云安全标准概况国外云安全组织及标准国内云安全组织及标准云安全标准之我见国外云安全组织及标准国内云安全组织及标准云安全标准之我见云安全标准机构国外云安全组织及标准-云安全标准1目前主要的云安全标准机构,有:ISO/IEC第一联合技术委员会(ISO/IECJTC1)国际电信联盟--电信标准化部(ITU-T)美国国家标准技术研究所(NIST)区域标准组织(美国)CIO委员会欧洲网络与信息安全管理局(ENISA)开放式组织联盟(TheOpenGroup)云安全标准机构国外云安全组织及标准-云安全标准11、ISO/IEC第一联合技术委员会(ISO/IECJTC1)组织类型:联合国下属机构组织简介:1987年ISO与IEC两大国际标准组织联合组建了第一个联合技术委员会。组织成员:JTC1的成员类型分为三种:参加成员(P-MEMBER)、观察成员(O-MEMBER)和联络成员。目前,JTC1有27个参加成员(中国包含其中)、38个观察成员、16个内部联络员及22个外部联络员在云计算领域的标准化工作主要由JTC1下工作组SC38来完成。主席:Ms.KarenHigginbottom(USA)秘书:Mrs.LisaRajchel(USA)云安全标准机构国外云安全组织及标准-云安全标准11、ISO/IEC第一联合技术委员会(ISO/IECJTC1)已有的云安全相关标准:–《开放虚拟机格式》(标准)•2011年8月完成•描述了虚拟机迁移的文件格式及打包方法,可以对虚拟机进行应用程序细粒度的打包迁移。–《云计算安全与隐私管理系统》(标准草案):•为云计算服务过程中的安全控制提供指导;•目前正在制定过程主席:Ms.KarenHigginbottom(USA)秘书:Mrs.LisaRajchel(USA)云安全标准机构国外云安全组织及标准-云安全标准12、国际电信联盟--电信标准化部(ITU-T)组织类型:联合国下属机构组织简介:电信标准化部(ITU-T,ITUTelecommunicationStandardizationSector)是国际电信联盟管理下,专门制定远程通信的相关国际标准组织。组织成员:主要来自世界上大多数电信业务提供商、软件生产商等,目前已有190多个政府机构和700多个私营部门实体。云安全标准机构国外云安全组织及标准-云安全标准12、国际电信联盟--电信标准化部(ITU-T)已有的云安全相关标准–云计算焦点组(FocusGrouponCloudComputing,FGCloud)•2010年6月成立•正在制定《云安全、威胁与需求》(标准草案),文档计划2011年5月完成–电信云安全研究小组--SG17•2009年成立•《电信领域云计算安全指南》•计划于2012年3月完成云安全标准机构国外云安全组织及标准-云安全标准13、美国国家标准技术研究所(NIST)组织类型:区域(美国)标准机构组织简介:电信标准化部(ITU-T,ITUTelecommunicationStandardizationSector)是国际电信联盟管理下,专门制定远程通信的相关国际标准组织。云计算安全工作组(NCC-SWG)–2011年1月份成立–目前已进行了17次云安全小组研讨会。云安全标准机构国外云安全组织及标准-云安全标准13、美国国家标准技术研究所(NIST)NIST云安全标准制定路线图•开发出一种具有权威性的“云安全服务体系架构”,这种架构能够映射到其他云计算体系中去;•识别云安全面临威胁,并对威胁进行相应地分类;•确定哪些安全服务能解决云中可能遇到威胁;•针对相应地威胁,对安全控制做一个形式化映射•确定安全管理(包括合规)域,并将安全控制映射到域中;•云安全战略实施与评估;云安全标准机构国外云安全组织及标准-云安全标准13、美国国家标准技术研究所(NIST)相关云安全标准–《云计算参考体系架构》(标准)•定义云计算体系架构,架构组成部件及面临的安全与隐私–《完全虚拟化技术安全指南》(标准)•虚拟机隔离、虚拟机监控以及虚拟面临的安全威胁–《云计算安全障碍与缓和措施》(草案)•对各种不同部署平台可能面临的安全威胁进行了详尽的分析,并提出了应对措施。