云安全标准组织

1
国外云安全组织及标准 -云安全建议白 皮书
火龙果整理 uml.org.cn
云安全标准建议组织
国际上比较具有影响力的云安全组织，有： 云安全联盟（CSA） 分布式管理任务组（DMTF） 结构化信息标准促进组织（OASIS）
1
国外云安全组织及标准 -云安全建议白 皮书
火龙果整理 uml.org.cn
• 计划于2012年3月完成
1
国外云安全组织及标准 -云安全标 准
火龙果整理 uml.org.cn
云安全标准机构
3、美国国家标准技术研究所（NIST）
组织类型：区域(美国)标准机构
组织简介：电信标准化部（ ITU-T，ITU Telecommunication
Standardization Sector ）是国际电信联盟管理下,专门制定远程通 信的相关国际标准组织。
网络破坏 网络流量篡改 权限放大 社会工程学攻击 运行、安全日志丢失 非授权访问 „
1
国外云安全组织及标准 -云安全标 准
火龙果整理 uml.org.cn
云安全标准机构
6、开放式组织联盟
组织类型：工业组织联盟
组织简介：由厂家中立、技术中立的工业联盟，旨在开放标准和全
球互操作性的基础上，实现企业内部和企业之间的无边界的信息技术 交流。
火龙果整理 uml.org.cn
云安全标准机构
4、CIO委员会
《美国政府云计算风险评估方法》
基于标准化流程的风险评估： 提出将云计算置于联邦监控之下的 方法及流程；明确了联邦政府、 云提供商以及评估小组在云安 全中的作用和职责。
CSP、部门和 FedRAMP重审安 全需求 FedRAMP和CSP 一起建立系统安 全方案 CSP和部门启动 授权程序 FedRAMP将CSP 加入到授权日志 部门X向 FedRAMP申请授 权CSP运行 部门X需要新的 基于云的IT系统 部门X从 FedRAMP获得安 全需求 部门X将获得安 全需求转给CSP
火龙果整理 uml.org.cn
云安全标准机构
6、开放式组织联盟
云安全相关的工作组及活动
– 云工作组（Cloud Work Group） • 2009年10月成立， • 工作组的标准由组织成员制定的，但非成员也可以参与讨 论。
– 云安全标准 • 《云计算标准》（标准） • 该标准对云计算体系架构进行标准化，包括：通用云架构， 云服务质量QOS，云安全，服务虚拟定价。 • 《云安全和SOA参考架构》（标准） • 构建面向SOA的云安全参考架构，涉及云中数据存储安全， 数据可信，QOS，审计和数据所有者隐私保护等领域
Telecommunication Standardization Sector ）是国际电信 联盟管理下,专门制定远程通信的相关国际标准组织。
组织成员：主要来自世界上大多数电信业务提供商、软件生
产商等，目前已有190多个政府机构和700多个私营部门实体。
1
国外云安全组织及标准 -云安全标 准
秘书：Mrs. Lisa Rajchel (USA)
• 为云计算服务过程中的安全控制提供指导；
• 目前正在制定过程
1
国外云安全组织及标准 -云安全标 准
火龙果整理 uml.org.cn
云安全标准机构
2、国际电信联盟--电信标准化部（ITU-T）
组织类型：联合国下属机构 组织简介：电信标准化部（ ITU-T，ITU
成员：包括Oracle，IBM, HP, Capgemini, Fujitsu, Hitachi,
Orbus Software, Kingdee, NEC, SAP, US Department of Defense, NASA等知名企业和政府机构。
组织成员结构图
1
国外云安全组织及标准 -云安全标 准
火龙果整理 uml.org.cn
云安全标准机构
2、国际电信联盟--电信标准化部（ITU-T）
已有的云安全相关标准
– 云计算焦点组（ Focus Group on Cloud Computing，FG Cloud ） • 2010年6月成立 • 正在制定《云安全、威胁与需求》（标准草案），文 档计划2011年5月完成 – 电信云安全研究小组--SG17 • 2009年成立 • 《电信领域云计算安全指南》
