PS:虚拟化是实现云的一种技术,
适用范围:如果单位仅采用vmare虚拟机技术,并未使用到云计算技术,测评时无需云计算的扩展标准,因为用了云扩展要求,会出现很多条款是不满足的,对于后期出报告很麻烦
云的5个特征
PS:像大数据分析平台就属于Paas;传统是卖lisence,用户自己部署,云就是注册一个账号,像office365,云盘等
PS:部委自建的私有云平台、政务云平台的自己开发自己使用就属于同一实体,很多云条款就可以不做要求
PS:SaaS服务模式下测什么:(电子邮件系统举例)
电子邮件系统部署在比如阿里云、腾讯云提供的电子邮件服务,员工都是登陆这些云平台,然后员工账号由云平台提供的一个组织架构账户,然后单位有个超级管理员账户,可以登陆这个电子邮件系统后台有权限去创建账户和分配权限,这种一般就是SaaS模式。如果该单位所有员工自行到电子邮件系统去注册、使用,这就不属于SaaS模式,没有租户的概念了,就属于传统的电子邮件平台,也就用不到云的标准了
云的判断:关键看有没有租户的概念的在里面。
SaaS模式的电子邮件系统怎么测:有没有采购一些安全服务,防止垃圾和病毒邮件攻击,测电子邮件的账户体系,有没有定期强制更换口令,传输的数据是否加密。。。
PS:如果是同一主体单位,很多条款不适用了,比如云平台应该在客户的授权前提下才能对客户的数据进行操作或者备份等。
PS:注意最后一句话,云扩展要求有点类似于管理要求,不是针对某一个具体设备或应用,它一定是全局要求
容器类的技术不属于云扩展要求
PS:c、d条类似《黑客帝国》里的黑衣人,虚拟机逃逸
PS:访问控制a条款就是针对云的,vmware那种就没有了(访问控制随迁)
PS:数据备份b:云服务商的物理机房是不公开的(一般是保密的),但可以提供查询华东1这样的大概位置
c):三副本(针对云服务商)
剩余信息保护a:一般也是参照云平台提前做好的检测报告(由云管理平台实现,一般采用多次写零操作)
============================================================================
PS:终端设备+app+无线网络
PS:伪基站、app加壳等风险
PS:比如电厂,以前不允许使用无线WiFi,现在有智能电厂,但是wifi不能覆盖到电厂外面,防止被破解
PS:边界网关设备(访问控制用)
PS:千万把一个移动app或者无线网络或者一个无线终端单独定级,一定是三者同步的
、