演示文稿云安全標準組織

演示文稿云安全標準組織當前第1頁\共有49頁\編于星期四\8點（優(yōu)選）云安全標準組織當前第2頁\共有49頁\編于星期四\8點國外云安全組織及標準1國內云安全組織及標準2云安全標準之我見3目錄當前第3頁\共有49頁\編于星期四\8點國外云安全組織及標準國內云安全組織及標準2云安全標準之我見3目錄1當前第4頁\共有49頁\編于星期四\8點云安全標準機構國外云安全組織及標準-云安全標準1目前主要的云安全標準機構，有：ISO/IEC第一聯合技術委員會(ISO/IECJTC1)國際電信聯盟--電信標準化部(ITU-T)美國國家標準技術研究所（NIST）區(qū)域標準組織（美國）CIO委員會歐洲網絡與信息安全管理局（ENISA）開放式組織聯盟（TheOpenGroup）當前第5頁\共有49頁\編于星期四\8點云安全標準機構國外云安全組織及標準-云安全標準11、ISO/IEC第一聯合技術委員會(ISO/IECJTC1)組織類型：聯合國下屬機構組織簡介：1987年ISO與IEC兩大國際標準組織聯合組建了第一個聯合技術委員會。組織成員：JTC1的成員類型分為三種：參加成員（P-MEMBER）、觀察成員（O-MEMBER）和聯絡成員。目前,JTC1有27個參加成員(中國包含其中)、38個觀察成員、16個內部聯絡員及22個外部聯絡員在云計算領域的標準化工作主要由JTC1下工作組SC38來完成。主席：Ms.KarenHigginbottom(USA)秘書：Mrs.LisaRajchel(USA)

當前第6頁\共有49頁\編于星期四\8點云安全標準機構國外云安全組織及標準-云安全標準11、ISO/IEC第一聯合技術委員會(ISO/IECJTC1)已有的云安全相關標準：《開放虛擬機格式》（標準）2011年8月完成描述了虛擬機遷移的文件格式及打包方法，可以對虛擬機進行應用程序細粒度的打包遷移?！对朴嬎惆踩c隱私管理系統(tǒng)》（標準草案）:為云計算服務過程中的安全控制提供指導；目前正在制定過程主席：Ms.KarenHigginbottom(USA)秘書：Mrs.LisaRajchel(USA)

當前第7頁\共有49頁\編于星期四\8點云安全標準機構國外云安全組織及標準-云安全標準12、國際電信聯盟--電信標準化部（ITU-T）組織類型：聯合國下屬機構組織簡介：電信標準化部（

ITU-T，ITUTelecommunicationStandardizationSector）是國際電信聯盟管理下,專門制定遠程通信的相關國際標準組織。組織成員：主要來自世界上大多數電信業(yè)務提供商、軟件生產商等，目前已有190多個政府機構和700多個私營部門實體。當前第8頁\共有49頁\編于星期四\8點云安全標準機構國外云安全組織及標準-云安全標準12、國際電信聯盟--電信標準化部（ITU-T）已有的云安全相關標準云計算焦點組（

FocusGrouponCloudComputing，FGCloud）2010年6月成立正在制定《云安全、威脅與需求》（標準草案），文檔計劃2011年5月完成電信云安全研究小組--SG172009年成立《電信領域云計算安全指南》計劃于2012年3月完成當前第9頁\共有49頁\編于星期四\8點云安全標準機構國外云安全組織及標準-云安全標準13、美國國家標準技術研究所（NIST）組織類型：區(qū)域(美國)標準機構組織簡介：電信標準化部（

