云资产安全管控

        《浅析IT安全运维管理》一文中介绍了IT安全运维的第一步骤是IT安全风险评估，而IT安全风险评估的第一步骤是资产识别。在云计算时代，云资产作为企业信息化的重要资产，往往会被忽视，管理者甚至对云资产没有感知。因此本文将重点介绍云资产的安全管控。 

一、云资产识别

        “云资产”即是云计算资产，本文主要是指在云计算环境中，由服务商提供、用户使用的各类资源，常用云资源有：

1. 云服务器
2. 云数据库
3. 对象存储
4. 云安全中心
5. CDN
6. 域名
7. 云账号（该资产经常被忽略，但是很重要

二、云资产安全威胁

        随着近几年云计算产业的蓬勃发展，很多企业级客户信息化系统，由传统物理机房部署方式升级为云计算部署方式，一些云计算厂商具备很强的基础IT支撑能力，因此在云计算时代，常见的安全威胁也发生了一定的变化。

       1.物理机房主要安全威胁：物理机房故障、IT硬件故障、黑客攻击、恶意软件等。

       2.云资源主要安全威胁：云资源软件故障、云资源配置错误、黑客攻击、恶意软件等。

三、云资产安全三性

1. 保密性影响：黑客或非授权用户，非法违规访问、查询或下载云资产系统和数据。
2. 完整性影响：黑客或非授权用户，非法违规对云资产中系统和数据进行增加、删除、篡改等操作。
3. 可用性影响：黑客或非授权用户，非法违规毁坏云资产的系统资源，使系统瘫痪不可用。

四、云资产安全管控

1.云资产架构梳理

       梳理云资产架构，以阿里云为例，CADT架构图工具可以自动生成架构图，而且支持自定义修改，该云上架构图类似于网络拓扑图，便于用户对云资产整体架构有一个全面的了解。

   2.云资产风险评估

3、云资产安全加固

       云资产安全加固，主要包括云平台安全加固、操作系统安全加固、应用程序安全加固、安全产品配置优化、安全基线加固和安全制度优化等内容。

        完整的云资产安全管控方案，还包括云资产安全监测与审计、云资产安全巡检与维护、云资产安全应急演练等内容，因为这些内容篇幅较多，后续将撰写专文进行介绍。

五、总结

        云资产安全管控方案助力企业有效管理核心资产，符合我国网络安全相关法律法规要求，同时保障业务应用系统稳定、安全、高效运行，并为未来AI智能时代储备基础技术能力，支撑业务应用的持续创新。