác động của một sự kiện gây rối phải
được đánh giá.
+ Downtime estimation- BIA được sử dụng để giúp ước tính tối đa
thời gian chết chấp nhận được (MTD ) mà doanh nghiệp có thể chịu được và vẫn còn
khả thi; đó là, thời gian dài nhất của thời gian một quá trình quan trọng có thể vẫn là những gì
bị gián đoạn trước khi công ty không bao giờ có thể phục hồi? Quá trình BIA thường
xác định rằng khoảng thời gian này ngắn hơn nhiều so với dự kiến.
+ Resource requirements- Các yêu cầu nguồn lực cho các quá trình quan trọng cũng được xác định tại thời điểm này, có nhiều thời gian nhạy cảm
quá trình nhận việc phân bổ tài nguyên nhất.
Một BIA thường liên quan đến bốn bước:
1. Thu thập các tài liệu đánh giá cần thiết
2. Thực hiện đánh giá tổn thương
118 Chương 3 Cloud Computing Phần mềm bảo mật cơ bản
3. Phân tích các thông tin biên soạn
4. Tài liệu về các kết quả và trình bày các khuyến nghị
Các Đánh giá tổn thương
Các đánh giá tổn thương thường là một phần của một BIA. Nó tương tự như một đánh giá rủi ro, nhưng nó là nhỏ hơn so với đánh giá rủi ro đầy đủ và tập trung vào việc cung cấp
thông tin được sử dụng chỉ duy nhất cho kế hoạch kinh doanh liên tục hay thảm họa
kế hoạch phục hồi.
Các chức năng của một đánh giá tổn thương là để thực hiện một phân tích tác động mất.
Bởi vì có hai phần để đánh giá, thẩm định tài chính và
đánh giá hoạt động, nó là cần thiết để xác định tiêu chí mất cả về số lượng
và chất lượng.
tiêu chí định lượng mất mát có thể Defi ned như sau:
+ thua lỗ tài chính từ mất doanh thu, chi phí vốn hoặc
giải quyết trách nhiệm cá nhân
+ phát sinh chi phí hoạt động bổ sung do các sự kiện gây rối
+ gánh chịu tổn thất tài chính do việc giải quyết các vi phạm hợp đồng
thỏa thuận
+ gánh chịu tổn thất tài chính do việc giải quyết các vi phạm yêu cầu pháp lý hay sự tuân thủ các tiêu chí mất định lượng có thể bao gồm những điều sau đây: + Sự mất lợi thế cạnh tranh hoặc thị phần + Sự mất lòng tin của người hoặc sự tin cậy, hoặc phát sinh bối rối công cộng Trong đánh giá tổn thương, vùng hỗ trợ quan trọng phải được xác định để đánh giá các tác động của một sự kiện gây rối. Một vùng hỗ trợ quan trọng được định nghĩa như là một đơn vị kinh doanh hoặc chức năng mà phải có mặt để duy trì tính liên tục của quá trình kinh doanh, bảo vệ cuộc sống, cung cấp an toàn, hoặc tránh quan hệ công chúng bối rối. vùng hỗ trợ quan trọng có thể bao gồm những điều sau đây: + Viễn thông, thông tin liên lạc dữ liệu, hoặc lĩnh vực công nghệ thông tin cơ sở hạ tầng vật lý + hoặc nhà máy thiết bị, dịch vụ vận chuyển + Kế toán, biên chế, xử lý giao dịch, dịch vụ khách hàng, mua bước điển hình trong việc thực hiện một đánh giá tính dễ tổn thương như sau: 1. Danh sách sự kiện gây rối tiềm năng (tức là, tự nhiên, công nghệ, và nhân tạo). 2. Ước tính khả năng xảy ra một sự kiện gây rối. Chương 3 Cloud Computing Phần mềm bảo mật cơ bản 119 3. Đánh giá tác động tiềm năng của các sự kiện đột phá về tổ chức (ví dụ, tác động của con người, tác động bất động sản, và tác động kinh doanh). 