ITU-T，ITUTelecommunicationStandardizationSector）是國際電信聯盟管理下,專門制定遠程通信的相關國際標準組織。云計算安全工作組（NCC-SWG）2011年1月份成立目前已進行了17次云安全小組研討會。當前第10頁\共有49頁\編于星期四\8點云安全標準機構國外云安全組織及標準-云安全標準13、美國國家標準技術研究所（NIST）NIST云安全標準制定路線圖開發(fā)出一種具有權威性的“云安全服務體系架構”，這種架構能夠映射到其他云計算體系中去；識別云安全面臨威脅，并對威脅進行相應地分類；確定哪些安全服務能解決云中可能遇到威脅；針對相應地威脅，對安全控制做一個形式化映射確定安全管理（包括合規(guī)）域，并將安全控制映射到域中；云安全戰(zhàn)略實施與評估；當前第11頁\共有49頁\編于星期四\8點云安全標準機構國外云安全組織及標準-云安全標準13、美國國家標準技術研究所（NIST）相關云安全標準《云計算參考體系架構》（標準）定義云計算體系架構，架構組成部件及面臨的安全與隱私《完全虛擬化技術安全指南》（標準）虛擬機隔離、虛擬機監(jiān)控以及虛擬面臨的安全威脅《云計算安全障礙與緩和措施》（草案）對各種不同部署平臺可能面臨的安全威脅進行了詳盡的分析，并提出了應對措施?！豆苍朴嬎阒邪踩c隱私》（草案）對公有云中身份管理和隱私保護進行標準化《通用云計算環(huán)境》(草案)規(guī)范了云安全訪問控制模型中的安全訪問邊界當前第12頁\共有49頁\編于星期四\8點云安全標準機構國外云安全組織及標準-云安全標準13、美國國家標準技術研究所（NIST）NIST為云安全構建一個完整的標準體系《云計算參考體系架構》提出NIST云參考體系架構，定義了云計算中部署模型、各層的組成及參與實體云消費者：向云提供商按需購買服務云提供商：為個人、組織等實體提供云服務云審計：第三方機構，對云服務進行客觀的評測云承載：屬于中間層，為云客戶與云提供商提供信息交互云經紀人：負責管理云服務的使用、性能和部署，并協(xié)調云消費者與云提供商的關系《公共云計算中安全與隱私》：對公有云中身份管理和隱私保護進行標準化《完全虛擬化技術安全指南》：完全虛擬化技術（在一臺機器上虛擬多個OS）的中虛擬機隔離、虛擬機監(jiān)控等面臨的安全威脅當前第13頁\共有49頁\編于星期四\8點云安全標準機構國外云安全組織及標準-云安全標準1組織類型：區(qū)域(美國)標準機構組織簡介：CIO委員會(ChiefInformationOfficers

Council)成立于2002年，屬于美國政府機構，成員主要由來自其他28個政府部分的首席技術人員組成。2010年2月，與

NIST、GSA(GeneralServicesAdministration)、CIO以及ISIMC(InformationSecurityandIdentityManagementCommittee)一起合作完成《美國政府云計算風險評估方法》4、CIO委員會當前第14頁\共有49頁\編于星期四\8點云安全標準機構國外云安全組織及標準-云安全標準14、CIO委員會《美國政府云計算風險評估方法》基于標準化流程的風險評估：提出將云計算置于聯邦監(jiān)控之下的方法及流程；明確了聯邦政府、云提供商以及評估小組在云安全中的作用和職責。部門X需要新的基于云的IT系統(tǒng)部門X從FedRAMP獲得安全需求部門X將獲得安全需求轉給CSP部門X向FedRAMP申請授權CSP運行FedRAMP將CSP加入到授權日志CSP和部門啟動授權程序CSP、部門和FedRAMP重審安全需求FedRAMP和CSP一起建立系統(tǒng)安全方案CSP進行獨立的安全評估并提交安全報告FedRAMP檢查報告并給JAB形成授權文檔JAB最終審查并授權CSP執(zhí)行FedRAMP將CSP加入授權清單FedRAMP對CSP進行持續(xù)不間斷監(jiān)控當前第15頁\共有49頁\編于星期四\8點云安全標準機構國外云安全組織及標準-云安全標準1組織類型：區(qū)域(歐洲)標準機構組織簡介：ENISA（TheEuropeanNetworkandInformationSecurityAgency）成立于2004年，總部設在希臘的伊拉克利翁。目的是提高歐洲網絡與信息安全。2010年2月，云安全標準化方面主要關注云計算中風險評估和風險管理等，由ENISA下WGNRMP工作小組負責。5、歐洲網絡與信息安全管理局（ENISA）當前第16頁\共有49頁\編于星期四\8點云安全標準機構國外云安全組織及標準-云安全標準1與云安全相關標準《云計算--信息安全保障框架》（標準）分析云服務體系架構,評估采用云服務后的風險，減輕云服務提供商需擔保的負擔《云計算--信息安全的好處，風險和建議》（標準）云風險的詳細分類：首先定義了云里的風險類型、資產類型、脆弱性類型，對風險詳細分類并給出其可能性、影響大小、與脆弱性的關系、影響資產風險等級。5、歐洲網絡與信息安全管理局（ENISA）當前第17頁\共有49頁\編于星期四\8點云安全標準機構國外云安全組織及標準-云安全標準1《云計算--信息安全的好處，風險和建議》5、歐洲網絡與信息安全管理局（ENISA）首先定義了云里的風險類型、資產類型、脆弱性類型，然對風險詳細分類并給出其可能性、影響大小、與脆弱性的關系、影響資產風險等級。數據鎖定管理缺失一致性挑戰(zhàn)由于合租者引起的商業(yè)信用損失云服務終止或失效云服務提供商違約

