1、云安全标准概况国外云安全组织及标准国外云安全组织及标准1 1国内云安全组织及标准国内云安全组织及标准2 2云安全标准之我见云安全标准之我见3 3目目 录录国外云安全组织及标准国外云安全组织及标准国内云安全组织及标准国内云安全组织及标准2 2云安全标准之我见云安全标准之我见3 3目目 录录1 1云安全标准机构云安全标准机构国外云安全组织及标准国外云安全组织及标准 -云安全标云安全标准准1目前主要的云安全标准机构,有:目前主要的云安全标准机构,有:ISO/IEC ISO/IEC 第一联合技术委员会第一联合技术委员会(ISO/IEC JTC1)(ISO/IEC JTC1)国际电信联盟国际电信联盟-电
2、信标准化部电信标准化部(ITU-T)(ITU-T)美国国家标准技术研究所(美国国家标准技术研究所(NISTNIST)区域标准组织(美国)区域标准组织(美国)CIOCIO委员会委员会 欧洲网络与信息安全管理局(欧洲网络与信息安全管理局(ENISA ENISA)开放式组织联盟(开放式组织联盟(TheOpenGroupTheOpenGroup)云安全标准机构云安全标准机构国外云安全组织及标准国外云安全组织及标准 -云安全标云安全标准准11、ISO/IEC第一联合技术委员会第一联合技术委员会(ISO/IEC JTC1)l 组织类型:组织类型:联合国下属机构联合国下属机构l 组织简介:组织简介:1987
3、1987年年ISOISO与与IECIEC两大国际标准组织联合两大国际标准组织联合组建了第一个联合技术委员会。组建了第一个联合技术委员会。l 组织成员:组织成员:JTC1JTC1的成员类型分为三种:参加成员的成员类型分为三种:参加成员(P-MEMBERP-MEMBER)、观察成员()、观察成员(O-MEMBERO-MEMBER)和联络成员。)和联络成员。目前目前,JTC1,JTC1有有2727个参加成员个参加成员(中国包含其中中国包含其中)、3838个观个观察成员、察成员、1616个内部联络员及个内部联络员及2222个外部联络员个外部联络员l 在云计算领域的标准化工作主要由在云计算领域的标准化工
4、作主要由JTC1JTC1下工作组下工作组SC38SC38来完成。来完成。主席:主席:Ms.KarenMs.KarenHigginbottom(USA)Higginbottom(USA)秘书:秘书:Mrs.Lisa Mrs.Lisa Rajchel(USA)Rajchel(USA)云安全标准机构云安全标准机构国外云安全组织及标准国外云安全组织及标准 -云安全标云安全标准准11、ISO/IEC第一联合技术委员会第一联合技术委员会(ISO/IEC JTC1)l 已有的云安全相关标准:已有的云安全相关标准:开放虚拟机格式(标准)开放虚拟机格式(标准)20112011年年8 8月完成月完成 描述了虚拟机
5、迁移的文件格式及打包方法,描述了虚拟机迁移的文件格式及打包方法,可以对虚拟机进行应用程序细粒度的打包迁可以对虚拟机进行应用程序细粒度的打包迁移。移。云计算安全与隐私管理系统(标准草案)云计算安全与隐私管理系统(标准草案):为云计算服务过程中的安全控制提供指导;为云计算服务过程中的安全控制提供指导;目前正在制定过程目前正在制定过程主席:主席:Ms.KarenMs.KarenHigginbottom(USA)Higginbottom(USA)秘书:秘书:Mrs.Lisa Mrs.Lisa Rajchel(USA)Rajchel(USA)云安全标准机构云安全标准机构国外云安全组织及标准国外云安全组织
6、及标准 -云安全标云安全标准准12、国际电信联盟、国际电信联盟-电信标准化部(电信标准化部(ITU-T)l 组织类型:组织类型:联合国下属机构联合国下属机构l 组织简介:组织简介:电信标准化部(电信标准化部(ITU-TITU-T,ITU ITU Telecommunication Standardization Sector Telecommunication Standardization Sector)是国际电信)是国际电信联盟管理下联盟管理下,专门制定远程通信的相关国际标准组织。专门制定远程通信的相关国际标准组织。l 组织成员:组织成员:主要来自世界上大多数电信业务提供商、软件生主要来自
