云安全标准组织

1、云安全标准概况,国外云安全组织及标准,1,国内云安全组织及标准,2,云安全标准之我见,3,目,录,国外云安全组织及标准,国内云安全组织及标准,2,云安全标准之我见,3,目,录,1,云安全标准机构,国外云安全组织及标准,云安全标,准,1,目前主要的云安全标准机构，有,ISO/IEC,第一联合技术委员会,ISO/IEC JTC1,国际电信联盟,电信标准化部,ITU-T,美国国家标准技术研究所,NIST,区域标准组织（美国,CIO,委员会,欧洲网络与信息安全管理局,ENISA,开放式组织联盟,TheOpenGroup,云安全标准机构,国外云安全组织及标准,云安全标,准,1,1,ISO/IEC,第一联

2、合技术委员会,ISO/IEC JTC1,组织类型,联合国下属机构,组织简介,1987,年,ISO,与,IEC,两大国际标准组织联合,组建了第一个联合技术委员会,组织成员,JTC1,的成员类型分为三种：参加成员,P-MEMBER,观察成员,O-MEMBER,和联络成员,目前,JTC1,有,27,个参加成员,中国包含其中,38,个观,察成员,16,个内部联络员及,22,个外部联络员,在云计算领域的标准化工作主要由,JTC1,下工作组,SC38,来完成,主席,Ms. Karen,Higginbottom(USA,秘书,Mrs. Lisa,Rajchel (USA,云安全标准机构,国外云安全组织及标准

3、,云安全标,准,1,1,ISO/IEC,第一联合技术委员会,ISO/IEC JTC1,已有的云安全相关标准,开放虚拟机格式（标准,2011,年,8,月完成,描述了虚拟机迁移的文件格式及打包方法,可以对虚拟机进行应用程序细粒度的打包迁,移,云计算安全与隐私管理系统（标准草案,为云计算服务过程中的安全控制提供指导,目前正在制定过程,主席,Ms. Karen,Higginbottom(USA,秘书,Mrs. Lisa,Rajchel (USA,云安全标准机构,国外云安全组织及标准,云安全标,准,1,2,国际电信联盟,电信标准化部,ITU-T,组织类型,联合国下属机构,组织简介,电信标准化部,ITU-

4、T,ITU,Telecommunication Standardization Sector,是国际电信,联盟管理下,专门制定远程通信的相关国际标准组织,组织成员,主要来自世界上大多数电信业务提供商、软件生,产商等，目前已有,190,多个政府机构和,700,多个私营部门实体,云安全标准机构,国外云安全组织及标准,云安全标,准,1,2,国际电信联盟,电信标准化部,ITU-T,已有的云安全相关标准,云计算焦点组,Focus Group on Cloud Computing,FG,Cloud,2010,年,6,月成立,正在制定云安全、威胁与需求（标准草案），文,档计划,2011,年,5,月完成,电信

5、云安全研究小组,SG17,2009,年成立,电信领域云计算安全指南,计划于,2012,年,3,月完成,云安全标准机构,国外云安全组织及标准,云安全标,准,1,3,美国国家标准技术研究所,NIST,组织类型,区域,美国,标准机构,组织简介,电信标准化部,ITU-T,ITU Telecommunication,Standardization Sector,是国际电信联盟管理下,专门制定远程通,信的相关国际标准组织,云计算安全工作组,NCC-SWG,2011,年,1,月份成立,目前已进行了,17,次云安全小组研讨会,云安全标准机构,国外云安全组织及标准,云安全标,准,1,3,美国国家标准技术研究所,

6、NIST,NIST,云安全标准制定路线图,开发出一种具有权威性的“云安全服务体系架构”，这种架构能够映,射到其他云计算体系中去,识别云安全面临威胁，并对威胁进行相应地分类,确定哪些安全服务能解决云中可能遇到威胁,针对相应地威胁，对安全控制做一个形式化映射,确定安全管理（包括合规）域，并将安全控制映射到域中,云安全战略实施与评估,云安全标准机构,国外云安全组织及标准,云安全标,准,1,3,美国国家标准技术研究所,NIST,相关云安全标准,云计算参考体系架构（标准,定义云计算体系架构，架构组成部件及面临的安全与隐私,完全虚拟化技术安全指南（标准,虚拟机隔离、虚拟机监控以及虚拟面临的安全威胁,云计算

7、安全障碍与缓和措施（草案,对各种不同部署平台可能面临的安全威胁进行了详尽的分,析，并提出了应对措施,公共云计算中安全与隐私（草案,对公有云中身份管理和隐私保护进行标准化,通用云计算环境,草案,规范了云安全访问控制模型中的安全访问边界,云安全标准机构,国外云安全组织及标准,云安全标,准,1,3,美国国家标准技术研究所,NIST,NIST,为云安全构建一个完整的标准体系,云计算参考体系架构提出,NIST,云参考体系架构,定义了云计算中部署模型、各层的组成及参与实体,云消费者：向云提供商按需购买服务,云提供商：为个人、组织等实体,提供云服务,云审计：第三方机构，对云服,务进行客观的评测,云承载：属于