–《公共云计算中安全与隐私》(草案)•对公有云中身份管理和隐私保护进行标准化–《通用云计算环境》(草案)•规范了云安全访问控制模型中的安全访问边界云安全标准机构国外云安全组织及标准-云安全标准13、美国国家标准技术研究所(NIST)NIST为云安全构建一个完整的标准体系《云计算参考体系架构》提出NIST云参考体系架构,定义了云计算中部署模型、各层的组成及参与实体云消费者:向云提供商按需购买服务云提供商:为个人、组织等实体提供云服务云审计:第三方机构,对云服务进行客观的评测云承载:属于中间层,为云客户与云提供商提供信息交互云经纪人:负责管理云服务的使用、性能和部署,并协调云消费者与云提供商的关系《公共云计算中安全与隐私》:对公有云中身份管理和隐私保护进行标准化《完全虚拟化技术安全指南》:完全虚拟化技术(在一台机器上虚拟多个OS)的中虚拟机隔离、虚拟机监控等面临的安全威胁云安全标准机构国外云安全组织及标准-云安全标准1组织类型:区域(美国)标准机构组织简介:CIO委员会(ChiefInformationOfficersCouncil)成立于2002年,属于美国政府机构,成员主要由来自其他28个政府部分的首席技术人员组成。2010年2月,与NIST、GSA(GeneralServicesAdministration)、CIO以及ISIMC(InformationSecurityandIdentityManagementCommittee)一起合作完成《美国政府云计算风险评估方法》4、CIO委员会云安全标准机构国外云安全组织及标准-云安全标准14、CIO委员会《美国政府云计算风险评估方法》基于标准化流程的风险评估:提出将云计算置于联邦监控之下的方法及流程;明确了联邦政府、云提供商以及评估小组在云安全中的作用和职责。部门X需要新的基于云的IT系统部门X从FedRAMP获得安全需求部门X将获得安全需求转给CSP部门X向FedRAMP申请授权CSP运行FedRAMP将CSP加入到授权日志CSP和部门启动授权程序CSP、部门和FedRAMP重审安全需求FedRAMP和CSP一起建立系统安全方案CSP进行独立的安全评估并提交安全报告FedRAMP检查报告并给JAB形成授权文档JAB最终审查并授权CSP执行FedRAMP将CSP加入授权清单FedRAMP对CSP进行持续不间断监控云安全标准机构国外云安全组织及标准-云安全标准1组织类型:区域(欧洲)标准机构组织简介:ENISA(TheEuropeanNetworkandInformationSecurityAgency)成立于2004年,总部设在希腊的伊拉克利翁。目的是提高欧洲网络与信息安全。2010年2月,云安全标准化方面主要关注云计算中风险评估和风险管理等,由ENISA下WGNRMP工作小组负责。5、欧洲网络与信息安全管理局(ENISA)云安全标准机构国外云安全组织及标准-云安全标准1与云安全相关标准–《云计算--信息安全保障框架》(标准)•分析云服务体系架构,评估采用云服务后的风险,减轻云服务提供商需担保的负担–《云计算--信息安全的好处,风险和建议》(标准)•云风险的详细分类:首先定义了云里的风险类型、资产类型、脆弱性类型,对风险详细分类并给出其可能性、影响大小、与脆弱性的关系、影响资产风险等级。5、欧洲网络与信息安全管理局(ENISA)云安全标准机构国外云安全组织及标准-云安全标准1《云计算--信息安全的好处,风险和建议》5、欧洲网络与信息安全管理局(ENISA)首先定义了云里的风险类型、资产类型、脆弱性类型,然对风险详细分类并给出其可能性、影响大小、与脆弱性的关系、影响资产风险等级。