7、世界上大多数电信业务提供商、软件生产商等,目前已有产商等,目前已有190190多个政府机构和多个政府机构和700700多个私营部门实体。多个私营部门实体。云安全标准机构云安全标准机构国外云安全组织及标准国外云安全组织及标准 -云安全标云安全标准准12、国际电信联盟、国际电信联盟-电信标准化部(电信标准化部(ITU-T)l 已有的云安全相关标准已有的云安全相关标准 云计算焦点组(云计算焦点组(Focus Group on Cloud ComputingFocus Group on Cloud Computing,FG FG Cloud Cloud)20102010年年6 6月成立月成立 正在制定
8、云安全、威胁与需求(标准草案),文正在制定云安全、威胁与需求(标准草案),文档计划档计划20112011年年5 5月完成月完成 电信云安全研究小组电信云安全研究小组-SG17-SG17 20092009年成立年成立 电信领域云计算安全指南电信领域云计算安全指南 计划于计划于20122012年年3 3月完成月完成云安全标准机构云安全标准机构国外云安全组织及标准国外云安全组织及标准 -云安全标云安全标准准13、美国国家标准技术研究所(、美国国家标准技术研究所(NIST)l 组织类型:组织类型:区域区域(美国美国)标准机构标准机构l 组织简介:组织简介:电信标准化部(电信标准化部(ITU-TITU-
9、T,ITU Telecommunication ITU Telecommunication Standardization Sector Standardization Sector)是国际电信联盟管理下)是国际电信联盟管理下,专门制定远程通专门制定远程通信的相关国际标准组织。信的相关国际标准组织。l 云计算安全工作组(云计算安全工作组(NCC-SWGNCC-SWG)20112011年年1 1月份成立月份成立 目前已进行了目前已进行了1717次云安全小组研讨会。次云安全小组研讨会。云安全标准机构云安全标准机构国外云安全组织及标准国外云安全组织及标准 -云安全标云安全标准准13、美国国家标准技术
10、研究所(、美国国家标准技术研究所(NIST)l NISTNIST云安全标准制定路线图云安全标准制定路线图开发出一种具有权威性的开发出一种具有权威性的“云安全服务体系架构云安全服务体系架构”,这种架构能够映,这种架构能够映射到其他云计算体系中去;射到其他云计算体系中去;识别云安全面临威胁,并对威胁进行相应地分类;识别云安全面临威胁,并对威胁进行相应地分类;确定哪些安全服务能解决云中可能遇到威胁;确定哪些安全服务能解决云中可能遇到威胁;针对相应地威胁,对安全控制做一个形式化映射针对相应地威胁,对安全控制做一个形式化映射确定安全管理(包括合规)域,并将安全控制映射到域中;确定安全管理(包括合规)域,
11、并将安全控制映射到域中;云安全战略实施与评估;云安全战略实施与评估;云安全标准机构云安全标准机构国外云安全组织及标准国外云安全组织及标准 -云安全标云安全标准准13、美国国家标准技术研究所(、美国国家标准技术研究所(NIST)l 相关云安全标准相关云安全标准云计算参考体系架构云计算参考体系架构(标准)(标准)定义云计算体系架构,架构组成部件及面临的安全与隐私定义云计算体系架构,架构组成部件及面临的安全与隐私 完全虚拟化技术安全指南完全虚拟化技术安全指南(标准)(标准)虚拟机隔离、虚拟机监控以及虚拟面临的安全威胁虚拟机隔离、虚拟机监控以及虚拟面临的安全威胁云计算安全障碍与缓和措施(草案)云计算安
12、全障碍与缓和措施(草案)对各种不同部署平台可能面临的安全威胁进行了详尽的分对各种不同部署平台可能面临的安全威胁进行了详尽的分析,并提出了应对措施。析,并提出了应对措施。公共云计算中安全与隐私(草案)公共云计算中安全与隐私(草案)对公有云中身份管理和隐私保护进行标准化对公有云中身份管理和隐私保护进行标准化通用云计算环境通用云计算环境(草案草案)规范了云安全访问控制模型中的安全访问边界规范了云安全访问控制模型中的安全访问边界云安全标准机构云安全标准机构国外云安全组织及标准国外云安全组织及标准 -云安全标云安全标准准13、美国国家标准技术研究所(、美国国家标准技术研究所(NIST)l NISTNIS