4. Đánh giá nguồn lực bên ngoài và nội bộ cần thiết để đối phó với những đột phá sự kiện. nhận thức rộng doanh nghiệp của kế hoạch là quan trọng bởi vì một tổ chức có khả năng phục hồi từ một sự kiện rất có thể sẽ phụ thuộc vào sự nỗ lực của nhiều cá nhân. Nâng cao nhận thức của nhân viên về kế hoạch cũng nhấn mạnh của tổ chức cam kết để nhân viên của mình. Đào tạo cụ thể có thể được yêu cầu cho một số nhân viên để thực hiện nhiệm vụ của mình; và chất lượng đào tạo được cảm nhận như là một lợi ích, làm tăng sự quan tâm và cam kết của nhân viên trong quá trình BCP. Sử dụng các đám mây cho BCP / DRP Thông qua một chiến lược điện toán đám mây cho BCP / DRP cung cấp những lợi ích đáng kể mà không lớn lượng vốn đầu tư và nguồn nhân lực. Hiệu quả dựa trên đám mây BCP / DRP đòi hỏi kế hoạch, chuẩn bị và lựa chọn các nhà cung cấp đám mây tốt nhất đáp ứng nhu cầu của một tổ chức. Một vấn đề quan trọng là sự ổn định và khả năng tồn tại của các nhà cung cấp. Các nhà cung cấp nên có tài chính, kỹ thuật, tổ chức và nguồn lực để đảm bảo nó sẽ được xung quanh cho cả ngắn hạn và dài hạn. Ngoài ra, để cho đám mây BCP / DRP để đạt được tiềm năng đầy đủ của nó, tiêu chuẩn hóa trên một loạt các kiến trúc đã phát triển. Thiết kế đúng của một hệ thống CNTT dựa trên đám mây để đáp ứng những yêu cầu của một BCP và DRP nên bao gồm những điều sau đây: + Bảo mật truy cập từ các địa điểm từ xa + Một kiến trúc phân tán, không có điểm duy nhất của thất bại + dự phòng tích hợp các ứng dụng và các thông tin + Địa bàn phân tán Redundancy cung cấp bởi các đám mây BCP dựa trên đám mây và DRP loại bỏ sự cần thiết cho các trang web thay thế đắt tiền và các phần cứng và phần mềm liên quan để cung cấp dự phòng. Cách tiếp cận này cũng cung cấp cho chi phí thấp và phổ biến rộng rãi, khả năng mở rộng linh hoạt, và các nguồn tài nguyên được ảo hóa. Với một mô hình điện toán đám mây, các cơ sở hạ tầng dự phòng luôn ở trong nơi. Do đó, truy cập dữ liệu và chạy các ứng dụng kinh doanh có sẵn trên các máy chủ đám mây. Một lựa chọn khác là để thực hiện một đám mây lai với cách sắp xếp từ các nguồn tài nguyên và dịch vụ. Các nhà cung cấp dịch vụ điện toán đám mây cũng cung cấp các tổ chức 120 Chương 3 Cloud Phần mềm máy tính An ninh cơ bản tùy chọn để kiểm soát quá trình sao lưu triệt để việc sử dụng các mạng lưu trữ (SAN). Ví dụ về các yếu tố cần sao lưu những dữ liệu ứng dụng, phương tiện truyền thông , các tập tin đó đã thay đổi, tài liệu gần đây, hệ điều hành, và các tập tin lưu trữ. Secure Remote Access Để dựa trên đám mây BCP / DRP có hiệu quả, các ứng dụng điện toán đám mây và dữ liệu phải được an toàn truy cập từ tất cả các phần của thế giới. Một giải pháp là cho các nhà cung cấp điện toán đám mây để thiết lập một hệ thống quản lý giao thông toàn cầu cung cấp các dịch vụ khách hàng sau: + Đáp ứng các thỏa thuận cấp độ dịch vụ để sẵn sàng và hiệu suất + chỉnh và điều khiển giao thông giữa các máy ảo nằm ở nhiều trung tâm dữ liệu + Tối đa hóa tốc độ và hiệu suất của chỉ đạo giao thông đến gần nhất và hợp lý nhất trung tâm dữ liệu đám mây Những dịch vụ này đã được triển khai và thực hiện trong một môi trường an toàn để bảo vệ cho cả người tiêu dùng và nhà cung cấp điện toán đám mây đám mây từ thỏa hiệp và các cuộc tấn công. Hội nhập vào Bình thường quá trình kinh doanh dịch vụ cung cấp bởi một nhà cung cấp điện toán đám mây tại một địa điểm từ xa là, trong hầu hết các trường hợp, bị cô lập về mặt địa lý từ các cơ sở của khách hàng. Các doanh nghiệp điện toán đám mây được bảo vệ mạnh mẽ cả về thể chất và kỹ thuật. Tại trang web của người dùng, nếu đám mây xử lý và lưu trữ dữ liệu được tích hợp vào các thói quen hàng ngày của doanh nghiệp, phục hồi từ một sự kiện gây rối tại các tổ chức sử dụng có thể được nhanh hơn và liên quan đến ít thời gian và nhân sự. Trong nhiều trường hợp, các tài nguyên điện toán đám mây sẽ được sử dụng trong các hoạt động bình thường và sẽ có mặt trong một sự kiện gây rối tại vị trí của tổ chức không có một lượng lớn các hoạt động chuyển nhượng.