8、中间层，为云客,户与云提供商提供信息交互,云经纪人：负责管理云服务的使用、性能和部,署，并协调云消费者与云提供商的关系,公共云计算中安全与隐私：对公有云中身份管,理和隐私保护进行标准化,完全虚拟化技术安全指南：完全虚拟化,技术（在一台机器上虚拟多个,OS,的中虚拟,机隔离、虚拟机监控等面临的安全威胁,云安全标准机构,国外云安全组织及标准,云安全标,准,1,组织类型,区域,美国,标准机构,组织简介,CIO,委员会,Chief Information Officers,Council,成,立于,2002,年，属于美国政府机构，成员主要由来自其他,28,个政府部分,的首席技术人员组成,2010,年,

9、2,月，与,NIST,GSA(General Services Administration,CIO,以及,ISIMC(Information Security and Identity Management,Committee,一起合作完成美国政府云计算风险评估方法,4,CIO,委员会,云安全标准机构,国外云安全组织及标准,云安全标,准,1,4,CIO,委员会,美国政府云计算风险评估方法,基于标准化流程的风险评估,提出将云计算置于联邦监控之下的,方法及流程；明确了联邦政府,云提供商以及评估小组在云安,全中的作用和职责,部门,X,需要新的,基于云的,IT,系统,部门,X,从,FedRAMP,获

10、得安,全需求,部门,X,将获得安,全需求转给,CSP,部门,X,向,FedRAMP,申请授,权,CSP,运行,FedRAMP,将,CSP,加入到授权日志,CSP,和部门启动,授权程序,CSP,部门和,FedRAMP,重审安,全需求,FedRAMP,和,CSP,一起建立系统安,全方案,CSP,进行独立的,安全评估并提交,安全报告,FedRAMP,检查报,告并给,JAB,形成,授权文档,JAB,最终审查并,授权,CSP,执行,FedRAMP,将,CSP,加入授权清单,FedRAMP,对,CSP,进行持续不间断,监控,云安全标准机构,国外云安全组织及标准,云安全标,准,1,组织类型,区域,欧洲,标准

11、机构,组织简介,ENISA,The European Network and Information,Security Agency,成立于,2004,年，总部设在希腊的伊拉克利,翁。目的是提高欧洲网络与信息安全,2010,年,2,月，云安全标准化方面主要关注云计算中风险评估和,风险管理等，由,ENISA,下,WG NRMP,工作小组负责,5,欧洲网络与信息安全管理局,ENISA,云安全标准机构,国外云安全组织及标准,云安全标,准,1,与云安全相关标准,云计算,信息安全保障框架（标准,分析云服务体系架构,评估采用云服务后的风险，减轻,云服务提供商需担保的负担,云计算,信息安全的好处，风险和建议

12、（标准,云风险的详细分类：首先定义了云里的风险类型、资,产类型、脆弱性类型，对风险详细分类并给出其可能,性、影响大小、与脆弱性的关系、影响资产风险等级,5,欧洲网络与信息安全管理局,ENISA,云安全标准机构,国外云安全组织及标准,云安全标,准,1,云计算,信息安全的好处，风险和建议,5,欧洲网络与信息安全管理局,ENISA,首先定义了云里的风险类型、资产类型、脆弱性类型，然,对风险详细分类并给出其可能性、影响大小、与脆弱性的,关系、影响资产风险等级,数据锁定,管理缺失,一致性挑战,由于合租者引起的商,业信用损失,云服务终止或失效,云服务提供商违约,资源耗尽,隔离失效,云服务商内部恶意行为,数

13、据传输被截获,不安全或无效的数据删,除,密钥丢失,恶意探测和扫描,司法权变更,数据保护风险,软件授权风险,网络破坏,网络流量篡改,权限放大,社会工程学攻击,运行、安全日志丢失,非授权访问,策略和管理风险,技术风险,法律风险,非云特有风险,风,险,云安全标准机构,国外云安全组织及标准,云安全标,准,1,6,开放式组织联盟,组织类型,工业组织联盟,组织简介,由厂家中立、技术中立的工业联盟，旨在开放标准和全,球互操作性的基础上，实现企业内部和企业之间的无边界的信息技术,交流,成员,包括,Oracle,IBM, HP, Capgemini, Fujitsu, Hitachi,Orbus Softwar