13、T为云安全构建一个完整的标准体系为云安全构建一个完整的标准体系云计算参考体系架构云计算参考体系架构提出提出NISTNIST云参考体系架构,云参考体系架构,定义了云计算中部署模型、各层的组成及参与实体定义了云计算中部署模型、各层的组成及参与实体云消费者:向云提供商按需购买服务云消费者:向云提供商按需购买服务云提供商:为个人、组织等实体云提供商:为个人、组织等实体提供云服务提供云服务云审计:第三方机构,对云服云审计:第三方机构,对云服务进行客观的评测务进行客观的评测云承载:属于中间层,为云客云承载:属于中间层,为云客户与云提供商提供信息交互户与云提供商提供信息交互云经纪人:负责管理云服务的使用、性
14、能和部云经纪人:负责管理云服务的使用、性能和部署,并协调云消费者与云提供商的关系署,并协调云消费者与云提供商的关系公共云计算中安全与隐私:对公有云中身份管公共云计算中安全与隐私:对公有云中身份管理和隐私保护进行标准化理和隐私保护进行标准化完全虚拟化技术安全指南完全虚拟化技术安全指南:完全虚拟化技:完全虚拟化技术(在一台机器上虚拟多个术(在一台机器上虚拟多个OSOS)的中虚拟机隔)的中虚拟机隔离、虚拟机监控等面临的安全威胁离、虚拟机监控等面临的安全威胁云安全标准机构云安全标准机构国外云安全组织及标准国外云安全组织及标准 -云安全标云安全标准准1l 组织类型:组织类型:区域区域(美国美国)标准机构
15、标准机构l 组织简介:组织简介:CIOCIO委员会委员会(Chief Information Officers(Chief Information Officers Council)Council)成成立于立于20022002年,属于美国政府机构,成员主要由来自其他年,属于美国政府机构,成员主要由来自其他2828个政府部分个政府部分的首席技术人员组成。的首席技术人员组成。l 20102010年年2 2月,与月,与 NISTNIST、GSA(General Services Administration)GSA(General Services Administration)、CIOCIO以及以
16、及ISIMC(Information Security and Identity Management ISIMC(Information Security and Identity Management Committee)Committee)一起合作完成一起合作完成美国政府云计算风险评估方法美国政府云计算风险评估方法4、CIO委员会委员会云安全标准机构云安全标准机构国外云安全组织及标准国外云安全组织及标准 -云安全标云安全标准准14、CIO委员会委员会美国政府云计算风险评估方法美国政府云计算风险评估方法 基于标准化流程的风险评估:基于标准化流程的风险评估:提出将云计算置于联邦监控之下的提出
17、将云计算置于联邦监控之下的方法及流程;明确了联邦政府、方法及流程;明确了联邦政府、云提供商以及评估小组在云安云提供商以及评估小组在云安全中的作用和职责。全中的作用和职责。部门部门X X需要新的需要新的基于云的基于云的ITIT系统系统部门部门X X从从FedRAMP获得安获得安全需求全需求部门部门X X将获得安将获得安全需求转给全需求转给CSPCSP部门部门X X向向FedRAMP申请授申请授权权CSPCSP运行运行FedRAMP将将CSPCSP加入到授权日志加入到授权日志CSPCSP和部门启动和部门启动授权程序授权程序CSPCSP、部门和、部门和FedRAMP重审安重审安全需求全需求FedRA
18、MP和和CSPCSP一起建立系统安一起建立系统安全方案全方案CSPCSP进行独立的进行独立的安全评估并提交安全评估并提交安全报告安全报告FedRAMP检查报检查报告并给告并给JABJAB形成形成授权文档授权文档JABJAB最终审查并最终审查并授权授权CSPCSP执行执行FedRAMP将将CSPCSP加入授权清单加入授权清单FedRAMP对对CSPCSP进行持续不间断进行持续不间断监控监控云安全标准机构云安全标准机构国外云安全组织及标准国外云安全组织及标准 -云安全标云安全标准准1l 组织类型:组织类型:区域区域(欧洲欧洲)标准机构标准机构l 组织简介:组织简介:ENISAENISA(The E
19、uropean Network and Information The European Network and Information Security AgencySecurity Agency)成立于)成立于20042004年,总部设在希腊的伊拉克利年,总部设在希腊的伊拉克利翁。目的是提高欧洲网络与信息安全。翁。目的是提高欧洲网络与信息安全。l 20102010年年2 2月,云安全标准化方面主要关注云计算中风险评估和月,云安全标准化方面主要关注云计算中风险评估和风险管理等,由风险管理等,由ENISAENISA下下WG NRMPWG NRMP工作小组负责。工作小组负责。5、欧洲网络与信息安
