云安全标准组织课件

1、云安全标准概况云安全标准概况国外云安全组织及标准1国内云安全组织及标准2云安全标准之我见3目 录国外云安全组织及标准1国内云安全组织及标准2云安全标准之我见国外云安全组织及标准国内云安全组织及标准2云安全标准之我见3目 录1国外云安全组织及标准国内云安全组织及标准2云安全标准之我见3云安全标准机构国外云安全组织及标准 -云安全标准1目前主要的云安全标准机构，有：ISO/IEC 第一联合技术委员会(ISO/IEC JTC1)国际电信联盟-电信标准化部(ITU-T)美国国家标准技术研究所（NIST）区域标准组织（美国）CIO委员会欧洲网络与信息安全管理局（ENISA ）开放式组织联盟（TheOpe

2、nGroup）云安全标准机构国外云安全组织及标准 -云安全标准1目前主云安全标准机构国外云安全组织及标准 -云安全标准11、ISO/IEC第一联合技术委员会(ISO/IEC JTC1)组织类型：联合国下属机构组织简介：1987年ISO与IEC两大国际标准组织联合组建了第一个联合技术委员会。组织成员：JTC1的成员类型分为三种：参加成员（P-MEMBER）、观察成员（O-MEMBER）和联络成员。目前,JTC1有27个参加成员(中国包含其中)、38个观察成员、16个内部联络员及22个外部联络员在云计算领域的标准化工作主要由JTC1下工作组SC38来完成。主席：Ms. KarenHigginbot

3、tom(USA)秘书：Mrs. Lisa Rajchel (USA)云安全标准机构国外云安全组织及标准 -云安全标准11、I云安全标准机构国外云安全组织及标准 -云安全标准11、ISO/IEC第一联合技术委员会(ISO/IEC JTC1)已有的云安全相关标准：开放虚拟机格式（标准）2011年8月完成描述了虚拟机迁移的文件格式及打包方法，可以对虚拟机进行应用程序细粒度的打包迁移。云计算安全与隐私管理系统（标准草案）:为云计算服务过程中的安全控制提供指导；目前正在制定过程主席：Ms. KarenHigginbottom(USA)秘书：Mrs. Lisa Rajchel (USA)云安全标准机构国外

4、云安全组织及标准 -云安全标准11、I云安全标准机构国外云安全组织及标准 -云安全标准12、国际电信联盟-电信标准化部（ITU-T）组织类型：联合国下属机构组织简介：电信标准化部（ ITU-T，ITU Telecommunication Standardization Sector ）是国际电信联盟管理下,专门制定远程通信的相关国际标准组织。组织成员：主要来自世界上大多数电信业务提供商、软件生产商等，目前已有190多个政府机构和700多个私营部门实体。云安全标准机构国外云安全组织及标准 -云安全标准12、国云安全标准机构国外云安全组织及标准 -云安全标准12、国际电信联盟-电信标准化部（ITU

5、-T）已有的云安全相关标准云计算焦点组（ Focus Group on Cloud Computing，FG Cloud ）2010年6月成立正在制定云安全、威胁与需求（标准草案），文档计划2011年5月完成电信云安全研究小组-SG172009年成立电信领域云计算安全指南计划于2012年3月完成云安全标准机构国外云安全组织及标准 -云安全标准12、国云安全标准机构国外云安全组织及标准 -云安全标准13、美国国家标准技术研究所（NIST）组织类型：区域(美国)标准机构组织简介：电信标准化部（ ITU-T，ITU Telecommunication Standardization Sector ）

6、是国际电信联盟管理下,专门制定远程通信的相关国际标准组织。云计算安全工作组（NCC-SWG）2011年1月份成立目前已进行了17次云安全小组研讨会。云安全标准机构国外云安全组织及标准 -云安全标准13、美云安全标准机构国外云安全组织及标准 -云安全标准13、美国国家标准技术研究所（NIST）NIST云安全标准制定路线图开发出一种具有权威性的“云安全服务体系架构”，这种架构能够映射到其他云计算体系中去；识别云安全面临威胁，并对威胁进行相应地分类；确定哪些安全服务能解决云中可能遇到威胁；针对相应地威胁，对安全控制做一个形式化映射确定安全管理（包括合规）域，并将安全控制映射到域中；云安全战略实施与评

7、估；云安全标准机构国外云安全组织及标准 -云安全标准13、美云安全标准机构国外云安全组织及标准 -云安全标准13、美国国家标准技术研究所（NIST）相关云安全标准云计算参考体系架构（标准）定义云计算体系架构，架构组成部件及面临的安全与隐私 完全虚拟化技术安全指南（标准）虚拟机隔离、虚拟机监控以及虚拟面临的安全威胁云计算安全障碍与缓和措施（草案）对各种不同部署平台可能面临的安全威胁进行了详尽的分析，并提出了应对措施。公共云计算中安全与隐私（草案）对公有云中身份管理和隐私保护进行标准化通用云计算环境(草案)规范了云安全访问控制模型中的安全访问边界云安全标准机构国外云安全组织及标准 -云安全标准13

