11、基于云系统的安全控制框架解析

基于云系统的安全控制框架解析

1. 组织控制与治理主体的引入

在云环境中，为减少员工诸如不遵守安全规定等不良行为，惩罚是一种有效的组织控制手段。惩罚通常被视为促使行为改变的有效方式，它能在员工心中产生焦虑，从而促使他们改变行为以符合组织政策。然而，现有的云安全解决方案存在局限性，且针对特定领域，外部实施这些方案既费力又耗时。因此，需要一个整合所有方法的解决方案，即治理主体。

治理主体的出现是为了解决云服务提供商与用户之间透明度不足的问题。由于云服务提供商需要对安全程序信息保密以减少安全漏洞，这导致用户对云服务提供商失去信任，不愿在云端存储重要数据，从而影响了云计算的发展潜力。治理主体作为云服务提供商和云终端用户之间的接口，将提供组织控制。它具有独立性，不受双方实体的影响，负责云环境内的所有行动。云服务提供商需向治理主体注册，由其评估相关技术的所有程序和方法。

2. 治理主体的功能

2.1 数据中心控制

随着应用程序向云端迁移，风险因素增加，传统数据控制方法需要改进以应对云环境中的安全和隐私挑战。数据中心作为云环境中风险最高的实体，存储着所有用户数据，云服务提供商必须确保其安全。治理主体应持续监控安全威胁，获取并实施相应的解决方案，如数据复制设施和热站点灾难恢复服务，以保证数据中心的安全和数据备份，确保灾难发生时业务的连续性。

2.2 政策制定与控制

云环境中的安全功能对于确定云的安全级别至关重要。治理主体将起草安全政策，涵盖云安全功能的各个层面，如防火墙、防病毒软件、虚拟化类型和虚拟机管理程序的使用等。这些功能可能因云服务提供商的预算而异，治理主体和云服务提供商将共同确定安全功能，并在云部