để tạo ra một tài liệu đó vạch ra những gì tác động một sự kiện gây rối sẽ có vào
công việc kinh doanh. Các tác động có thể là tài chính (định lượng) hoặc hoạt động (định tính), chẳng hạn như không có khả năng trả lời khiếu nại của khách hàng. Một lỗ hổng
đánh giá thường là một phần của quá trình BIA. Một BIA có ba mục tiêu chính:
+ Criticality prioritization- Mỗi quá trình đơn vị kinh doanh quan trọng phải
được xác định và ưu tiên, và các tác động của một sự kiện gây rối phải
được đánh giá.
+ Downtime estimation- BIA được sử dụng để giúp ước tính tối đa
thời gian chết chấp nhận được (MTD ) mà doanh nghiệp có thể chịu được và vẫn còn
khả thi; đó là, thời gian dài nhất của thời gian một quá trình quan trọng có thể vẫn là những gì
bị gián đoạn trước khi công ty không bao giờ có thể phục hồi? Quá trình BIA thường
xác định rằng khoảng thời gian này ngắn hơn nhiều so với dự kiến.
+ Resource requirements- Các yêu cầu nguồn lực cho các quá trình quan trọng cũng được xác định tại thời điểm này, có nhiều thời gian nhạy cảm
quá trình nhận việc phân bổ tài nguyên nhất.
Một BIA thường liên quan đến bốn bước:
1. Thu thập các tài liệu đánh giá cần thiết
2. Thực hiện đánh giá tổn thương
118 Chương 3 Cloud Computing Phần mềm bảo mật cơ bản
3. Phân tích các thông tin biên soạn
4. Tài liệu về các kết quả và trình bày các khuyến nghị
Các Đánh giá tổn thương
Các đánh giá tổn thương thường là một phần của một BIA. Nó tương tự như một đánh giá rủi ro, nhưng nó là nhỏ hơn so với đánh giá rủi ro đầy đủ và tập trung vào việc cung cấp
thông tin được sử dụng chỉ duy nhất cho kế hoạch kinh doanh liên tục hay thảm họa
kế hoạch phục hồi.
Các chức năng của một đánh giá tổn thương là để thực hiện một phân tích tác động mất.
Bởi vì có hai phần để đánh giá, thẩm định tài chính và
đánh giá hoạt động, nó là cần thiết để xác định tiêu chí mất cả về số lượng
và chất lượng.