20、全管理局(、欧洲网络与信息安全管理局(ENISA)云安全标准机构云安全标准机构国外云安全组织及标准国外云安全组织及标准 -云安全标云安全标准准1l 与云安全相关标准与云安全相关标准 云计算云计算-信息安全保障框架信息安全保障框架(标准)(标准)分析云服务体系架构分析云服务体系架构,评估采用云服务后的风险,减轻评估采用云服务后的风险,减轻云服务提供商需担保的负担云服务提供商需担保的负担 云计算云计算-信息安全的好处,风险和建议信息安全的好处,风险和建议(标准)(标准)云风险的详细分类:首先定义了云里的风险类型、资云风险的详细分类:首先定义了云里的风险类型、资产类型、脆弱性类型,对风险详细分类并给
21、出其可能产类型、脆弱性类型,对风险详细分类并给出其可能性、影响大小、与脆弱性的关系、影响资产风险等级。性、影响大小、与脆弱性的关系、影响资产风险等级。5、欧洲网络与信息安全管理局(、欧洲网络与信息安全管理局(ENISA)云安全标准机构云安全标准机构国外云安全组织及标准国外云安全组织及标准 -云安全标云安全标准准1云计算云计算-信息安全的好处,风险和建议信息安全的好处,风险和建议5、欧洲网络与信息安全管理局(、欧洲网络与信息安全管理局(ENISA)首先定义了云里的风险类型、资产类型、脆弱性类型,然首先定义了云里的风险类型、资产类型、脆弱性类型,然对风险详细分类并给出其可能性、影响大小、与脆弱性的
22、对风险详细分类并给出其可能性、影响大小、与脆弱性的关系、影响资产风险等级。关系、影响资产风险等级。数据锁定数据锁定管理缺失管理缺失一致性挑战一致性挑战由于合租者引起的商由于合租者引起的商业信用损失业信用损失云服务终止或失效云服务终止或失效云服务提供商违约云服务提供商违约 资源耗尽资源耗尽隔离失效隔离失效云服务商内部恶意行云服务商内部恶意行为为数据传输被截获数据传输被截获不安全或无效的数据不安全或无效的数据删除删除密钥丢失密钥丢失恶意探测和扫描恶意探测和扫描 司法权变更司法权变更数据保护风险数据保护风险软件授权风险软件授权风险网络破坏网络破坏网络流量篡改网络流量篡改权限放大权限放大社会工程学攻击
23、社会工程学攻击运行、安全日志丢失运行、安全日志丢失非授权访问非授权访问 策略和管理风险策略和管理风险技术风险技术风险法律风险法律风险非云特有风险非云特有风险风风险险云安全标准机构云安全标准机构国外云安全组织及标准国外云安全组织及标准 -云安全标云安全标准准16、开放式组织联盟、开放式组织联盟l 组织类型:组织类型:工业组织联盟工业组织联盟l 组织简介:组织简介:由厂家中立、技术中立的工业联盟,旨在开放标准和全由厂家中立、技术中立的工业联盟,旨在开放标准和全球互操作性的基础上,实现企业内部和企业之间的无边界的信息技术球互操作性的基础上,实现企业内部和企业之间的无边界的信息技术交流。交流。l 成员
24、:成员:包括包括OracleOracle,IBM,HP,Capgemini,Fujitsu,Hitachi,IBM,HP,Capgemini,Fujitsu,Hitachi,Orbus Software,Kingdee,NEC,SAP,US Department of Defense,Orbus Software,Kingdee,NEC,SAP,US Department of Defense,NASANASA等知名企业和政府机构。等知名企业和政府机构。组织成员结构图组织成员结构图云安全标准机构云安全标准机构国外云安全组织及标准国外云安全组织及标准 -云安全标云安全标准准16、开放式组织联盟、
25、开放式组织联盟l 云安全相关的工作组及活动云安全相关的工作组及活动云工作组(云工作组(Cloud Work GroupCloud Work Group)20092009年年1010月成立,月成立,工作组的标准由组织成员制定的,但非成员也可以参与讨工作组的标准由组织成员制定的,但非成员也可以参与讨论。论。云安全标准云安全标准 云计算标准(标准)云计算标准(标准)该标准对云计算体系架构进行标准化,包括:通用云架构,该标准对云计算体系架构进行标准化,包括:通用云架构,云服务质量云服务质量QOSQOS,云安全,服务虚拟定价。,云安全,服务虚拟定价。云安全和云安全和SOASOA参考架构(标准)参考架构(
