《云安全标准组织【技术专攻】》由会员分享,可在线阅读,更多相关《云安全标准组织【技术专攻】(50页珍藏版)》请在金锄头文库上搜索。
1、云安全标准概况国外云安全组织及标准国外云安全组织及标准1 1国内云安全组织及标准国内云安全组织及标准2 2云安全标准之我见云安全标准之我见3 3目目 录录国外云安全组织及标准国外云安全组织及标准国内云安全组织及标准国内云安全组织及标准2 2云安全标准之我见云安全标准之我见3 3目目 录录1 1云安全标准机构云安全标准机构国外云安全组织国外云安全组织及标准及标准 - -云安全标云安全标准准1目前主要的云安全标准机构,有:目前主要的云安全标准机构,有:ISO/IEC ISO/IEC 第一联合技术委员会第一联合技术委员会(ISO/IEC JTC1)(ISO/IEC JTC1)国际电信联盟国际电信联盟
2、-电信标准化部电信标准化部(ITU-T)(ITU-T)美国国家标准技术研究所(美国国家标准技术研究所(NISTNIST)区域标准组织(美国)区域标准组织(美国)CIOCIO委员会委员会欧洲网络与信息安全管理局(欧洲网络与信息安全管理局(ENISA ENISA )开放式组织联盟开放式组织联盟(TheOpenGroupTheOpenGroup)云安全标准机构云安全标准机构国外云安全组织国外云安全组织及标准及标准 - -云安全标云安全标准准11、ISO/IEC第一联合技术委员会第一联合技术委员会(ISO/IEC JTC1)l组织类型:组织类型:联合国下属机构联合国下属机构l组织简介:组织简介:198
3、71987年年ISOISO与与IECIEC两大国际标准组织联合两大国际标准组织联合组建了第一个联合技术委员会组建了第一个联合技术委员会。l组织成员:组织成员:JTC1JTC1的成员类型分为三种:参加成员的成员类型分为三种:参加成员(P-MEMBERP-MEMBER)、观察成员()、观察成员(O-MEMBERO-MEMBER)和联络成员。)和联络成员。目前目前,JTC1,JTC1有有2727个参加成员个参加成员( (中国包含其中中国包含其中) )、3838个观个观察成员、察成员、1616个内部联络员及个内部联络员及2222个外部联络员个外部联络员l在在云云计算领域的计算领域的标准化标准化工作工作
4、主要由主要由JTC1JTC1下工下工作作组组SC38SC38来完成来完成。主席:主席:Ms. Ms. KarenKarenHigginbottomHigginbottom(USA(USA) )秘书:秘书:MrsMrs. Lisa . Lisa RajchelRajchel ( (USA)USA)云安全标准机构云安全标准机构国外云安全组织国外云安全组织及标准及标准 - -云安全标云安全标准准11、ISO/IEC第一联合技术委员会第一联合技术委员会(ISO/IEC JTC1)l已有的已有的云安全相关云安全相关标准标准:开放虚拟机格式开放虚拟机格式(标准)(标准)20112011年年8 8月完成月完
5、成描述了虚拟机迁移的描述了虚拟机迁移的文件文件格式及格式及打包打包方法,方法,可以对虚拟机进行应用程序细粒度的打包迁可以对虚拟机进行应用程序细粒度的打包迁移。移。云计算安全与隐私管理系统云计算安全与隐私管理系统(标准草案)(标准草案): :为云计算服务过程中的安全控制提供指导为云计算服务过程中的安全控制提供指导;目前正在制定过程目前正在制定过程主席:主席:Ms. Ms. KarenKarenHigginbottomHigginbottom(USA(USA) )秘书:秘书:MrsMrs. Lisa . Lisa RajchelRajchel ( (USA)USA)云安全标准机构云安全标准机构国外
6、云安全组织国外云安全组织及标准及标准 - -云安全标云安全标准准12、国际电信联盟国际电信联盟-电信标准电信标准化化部部(ITU-T)l组织类型:组织类型:联合国下属机构联合国下属机构l组织简介组织简介:电信标准电信标准化化部部( ITU-T ITU-T,ITU ITU Telecommunication Standardization Sector Telecommunication Standardization Sector )是)是国际电信国际电信联盟管理下联盟管理下, ,专门制定远程通信专门制定远程通信的的相关国际标准组织相关国际标准组织。l组织成员:组织成员:主要来自世界上大多数电