tiêu chí định lượng mất mát có thể Defi ned như sau:
+ thua lỗ tài chính từ mất doanh thu, chi phí vốn hoặc
giải quyết trách nhiệm cá nhân
+ phát sinh chi phí hoạt động bổ sung do các sự kiện gây rối
+ gánh chịu tổn thất tài chính do việc giải quyết các vi phạm hợp đồng
thỏa thuận
+ gánh chịu tổn thất tài chính do việc giải quyết các vi phạm yêu cầu pháp lý hay sự tuân thủ các tiêu chí mất định lượng có thể bao gồm những điều sau đây: + Sự mất lợi thế cạnh tranh hoặc thị phần + Sự mất lòng tin của người hoặc sự tin cậy, hoặc phát sinh bối rối công cộng Trong đánh giá tổn thương, vùng hỗ trợ quan trọng phải được xác định để đánh giá các tác động của một sự kiện gây rối. Một vùng hỗ trợ quan trọng được định nghĩa như là một đơn vị kinh doanh hoặc chức năng mà phải có mặt để duy trì tính liên tục của quá trình kinh doanh, bảo vệ cuộc sống, cung cấp an toàn, hoặc tránh quan hệ công chúng bối rối. vùng hỗ trợ quan trọng có thể bao gồm những điều sau đây: + Viễn thông, thông tin liên lạc dữ liệu, hoặc lĩnh vực công nghệ thông tin cơ sở hạ tầng vật lý + hoặc nhà máy thiết bị, dịch vụ vận chuyển + Kế toán, biên chế, xử lý giao dịch, dịch vụ khách hàng, mua bước điển hình trong việc thực hiện một đánh giá tính dễ tổn thương như sau: 1. Danh sách sự kiện gây rối tiềm năng (tức là, tự nhiên, công nghệ, và nhân tạo). 2. Ước tính khả năng xảy ra một sự kiện gây rối. Chương 3 Cloud Computing Phần mềm bảo mật cơ bản 119 3. Đánh giá tác động tiềm năng của các sự kiện đột phá về tổ chức (ví dụ, tác động của con người, tác động bất động sản, và tác động kinh doanh). 4. Đánh giá nguồn lực bên ngoài và nội bộ cần thiết để đối phó với những đột phá sự kiện. nhận thức rộng doanh nghiệp của kế hoạch là quan trọng bởi vì một tổ chức có khả năng phục hồi từ một sự kiện rất có thể sẽ phụ thuộc vào sự nỗ lực của nhiều cá nhân. Nâng cao nhận thức của nhân viên về kế hoạch cũng nhấn mạnh của tổ chức cam kết để nhân viên của mình. Đào tạo cụ thể có thể được yêu cầu cho một số nhân viên để thực hiện nhiệm vụ của mình; và chất lượng đào tạo được cảm nhận như là một lợi ích, làm tăng sự quan tâm và cam kết của nhân viên trong quá trình BCP. Sử dụng các đám mây cho BCP / DRP Thông qua một chiến lược điện toán đám mây cho BCP / DRP cung cấp những lợi ích đáng kể mà không lớn lượng vốn đầu tư và nguồn nhân lực. Hiệu quả dựa trên đám mây BCP / DRP đòi hỏi kế hoạch, chuẩn bị và lựa chọn các nhà cung cấp đám mây tốt nhất đáp ứng nhu cầu của một tổ chức. Một vấn đề quan trọng là sự ổn định và khả năng tồn tại của các nhà cung cấp. Các nhà cung cấp nên có tài chính, kỹ thuật, tổ chức và nguồn lực để đảm bảo nó sẽ được xung quanh cho cả ngắn hạn và dài hạn. Ngoài ra, để cho đám mây BCP / DRP để đạt được tiềm năng đầy đủ của nó, tiêu chuẩn hóa trên một loạt các kiến trúc đã phát triển. Thiết kế đúng của một hệ thống CNTT dựa trên đám mây để đáp ứng những yêu cầu của một BCP và DRP nên bao gồm những điều sau đây: + Bảo mật truy cập từ các địa điểm từ xa + Một kiến trúc phân tán, không có điểm duy nhất của thất bại + dự phòng tích hợp các ứng dụng và các thông tin + Địa bàn phân tán Redundancy cung cấp bởi các đám mây BCP dựa trên đám mây và DRP loại bỏ sự cần thiết cho các trang