云计算供应链遭遇重大安全风险！AMI MegaRAC BMC 曝两大关键漏洞

边界内的主机防御主要是一些防恶意软件。但是网络边界上的防护措施并不能阻隔所有的威胁。IT基础资源集中化的趋势，以及客户的不断上云，将会使得云安全的变得愈来愈重要。如果云平台的安全等级以及防护出现问题，其结果将会是致命的。云安全与传统的信息安全所涉及的安全层次基本相同，包括物理安全、主机安全、网络安全、边界安全、应用安全、数据安全、管理安全7大类。

云计算的发展及普及应用，降低了软硬件成本、提高了数据的可靠性，其业务按需快速定制， 时间快。但是由于云计算的开放及共享虚拟特性，使得存贮其上的信息必然面临信息安全的挑战。怎样才能使得云计算安全运行于互联网中是大家一直在探讨的问题。针对互联网环境中云计算运 行的传统及固有安全问题，我们进行了详细的阐述，并提出了科学、有效的信息安全防护方案，希 望对云计算运行以及互联网的健康发展起到积极作用。

近日，天融信荣获由中国信息安全测评中心颁发的《国家信息安全测评信息安全服务资质证书-云计算安全类一级》资质。依托分布全国的大规模监测分析引擎集群，结合天融信安全专家团队7×24小时云端值守，支撑企业用户、合作伙伴在线的全托管、半托管或独立运营模式，一站式解决安全问题。目前天融信云安全资源池已在政府、运营商、能源、医疗、交通等众多行业中广泛应用。

为此，我国建立了云计算服务安全评估制度，并发布实施了相关国家标准。附录A给出了不同安全能力级别选择及相关要求的汇总情况。标准在修订过程中通过研究对比，基本涵盖了FedRAMP安全控制基线高级要求。二是总结云计算安全评估工作经验，将原增强要求中要求偏高的内容调整到高级保护要求，如采用自动机制。

作者丨山志 出品丨等级保护测评 2017年6月1日《网络安全法》正式实施，网络安全等级保护进入有法可依的“等保”时代。网络安全等级保护较最大的特点是等级保护对象在原有的传统系统上增加了云计算、大数据、物联网等新...

云内安全态势采用多维分析技术，度量IT云池内风险，分析研判威胁，快速识别云内威胁状态分布与趋势，全面展示云内安全态势。终端安全防护在中国联通某分公司DCN网物理服务器上以轻代理的方式部署天融信终端威胁防御系统，实现终端防病毒以及物理主机间的访问控制。基因识别通过基因识别技术不仅能够减少EDR在DCN网物理服务器上占用的资源池，还能快速解决变种病毒，确认病毒种族归属范围。

云服务商的二级供应链由上述一级供应商的外部供应商所组成。开源软件社区由于资源缺乏等导致的自身安全性问题、交付途径安全威胁会严重影响到云服务商的供应链安全。

一系列供应链安全事件的发生，使全球化信息化趋势下的供应链安全问题日益引发各国关注。本文将就云服务商供应链安全理念、最佳实践和相关方法进行简要介绍，以期能对包括云服务商在内的 CII 运营者有所参考和借鉴。