14、e, Kingdee, NEC, SAP, US Department of Defense,NASA,等知名企业和政府机构,组织成员结构图,云安全标准机构,国外云安全组织及标准,云安全标,准,1,6,开放式组织联盟,云安全相关的工作组及活动,云工作组,Cloud Work Group,2009,年,10,月成立,工作组的标准由组织成员制定的，但非成员也可以参与讨,论,云安全标准,云计算标准（标准,该标准对云计算体系架构进行标准化，包括：通用云架构,云服务质量,QOS,云安全，服务虚拟定价,云安全和,SOA,参考架构（标准,构建面向,SOA,的云安全参考架构，涉及云中数据存储安全,数据可信,Q

15、OS,审计和数据所有者隐私保护等领域,云安全标准建议组织,国外云安全组织及标准,云安全建议白,皮书,1,国际上比较具有影响力的云安全组织，有,云安全联盟,CSA,分布式管理任务组,DMTF,结构化信息标准促进组织,OASIS,云安全标准建议组织,国外云安全组织及标准,云安全建议白,皮书,1,组织性质,工业组织联盟,组织简介,电信安全联盟,CSA(Cloud Security Alliance,2009,年,4,月,成立，目标是推广云安全的最佳实践方案，开展云安全培训,组织成员,包括,100,多家来自全球,IT,企业加盟，并与,ITU,ENISA,等二,十家标准组织及机构合作，在云安全最佳实践与

16、标准制定方面具有很大,的影响力有影响力,1,云安全联盟,CSA,云安全标准建议组织,国外云安全组织及标准,云安全建议白,皮书,1,1,云安全联盟,CSA,在云安全标准化工作方面,以白皮书的形式向全球发布云安全方面的参考与建议,已完成云计算面临的严重威胁、关键领域的云计算安全指,南、身份隐私与接入安全等,3,项标准化建议,发布了如何保护云数据、定义云安全：六种观点等,2,项云安,全相关的建议书,云安全标准建议组织,国外云安全组织及标准,云安全建议白,皮书,1,1,云安全联盟,CSA,CSA,云模型、安全控制和合规模型的映射,云参考模型,安全控制模型,合规模型,云安全标准建议组织,国外云安全组织及

17、标准,云安全建议白,皮书,1,2,分布式管理任务组,DMTF,组织性质,工业组织联盟,组织简介,成立于,1992,年，目的是联合整个,IT,行业协同,开发、验证和推广系统管理标准，帮助全世界范围内简化,管理，降低,IT,管理成本,组织成员,包括全球,160,个公司和组织。董事会成员由,Dell,HP,IBM,Cisco,Intel,AMD,Oracle,Microsoft,EMC,CA,Citrix,VMware,Hitachi,Fujitsu,Broadcom,十五家公司组成,云安全标准建议组织,国外云安全组织及标准,云安全建议白,皮书,1,2,分布式管理任务组,DMTF,云安全相关的工作组

18、及活动,2009,年,4,月，成立了工作组,开放云标准孵化器,Open Cloud Standard Incubator,2010,年,7,月成立了云管理工作组,2011,年,4,月成立了云审计数据联邦工作组，它致力,于促使云供应商提高安全能力,云安全相关标准,云管理体系结构,2010,年,6,月,18,日发布,云安全体系架构、云管理安全接口、租户身份,管理与存储等,云安全标准建议组织,国外云安全组织及标准,云安全建议白,皮书,1,3,结构化信息标准促进组织,OASIS,组织性质,工业组织联盟,组织简介,结构化信息标准促进组织致力于推动全球信息社会开放标准,的开发、融合和采用,组织成员,到,2

19、010,年,8,月底为止包括了,IBM,Microsoft,等两百六十个来自,不同国家的组织、团体、大学、研究院和公司,云安全标准建议组织,国外云安全组织及标准,云安全建议白,皮书,1,3,结构化信息标准促进组织,OASIS,与云安全相关活动,云身份,IDCloud,技术委员会,2010,年成立,致力于解决云计算中身份管理带来的严重的安全挑战,包括成员,Red Hat,IBM,Microsoft,等大型,IT,企业,云安全相关标准,身份在云中的使用,2011,年,2,月发布,对租户身份的部署，配置和管理用例进行定义,国外云安全组织及标准,1,国内云安全组织及标准,2,国内云安全组织及标准,3,

20、目,录,国外云安全组织及标准,国内云安全组织及标准,2,云安全标准之我见,3,目,录,1,1,中国通信标准化协会,CCSA,组织简介,2002,年,12,月,18,日在北京正式成立,该协会是国内企、事业单位自愿联合组织起来，经,业务主管部门批准，国家社团登记管理机关登记,开展通信技术领域标准化活动的非营利性法人社会,团体,组织成员,目前已有,277,个研究组织和企业加盟,国内云安全组织及标准,2,1,中国通信标准化协会,CCSA,相关云安全标准,移动环境下云计算安全技术研究,由中国联合网络通信集团有限公司牵头,针对移动环境中云计算中面临的安全关键问题进,行详细分析和研究,电信业务云安全需求和框