web thay thế đắt tiền và các phần cứng và phần mềm liên quan để cung cấp dự phòng. Cách tiếp cận này cũng cung cấp cho chi phí thấp và phổ biến rộng rãi, khả năng mở rộng linh hoạt, và các nguồn tài nguyên được ảo hóa. Với một mô hình điện toán đám mây, các cơ sở hạ tầng dự phòng luôn ở trong nơi. Do đó, truy cập dữ liệu và chạy các ứng dụng kinh doanh có sẵn trên các máy chủ đám mây. Một lựa chọn khác là để thực hiện một đám mây lai với cách sắp xếp từ các nguồn tài nguyên và dịch vụ. Các nhà cung cấp dịch vụ điện toán đám mây cũng cung cấp các tổ chức 120 Chương 3 Cloud Phần mềm máy tính An ninh cơ bản tùy chọn để kiểm soát quá trình sao lưu triệt để việc sử dụng các mạng lưu trữ (SAN). Ví dụ về các yếu tố cần sao lưu những dữ liệu ứng dụng, phương tiện truyền thông , các tập tin đó đã thay đổi, tài liệu gần đây, hệ điều hành, và các tập tin lưu trữ. Secure Remote Access Để dựa trên đám mây BCP / DRP có hiệu quả, các ứng dụng điện toán đám mây và dữ liệu phải được an toàn truy cập từ tất cả các phần của thế giới. Một giải pháp là cho các nhà cung cấp điện toán đám mây để thiết lập một hệ thống quản lý giao thông toàn cầu cung cấp các dịch vụ khách hàng sau: + Đáp ứng các thỏa thuận cấp độ dịch vụ để sẵn sàng và hiệu suất + chỉnh và điều khiển giao thông giữa các máy ảo nằm ở nhiều trung tâm dữ liệu + Tối đa hóa tốc độ và hiệu suất của chỉ đạo giao thông đến gần nhất và hợp lý nhất trung tâm dữ liệu đám mây Những dịch vụ này đã được triển khai và thực hiện trong một môi trường an toàn để bảo vệ cho cả người tiêu dùng và nhà cung cấp điện toán đám mây đám mây từ thỏa hiệp và các cuộc tấn công. Hội nhập vào Bình thường quá trình kinh doanh dịch vụ cung cấp bởi một nhà cung cấp điện toán đám mây tại một địa điểm từ xa là, trong hầu hết các trường hợp, bị cô lập về mặt địa lý từ các cơ sở của khách hàng. Các doanh nghiệp điện toán đám mây được bảo vệ mạnh mẽ cả về thể chất và kỹ thuật. Tại trang web của người dùng, nếu đám mây xử lý và lưu trữ dữ liệu được tích hợp vào các thói quen hàng ngày của doanh nghiệp, phục hồi từ một sự kiện gây rối tại các tổ chức sử dụng có thể được nhanh hơn và liên quan đến ít thời gian và nhân sự. Trong nhiều trường hợp, các tài nguyên điện toán đám mây sẽ được sử dụng trong các hoạt động bình thường và sẽ có mặt trong một sự kiện gây rối tại vị trí của tổ chức không có một lượng lớn các hoạt động chuyển nhượng.
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- Đúng hay sai thì cứ tin và mặc giao yêu
- hiếp dâm
- Có thể kể ra đây một vài nguyên liệu phổ
- đường nhỏ hẹp.Các con đường đang được nâ
- chỉ có ở đây
- vốn đầu tư
- From 2009 to 2011-5 I do chain goods sta
- Everyday and everynight oh babe I am mis
- The whole realm was his.He plunged into
- love and war
- gỏi củ hủ dừa
- It's just coffee
- The means of obtaining backup services a
- From 2005 to 2008 I opened clothing busi
- hợp đồng lao động
- trìn độ c tiếng trung
- 加藤部長殿那須様昨夜、シャープ/中屋氏は予定通りのスケジュールをこなされ、帰国さ
- tập trung chủ yếu
- Dự án bảo tồn nguồn nước sạch tại Vườn Q
- Đừng buồn nha tình yêu của tôi , tôi vẫn
- Vinh Tien, as an authorized Dealer of KV
- we will delete paint old
- khái quát về phim ảnh
- các hoạt động hỗ trợ ứng phó và phòng ch
