云計算安全標準組織

云平安標準概況國外云平安組織及標準1國內云平安組織及標準2云平安標準之我見3目錄國外云平安組織及標準國內云平安組織及標準2云平安標準之我見3目錄1云平安標準機構國外云安全組織及標準-云安全標準1目前主要的云平安標準機構，有：ISO/IEC第一聯(lián)合技術委員會(ISO/IECJTC1)國際電信聯(lián)盟--電信標準化部(ITU-T)美國國家標準技術研究所〔NIST〕區(qū)域標準組織〔美國〕CIO委員會歐洲網絡與信息平安管理局〔ENISA〕開放式組織聯(lián)盟〔TheOpenGroup〕云平安標準機構國外云平安組織及標準-云平安標準11、ISO/IEC第一聯(lián)合技術委員會(ISO/IECJTC1)組織類型：聯(lián)合國下屬機構組織簡介：1987年ISO與IEC兩大國際標準組織聯(lián)合組建了第一個聯(lián)合技術委員會。組織成員：JTC1的成員類型分為三種：參加成員（P-MEMBER）、觀察成員（O-MEMBER）和聯(lián)絡成員。目前,JTC1有27個參加成員(中國包含其中)、38個觀察成員、16個內部聯(lián)絡員及22個外部聯(lián)絡員在云計算領域的標準化工作主要由JTC1下工作組SC38來完成。主席：Ms.KarenHigginbottom(USA)秘書：Mrs.LisaRajchel(USA)

云平安標準機構國外云平安組織及標準-云平安標準11、ISO/IEC第一聯(lián)合技術委員會(ISO/IECJTC1)已有的云平安相關標準：?開放虛擬機格式?〔標準〕2021年8月完成描述了虛擬機遷移的文件格式及打包方法，可以對虛擬機進行應用程序細粒度的打包遷移。?云計算平安與隱私管理系統(tǒng)?〔標準草案〕:為云計算效勞過程中的平安控制提供指導；目前正在制定過程主席：Ms.KarenHigginbottom(USA)秘書：Mrs.LisaRajchel(USA)

云平安標準機構國外云平安組織及標準-云平安標準12、國際電信聯(lián)盟--電信標準化部〔ITU-T〕組織類型：聯(lián)合國下屬機構組織簡介：電信標準化部（ITU-T，ITUTelecommunicationStandardizationSector）是國際電信聯(lián)盟管理下,專門制定遠程通信的相關國際標準組織。組織成員：主要來自世界上大多數電信業(yè)務提供商、軟件生產商等，目前已有190多個政府機構和700多個私營部門實體。云平安標準機構國外云平安組織及標準-云平安標準12、國際電信聯(lián)盟--電信標準化部〔ITU-T〕已有的云平安相關標準云計算焦點組〔FocusGrouponCloudComputing，FGCloud〕2021年6月成立正在制定?云平安、威脅與需求?〔標準草案〕，文檔方案2021年5月完成電信云平安研究小組--SG172021年成立?電信領域云計算平安指南?方案于2021年3月完成云平安標準機構國外云平安組織及標準-云平安標準13、美國國家標準技術研究所〔NIST〕組織類型：區(qū)域(美國)標準機構組織簡介：電信標準化部（ITU-T，ITUTelecommunicationStandardizationSector）是國際電信聯(lián)盟管理下,專門制定遠程通信的相關國際標準組織。云計算安全工作組（NCC-SWG）2011年1月份成立目前已進行了17次云安全小組研討會。云平安標準機構國外云平安組織及標準-云平安標準13、美國國家標準技術研究所〔NIST〕NIST云平安標準制定路線圖開發(fā)出一種具有權威性的“云平安效勞體系架構〞，這種架構能夠映射到其他云計算體系中去；識別云平安面臨威脅，并對威脅進行相應地分類；確定哪些平安效勞能解決云中可能遇到威脅；針對相應地威脅，對平安控制做一個形式化映射確定平安管理〔包括合規(guī)〕域，并將平安控制映射到域中；云平安戰(zhàn)略實施與評估；云平安標準機構國外云平安組織及標準-云平安標準13、美國國家標準技術研究所〔NIST〕相關云平安標準?云計算參考體系架構?〔標準〕定義云計算體系架構，架構組成部件及面臨的平安與隱私?完全虛擬化技術平安指南?〔標準〕虛擬機隔離、虛擬機監(jiān)控以及虛擬面臨的平安威脅?云計算平安障礙與緩和措施?〔草案〕對各種不同部署平臺可能面臨的平安威脅進行了詳盡的分析，并提出了應對措施。?公共云計算中平安與隱私?〔草案〕對公有云中身份管理和隱私保護進行標準化?通用云計算環(huán)境?(草案)標準了云平安訪問控制模型中的平安訪問邊界云平安標準機構國外云平安組織及標準-云平安標準13、美國國家標準技術研究所〔NIST〕NIST為云平安構建一個完整的標準體系?