21、架,由中兴通讯股份有限公司牵头,旨在构建电信业务云环境的安全业务云体系框架,国内云安全组织及标准,2,2,全国信息技术标准化技术委员,组织简介,成立于,1983,年,受国家标准化管理委员会和工业和信息化部的,共同领导,下设,17,分技术委员会和,10,个直属工作组,SOA,标准工作组,WGSOA,负责云计算领域,的相关标准,目前尚未发布与云安全相关标准,国内云安全组织及标准,2,目前可借鉴信息安全领域标准,身份认证与隐私保护,隐私保护框架、隐私参照体系架构,等等,数据隐私与安全,公钥基础设施安全支撑平台技术框架、证书认,证系统密码及其相关安全技术规范等等,风险评估,信息安全管理系统、风险管理,

22、风险评估技术,等等,国内云安全组织及标准,2,34,国外云安全组织及标准,1,国内云安全组织及标准,2,云安全标准之我见,3,目,录,国外云安全组织及标准,国内云安全组织及标准,2,云安全标准之我见,3,目,录,1,云,for,安全,service,可信的云,Trusted Cloud,安全的云,Secure Cloud,可靠的云,Safe Cloud,可控的云,Controlled Cloud,我们对云安全的认识,云安全标准之我见,3,37,云,for,安全,service,可信的云,Trusted Cloud,安全的云,Secure Cloud,可靠的云,Safe Cloud,可控的云,C

23、ontrolled Cloud,我们对云安全的认识,云能够提供持续可靠的服务,不会发生服务中断,不会因故障给租户带来损失,云安全标准之我见,3,38,云,for,安全,service,可信的云,Trusted Cloud,安全的云,Secure Cloud,可靠的云,Safe Cloud,可控的云,Controlled Cloud,我们对云安全的认识,云安全标准之我见,3,39,云,for,安全,service,可信的云,Trusted Cloud,安全的云,Secure Cloud,可靠的云,Safe Cloud,可控的云,Controlled Cloud,我们对云安全的认识,云本身是可信的

24、,云中用户的数据或者程序不会,被窃取、篡改或分析,云安全标准之我见,3,40,云,for,安全,service,可信的云,Trusted Cloud,安全的云,Secure Cloud,可靠的云,Safe Cloud,可控的云,Controlled Cloud,我们对云安全的认识,云安全标准之我见,3,41,云,for,安全,service,可信的云,Trusted Cloud,安全的云,Secure Cloud,可靠的云,Safe Cloud,可控的云,Controlled Cloud,我们对云安全的认识,保护云以及云的用户不会受到外来的,攻击和损害,恶意软件感染；数据破坏；中间人攻击,会话

25、劫持；用户假冒,云安全标准之我见,3,42,云,for,安全,service,可信的云,Trusted Cloud,安全的云,Secure Cloud,可靠的云,Safe Cloud,可控的云,Controlled Cloud,我们对云安全的认识,云安全标准之我见,3,43,云,for,安全,service,可信的云,Trusted Cloud,安全的云,Secure Cloud,可靠的云,Safe Cloud,可控的云,Controlled Cloud,我们对云安全的认识,保证云不会被用来作恶,用云发动网络攻击,用云散布恶意舆论,云安全标准之我见,3,44,云,for,安全,service,

26、可信的云,Trusted Cloud,安全的云,Secure Cloud,可靠的云,Safe Cloud,可控的云,Controlled Cloud,我们对云安全的认识,云安全标准之我见,3,45,云,for,安全,service,可信的云,Trusted Cloud,安全的云,Secure Cloud,可靠的云,Safe Cloud,可控的云,Controlled Cloud,我们对云安全的认识,用强大的云技术,来进行安全防护,云查杀,云安全标准之我见,3,46,云,for,安全,service,可信的云,Trusted Cloud,安全的云,Secure Cloud,可靠的云,Safe Cloud,可控的云,Controlled Cloud,我们对云安全的认识,云安全标准之我见,3,47,云安全标准现状统计,云安全分类,安全子类,相关组织、标准,白皮书,云安全体系,架构及术语,NIST,云计算参考体系（标准,CSA,云计算关键领域安全指南（白皮书,ITU-T,电信领域云计算安全指南（标准草案,TheOpenGroup,云安全和,SOA,参考架构（标准,安全的云,身,份,隐,私,与,访问控制,OASIS,身份在云中的使用（白皮书,CSA,云控制矩阵,白皮书,身份管理与接入控制指导建议书,白皮书,云计,算安全障碍与缓和措施（白皮书,N