分类: 云计算
2012-02-04 21:48:17
这个白皮书手册是谷歌让其安全措施、政策及涉及到谷歌应用程序套件的技术更透明,最终目的是是为了使用户放心。当然,白皮书还旨在向当前和潜在客户保证该公司强大而广泛的安全基础。http://www.google.com/intl/en/corporate/security.html
也是谷歌创建的特殊门户,供使用应用程序的用户了解其隐私政策和安全问题。
这份白皮书是既有google所提供的服务后的技术架构的安全,又阐述了google公司自身的安全管理。
附件:
Gogle_Apps_Security_Whitepaper.pdf
背景:
由于云服务的兴起,大家不仅越来越关注数据的所有权和保护,同时各厂商也在建立云计算技术的实施和服务,而安全专家、最终用户和企业都在
服务。安全专家,终端用户及企业都在考虑云计算模型的安全影响。
google的安全管理
blur,blur.blur, 和ISO27001的安全域比较类似,就不多说了。
Google Corporate Security Policies
Google的安全理念
在这个链接上都可以看到(这里主要是针对用户使用google的云服务会涉及的安全风险、问题的答疑,以及用户可以通过其进行互动,提交安全漏洞)
http://www.google.com/intl/en/corporate/security.html
Google的安全组织:
Information Security(信息安全)
有专职信息安全团队,是由一些世界一流专家组成(专场与信息、应用,网络安全方面),整个安全团队嵌入在谷歌软件开发团队和管理公司整体运作的机构中。这个团队负责维护公司的外围防御系统,建立安全评审机制,并建立基于企业特点个性化定制的安全基础设施,还有一项最重要的工作就是建立健全的信息安全制度体系以及将这些策略实施下去。
Global Internal Audit and Global Compliance(审计及合规)
另外,除了以上的主要工作,还负责公司的内审以及对国际标准的合法合规(内审以及对外应审等)工作。如塞班斯法案、PCI等。
Physical Security(物理安全)
全球性的团队,总部在美国,负责公司办公环境安全以及数据中心安全。
Google在各方面的具体安全措施
资产分类与控制
信息存取:具体并不是讲的google内部的信息管理,而是主要阐述google的分布式计算来存储用户信息,无单点故障,程序的调用需要认证和授权等。
数据删除
用户数据一旦被删除,就将不再会被程序使用
人员安全
1、有保密协议,必须承认收到并遵守政策在谷歌的员工手册;
2、新员工培训
3、根据雇员的具体的工作角色,可以申请额外的(和其岗位关联紧密的)安全培训和政策,
4、google提供机密报告机制,鼓励员工匿名举报任何违反商业道德的事件,并确保员工的匿名性。
另外,google对一经录用的员工,有背景调查,将验证个人教育和以往的就业,并进行内部和外部参考检查。在当地的劳动法律、法规许可,谷歌也可以进行犯罪,信用,移民,和安全检查。程度的背景检查是依赖于所需位置。
。。。后面还针对物理环境安全、操作安全、网络安全、操作系统安全等方面进行了阐述。