26、标准)构建面向构建面向SOASOA的云安全参考架构,涉及云中数据存储安全,的云安全参考架构,涉及云中数据存储安全,数据可信,数据可信,QOSQOS,审计和数据所有者隐私保护等领域,审计和数据所有者隐私保护等领域云安全标准建议组织云安全标准建议组织国外云安全组织及标准国外云安全组织及标准 -云安全建议白云安全建议白皮书皮书1国际上比较具有影响力的云安全组织,有:国际上比较具有影响力的云安全组织,有:云安全联盟(云安全联盟(CSACSA)分布式管理任务组(分布式管理任务组(DMTFDMTF)结构化信息标准促进组织(结构化信息标准促进组织(OASISOASIS)云安全标准建议组织云安全标准建议组织国
27、外云安全组织及标准国外云安全组织及标准 -云安全建议白云安全建议白皮书皮书1l 组织性质:组织性质:工业组织联盟工业组织联盟l 组织简介:组织简介:电信安全联盟电信安全联盟CSA(Cloud Security Alliance)CSA(Cloud Security Alliance),20092009年年4 4月月成立,目标是推广云安全的最佳实践方案,开展云安全培训。成立,目标是推广云安全的最佳实践方案,开展云安全培训。l 组织成员:组织成员:包括包括 100100多家来自全球多家来自全球ITIT企业加盟,并与企业加盟,并与ITUITU、ENISAENISA等二等二十家标准组织及机构合作,在云
28、安全最佳实践与标准制定方面具有很大十家标准组织及机构合作,在云安全最佳实践与标准制定方面具有很大的影响力有影响力。的影响力有影响力。1、云安全联盟(、云安全联盟(CSA)云安全标准建议组织云安全标准建议组织国外云安全组织及标准国外云安全组织及标准 -云安全建议白云安全建议白皮书皮书11、云安全联盟(、云安全联盟(CSA)l 在云安全标准化工作方面在云安全标准化工作方面 以白皮书的形式向全球发布云安全方面的参考与建议。以白皮书的形式向全球发布云安全方面的参考与建议。已完成云计算面临的严重威胁、关键领域的云计算安全指已完成云计算面临的严重威胁、关键领域的云计算安全指南、南、身份隐私与接入安全身份隐
29、私与接入安全等等3 3项标准化建议项标准化建议 发布了如何保护云数据、定义云安全:六种观点等发布了如何保护云数据、定义云安全:六种观点等2 2项云安项云安全相关的建议书。全相关的建议书。云安全标准建议组织云安全标准建议组织国外云安全组织及标准国外云安全组织及标准 -云安全建议白云安全建议白皮书皮书11、云安全联盟(、云安全联盟(CSA)CSACSA:云模型、安全控制和合规模型的映射:云模型、安全控制和合规模型的映射云参考模型云参考模型安全控制模型安全控制模型合规模型合规模型云安全标准建议组织云安全标准建议组织国外云安全组织及标准国外云安全组织及标准 -云安全建议白云安全建议白皮书皮书12、分布
30、式管理任务组(、分布式管理任务组(DMTF)l 组织性质:组织性质:工业组织联盟工业组织联盟l 组织简介:组织简介:成立于成立于19921992年,目的是联合整个年,目的是联合整个ITIT行业协同行业协同开发、验证和推广系统管理标准,帮助全世界范围内简化开发、验证和推广系统管理标准,帮助全世界范围内简化管理,降低管理,降低ITIT管理成本。管理成本。l 组织成员:组织成员:包括全球包括全球160160个公司和组织。董事会成员由个公司和组织。董事会成员由DellDell、HPHP、IBMIBM、CiscoCisco、IntelIntel、AMDAMD、OracleOracle、Microsoft
31、Microsoft、EMCEMC、CACA、CitrixCitrix、VMwareVMware、HitachiHitachi、FujitsuFujitsu、BroadcomBroadcom十五家公司组成。十五家公司组成。云安全标准建议组织云安全标准建议组织国外云安全组织及标准国外云安全组织及标准 -云安全建议白云安全建议白皮书皮书12、分布式管理任务组(、分布式管理任务组(DMTF)l 云安全相关的工作组及活动云安全相关的工作组及活动20092009年年4 4月,成立了工作组月,成立了工作组-开放云标准孵化器开放云标准孵化器(Open Cloud Standard Incubator)(Ope