云計算參考體系架構?提出NIST云參考體系架構，定義了云計算中部署模型、各層的組成及參與實體云消費者：向云提供商按需購置效勞云提供商：為個人、組織等實體提供云效勞云審計：第三方機構，對云效勞進行客觀的評測云承載：屬于中間層，為云客戶與云提供商提供信息交互云經紀人：負責管理云效勞的使用、性能和部署，并協(xié)調云消費者與云提供商的關系?公共云計算中平安與隱私?：對公有云中身份管理和隱私保護進行標準化?完全虛擬化技術平安指南?：完全虛擬化技術〔在一臺機器上虛擬多個OS〕的中虛擬機隔離、虛擬機監(jiān)控等面臨的平安威脅云平安標準機構國外云平安組織及標準-云平安標準1組織類型：區(qū)域(美國)標準機構組織簡介：CIO委員會(ChiefInformationOfficersCouncil)成立于2002年，屬于美國政府機構，成員主要由來自其他28個政府局部的首席技術人員組成。2021年2月，與NIST、GSA(GeneralServicesAdministration)、CIO以及ISIMC(InformationSecurityandIdentityManagementCommittee)一起合作完成?美國政府云計算風險評估方法?4、CIO委員會云平安標準機構國外云平安組織及標準-云平安標準14、CIO委員會?美國政府云計算風險評估方法?基于標準化流程的風險評估：提出將云計算置于聯(lián)邦監(jiān)控之下的方法及流程；明確了聯(lián)邦政府、云提供商以及評估小組在云平安中的作用和職責。部門X需要新的基于云的IT系統(tǒng)部門X從FedRAMP獲得安全需求部門X將獲得安全需求轉給CSP部門X向FedRAMP申請授權CSP運行FedRAMP將CSP加入到授權日志CSP和部門啟動授權程序CSP、部門和FedRAMP重審安全需求FedRAMP和CSP一起建立系統(tǒng)安全方案CSP進行獨立的安全評估并提交安全報告FedRAMP檢查報告并給JAB形成授權文檔JAB最終審查并授權CSP執(zhí)行FedRAMP將CSP加入授權清單FedRAMP對CSP進行持續(xù)不間斷監(jiān)控云平安標準機構國外云平安組織及標準-云平安標準1組織類型：區(qū)域(歐洲)標準機構組織簡介：ENISA〔TheEuropeanNetworkandInformationSecurityAgency〕成立于2004年，總部設在希臘的伊拉克利翁。目的是提高歐洲網絡與信息平安。2021年2月，云平安標準化方面主要關注云計算中風險評估和風險管理等，由ENISA下WGNRMP工作小組負責。5、歐洲網絡與信息平安管理局〔ENISA〕云平安標準機構國外云平安組織及標準-云平安標準1與云平安相關標準?云計算--信息平安保障框架?〔標準〕分析云效勞體系架構,評估采用云效勞后的風險，減輕云效勞提供商需擔保的負擔?云計算--信息平安的好處，風險和建議?〔標準〕云風險的詳細分類：首先定義了云里的風險類型、資產類型、脆弱性類型，對風險詳細分類并給出其可能性、影響大小、與脆弱性的關系、影響資產風險等級。5、歐洲網絡與信息平安管理局〔ENISA〕云平安標準機構國外云平安組織及標準-云平安標準1?云計算--信息平安的好處，風險和建議?5、歐洲網絡與信息平安管理局〔ENISA〕首先定義了云里的風險類型、資產類型、脆弱性類型，然對風險詳細分類并給出其可能性、影響大小、與脆弱性的關系、影響資產風險等級。數據鎖定管理缺失一致性挑戰(zhàn)由于合租者引起的商業(yè)信用損失云服務終止或失效云服務提供商違約…資源耗盡隔離失效云服務商內部惡意行為數據傳輸被截獲不安全或無效的數據刪除密鑰丟失惡意探測和掃描…司法權變更數據保護風險軟件授權風險網絡破壞網絡流量篡改權限放大社會工程學攻擊運行、安全日志丟失非授權訪問…策略和管理風險技術風險法律風險非云特有風險風險云平安標準機構國外云平安組織及標準-云平安標準16、開放式組織聯(lián)盟組織類型：工業(yè)組織聯(lián)盟組織簡介：由廠家中立、技術中立的工業(yè)聯(lián)盟，旨在開放標準和全球互操作性的根底上，實現企業(yè)內部和企業(yè)之間的無邊界的信息技術交流。成員：包括Oracle，IBM,HP,Capgemini,Fujitsu,Hitachi,OrbusSoftware,Kingdee,NEC,SAP,USDepartmentofDefense,NASA等知名企業(yè)和政府機構。組織成員結構圖云平安標準機構國外云平安組織及標準-云平安標準16、開放式組織聯(lián)盟云平安相關的工作組及活動云工作組〔CloudWorkGroup〕2021年10月成立，工作組的標準由組織成員制定的，但非成員也可以參與討論。