数据中心威胁、漏洞和风险评估
2021/6/23
本文内容
Microsoft 24x7x365 为客户提供了 200 多个云服务。 例如,企业服务(如 Microsoft Azure、Microsoft Office 365、Microsoft Dynamics)和使用者服务(如 必应、MSN、Outlook.com、Skype 和 Xbox Live)。 这些服务托管在 Microsoft 的云基础结构中:全球分布式数据中心、边缘计算节点和服务运营中心,以及全球最大的网络之一;具有广泛的光纤占用空间,将它们全部连接在一起。 自 1989 年打开第一个数据中心以来,Microsoft 已在我们的基础结构中投资数十亿美元,并一直专注于提供可靠、可扩展和安全增强的联机服务,同时随着服务的增长高效地管理运营和成本。
Microsoft 云服务基于信任和安全性的基础构建,优先考虑使用一项技术、流程和加密保护云中的客户数据和应用程序。 客户数据存储在 Microsoft 数据中心中,这些数据中心按地理位置分布,并受深度逻辑和物理安全措施层的保护。 Microsoft 数据中心的设计与操作旨在保护服务和数据免受自然灾害、环境威胁或未经授权的访问危害。
威胁、漏洞和风险评估方法
TVRA) 威胁、漏洞 (风险评估计划可帮助你了解 Microsoft 如何识别和缓解物理和环境威胁对 Microsoft 数据中心的影响。 Microsoft 致力于不断更新其风险评估和方法,以便改进并随着条件的变化。 因此,TVRA 分析和结论可能会发生变化,报告将被视为时间点。
Microsoft 通过以下步骤促进 TVRA 流程:
风险识别
TVRA 考虑由自然和人为制造威胁引发的各种威胁 (包括意外) 危险。 结果因数据中心位置、设计、服务范围和其他因素而异。 TVRA 根据客户要求、第三方和第一方风险信息提供的风险环境的独立国家/地区、市/县和网站级别评估,选择要在 TVRA 文档中突出显示的威胁方案。 对于具有多个数据中心的区域,将聚合 TVRA 分级,以确保全面了解所评估位置的物理和环境威胁、漏洞和风险。
适用于数据中心 TVRA 评估的威胁情形类型包括:
外部威胁:外部有意或意外的人为活动导致的事件。 例如,暴力、犯罪、犯罪活动、外部盗窃、被盗的被盗设备、攻击攻击、arson、未经授权的进入和飞行崩溃。
内部威胁:由内部有意或意外的人为活动导致的事件。 例如,内部盗窃和盗窃。
自然危害:可能对数据中心造成负面影响的自然过程或危害。 例如,风暴、鸟、火灾、鸟、鸟活动,以及闪电、鸟、强风暴或强风暴。
环境威胁:可能对数据中心造成负面影响的环境条件。 例如,水压力、热压力和 <2> <2> <3>。
风险分析
根据对威胁固有风险的评估评估威胁;固有风险计算为威胁的固有影响的函数,以及威胁在缺少管理操作和控制的情况下发生威胁的固有可能性的函数。 这些评估由内部行业专家和 SME (和) 风险指数告知。
剩余风险
在考虑了控制有效性之后,将剩余风险确定为剩余风险级别的度量。 控制有效性是作为当前管理操作和控制措施的度量进行评估,旨在防止或检测威胁,同时评估控制措施按设计和实现实现所需的效果的可能性。 可通过内部 SME 对 TVRA 中注明的数据中心位置的控制措施有效性的累积反馈来了解这些评估。
报告
评估完成后,将生成 TVRA 报告以用于管理审批和支持与风险管理相关的总体工作。
资源
扫一扫
688
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