32、n Cloud Standard Incubator)20102010年年7 7月成立了云管理工作组月成立了云管理工作组20112011年年4 4月成立了云审计数据联邦工作组,它致力月成立了云审计数据联邦工作组,它致力于促使云供应商提高安全能力。于促使云供应商提高安全能力。云安全相关标准云安全相关标准云管理体系结构云管理体系结构 20102010年年6 6月月1818日发布日发布 云安全体系架构、云管理安全接口、租户身份云安全体系架构、云管理安全接口、租户身份管理与存储等管理与存储等云安全标准建议组织云安全标准建议组织国外云安全组织及标准国外云安全组织及标准 -云安全建议白云安全建议白皮书皮书
33、13、结构化信息标准促进组织(、结构化信息标准促进组织(OASIS)l 组织性质:组织性质:工业组织联盟工业组织联盟l 组织简介:组织简介:结构化信息标准促进组织致力于推动全球信息社会开放标准结构化信息标准促进组织致力于推动全球信息社会开放标准的开发、融合和采用。的开发、融合和采用。l 组织成员:组织成员:到到20102010年年8 8月底为止包括了月底为止包括了IBMIBM、MicrosoftMicrosoft等两百六十个来自等两百六十个来自不同国家的组织、团体、大学、研究院和公司。不同国家的组织、团体、大学、研究院和公司。云安全标准建议组织云安全标准建议组织国外云安全组织及标准国外云安全组
34、织及标准 -云安全建议白云安全建议白皮书皮书13、结构化信息标准促进组织(、结构化信息标准促进组织(OASIS)l 与云安全相关活动与云安全相关活动 云身份(云身份(IDCloudIDCloud)技术委员会)技术委员会 20102010年成立年成立 致力于解决云计算中身份管理带来的严重的安全挑战。致力于解决云计算中身份管理带来的严重的安全挑战。包括成员包括成员Red Hat,IBM,MicrosoftRed Hat,IBM,Microsoft等大型等大型ITIT企业企业 云安全相关标准云安全相关标准 身份在云中的使用身份在云中的使用 20112011年年2 2月发布月发布 对租户身份的部署,配
35、置和管理用例进行定义。对租户身份的部署,配置和管理用例进行定义。国外云安全组织及标准国外云安全组织及标准1 1国内云安全组织及标准国内云安全组织及标准2 2国内云安全组织及标准国内云安全组织及标准3 3目目 录录国外云安全组织及标准国外云安全组织及标准国内云安全组织及标准国内云安全组织及标准2 2云安全标准之我见云安全标准之我见3 3目目 录录1 11、中国通信标准化协会(、中国通信标准化协会(CCSA)l 组织简介:组织简介:20022002年年1212月月1818日在北京正式成立。日在北京正式成立。该协会是国内企、事业单位自愿联合组织起来,经该协会是国内企、事业单位自愿联合组织起来,经业务
36、主管部门批准,国家社团登记管理机关登记,业务主管部门批准,国家社团登记管理机关登记,开展通信技术领域标准化活动的非营利性法人社会开展通信技术领域标准化活动的非营利性法人社会团体团体。l 组织成员:组织成员:目前已有目前已有277277个研究组织和企业加盟。个研究组织和企业加盟。国内云安全组织及标准国内云安全组织及标准21、中国通信标准化协会(、中国通信标准化协会(CCSA)l 相关云安全标准:相关云安全标准:移动环境下云计算安全技术研究移动环境下云计算安全技术研究 由中国联合网络通信集团有限公司牵头由中国联合网络通信集团有限公司牵头 针对移动环境中云计算中面临的安全关键问题进针对移动环境中云计
37、算中面临的安全关键问题进行详细分析和研究行详细分析和研究 电信业务云安全需求和框架电信业务云安全需求和框架 由中兴通讯股份有限公司牵头由中兴通讯股份有限公司牵头 旨在构建电信业务云环境的安全业务云体系框架旨在构建电信业务云环境的安全业务云体系框架国内云安全组织及标准国内云安全组织及标准22、全国信息技术标准化技术委员、全国信息技术标准化技术委员l 组织简介:组织简介:成立于成立于 19831983年年 受国家标准化管理委员会和工业和信息化部的共受国家标准化管理委员会和工业和信息化部的共同领导同领导 下设下设1717分技术委员会和分技术委员会和1010个直属工作组个直属工作组SOASOA标准工作