…資源耗盡隔離失效云服務商內部惡意行為數據傳輸被截獲不安全或無效的數據刪除密鑰丟失惡意探測和掃描

…司法權變更數據保護風險軟件授權風險網絡破壞網絡流量篡改權限放大社會工程學攻擊運行、安全日志丟失非授權訪問

…策略和管理風險技術風險法律風險非云特有風險風險當前第18頁\共有49頁\編于星期四\8點云安全標準機構國外云安全組織及標準-云安全標準16、開放式組織聯盟組織類型：工業(yè)組織聯盟組織簡介：由廠家中立、技術中立的工業(yè)聯盟，旨在開放標準和全球互操作性的基礎上，實現企業(yè)內部和企業(yè)之間的無邊界的信息技術交流。成員：包括Oracle，IBM,HP,Capgemini,Fujitsu,Hitachi,OrbusSoftware,Kingdee,NEC,SAP,USDepartmentofDefense,NASA等知名企業(yè)和政府機構。組織成員結構圖當前第19頁\共有49頁\編于星期四\8點云安全標準機構國外云安全組織及標準-云安全標準16、開放式組織聯盟云安全相關的工作組及活動云工作組（CloudWorkGroup）2009年10月成立，工作組的標準由組織成員制定的，但非成員也可以參與討論。云安全標準《云計算標準》（標準）該標準對云計算體系架構進行標準化，包括：通用云架構，云服務質量QOS，云安全，服務虛擬定價。《云安全和SOA參考架構》（標準）構建面向SOA的云安全參考架構，涉及云中數據存儲安全，數據可信，QOS，審計和數據所有者隱私保護等領域當前第20頁\共有49頁\編于星期四\8點云安全標準建議組織國外云安全組織及標準-云安全建議白皮書1國際上比較具有影響力的云安全組織，有：云安全聯盟（CSA）分布式管理任務組（DMTF）結構化信息標準促進組織（OASIS）當前第21頁\共有49頁\編于星期四\8點云安全標準建議組織國外云安全組織及標準-云安全建議白皮書1組織性質：工業(yè)組織聯盟組織簡介：電信安全聯盟CSA(CloudSecurityAlliance)，2009年4月成立，目標是推廣云安全的最佳實踐方案，開展云安全培訓。組織成員：包括

