ISO/IEC27040标准云数据管理接口（CDMI）安全

ISO/IEC27040 标准云数据管理接口（CDMI）安全 一、条款、目标、控制措施 A确保传输层安全（TLS）用于所有交易； B查询云服务提供商CDMI实现的安全能力并根据提供的安全性是否足够做出基于风险的决策； C认证CDMI实体（服务器的证书和客户端的HTTP基本认证）； D使用CDMI域名为身份验证映射到外部身份验证提供位置； E启用CDMI安全日志，定期、及时地从相应的日志队列中检索安全事

ISO27040标准云计算存储安全

一、条款、目标、控制措施 A 确保传输安全性用于所有事务： B 当敏感数据存储在第三方云环境中时，应使用静态数据加密（和适当的密钥管理过程）来防止未经授权的方访问； C 确保用户注册安全，并使用强密码验证来保护对数据的访问； D 采用访问控制，防止来自其他租户的未经授权的访问，同时为被允许访问数据的用户提供适当的访问权限； E 使用提供的清理功能清除云计

ISO27040标准基于SMB/CIFS的NAS控制措施

一、条款、目标、控制措施 A 对SMB/CIFS导出的文件系统应用访问控制 ； B 通过为客户端和NAS设备启用SMB签名来限制SMB/CIFS客户端行为； C SMB/CIFS服务器上的安全数据： -尽可能启用CIFS审核； -持续审查CIFS共享和相关访问控制中的内容； -必要时对静止数据进行加密； -防范恶意软件（如病毒、蠕虫、rootkit等）。 D 使用强身份验证（NTLMv2、Kerberos）实现CIFS。 二、企业要做的内容 1.准

ISO27040标准基于NFS的NAS 控制措施

一、条款、目标、控制措施 A.对NFS导出的文件系统应用访问控制， B.限制NFS客户端行为 C. NFS服务器上的安全数据 -导出的文件系统应位于其自己的分区中，以防止攻击者在导出的文件系统满之前写入该文件系统而导致系统降级； -必要时对静止数据进行加密； -不允许管理文件系统（例如，/etc）的NFS导出； -防范恶意软件（如病毒、蠕虫、rootkit等）； -持续监视放置在NFS共享和相

ISO27040标准IP存储控制措施

一、条款、目标、控制措施 A 通过基于源IP地址和协议的筛选来控制对iSCSI发起程序的访问； B实施iSCSI安全措施，包括： -双向质询握手身份验证协议（CHAP）身份验证，使用随机质询（即不重复），应在所有iSCSI实现中同时用于发起方和目标方； -当敏感或高值数据可能暴露时，应使用IPsec保护通信通道； -Internet存储名称服务（iSNS）、SLP、DNS基础设施应与适当的安全控制一起使用

ISO27040标准光纤通道（FC）存储控制措施

一、条款、目标、控制措施 A应使用LUN掩蔽和映射（WWN筛选）以及其他访问控制机制来限制对存储的访问 B实施FCP安全措施，包括： -所有服务器和交换机都应使用使用FC-SP-2 AUTH-A（请参阅C.7）的相互身份验证；尽可能利用集中身份验证服务； -如果可能，应使用ESP_Header11对离开受保护区域（例如物理控制数据中心的范围）的光纤通道连接进行加密。 C实施静态数据加密措施，包括：