38、组(标准工作组(WGSOAWGSOA)负责云计算领域)负责云计算领域的相关标准的相关标准 目前尚未发布与云安全相关标准目前尚未发布与云安全相关标准国内云安全组织及标准国内云安全组织及标准2目前可借鉴信息安全领域标准目前可借鉴信息安全领域标准身份认证与隐私保护身份认证与隐私保护 隐私保护框架隐私保护框架、隐私参照体系架构隐私参照体系架构 等等等等数据隐私与安全数据隐私与安全 公钥基础设施安全支撑平台技术框架公钥基础设施安全支撑平台技术框架、证书认证书认证系统密码及其相关安全技术规范证系统密码及其相关安全技术规范等等等等 风险评估风险评估 信息安全管理系统信息安全管理系统、风险管理风险管理-风险评
39、估技术风险评估技术等等等等国内云安全组织及标准国内云安全组织及标准234国外云安全组织及标准国外云安全组织及标准1 1国内云安全组织及标准国内云安全组织及标准2 2云安全标准之我见云安全标准之我见3 3目目 录录国外云安全组织及标准国外云安全组织及标准国内云安全组织及标准国内云安全组织及标准2 2云安全标准之我见云安全标准之我见3 3目目 录录1 1云云 for 安全?安全?service可信的云?可信的云?Trusted Cloud安全的云?安全的云?Secure Cloud可靠的云?可靠的云?Safe Cloud可控的云?可控的云?Controlled Cloud 我们对云安全的认识我们对
40、云安全的认识云安全标准之我见云安全标准之我见337云云 for 安全?安全?service可信的云?可信的云?Trusted Cloud安全的云?安全的云?Secure Cloud可靠的云?可靠的云?Safe Cloud可控的云?可控的云?Controlled Cloud 我们对云安全的认识我们对云安全的认识云能够提供持续可靠的服务云能够提供持续可靠的服务不会发生服务中断不会发生服务中断不会因故障给租户带来损失不会因故障给租户带来损失云安全标准之我见云安全标准之我见338云云 for 安全?安全?service可信的云?可信的云?Trusted Cloud安全的云?安全的云?Secure Cl
41、oud可靠的云?可靠的云?Safe Cloud可控的云?可控的云?Controlled Cloud 我们对云安全的认识我们对云安全的认识云安全标准之我见云安全标准之我见339云云 for 安全?安全?service可信的云?可信的云?Trusted Cloud安全的云?安全的云?Secure Cloud可靠的云?可靠的云?Safe Cloud可控的云?可控的云?Controlled Cloud 我们对云安全的认识我们对云安全的认识云本身是可信的云本身是可信的 云中用户的数据或者程序不会云中用户的数据或者程序不会被窃取、篡改或分析被窃取、篡改或分析云安全标准之我见云安全标准之我见340云云 fo
42、r 安全?安全?service可信的云?可信的云?Trusted Cloud安全的云?安全的云?Secure Cloud可靠的云?可靠的云?Safe Cloud可控的云?可控的云?Controlled Cloud 我们对云安全的认识我们对云安全的认识云安全标准之我见云安全标准之我见341云云 for 安全?安全?service可信的云?可信的云?Trusted Cloud安全的云?安全的云?Secure Cloud可靠的云?可靠的云?Safe Cloud可控的云?可控的云?Controlled Cloud 我们对云安全的认识我们对云安全的认识保护云以及云的用户不会受到外来的保护云以及云的用户不
43、会受到外来的攻击和损害攻击和损害恶意软件感染;数据破坏;中间人攻击;恶意软件感染;数据破坏;中间人攻击;会话劫持;用户假冒会话劫持;用户假冒 云安全标准之我见云安全标准之我见342云云 for 安全?安全?service可信的云?可信的云?Trusted Cloud安全的云?安全的云?Secure Cloud可靠的云?可靠的云?Safe Cloud可控的云?可控的云?Controlled Cloud 我们对云安全的认识我们对云安全的认识云安全标准之我见云安全标准之我见343云云 for 安全?安全?service可信的云?可信的云?Trusted Cloud安全的云?安全的云?Secure C
