云计算安全发展状况调研

信息化研究与应用专题报告

云计算安全发展状况调研

中国科学院信息化工作领导小组办公室

中国科学院国家科学图书馆成都分馆

2013年3月

前言

为深入客观反映国内外信息化发展态势，跟踪世界各发达国家信息化的重大部署及应用，院信息办和国科图成都分馆开展了信息化专题情报调研，旨在反映信息化重要专题的现状、发展趋势及关键挑战。

云计算和信息安全都是当前信息技术领域炙手可热的话题，云计算的安全是网络时代信息安全的最新体现，要充分发挥云计算的潜能，必须解决其面临的安全风险。为把握云计算时代信息安全的这一重要发展特征，本专题报告云计算安全的发展及演变，总结分析了国际权威组织近年发布的有关云安全的重要文献，归纳提炼了技术发达国家政府部门和企业界采取的相关部署和举措，并针对云计算技术在信息安全领域的应用剖析了有关案例。

谨供有关领导及专家参考。

目录

摘要 (1)

1. 云计算与云安全 (1)

1.1 云计算定义与运营模式 (1)

1.2 云计算的安全 (2)

1.3 利用云计算实现安全 (5)

2. 权威组织发布云计算安全相关指南和文件 (5)

2.1 云安全联盟 (6)

2.1.1 云安全联盟及其研究项目简介 (6)

2.1.2 云计算关键领域安全指南 (8)

2.1.3 云计算面临的主要威胁 (12)

2.2 欧洲网络与信息安全局 (15)

2.2.1 云计算安全风险评估规范 (15)

2.2.2 政府云计算安全与可恢复性 (18)

2.2.3 云计算合同安全服务水平监测指南 (20)

2.3 国际电信联盟 (22)

2.3.1 云安全报告 (22)

2.3.2 云计算中的隐私 (24)

2.4 美国国家标准与技术研究院 (25)

2.4.1 美国政府在云计算采用上面临的挑战性安全需求 (26)

2.4.2 公共云计算安全与隐私指南 (29)

3. 重要国家和地区部署云计算安全规划及项目 (32)

3.1 美国 (32)

3.1.1 联邦云计算战略强调云计算安全 (32)

3.1.2 联邦风险和授权管理项目 (32)

3.2 欧盟 (35)

3.2.1 欧盟云计算战略重视云计算安全 (35)

3.2.2 可信云项目 (36)

3.3 德国 (38)

3.4 英国 (40)

3.5 日本 (41)

4. 领军企业重视云计算安全研发与布局 (42)

4.1 微软 (42)

4.1.1 保障微软云计算基础设施安全 (42)

4.1.2 云计算的安全考虑 (43)

4.1.3 面向微软云计算基础设施的信息安全管理系统 (45)

4.2 IBM (46)

4.2.1 IBM云计算安全基础设施与服务 (46)

4.2.2 云安全指南：IBM对实施云安全的建议 (47)

5. 云安全：利用云计算实现安全 (49)

5.1 云安全的发展与趋势 (49)

5.2 云安全案例 (50)

5.2.1 趋势科技云安全智能保护网络 (50)

5.2.2 瑞星云安全系统 (52)

5.2.3 迈克菲云安全平台 (53)

5.2.4 金山毒霸云安全 (54)

参考文献 (57)

摘要

云计算自兴起以来，迅速成为新一代信息技术变革和业务应用模式创新的核心，获得了各国政府和企业界的热切关注和大力支持。然而，任何一项新的技术都是一把双刃剑。云计算具有易部署、可扩展、可用性高、资源有限共享等优点，同时也带来了很大的安全风险。一般来说，云安全包括两层含义：一是云计算自身的安全，包括技术和社会两个层面。技术层面的安全涉及系统、数据、内容和使用，社会层面的安全是云计算面临的最大挑战，涉及法律、标准等软环境建设。云安全的另一层含义是指将云计算技术应用于信息安全，利用云计算来做安全产品，云杀毒技术是其代表。

目前，云计算自身的安全问题是国内外共同关注的热点，也是各国政府、公共部门和企业力图解决的难题。在全球信息安全领域最权威的年度峰会RSA大会上，云计算的安全问题成为绝对的主流议题。国际标准组织、产业联盟和研究机构等针对云计算安全风险开展了研究，并陆续发布了一系列重要报告和文件。例如，云安全联盟发布了《云计算关键领域安全指南》、《云计算面临的主要威胁》，欧洲网络与信息安全局发布了《云计算安全风险评估规范》、《政府云计算安全与可恢复性》，国际电信联盟发布了《云安全》、《云计算中的隐私》，美国国家标准与技术研究院发布了《公共云计算安全与隐私指南》。这些报告分析了云计算面临的主要安全问题，并提出了相关建议。尽管各机构对云计算安全风险分析的角度不尽相同，但普遍认为共享环境数据和资源隔离、云中数据保护以及云服务的管理和应用接口安全是最值得关注的问题。从各组织的关注重点来看，管理方面的探讨较多。例如，云安全联盟关注云服务恶意使用和内部恶意行为带来的安全风险；欧洲网络与信息安全局强调了公共云服务对满足某些行业或应用特定安全需求的合规性风险；国际电信联盟关注用户在让渡数据和IT设施管理权的情况下与服务提供商之间的安全权责问题，并强调了数据跨境流动带来的法律一致性遵从问题。

为抢占云计算发展的先机，美、欧、德等重要国家和地区纷纷针

对云计算安全进行了相关部署。2011年2月，美国发布《联邦云计算战略》，提出要在云服务提供商和消费者之间建立一个透明的安全环境。根据该战略，美国政府于同年12月推出跨多个部门的“联邦风险和授权管理项目”，旨在为云计算产品和服务提供标准的安全评估、授权和持续监控方案，为联邦部门和云服务提供商建立可信的联系提供一条创新的政策途径，有助于解决目前安全授权过程存在的重复工作、协调性差和成本效率低的问题。2012年9月，欧盟发布题为《发挥欧洲云计算潜力》的通讯，推出新的云计算战略和行动计划，强调了提高云计算安全和可信度的重要性。欧盟还通过框架计划资助了若干与云计算安全相关的项目。例如，为期三年的“可信云”项目致力于开发先进的云基础设施，提供具备高度安全性、隐私保护能力和可恢复性，且廉价、简单和可扩展的计算与存储。2011年3月，德国启动了主要面向中小企业的“可信云技术项目”，旨在挖掘云计算的巨大经济潜力，解决云计算面临的IT安全和数据保护问题，建立德国在云计算领域的领导地位。此外，英国和日本也分别针对云计算安全制定了相应措施，出台了相关文件和行动。

引领云计算技术发展潮流的企业更是对云计算安全的研发与布局高度重视。微软公司近年来陆续发布了《保障微软云计算基础设施安全》、《云计算的安全考虑》、《面向微软云计算基础设施的信息安全管理系统》等多份重要报告，详细介绍了微软在云计算安全领域的布局与相应举措。IBM公司也于2010年10月推出一项以云计算安全为重点的计划，旨在通过新的云计算安全规划、评估服务和管理服务，帮助云计算提供商和用户更轻松地应对安全挑战。

此外，在利用云计算技术实现安全方面，趋势科技、瑞星、迈克菲、金山等信息安全领域的领头企业都陆续推出了云安全解决方案。云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，依靠庞大的网络服务实现病毒识别和查杀，可以更好地保护用户和整个互联网的安全。