7、信业务提供商、软件生主要来自世界上大多数电信业务提供商、软件生产商等,目前已有产商等,目前已有190190多个政府机构和多个政府机构和700700多个私营部门实体。多个私营部门实体。云安全标准机构云安全标准机构国外云安全组织国外云安全组织及标准及标准 - -云安全标云安全标准准12、国际电信联盟国际电信联盟-电信标准电信标准化化部部(ITU-T)l已有的云安全相关标准已有的云安全相关标准云计算焦点组(云计算焦点组( Focus Group on Cloud Computing Focus Group on Cloud Computing,FG FG Cloud Cloud )20102010年
8、年6 6月成立月成立正在制定正在制定云安全、威胁与需求云安全、威胁与需求(标准草案)(标准草案),文,文档计划档计划20112011年年5 5月完成月完成电信云安全研究小组电信云安全研究小组-SG17-SG1720092009年成立年成立电信领域云计算安全指南电信领域云计算安全指南计划计划于于20122012年年3 3月完成月完成云安全标准机构云安全标准机构国外云安全组织国外云安全组织及标准及标准 - -云安全标云安全标准准13、美国国家标准技术研究所美国国家标准技术研究所(NIST)l组织类型:组织类型:区域区域( (美国美国) )标准机构标准机构l组织组织简介简介:电信标准电信标准化化部部
9、( ITU-T ITU-T,ITU Telecommunication ITU Telecommunication Standardization Sector Standardization Sector )是)是国际电信联盟管理下国际电信联盟管理下, ,专门制定远程通专门制定远程通信信的的相关国际标准组织相关国际标准组织。l云计算安全工作组(云计算安全工作组(NCC-SWGNCC-SWG)20112011年年1 1月份成立月份成立目前已进行了目前已进行了1717次次云安全小组研讨会。云安全小组研讨会。云安全标准机构云安全标准机构国外云安全组织国外云安全组织及标准及标准 - -云安全标云安全
10、标准准13、美国国家标准技术研究所美国国家标准技术研究所(NIST)lNISTNIST云安全标准制定云安全标准制定路线图路线图开发出一种具有权威性的开发出一种具有权威性的“云安全服务体系架构云安全服务体系架构”,这种架构能够映,这种架构能够映射到其他云计算体系中去;射到其他云计算体系中去;识别云安全面临威胁,并对威胁进行相应地分类;识别云安全面临威胁,并对威胁进行相应地分类;确定哪些安全服务能解决云中可能遇到威胁;确定哪些安全服务能解决云中可能遇到威胁;针对相应地威胁,对安全控制做一个形式化映射针对相应地威胁,对安全控制做一个形式化映射确定安全管理(包括合规)域,并将安全控制映射到域中;确定安
11、全管理(包括合规)域,并将安全控制映射到域中;云安全战略实施与评估;云安全战略实施与评估;云安全标准机构云安全标准机构国外云安全组织国外云安全组织及标准及标准 - -云安全标云安全标准准13、美国国家标准技术研究所美国国家标准技术研究所(NIST)l相关云安全标准相关云安全标准云计算参考体系架构云计算参考体系架构(标准)(标准)定义云计算体系架构,架构组成部件及面临的安全与隐私定义云计算体系架构,架构组成部件及面临的安全与隐私 完全虚拟化技术安全指南完全虚拟化技术安全指南(标准)(标准)虚拟机隔离、虚拟机监控以及虚拟面临的安全威胁虚拟机隔离、虚拟机监控以及虚拟面临的安全威胁云计算安全障碍与缓和
12、措施(草案云计算安全障碍与缓和措施(草案)对各种不同部署平台可能面临的安全威胁进行了详尽的分对各种不同部署平台可能面临的安全威胁进行了详尽的分析,并提出了应对措施析,并提出了应对措施。公共云计算中安全公共云计算中安全与与隐私(草案隐私(草案)对对公有云公有云中中身份管理身份管理和隐私保护进行标准化和隐私保护进行标准化通用云计算环境通用云计算环境( (草案草案) )规范了规范了云安全访问云安全访问控制模型控制模型中的安全访问边界中的安全访问边界云安全标准机构云安全标准机构国外云安全组织国外云安全组织及标准及标准 - -云安全标云安全标准准13、美国国家标准技术研究所美国国家标准技术研究所(NIS