数据锁定管理缺失一致性挑战由于合租者引起的商业信用损失云服务终止或失效云服务提供商违约…资源耗尽隔离失效云服务商内部恶意行为数据传输被截获不安全或无效的数据删除密钥丢失恶意探测和扫描…司法权变更数据保护风险软件授权风险网络破坏网络流量篡改权限放大社会工程学攻击运行、安全日志丢失非授权访问…策略和管理风险技术风险法律风险非云特有风险风险云安全标准机构国外云安全组织及标准-云安全标准16、开放式组织联盟组织类型:工业组织联盟组织简介:由厂家中立、技术中立的工业联盟,旨在开放标准和全球互操作性的基础上,实现企业内部和企业之间的无边界的信息技术交流。成员:包括Oracle,IBM,HP,Capgemini,Fujitsu,Hitachi,OrbusSoftware,Kingdee,NEC,SAP,USDepartmentofDefense,NASA等知名企业和政府机构。组织成员结构图云安全标准机构国外云安全组织及标准-云安全标准16、开放式组织联盟云安全相关的工作组及活动–云工作组(CloudWorkGroup)•2009年10月成立,•工作组的标准由组织成员制定的,但非成员也可以参与讨论。–云安全标准•《云计算标准》(标准)•该标准对云计算体系架构进行标准化,包括:通用云架构,云服务质量QOS,云安全,服务虚拟定价。•《云安全和SOA参考架构》(标准)•构建面向SOA的云安全参考架构,涉及云中数据存储安全,数据可信,QOS,审计和数据所有者隐私保护等领域云安全标准建议组织国外云安全组织及标准-云安全建议白皮书1国际上比较具有影响力的云安全组织,有:云安全联盟(CSA)分布式管理任务组(DMTF)结构化信息标准促进组织(OASIS)云安全标准建议组织国外云安全组织及标准-云安全建议白皮书1组织性质:工业组织联盟组织简介:电信安全联盟CSA(CloudSecurityAlliance),2009年4月成立,目标是推广云安全的最佳实践方案,开展云安全培训。组织成员:包括100多家来自全球IT企业加盟,并与ITU、ENISA等二十家标准组织及机构合作,在云安全最佳实践与标准制定方面具有很大的影响力有影响力。1、云安全联盟(CSA)云安全标准建议组织国外云安全组织及标准-云安全建议白皮书11、云安全联盟(CSA)在云安全标准化工作方面–以白皮书的形式向全球发布云安全方面的参考与建议。–已完成《云计算面临的严重威胁》、《关键领域的云计算安全指南》、《身份隐私与接入安全》等3项标准化建议–发布了《如何保护云数据》、《定义云安全:六种观点》等2项云安全相关的建议书。云安全标准建议组织国外云安全组织及标准-云安全建议白皮书11、云安全联盟(CSA)CSA:云模型、安全控制和合规模型的映射云参考模型安全控制模型合规模型云安全标准建议组织国外云安全组织及标准-云安全建议白皮书12、分布式管理任务组(DMTF)组织性质:工业组织联盟组织简介:成立于1992年,目的是联合整个IT行业协同开发、验证和推广系统管理标准,帮助全世界范围内简化管理,降低IT管理成本。组织成员:包括全球160个公司和组织。董事会成员由Dell、HP、IBM、Cisco、Intel、AMD、Oracle、Microsoft、EMC、CA、Citrix、VMware、Hitachi、Fujitsu、Broadcom十五家公司组成。云安全标准建议组织国外云安全组织及标准-云安全建议白皮书12、分布式管理任务组(DMTF)云安全相关的工作组及活动–2009年4月,成立了工作组--开放云标准孵化器(OpenCloudStandardIncubator)–2010年7月成立了云管理工作组–2011年4月成立了云审计数据联邦工作组,它致力于促使云供应商提高安全能力。–云安全相关标准–《云管理体系结构》•2010年6月18日发布•云安全体系架构、云管理安全接口、租户身份管理与存储等云安全标准建议组织国外云安全组织及标准-云安全建议白皮书13、结构化信息标准促进组