1
国外云安全组织及标准 -云安全标 准
火龙果整理 uml.org.cn
云安全标准机构
5、欧洲网络与信息安全管理局（ENISA ）
与云安全相关标准
– 《云计算--信息安全保障框架》（标准） • 分析云服务体系架构,评估采用云服务后的风险，减轻 云服务提供商需担保的负担
– 《云计算--信息安全的好处，风险和建议》（标准） • 云风险的详细分类：首先定义了云里的风险类型、资 产类型、脆弱性类型，对风险详细分类并给出其可能 性、影响大小、与脆弱性的关系、影响资产风险等级。
1
国外云安全组织及标准 -云安全标 准
火龙果整理 uml.org.cn
云安全标准机构
3、美国国家标准技术研究所（NIST）
《云计算参考体系架构》提出NIST云参考体系架构， NIST为云安全构建一个完整的标准体系
定义了云计算中部署模型、各层的组成及参与实体
云消费者：向云提供商按需购买服务 云提供商：为个人、组织等实体 提供云服务 《完全虚拟化技术安全指南》：完全虚拟化 技术（在一台机器上虚拟多个OS）的中虚拟 云经纪人：负责管理云服务的使用、性能和部 机隔离、虚拟机监控等面临的安全威胁 署，并协调云消费者与云提供商的关系 《公共云计算中安全与隐私》：对公有云中身份管 理和隐私保护进行标准化 云审计：第三方机构，对云服 务进行客观的评测 云承载：属于中间层，为云客 户与云提供商提供信息交互
风 险
策略和管理风险
数据锁定 管理缺失 一致性挑战 由于合租者引起的商 业信用损失 云服务终止或失效 云服务提供商违约 „
技术风险
资源耗尽 隔离失效 云服务商内部恶意行为 数据传输被截获 不安全或无效的数据删 除 密钥丢失 恶意探测和扫描 „
法律风险
司法权变更 数据保护风险 软件授权风险
非云特有风险
1
国外云安全组织及标准 -云安全标 准
火龙果整理 uml.org.cn
云安全标准机构
5、欧洲网络与信息安全管理局（ENISA ）
《云计算--信息安全的好处，风险和建议》
首先定义了云里的风险类型、资产类型、脆弱性类型，然 对风险详细分类并给出其可能性、影响大小、与脆弱性的 关系、影响资产风险等级。
1
Hale Waihona Puke Baidu
国外云安全组织及标准 -云安全标 准
火龙果整理 uml.org.cn
云安全标准机构
1、ISO/IEC第一联合技术委员会(ISO/IEC JTC1)
已有的云安全相关标准：
主席：Ms. Karen Higginbottom(USA)
– 《开放虚拟机格式》（标准） • 2011年8月完成 • 描述了虚拟机迁移的文件格式及打包方法， 可以对虚拟机进行应用程序细粒度的打包迁 移。 – 《云计算安全与隐私管理系统》（标准草案）:
火龙果整理 uml.org.cn
云安全标准概况
火龙果整理 uml.org.cn
目
1 2 3
录
国外云安全组织及标准 国内云安全组织及标准 云安全标准之我见
火龙果整理 uml.org.cn
目
1 2 3
录
国外云安全组织及标准 国内云安全组织及标准 云安全标准之我见
1
国外云安全组织及标准 -云安全标 准
十家标准组织及机构合作，在云安全最佳实践与标准制定方面具有很大 的影响力有影响力。
1
国外云安全组织及标准 -云安全建议白 皮书
火龙果整理 uml.org.cn
云安全标准建议组织
2010年2月，与 NIST、GSA(General Services Administration )、 CIO以及ISIMC(Information Security and Identity Management Committee )一起合作完成《美国政府云计算风险评估方法》
1
国外云安全组织及标准 -云安全标 准
云安全标准建议组织
1、云安全联盟（CSA）
组织性质：工业组织联盟 组织简介：电信安全联盟CSA(Cloud Security Alliance)，2009年4月