13、T)lNISTNIST为云安全构建一个完整的标准为云安全构建一个完整的标准体系体系云计算参考体系架构云计算参考体系架构提出提出NISTNIST云云参考体系架构,参考体系架构,定义了云计算中部署模型、各层的组成及参与实体定义了云计算中部署模型、各层的组成及参与实体云云消费者消费者:向云提供商按需购买服务:向云提供商按需购买服务云提供商:为个人、组织等实体云提供商:为个人、组织等实体提供云服务提供云服务云审计:第三方机构,对云服云审计:第三方机构,对云服务进行客观的评测务进行客观的评测云承载:属于中间层,为云客云承载:属于中间层,为云客户与云提供商提供信息交互户与云提供商提供信息交互云经纪人:负责
14、管理云服务的使用、性能和部云经纪人:负责管理云服务的使用、性能和部署,并协调云署,并协调云消费者消费者与云提供商的关系与云提供商的关系公共云计算中安全公共云计算中安全与与隐私隐私:对:对公有公有云云中中身份管理身份管理和和隐私保护进行标准化隐私保护进行标准化完全虚拟化技术安全指南完全虚拟化技术安全指南:完全:完全虚拟化技虚拟化技术(在一台机器上虚拟多个术(在一台机器上虚拟多个OSOS)的中)的中虚拟机隔虚拟机隔离、虚拟机离、虚拟机监控等面临监控等面临的安全的安全威胁威胁云安全标准机构云安全标准机构国外云安全组织国外云安全组织及标准及标准 - -云安全标云安全标准准1l组织类型:组织类型:区域区
15、域( (美国美国) )标准机构标准机构l组织组织简介简介:CIOCIO委员会委员会(Chief Information Officers (Chief Information Officers Council) Council) 成成立于立于20022002年,属于美国政府机构,成员主要由来自其他年,属于美国政府机构,成员主要由来自其他2828个政府部分个政府部分的首席技术人员组成的首席技术人员组成。l20102010年年2 2月,与月,与 NIST NIST、GSA(General Services Administration )GSA(General Services Administr
16、ation )、CIOCIO以及以及ISIMC(Information Security and Identity Management ISIMC(Information Security and Identity Management Committee )Committee )一起合作完成一起合作完成美国政府云计算风险评估方法美国政府云计算风险评估方法4、CIO委员会委员会云安全标准机构云安全标准机构国外云安全组织国外云安全组织及标准及标准 - -云安全标云安全标准准14、CIO委员会委员会美国政府云计算风险评估方法美国政府云计算风险评估方法基于标准化流程的风险评估基于标准化流程的风险评
17、估:提出提出将云计算置于联邦监控之下的将云计算置于联邦监控之下的方法及流程;明确了联邦政府、方法及流程;明确了联邦政府、云提供商以及评估小组在云安云提供商以及评估小组在云安全中的作用和职责。全中的作用和职责。部门部门X X需要新的需要新的基于云的基于云的ITIT系统系统部门部门X X从从FedRAMP获得安获得安全需求全需求部门部门X X将获得安将获得安全需求转给全需求转给CSPCSP部门部门X X向向FedRAMP申请授申请授权权CSPCSP运行运行FedRAMP将将CSPCSP加入到授权日志加入到授权日志CSPCSP和部门启动和部门启动授权程序授权程序CSPCSP、部门和、部门和FedRA
18、MP重审安重审安全需求全需求FedRAMP和和CSPCSP一起建立系统安一起建立系统安全方案全方案CSPCSP进行独立的进行独立的安全评估并提交安全评估并提交安全报告安全报告FedRAMP检查报检查报告并给告并给JABJAB形成形成授权文档授权文档JABJAB最终审查并最终审查并授权授权CSPCSP执行执行FedRAMP将将CSPCSP加入授权清单加入授权清单FedRAMP对对CSPCSP进行持续不间断进行持续不间断监控监控云安全标准机构云安全标准机构国外云安全组织国外云安全组织及标准及标准 - -云安全标云安全标准准1l组织类型:组织类型:区域区域( (欧洲欧洲) )标准机构标准机构l组织组