44、loud可靠的云?可靠的云?Safe Cloud可控的云?可控的云?Controlled Cloud 我们对云安全的认识我们对云安全的认识保证云不会被用来作恶保证云不会被用来作恶用云发动网络攻击用云发动网络攻击用云散布恶意舆论用云散布恶意舆论云安全标准之我见云安全标准之我见344云云 for 安全?安全?service可信的云?可信的云?Trusted Cloud安全的云?安全的云?Secure Cloud可靠的云?可靠的云?Safe Cloud可控的云?可控的云?Controlled Cloud 我们对云安全的认识我们对云安全的认识云安全标准之我见云安全标准之我见345云云 for 安全?安
45、全?service可信的云?可信的云?Trusted Cloud安全的云?安全的云?Secure Cloud可靠的云?可靠的云?Safe Cloud可控的云?可控的云?Controlled Cloud 我们对云安全的认识我们对云安全的认识用强大的云技术用强大的云技术来进行安全防护:来进行安全防护:云查杀云查杀云安全标准之我见云安全标准之我见346云云 for 安全?安全?service可信的云?可信的云?Trusted Cloud安全的云?安全的云?Secure Cloud可靠的云?可靠的云?Safe Cloud可控的云?可控的云?Controlled Cloud 我们对云安全的认识我们对云安
46、全的认识云安全标准之我见云安全标准之我见347云安全标准现状统计云安全标准现状统计云安全分类云安全分类安全子类安全子类相关组织、标准相关组织、标准(白皮书白皮书)云安全体系云安全体系架构及术语架构及术语NIST:云计算参考体系(标准)CSA:云计算关键领域安全指南(白皮书)ITU-T:电信领域云计算安全指南(标准草案)TheOpenGroup:云安全和SOA参考架构(标准)安全的云安全的云身份隐私与访问控制OASIS:身份在云中的使用(白皮书)CSA:云控制矩阵(白皮书),身份管理与接入控制指导建议书(白皮书),云计算安全障碍与缓和措施(白皮书)NIST:公共云计算中安全域隐私(标准草案),通
47、用云计算环境(标准草案)DMTF:云管理体系结构(白皮书)ISO/IEC:云计算安全与隐私管理系统(标准草案)虚拟运行环境安全ISO/IEC:ISO/IECDIS17203虚拟机迁移(标准草案)NIST:完全虚拟化技术安全指南(标准),云计算安全障碍与缓和措施(标准草案)云风险评估NIST:云计算安全障碍与缓和措施(标准草案)ENSIA:云计算-信息安全保障框架,云计算-信息安全的好处,风险和建议可信的云可信的云数据安全与数据隐私NIST:云计算安全障碍与缓和措施(标准草案)CSA:如何保护云数据(白皮书)云审计CSA:云审计(白皮书)可靠的云可靠的云云容灾与数据备份NIST:云计算安全障碍与
48、缓和措施(标准草案)可控的云可控的云云内容管理ISO/IEC:ISO/IECIDS13187一种多虚拟机管理通信协议(标准草案)DMTF:云管理体系结构(白皮书),云管理用例与交互(白皮书)NIST:云计算安全障碍与缓和措施(标准草案)云云for安全安全云安全标准之我见云安全标准之我见3云安全标准现状云安全标准现状云安全标准之我见云安全标准之我见3可控的云云用户行为监控可信的云安全的云可靠的云云内容安全监控云审计云信誉管理数据安全与隐私保护云身份认证与访问控制云漏洞扫描云安全风险评估云DDoS/EDoS检测云安全防御虚拟运行环境安全云备份云容灾富云(云联盟)SaaSPaaSIaaS已有标准已有
49、标准已有白皮书已有白皮书待开发待开发云安全术语云安全体系架构可信云基础设施云容错云安全标准化面临的问题云安全标准化面临的问题l 云安全的标准化尚处于初级阶段云安全的标准化尚处于初级阶段 缺乏对云安全的统一认识缺乏对云安全的统一认识 云的体系架构、云的安全威胁方面已经有一些标准及白皮书云的体系架构、云的安全威胁方面已经有一些标准及白皮书 安全的云、可信的云方面有初步的标准,尚待进一步研究安全的云、可信的云方面有初步的标准,尚待进一步研究 可靠的云、可控的云以及云可靠的云、可控的云以及云forfor安全方面的标准还处于空白阶段安全方面的标准还处于空白阶段l 我们下一步的工作我们下一步的工作统一对云安全的认识统一对云安全的认识对国外已有标准通过深入分析,决定借鉴或者采标?对国外已有标准通过深入分析,决定借鉴或者采标?开展云安全标准研究,填补国内外云安全标准空白开展云安全标准研究,填补国内外云安全标准空白云安全标准之我见云安全标准之我见350谢 谢!