成立，目标是推广云安全的最佳实践方案，开展云安全培训。
组织成员：包括 100多家来自全球IT企业加盟，并与ITU、ENISA等二
1
国外云安全组织及标准 -云安全标 准
火龙果整理 uml.org.cn
云安全标准机构
4、CIO委员会
组织类型：区域(美国)标准机构
组织简介：CIO委员会(Chief Information Officers Council) 成
立于2002年，属于美国政府机构，成员主要由来自其他28个政府部分 的首席技术人员组成。
组建了第一个联合技术委员会。
组织成员：JTC1的成员类型分为三种：参加成员
秘书：Mrs. Lisa Rajchel (USA)
（P-MEMBER）、观察成员（O-MEMBER）和联络成员。 目前,JTC1有27个参加成员(中国包含其中)、38个观 察成员、16个内部联络员及22个外部联络员
在云计算领域的标准化工作主要由JTC1下工作组 SC38来完成。
组织类型：区域(欧洲)标准机构
组织简介：ENISA（The European Network and Information
Security Agency）成立于2004年，总部设在希腊的伊拉克利 翁。目的是提高欧洲网络与信息安全。
2010年2月，云安全标准化方面主要关注云计算中风险评估和 风险管理等，由ENISA下WG NRMP工作小组负责。
云计算安全工作组（NCC-SWG）
– 2011年1月份成立 – 目前已进行了17次云安全小组研讨会。
1
国外云安全组织及标准 -云安全标 准
火龙果整理 uml.org.cn
云安全标准机构
3、美国国家标准技术研究所（NIST）
NIST云安全标准制定路线图
• • • 开发出一种具有权威性的“云安全服务体系架构”，这种架构能够映 射到其他云计算体系中去； 识别云安全面临威胁，并对威胁进行相应地分类； 确定哪些安全服务能解决云中可能遇到威胁；
CSP进行独立的 安全评估并提交 安全报告
FedRAMP对CSP 进行持续不间断 监控
FedRAMP将CSP 加入授权清单
JAB最终审查并 授权CSP执行
FedRAMP检查报 告并给JAB形成 授权文档
1
国外云安全组织及标准 -云安全标 准
火龙果整理 uml.org.cn
云安全标准机构
5、欧洲网络与信息安全管理局（ENISA ）
火龙果整理 uml.org.cn
云安全标准机构
目前主要的云安全标准机构，有： ISO/IEC 第一联合技术委员会(ISO/IEC JTC1) 国际电信联盟--电信标准化部(ITU-T) 美国国家标准技术研究所（NIST） 区域标准组织（美国）CIO委员会
欧洲网络与信息安全管理局（ENISA ）
•
• •
针对相应地威胁，对安全控制做一个形式化映射
确定安全管理（包括合规）域，并将安全控制映射到域中； 云安全战略实施与评估；
1
国外云安全组织及标准 -云安全标 准
火龙果整理 uml.org.cn
云安全标准机构
3、美国国家标准技术研究所（NIST）
相关云安全标准
– 《云计算参考体系架构》（标准） • 定义云计算体系架构，架构组成部件及面临的安全与隐私 – 《 完全虚拟化技术安全指南》（标准） • 虚拟机隔离、虚拟机监控以及虚拟面临的安全威胁 – 《云计算安全障碍与缓和措施》（草案） • 对各种不同部署平台可能面临的安全威胁进行了详尽的分 析，并提出了应对措施。 – 《公共云计算中安全与隐私》（草案） • 对公有云中身份管理和隐私保护进行标准化 – 《通用云计算环境》(草案) • 规范了云安全访问控制模型中的安全访问边界
开放式组织联盟（TheOpenGroup）
1
国外云安全组织及标准 -云安全标 准
火龙果整理 uml.org.cn
云安全标准机构
1、ISO/IEC第一联合技术委员会(ISO/IEC JTC1)
组织类型：联合国下属机构
主席：Ms. Karen Higginbottom(USA)
组织简介：1987年ISO与IEC两大国际标准组织联合