100多家來自全球IT企業(yè)加盟，并與ITU、ENISA等二十家標準組織及機構合作，在云安全最佳實踐與標準制定方面具有很大的影響力有影響力。1、云安全聯盟（CSA）當前第22頁\共有49頁\編于星期四\8點云安全標準建議組織國外云安全組織及標準-云安全建議白皮書11、云安全聯盟（CSA）在云安全標準化工作方面以白皮書的形式向全球發(fā)布云安全方面的參考與建議。已完成《云計算面臨的嚴重威脅》、《關鍵領域的云計算安全指南》、《身份隱私與接入安全》等3項標準化建議發(fā)布了《如何保護云數據》、《定義云安全：六種觀點》等2項云安全相關的建議書。當前第23頁\共有49頁\編于星期四\8點云安全標準建議組織國外云安全組織及標準-云安全建議白皮書11、云安全聯盟（CSA）CSA：云模型、安全控制和合規(guī)模型的映射云參考模型安全控制模型合規(guī)模型當前第24頁\共有49頁\編于星期四\8點云安全標準建議組織國外云安全組織及標準-云安全建議白皮書12、分布式管理任務組（DMTF）組織性質：工業(yè)組織聯盟組織簡介：成立于1992年，目的是聯合整個IT行業(yè)協(xié)同開發(fā)、驗證和推廣系統(tǒng)管理標準，幫助全世界范圍內簡化管理，降低IT管理成本。組織成員：包括全球160個公司和組織。董事會成員由Dell、HP、IBM、Cisco、Intel、AMD、Oracle、Microsoft、EMC、CA、Citrix、VMware、Hitachi、Fujitsu、Broadcom十五家公司組成。當前第25頁\共有49頁\編于星期四\8點云安全標準建議組織國外云安全組織及標準-云安全建議白皮書12、分布式管理任務組（DMTF）云安全相關的工作組及活動2009年4月，成立了工作組--開放云標準孵化器(OpenCloudStandardIncubator)2010年7月成立了云管理工作組2011年4月成立了云審計數據聯邦工作組，它致力于促使云供應商提高安全能力。云安全相關標準《云管理體系結構》2010年6月18日發(fā)布云安全體系架構、云管理安全接口、租戶身份管理與存儲等當前第26頁\共有49頁\編于星期四\8點云安全標準建議組織國外云安全組織及標準-云安全建議白皮書13、結構化信息標準促進組織（OASIS）組織性質：工業(yè)組織聯盟組織簡介：結構化信息標準促進組織致力于推動全球信息社會開放標準的開發(fā)、融合和采用。組織成員：到2010年8月底為止包括了IBM、Microsoft等兩百六十個來自不同國家的組織、團體、大學、研究院和公司。當前第27頁\共有49頁\編于星期四\8點云安全標準建議組織國外云安全組織及標準-云安全建議白皮書13、結構化信息標準促進組織（OASIS）與云安全相關活動云身份（IDCloud）技術委員會2010年成立致力于解決云計算中身份管理帶來的嚴重的安全挑戰(zhàn)。包括成員RedHat,IBM,Microsoft等大型IT企業(yè)云安全相關標準

《身份在云中的使用》2011年2月發(fā)布對租戶身份的部署，配置和管理用例進行定義。當前第28頁\共有49頁\編于星期四\8點國外云安全組織及標準1國內云安全組織及標準2國內云安全組織及標準3目錄當前第29頁\共有49頁\編于星期四\8點國外云安全組織及標準國內云安全組織及標準2云安全標準之我見3目錄1當前第30頁\共有49頁\編于星期四\8點1、中國通信標準化協(xié)會（CCSA）組織簡介：2002年12月18日在北京正式成立。該協(xié)會是國內企、事業(yè)單位自愿聯合組織起來，經業(yè)務主管部門批準，國家社團登記管理機關登記，開展通信技術領域標準化活動的非營利性法人社會團體。組織成員：目前已有277個研究組織和企業(yè)加盟。國內云安全組織及標準2當前第31頁\共有49頁\編于星期四\8點1、中國通信標準化協(xié)會（CCSA）相關云安全標準：《移動環(huán)境下云計算安全技術研究》由中國聯合網絡通信集團有限公司牽頭針對移動環(huán)境中云計算中面臨的安全關鍵問題進行詳細分析和研究《電信業(yè)務云安全需求和框架》由中興通訊股份有限公司牽頭旨在構建電信業(yè)務云環(huán)境的安全業(yè)務云體系框架國內云安全組織及標準2當前第32頁\共有49頁\編于星期四\8點2、全國信息技術標準化技術委員組織簡介：成立于1983年受國家標準化管理委員會和工業(yè)和信息化部的共同領導 下設17分技術委員會和10個直屬工作組SOA標準工作組（WGSOA）負責云計算領域的相關標準目前尚未發(fā)布與云安全相關標準國內云安全組織及標準2當前第33頁\共有49頁\編于星期四\8點目前可借鑒信息安全領域標準身份認證與隱私保護《隱私保護框架》、《隱私參照體系架構》等等數據隱私與安全《公鑰基礎設施安全支撐平臺技術框架》、《證書認證系統(tǒng)密碼及其相關安全技術規(guī)范》等等