19、织简介简介:ENISAENISA(The European Network and Information The European Network and Information Security AgencySecurity Agency)成立于)成立于20042004年,总部设在希腊的伊拉克利翁。年,总部设在希腊的伊拉克利翁。目的是提高欧洲网络与信息安全目的是提高欧洲网络与信息安全。l20102010年年2 2月,云安全标准化方面主要关注云计算中风险评估和风月,云安全标准化方面主要关注云计算中风险评估和风险管理等,由险管理等,由ENISAENISA下下WG NRMPWG NRMP工作小组
20、负责。工作小组负责。5、欧洲网络与信息安全管理局(、欧洲网络与信息安全管理局(ENISA )云安全标准机构云安全标准机构国外云安全组织国外云安全组织及标准及标准 - -云安全标云安全标准准1l与云安全相关标准与云安全相关标准云计算云计算-信息安全保障框架信息安全保障框架(标准)(标准)分析云服务体系架构分析云服务体系架构, ,评估采用云服务后的风险,减轻评估采用云服务后的风险,减轻云服务提供商需担保的负担云服务提供商需担保的负担云计算云计算-信息安全的好处,风险和建议信息安全的好处,风险和建议(标准)(标准)云风险的详细分类:首先定义了云里的风险类型、资产云风险的详细分类:首先定义了云里的风险
21、类型、资产类型、脆弱性类型,对风险详细分类并给出其可能性、类型、脆弱性类型,对风险详细分类并给出其可能性、影响大小、与脆弱性的关系、影响资产风险等级。影响大小、与脆弱性的关系、影响资产风险等级。5、欧洲网络与信息安全管理局(、欧洲网络与信息安全管理局(ENISA )云安全标准机构云安全标准机构国外云安全组织国外云安全组织及标准及标准 - -云安全标云安全标准准1云计算云计算-信息安全的好处,风险和建议信息安全的好处,风险和建议5、欧洲网络与信息安全管理局(、欧洲网络与信息安全管理局(ENISA )首先定义了云里的风险类型、资产类型、脆弱性类型,然首先定义了云里的风险类型、资产类型、脆弱性类型,
22、然对风险详细分类并给出其可能性、影响大小、与脆弱性的对风险详细分类并给出其可能性、影响大小、与脆弱性的关系、影响资产风险等级。关系、影响资产风险等级。数据锁定数据锁定管理缺失管理缺失一致性挑战一致性挑战由于合租者引起的商由于合租者引起的商业信用损失业信用损失云服务终止或失效云服务终止或失效云服务提供商违约云服务提供商违约 资源耗尽源耗尽隔离失效隔离失效云服云服务商内部商内部恶意行意行为数据数据传输被截被截获不安全或无效的数据不安全或无效的数据删除除密密钥丢失失恶意探意探测和和扫描描 司法司法权变更更数据保数据保护风险软件授件授权风险网网络破坏破坏网网络流量流量篡改改权限放大限放大社会工程学攻社
23、会工程学攻击运行、安全日志运行、安全日志丢失失非授非授权访问 策略和管理风险策略和管理风险技术风险技术风险法律风险法律风险非云特有风险非云特有风险风风险险云安全标准机构云安全标准机构国外云安全组织国外云安全组织及标准及标准 - -云安全标云安全标准准16、开放式组织联盟、开放式组织联盟l组织类型:组织类型:工业组织联盟工业组织联盟l组织简介:组织简介:由由厂家中立、技术中立的工业联盟,旨在开放标准和全厂家中立、技术中立的工业联盟,旨在开放标准和全球互操作性的基础上,实现企业内部和企业之间的无边界的球互操作性的基础上,实现企业内部和企业之间的无边界的信息技术信息技术交流。交流。l成员:成员:包括
24、包括OracleOracle,IBM, HP, IBM, HP, CapgeminiCapgemini, Fujitsu, Hitachi, , Fujitsu, Hitachi, OrbusOrbus Software, Software, KingdeeKingdee, NEC, SAP, US Department of Defense, , NEC, SAP, US Department of Defense, NASANASA等等知名企业和政府知名企业和政府机构。机构。组织成员结构图组织成员结构图云安全标准机构云安全标准机构国外云安全组织国外云安全组织及标准及标准 - -云安全标云安
25、全标准准16、开放式组织联盟、开放式组织联盟l云云安全相关的工作组及安全相关的工作组及活动活动云工作组(云工作组(Cloud Work GroupCloud Work Group)20092009年年1010月成立,月成立,工作组的工作组的标准标准由由组织组织成员制定的,但非成员也可以参与讨成员制定的,但非成员也可以参与讨论。论。云安全标准云安全标准云计算标准云计算标准(标准)(标准)该标准对云计算体系架构进行标准化,包括:通用云架构,该标准对云计算体系架构进行标准化,包括:通用云架构,云服务质量云服务质量QOSQOS,云安全,服务虚拟定价。,云安全,服务虚拟定价。云安全和云安全和SOASOA