云平安標準?云計算標準?〔標準〕該標準對云計算體系架構進行標準化，包括：通用云架構，云效勞質量QOS，云平安，效勞虛擬定價。?云平安和SOA參考架構?〔標準〕構建面向SOA的云平安參考架構，涉及云中數據存儲平安，數據可信，QOS，審計和數據所有者隱私保護等領域云平安標準建議組織國外云平安組織及標準-云平安建議白皮書1國際上比較具有影響力的云平安組織，有：云平安聯(lián)盟〔CSA〕分布式管理任務組〔DMTF〕結構化信息標準促進組織〔OASIS〕云平安標準建議組織國外云平安組織及標準-云平安建議白皮書1組織性質：工業(yè)組織聯(lián)盟組織簡介：電信平安聯(lián)盟CSA(CloudSecurityAlliance)，2021年4月成立，目標是推廣云平安的最正確實踐方案，開展云平安培訓。組織成員：包括100多家來自全球IT企業(yè)加盟，并與ITU、ENISA等二十家標準組織及機構合作，在云平安最正確實踐與標準制定方面具有很大的影響力有影響力。1、云安全聯(lián)盟（CSA）云平安標準建議組織國外云平安組織及標準-云平安建議白皮書11、云平安聯(lián)盟〔CSA〕在云平安標準化工作方面以白皮書的形式向全球發(fā)布云平安方面的參考與建議。已完成?云計算面臨的嚴重威脅?、?關鍵領域的云計算平安指南?、?身份隱私與接入平安?等3項標準化建議發(fā)布了?如何保護云數據?、?定義云平安：六種觀點?等2項云平安相關的建議書。云平安標準建議組織國外云平安組織及標準-云平安建議白皮書11、云平安聯(lián)盟〔CSA〕CSA：云模型、平安控制和合規(guī)模型的映射云參考模型安全控制模型合規(guī)模型云平安標準建議組織國外云平安組織及標準-云平安建議白皮書12、分布式管理任務組〔DMTF〕組織性質：工業(yè)組織聯(lián)盟組織簡介：成立于1992年，目的是聯(lián)合整個IT行業(yè)協(xié)同開發(fā)、驗證和推廣系統(tǒng)管理標準，幫助全世界范圍內簡化管理，降低IT管理本錢。組織成員：包括全球160個公司和組織。董事會成員由Dell、HP、IBM、Cisco、Intel、AMD、Oracle、Microsoft、EMC、CA、Citrix、VMware、Hitachi、Fujitsu、Broadcom十五家公司組成。云平安標準建議組織國外云平安組織及標準-云平安建議白皮書12、分布式管理任務組〔DMTF〕云平安相關的工作組及活動2021年4月，成立了工作組--開放云標準孵化器(OpenCloudStandardIncubator)2021年7月成立了云管理工作組2021年4月成立了云審計數據聯(lián)邦工作組，它致力于促使云供給商提高平安能力。云平安相關標準?云管理體系結構?2021年6月18日發(fā)布云平安體系架構、云管理平安接口、租戶身份管理與存儲等云平安標準建議組織國外云平安組織及標準-云平安建議白皮書13、結構化信息標準促進組織〔OASIS〕組織性質：工業(yè)組織聯(lián)盟組織簡介：結構化信息標準促進組織致力于推動全球信息社會開放標準的開發(fā)、融合和采用。組織成員：到2021年8月底為止包括了IBM、Microsoft等兩百六十個來自不同國家的組織、團體、大學、研究院和公司。云平安標準建議組織國外云平安組織及標準-云平安建議白皮書13、結構化信息標準促進組織〔OASIS〕與云平安相關活動云身份〔IDCloud〕技術委員會2021年成立致力于解決云計算中身份管理帶來的嚴重的平安挑戰(zhàn)。包括成員RedHat,IBM,Microsoft等大型IT企業(yè)云平安相關標準?身份在云中的使用?2021年2月發(fā)布對租戶身份的部署，配置和管理用例進行定義。國外云平安組織及標準1國內云平安組織及標準2國內云平安組織及標準3目錄國外云平安組織及標準國內云平安組織及標準2云平安標準之我見3目錄11、中國通信標準化協(xié)會〔CCSA〕組織簡介：2002年12月18日在北京正式成立。該協(xié)會是國內企、事業(yè)單位自愿聯(lián)合組織起來，經業(yè)務主管部門批準，國家社團登記管理機關登記，開展通信技術領域標準化活動的非營利性法人社會團體。組織成員：目前已有277個研究組織和企業(yè)加盟。國內云安全組織及標準21、中國通信標準化協(xié)會〔CCSA〕相關云平安標準：?移動環(huán)境下云計算平安技術研究?由中國聯(lián)合網絡通信集團牽頭針對移動環(huán)境中云計算中面臨的平安關鍵問題進行詳細分析和研究?