風險評估《信息安全管理系統(tǒng)》、《風險管理--風險評估技術》等等……國內云安全組織及標準2當前第34頁\共有49頁\編于星期四\8點國外云安全組織及標準1國內云安全組織及標準2云安全標準之我見3目錄當前第35頁\共有49頁\編于星期四\8點國外云安全組織及標準國內云安全組織及標準2云安全標準之我見3目錄1當前第36頁\共有49頁\編于星期四\8點云for安全？service可信的云？TrustedCloud安全的云？SecureCloud可靠的云？SafeCloud可控的云？ControlledCloud

我們對云安全的認識云安全標準之我見3當前第37頁\共有49頁\編于星期四\8點云for安全？service可信的云？TrustedCloud安全的云？SecureCloud可靠的云？SafeCloud可控的云？ControlledCloud

我們對云安全的認識云能夠提供持續(xù)可靠的服務不會發(fā)生服務中斷不會因故障給租戶帶來損失……云安全標準之我見3當前第38頁\共有49頁\編于星期四\8點云for安全？service可信的云？TrustedCloud安全的云？SecureCloud可靠的云？SafeCloud可控的云？ControlledCloud

我們對云安全的認識云安全標準之我見3當前第39頁\共有49頁\編于星期四\8點云for安全？service可信的云？TrustedCloud安全的云？SecureCloud可靠的云？SafeCloud可控的云？ControlledCloud

我們對云安全的認識云本身是可信的云中用戶的數據或者程序不會被竊取、篡改或分析……云安全標準之我見3當前第40頁\共有49頁\編于星期四\8點云for安全？service可信的云？TrustedCloud安全的云？SecureCloud可靠的云？SafeCloud可控的云？ControlledCloud

我們對云安全的認識云安全標準之我見3當前第41頁\共有49頁\編于星期四\8點云for安全？service可信的云？TrustedCloud安全的云？SecureCloud可靠的云？SafeCloud可控的云？ControlledCloud

我們對云安全的認識保護云以及云的用戶不會受到外來的攻擊和損害惡意軟件感染；數據破壞；中間人攻擊；會話劫持；用戶假冒

……云安全標準之我見3當前第42頁\共有49頁\編于星期四\8點云for安全？service可信的云？TrustedCloud安全的云？SecureCloud可靠的云？SafeCloud可控的云？ControlledCloud

我們對云安全的認識云安全標準之我見3當前第43頁\共有49頁\編于星期四\8點云for安全？service可信的云？TrustedCloud安全的云？SecureCloud可靠的云？SafeCloud可控的云？ControlledCloud

我們對云安全的認識保證云不會被用來作惡用云發(fā)動網絡攻擊用云散布惡意輿論……云安全標準之我見3當前第44頁\共有49頁\編于星期四\8點云for安全？service可信的云？TrustedCloud安全的云？SecureCloud可靠的云？SafeCloud可控的云？ControlledCloud

我們對云安全的認識云安全標準之我見3當前第45頁\共有49頁\編于星期四\8點云for安全？service可信的云？TrustedCloud安全的云？SecureCloud可靠的云？SafeCloud可控的云？ControlledCloud

我們對云安全的認識用強大的云技術來進行安全防護：云查殺……云安全標準之我見3當前第46頁\共有49頁\編于星期四\8點云for安全？service可信的云？TrustedCloud安全的云？SecureCloud可靠的云？SafeCloud可控的云？ControlledCloud

我們對云安全的認識云安全標準之我見3當前第47頁\共有49頁\編于星期四\8點云安全標準現狀統(tǒng)計云安全分類安全子類相關組