26、参考架构参考架构(标准)(标准)构建构建面向面向SOASOA的云安全的云安全参考架构,参考架构,涉及涉及云中数据存储安全,云中数据存储安全,数据可信,数据可信,QOSQOS,审计和数据所有者隐私保护,审计和数据所有者隐私保护等领域等领域云安全标准建议组织云安全标准建议组织国外云安全组织国外云安全组织及标准及标准 - -云云安全建议白安全建议白皮书皮书1国际国际上比较具有影响力的云安全组织,有上比较具有影响力的云安全组织,有:云云安全联盟(安全联盟(CSACSA)分布式管理任务组(分布式管理任务组(DMTFDMTF)结构化信息标准促进组织(结构化信息标准促进组织(OASISOASIS)云安全标准
27、建议组织云安全标准建议组织国外云安全组织国外云安全组织及标准及标准 - -云云安全建议白安全建议白皮书皮书1l组织性质:组织性质:工业组织联盟工业组织联盟l组织简介:组织简介:电信安全联盟电信安全联盟CSA(Cloud Security Alliance)CSA(Cloud Security Alliance),20092009年年4 4月月成立,目标是推广云安全成立,目标是推广云安全的的最佳实践最佳实践方案,开展方案,开展云安全培训云安全培训。l组织成员:组织成员:包括包括 100100多家来自全球多家来自全球ITIT企业加盟企业加盟,并与并与ITUITU、ENISAENISA等二十等二十家
28、标准组织及机构合作,家标准组织及机构合作,在云安全最佳实践与标准制定方面在云安全最佳实践与标准制定方面具有很大的具有很大的影响力影响力有影响力有影响力。1、云云安全联盟安全联盟(CSA)云安全标准建议组织云安全标准建议组织国外云安全组织国外云安全组织及标准及标准 - -云云安全建议白安全建议白皮书皮书11、云云安全联盟安全联盟(CSA)l在在云安全标准化工作云安全标准化工作方面方面以白皮书的形式向全球发布云安全方面的以白皮书的形式向全球发布云安全方面的参考与建议参考与建议。已已完成云计算面临的严重威胁、关键领域的云计算安全指南完成云计算面临的严重威胁、关键领域的云计算安全指南、身份隐私与接入安
29、全身份隐私与接入安全等等3 3项标准化项标准化建议建议发布了如何保护云数据、定义云安全:六种观点等发布了如何保护云数据、定义云安全:六种观点等2 2项云项云安安全全相关的相关的建议书建议书。云安全标准建议组织云安全标准建议组织国外云安全组织国外云安全组织及标准及标准 - -云云安全建议白安全建议白皮书皮书11、云云安全联盟安全联盟(CSA)CSACSA:云模型、安全控制和合规模型的映射:云模型、安全控制和合规模型的映射云参考模型云参考模型安全控制模型安全控制模型合规合规模型模型云安全标准建议组织云安全标准建议组织国外云安全组织国外云安全组织及标准及标准 - -云云安全建议白安全建议白皮书皮书1
30、2、分布式管理任务组分布式管理任务组(DMTF)l组织性质:组织性质:工业组织联盟工业组织联盟l组织简介:组织简介:成立于成立于19921992年,年,目的是目的是联合整个联合整个ITIT行业协同行业协同开发、验证和推广系统管理标准,帮助全世界范围内简化开发、验证和推广系统管理标准,帮助全世界范围内简化管理,降低管理,降低ITIT管理成本管理成本。l组织成员:组织成员:包括全球包括全球160160个公司和组织个公司和组织。董事会成员董事会成员由由DellDell、HPHP、IBMIBM、CiscoCisco、IntelIntel、AMDAMD、OracleOracle、MicrosoftMic
31、rosoft、EMCEMC、CACA、CitrixCitrix、VMwareVMware、HitachiHitachi、FujitsuFujitsu、BroadcomBroadcom十五家公司十五家公司组成。组成。云安全标准建议组织云安全标准建议组织国外云安全组织国外云安全组织及标准及标准 - -云云安全建议白安全建议白皮书皮书12、分布式管理任务组分布式管理任务组(DMTF)l云云安全相关的工作组及安全相关的工作组及活动活动20092009年年4 4月,成立了工作组月,成立了工作组-开放云标准孵化器开放云标准孵化器(Open Cloud Standard Incubator)(Open Cl
