在决定迁移到云环境前,云用户应该考虑云服务提供商的安全侦查能力。在选择云服务时的一个条件是,确认云服务提供商是否具有安全监控中心( Security peration Center ,SOC) 及合适的安全事件管理制度。 云用户及云服务提供商应该对安全事件的定义有共识。事实上,对于跨境提供云服务来说,云安全事件管理是强制性的。云用户及云服务提供商可能来自于不同的法律管辖区,如果遇到泄露个人资料的案例,则该事故的影响可能因所在地而有不同的认知含义。泄露个人资料,对于美国服务商而言,可能无关紧要,但对于欧洲云用户来说,其后果可能非同小可。 通信安全事件的处理程序及升级通报,也需要在云服务合同中确定出来。
观察云服务提供商使用哪些安全事件管理工具,也可以帮助我们了解其在安全事件管理的成熟度。
安全事件晌应
计算机鉴定
为了确认案件中的事实,计算机鉴定涉及数字数据的识别、收集、分析及显示。在识别阶段,会根据实际个案状况与客户一起辨识可能的证据。
数据收集包括以建立犯罪现场一样的严谨程度,来调查并仔细地保存证据,保护并确认证据的完整性。在分析期间,仔细分析证据并客观评估结果,最后进行结论检讨,调查结果确定并完成结论记录文挡后结案。
云的挑战
对取证专家来说,资料收集阶段会是最大的挑战。一般计算机鉴定的取证通常从存储介质开始建立点对点的复制程序,但是这样的方式在云几乎是不可行的。对云用户而言(也包括取证专家) ,通常无法知道提供商使用哪种存储工具来存储资料,大概也无从得知存储实体的位置。云鉴定数据收集需要采取替代方案定性的步骤。取证专家必须利用逻辑接口,如虚拟目录、数据库等来收集数据。现在,有些云提供商除了留存数据记录外,也留存散列函数值( Hash Fnnction) ,即为数字指纹,这些可用于鉴定分析。
云用户及提供商必须在服务水平协议中先规定这些步骤,同时要求相关技术文件以确保鉴定数据的可信度。
云鉴定调查的成功因素就是具备足够的日志文件数据(Log Data)。网络、系统及应用程序上也需要相似的日志文件。这些日志文件数据可否供取证专家获取及其保留期限都须根据法规及双方协议来界定。在此,所有系统的系统时间的同步非常重要。分析程序通常会合并不同系统的记录文件数据。只有将日志时间同步后,才能重建作业状况,而了解事故发生的来龙去脉。