電信業(yè)務云平安需求和框架?由中興通訊股份牽頭旨在構建電信業(yè)務云環(huán)境的平安業(yè)務云體系框架國內云平安組織及標準22、全國信息技術標準化技術委員組織簡介：成立于1983年受國家標準化管理委員會和工業(yè)和信息化部的共同領導 下設17分技術委員會和10個直屬工作組SOA標準工作組〔WGSOA〕負責云計算領域的相關標準目前尚未發(fā)布與云平安相關標準國內云平安組織及標準2目前可借鑒信息平安領域標準身份認證與隱私保護?隱私保護框架?、?隱私參照體系架構?等等數據隱私與平安?公鑰根底設施平安支撐平臺技術框架?、?證書認證系統(tǒng)密碼及其相關平安技術標準?等等

風險評估?信息平安管理系統(tǒng)?、?風險管理--風險評估技術?等等……國內云平安組織及標準2國外云平安組織及標準1國內云平安組織及標準2云平安標準之我見3目錄國外云平安組織及標準國內云平安組織及標準2云平安標準之我見3目錄1云for安全？service可信的云？TrustedCloud安全的云？SecureCloud可靠的云？SafeCloud可控的云？ControlledCloud我們對云平安的認識云安全標準之我見3云for安全？service可信的云？TrustedCloud安全的云？SecureCloud可靠的云？SafeCloud可控的云？ControlledCloud我們對云平安的認識云能夠提供持續(xù)可靠的效勞不會發(fā)生效勞中斷不會因故障給租戶帶來損失……云平安標準之我見3云for安全？service可信的云？TrustedCloud安全的云？SecureCloud可靠的云？SafeCloud可控的云？ControlledCloud我們對云平安的認識云平安標準之我見3云for安全？service可信的云？TrustedCloud安全的云？SecureCloud可靠的云？SafeCloud可控的云？ControlledCloud我們對云平安的認識云本身是可信的云中用戶的數據或者程序不會被竊取、篡改或分析……云平安標準之我見3云for安全？service可信的云？TrustedCloud安全的云？SecureCloud可靠的云？SafeCloud可控的云？ControlledCloud我們對云平安的認識云平安標準之我見3云for安全？service可信的云？TrustedCloud平安的云？SecureCloud可靠的云？SafeCloud可控的云？ControlledCloud我們對云平安的認識保護云以及云的用戶不會受到外來的攻擊和損害惡意軟件感染；數據破壞；中間人攻擊；會話劫持；用戶假冒

……云平安標準之我見3云for安全？service可信的云？TrustedCloud平安的云？SecureCloud可靠的云？SafeCloud可控的云？ControlledCloud我們對云平安的認識云平安標準之我見3云for安全？service可信的云？TrustedCloud平安的云？SecureCloud可靠的云？SafeCloud可控的云？ControlledCloud我們對云平安的認識保證云不會被用來作惡用云發(fā)動網絡攻擊用云散布惡意輿論……云平安標準之我見3云for安全？service可信的云？TrustedCloud平安的云？SecureCloud可靠的云？SafeCloud可控的云？ControlledCloud我們對云平安的認識云平安標準之我見3云for安全？service可信的云？TrustedCloud平安的云？SecureCloud可靠的云？SafeCloud可控的云？ControlledCloud我們對云平安的認識用強大的云技術來進行平安防護：云查殺……云平安標準之我見3云for安全？service可信的云？TrustedCloud安全的云？SecureCloud可靠的云？SafeCloud可控的云？ControlledCloud我們對云平安的認識云安全標準之我見3云平安標準現狀統(tǒng)計云安全分類安全子類相關組織、標準(白皮書)云安全體系架構及術語

NIST：《云計算參考體系》（標準）CSA:《云計算關鍵領域安全指南》（白皮書）ITU-T：《電信領域云計算安全指南》（標準草案）TheOpenGroup:《云安全和SOA參考架構》（標準）安全的云身份隱私與訪問控制OASIS:《身份在云中的使用》（白皮書）CSA：《云控制矩陣》(白皮書)，《身份管理與接入控制指導建議書》(白皮書),《云計算安全障礙與緩和措施》（白皮書）NIST：《公共云計算中安全域隱私》（標準草案），《通用云計算環(huán)境》（標準草案）DMTF：《云管理