32、oud Standard Incubator)20102010年年7 7月成立了云管理工作组月成立了云管理工作组20112011年年4 4月成立了云审计数据联邦工作组,它致力月成立了云审计数据联邦工作组,它致力于促使云供应商提高安全能力。于促使云供应商提高安全能力。云安全相关云安全相关标准标准云管理体系结构云管理体系结构20102010年年6 6月月1818日发布日发布云安全体系架构、云管理安全接口、租户身份云安全体系架构、云管理安全接口、租户身份管理与存储等管理与存储等云安全标准建议组织云安全标准建议组织国外云安全组织国外云安全组织及标准及标准 - -云云安全建议白安全建议白皮书皮书13、结
33、构化信息标准促进组织结构化信息标准促进组织(OASIS)l组织性质:组织性质:工业组织联盟工业组织联盟l组织简介:组织简介:结构化信息标准促进组织致力于推动全球信息社会开放标准结构化信息标准促进组织致力于推动全球信息社会开放标准的开发、融合和采用的开发、融合和采用。l组织成员:组织成员:到到20102010年年8 8月底为止包括了月底为止包括了IBMIBM、MicrosoftMicrosoft等两百六十个来自等两百六十个来自不同国家的组织、团体、大学、研究院和公司不同国家的组织、团体、大学、研究院和公司。云安全标准建议组织云安全标准建议组织国外云安全组织国外云安全组织及标准及标准 - -云云安
34、全建议白安全建议白皮书皮书13、结构化信息标准促进组织结构化信息标准促进组织(OASIS)l与与云安全相关云安全相关活动活动云身份(云身份(IDCloudIDCloud)技术委员会)技术委员会20102010年成立年成立致力于解决云计算中身份管理带来的严重的安全挑战。致力于解决云计算中身份管理带来的严重的安全挑战。包括成员包括成员Red Hat,IBM,MicrosoftRed Hat,IBM,Microsoft等大型等大型ITIT企业企业云安全相关云安全相关标准标准 身份在云中的使用身份在云中的使用20112011年年2 2月发布月发布对对租户租户身份的部署,配置和管理用例进行定义。身份的部
35、署,配置和管理用例进行定义。国外云安全组织及标准国外云安全组织及标准1 1国内云安全组织及标准国内云安全组织及标准2 2国内云安全组织及标准国内云安全组织及标准3 3目目 录录国外云安全组织及标准国外云安全组织及标准国内云安全组织及标准国内云安全组织及标准2 2云安全标准之我见云安全标准之我见3 3目目 录录1 11、中国通、中国通信标准化协会(信标准化协会(CCSA)l组织简介:组织简介: 20022002年年1212月月1818日在北京正式成立。日在北京正式成立。该该协会是国内企、事业单位自愿联合组织起来,经业协会是国内企、事业单位自愿联合组织起来,经业务主管部门批准,国家社团登记管理机关
36、登记,开展务主管部门批准,国家社团登记管理机关登记,开展通信技术领域标准化活动的非营利性法人社会团体通信技术领域标准化活动的非营利性法人社会团体。l组织成员:组织成员: 目前已有目前已有277277个研究组织和企业加盟。个研究组织和企业加盟。国内国内云安全组织及标准云安全组织及标准21、中国通、中国通信标准化协会(信标准化协会(CCSA)l相关云安全标准:相关云安全标准:移动环境下云计算安全技术研究移动环境下云计算安全技术研究由中国联合网络通信集团有限公司牵头由中国联合网络通信集团有限公司牵头针对移动环境中云计算中面临的安全关键问题进针对移动环境中云计算中面临的安全关键问题进行详细分析和研究行
37、详细分析和研究电信业务云安全需求和框架电信业务云安全需求和框架由中兴通讯股份有限公司牵头由中兴通讯股份有限公司牵头旨在构建电信业务云环境的安全业务云体系框架旨在构建电信业务云环境的安全业务云体系框架国内国内云安全组织及标准云安全组织及标准22、全国信息技术标准化技术全国信息技术标准化技术委员委员l组织简介:组织简介: 成立成立于于 19831983年年受国家标准化管理委员会和工业和信息化部的共受国家标准化管理委员会和工业和信息化部的共同领导同领导下设下设1717分技术委员会和分技术委员会和1010个直属工作组个直属工作组lSOASOA标准工作组(标准工作组(WGSOAWGSOA)负责云计算领域
38、的)负责云计算领域的相关标准相关标准目前尚未发布与云安全相关标准目前尚未发布与云安全相关标准国内国内云安全组织及标准云安全组织及标准2目前可借鉴信息安全领域标准目前可借鉴信息安全领域标准身份认证与隐私保护身份认证与隐私保护隐私隐私保护保护框架框架、隐私参照体系架构隐私参照体系架构 等等等等数据隐私与安全数据隐私与安全公钥基础设施安全支撑平台技术框架公钥基础设施安全支撑平台技术框架、证书认证书认证系统密码及其相关安全技术规范证系统密码及其相关安全技术规范等等等等风险评估风险评估信息安全管理系统信息安全管理系统、风险风险管理管理-风险风险评估技术评估技术等等等等国内国内云安全组织及标准云安全组织及
39、标准2国外云安全组织及标准国外云安全组织及标准1 1国内云安全组织及标准国内云安全组织及标准2 2云安全标准之我见云安全标准之我见3 3目目 录录34国外云安全组织及标准国外云安全组织及标准国内云安全组织及标准国内云安全组织及标准2 2云云安全标准之我见安全标准之我见3 3目目 录录1 1云云 for 安全安全?service可信的云?可信的云?Trusted Cloud安全的云?安全的云?Secure Cloud可靠的云?可靠的云?Safe Cloud可控的云?可控的云?Controlled Cloud 我们对云安全的认识我们对云安全的认识云安全标准之我见云安全标准之我见3云云 for 安全
40、安全?service可信的云?可信的云?Trusted Cloud安全的云?安全的云?Secure Cloud可靠的云?可靠的云?Safe Cloud可控的云?可控的云?Controlled Cloud 我们对云安全的认识我们对云安全的认识云能够提供持续可靠的服务云能够提供持续可靠的服务不会发生服务中断不会发生服务中断不会因故障给租户带来损失不会因故障给租户带来损失云安全标准之我见云安全标准之我见337云云 for 安全安全?service可信的云?可信的云?Trusted Cloud安全的云?安全的云?Secure Cloud可靠的云?可靠的云?Safe Cloud可控的云?可控的云?Con
41、trolled Cloud 我们对云安全的认识我们对云安全的认识云安全标准之我见云安全标准之我见338云云 for 安全安全?service可信的云?可信的云?Trusted Cloud安全的云?安全的云?Secure Cloud可靠的云?可靠的云?Safe Cloud可控的云?可控的云?Controlled Cloud 我们对云安全的认识我们对云安全的认识云本身是可信云本身是可信的的云中用户的数据或者程序不会云中用户的数据或者程序不会被窃取、篡改或分析被窃取、篡改或分析云安全标准之我见云安全标准之我见339云云 for 安全安全?service可信的云?可信的云?Trusted Cloud安
42、全的云?安全的云?Secure Cloud可靠的云?可靠的云?Safe Cloud可控的云?可控的云?Controlled Cloud 我们对云安全的认识我们对云安全的认识云安全标准之我见云安全标准之我见340云云 for 安全安全?service可信的云?可信的云?Trusted Cloud安全的云?安全的云?Secure Cloud可靠的云?可靠的云?Safe Cloud可控的云?可控的云?Controlled Cloud 我们对云安全的认识我们对云安全的认识保护云以及云的用户不会受到外来的保护云以及云的用户不会受到外来的攻击和损害攻击和损害恶意软件恶意软件感染感染;数据破坏数据破坏;中间
43、人攻击;中间人攻击;会话劫持会话劫持;用户假冒用户假冒 云安全标准之我见云安全标准之我见341云云 for 安全安全?service可信的云?可信的云?Trusted Cloud安全的云?安全的云?Secure Cloud可靠的云?可靠的云?Safe Cloud可控的云?可控的云?Controlled Cloud 我们对云安全的认识我们对云安全的认识云安全标准之我见云安全标准之我见342云云 for 安全安全?service可信的云?可信的云?Trusted Cloud安全的云?安全的云?Secure Cloud可靠的云?可靠的云?Safe Cloud可控的云?可控的云?Controlled
44、Cloud 我们对云安全的认识我们对云安全的认识保证云不会被用来作恶保证云不会被用来作恶用云发动网络攻击用云发动网络攻击用云散布恶意舆论用云散布恶意舆论云安全标准之我见云安全标准之我见343云云 for 安全安全?service可信的云?可信的云?Trusted Cloud安全的云?安全的云?Secure Cloud可靠的云?可靠的云?Safe Cloud可控的云?可控的云?Controlled Cloud 我们对云安全的认识我们对云安全的认识云安全标准之我见云安全标准之我见344云云 for 安全安全?service可信的云?可信的云?Trusted Cloud安全的云?安全的云?Secur
45、e Cloud可靠的云?可靠的云?Safe Cloud可控的云?可控的云?Controlled Cloud 我们对云安全的认识我们对云安全的认识用强大的云技术用强大的云技术来进行安全防护:来进行安全防护:云查杀云查杀云安全标准之我见云安全标准之我见345云云 for 安全安全?service可信的云?可信的云?Trusted Cloud安全的云?安全的云?Secure Cloud可靠的云?可靠的云?Safe Cloud可控的云?可控的云?Controlled Cloud 我们对云安全的认识我们对云安全的认识云安全标准之我见云安全标准之我见346云安全标准现状统计云安全标准现状统计云安全分类云安
46、全分类安全子类安全子类相关组织、标准相关组织、标准(白皮书白皮书)云云安安全全体体系系架构及术语架构及术语NIST:云计算参考体系(标准)CSA:云计算关键领域安全指南(白皮书)ITU-T:电信领域云计算安全指南(标准草案)TheOpenGroup:云安全和SOA参考架构(标准)安全的云安全的云身份隐私与访问控制OASIS:身份在云中的使用(白皮书)CSA:云控制矩阵(白皮书),身份管理与接入控制指导建议书(白皮书),云计算安全障碍与缓和措施(白皮书)NIST:公共云计算中安全域隐私(标准草案),通用云计算环境(标准草案)DMTF:云管理体系结构(白皮书)ISO/IEC:云计算安全与隐私管理系
47、统(标准草案)虚拟运行环境安全ISO/IEC:ISO/IECDIS17203虚拟机迁移(标准草案)NIST:完全虚拟化技术安全指南(标准),云计算安全障碍与缓和措施(标准草案)云风险评估NIST:云计算安全障碍与缓和措施(标准草案)ENSIA:云计算-信息安全保障框架,云计算-信息安全的好处,风险和建议可信的云可信的云数据安全与数据隐私NIST:云计算安全障碍与缓和措施(标准草案)CSA:如何保护云数据(白皮书)云审计CSA:云审计(白皮书)可靠的云可靠的云云容灾与数据备份NIST:云计算安全障碍与缓和措施(标准草案)可控的云可控的云云内容管理ISO/IEC:ISO/IECIDS13187一种
48、多虚拟机管理通信协议(标准草案)DMTF:云管理体系结构(白皮书),云管理用例与交互(白皮书)NIST:云计算安全障碍与缓和措施(标准草案)云云for安全安全云安全标准之我见云安全标准之我见347云云安全标准现状安全标准现状云安全标准之我见云安全标准之我见3可控的云云用户行为监控可信的云安全的云可靠的云云内容安全监控云审计云信誉管理数据安全与隐私保护云身份认证与访问控制云漏洞扫描云安全风险评估云DDoS/EDoS检测云安全防御虚拟运行环境安全云备份云容灾富云(云联盟)SaaSPaaSIaaS已有标准已有标准已有白皮书已有白皮书待开发待开发云安全术语云安全体系架构可信云基础设施云容错云安全标准化
49、面临的云安全标准化面临的问题问题l云云安全的标准化尚处于初级阶段安全的标准化尚处于初级阶段缺乏对云安全的统一认识缺乏对云安全的统一认识云的体系架构、云的安全威胁方面已经有一些标准及白皮书云的体系架构、云的安全威胁方面已经有一些标准及白皮书安全的云、可信的云方面有初步的标准,尚待进一步研究安全的云、可信的云方面有初步的标准,尚待进一步研究可靠的云、可控的云以及云可靠的云、可控的云以及云forfor安全方面的标准还处于空白阶段安全方面的标准还处于空白阶段l我们下一步的工作我们下一步的工作统一对云安全的认识统一对云安全的认识对国外已有标准通过深入分析,决定借鉴或者采标?对国外已有标准通过深入分析,决定借鉴或者采标?开展云安全标准研究,填补国内外云安全标准空白开展云安全标准研究,填补国内外云安全标准空白云安全标准之我见云安全标准之我见3谢 谢!50