8、、美云安全标准机构国外云安全组织及标准 -云安全标准13、美国国家标准技术研究所（NIST）NIST为云安全构建一个完整的标准体系云计算参考体系架构提出NIST云参考体系架构，定义了云计算中部署模型、各层的组成及参与实体云消费者：向云提供商按需购买服务云提供商：为个人、组织等实体提供云服务云审计：第三方机构，对云服务进行客观的评测云承载：属于中间层，为云客户与云提供商提供信息交互云经纪人：负责管理云服务的使用、性能和部署，并协调云消费者与云提供商的关系公共云计算中安全与隐私：对公有云中身份管理和隐私保护进行标准化完全虚拟化技术安全指南：完全虚拟化技术（在一台机器上虚拟多个OS）的中虚拟机隔离、

9、虚拟机监控等面临的安全威胁云安全标准机构国外云安全组织及标准 -云安全标准13、美云安全标准机构国外云安全组织及标准 -云安全标准1组织类型：区域(美国)标准机构组织简介：CIO委员会(Chief Information Officers Council) 成立于2002年，属于美国政府机构，成员主要由来自其他28个政府部分的首席技术人员组成。2010年2月，与 NIST、GSA(General Services Administration )、CIO以及ISIMC(Information Security and Identity Management Committee )一起合作完成美

10、国政府云计算风险评估方法4、CIO委员会云安全标准机构国外云安全组织及标准 -云安全标准1组织类云安全标准机构国外云安全组织及标准 -云安全标准14、CIO委员会美国政府云计算风险评估方法基于标准化流程的风险评估：提出将云计算置于联邦监控之下的方法及流程；明确了联邦政府、云提供商以及评估小组在云安全中的作用和职责。部门X需要新的基于云的IT系统部门X从FedRAMP获得安全需求部门X将获得安全需求转给CSP部门X向FedRAMP申请授权CSP运行FedRAMP将CSP加入到授权日志CSP和部门启动授权程序CSP、部门和FedRAMP重审安全需求FedRAMP和CSP一起建立系统安全方案CSP进

11、行独立的安全评估并提交安全报告FedRAMP检查报告并给JAB形成授权文档JAB最终审查并授权CSP执行FedRAMP将CSP加入授权清单FedRAMP对CSP进行持续不间断监控云安全标准机构国外云安全组织及标准 -云安全标准14、C云安全标准机构国外云安全组织及标准 -云安全标准1组织类型：区域(欧洲)标准机构组织简介：ENISA（The European Network and Information Security Agency）成立于2004年，总部设在希腊的伊拉克利翁。目的是提高欧洲网络与信息安全。2010年2月，云安全标准化方面主要关注云计算中风险评估和风险管理等，由ENISA下

12、WG NRMP工作小组负责。5、欧洲网络与信息安全管理局（ENISA ）云安全标准机构国外云安全组织及标准 -云安全标准1组织类云安全标准机构国外云安全组织及标准 -云安全标准1与云安全相关标准云计算-信息安全保障框架（标准）分析云服务体系架构,评估采用云服务后的风险，减轻云服务提供商需担保的负担云计算-信息安全的好处，风险和建议（标准）云风险的详细分类：首先定义了云里的风险类型、资产类型、脆弱性类型，对风险详细分类并给出其可能性、影响大小、与脆弱性的关系、影响资产风险等级。5、欧洲网络与信息安全管理局（ENISA ）云安全标准机构国外云安全组织及标准 -云安全标准1与云安云安全标准机构国外云

13、安全组织及标准 -云安全标准1云计算-信息安全的好处，风险和建议5、欧洲网络与信息安全管理局（ENISA ）首先定义了云里的风险类型、资产类型、脆弱性类型，然对风险详细分类并给出其可能性、影响大小、与脆弱性的关系、影响资产风险等级。数据锁定管理缺失一致性挑战由于合租者引起的商业信用损失云服务终止或失效云服务提供商违约 资源耗尽隔离失效云服务商内部恶意行为数据传输被截获不安全或无效的数据删除密钥丢失恶意探测和扫描 司法权变更数据保护风险软件授权风险网络破坏网络流量篡改权限放大社会工程学攻击运行、安全日志丢失非授权访问 策略和管理风险技术风险法律风险非云特有风险风险云安全标准机构国外云安全组织及标

14、准 -云安全标准1云计云安全标准机构国外云安全组织及标准 -云安全标准16、开放式组织联盟组织类型：工业组织联盟组织简介：由厂家中立、技术中立的工业联盟，旨在开放标准和全球互操作性的基础上，实现企业内部和企业之间的无边界的信息技术交流。成员：包括Oracle，IBM, HP, Capgemini, Fujitsu, Hitachi, Orbus Software, Kingdee, NEC, SAP, US Department of Defense, NASA等知名企业和政府机构。组织成员结构图云安全标准机构国外云安全组织及标准 -云安全标准16、开云安全标准机构国外云安全组织及标准 -云安

15、全标准16、开放式组织联盟云安全相关的工作组及活动云工作组（Cloud Work Group）2009年10月成立，工作组的标准由组织成员制定的，但非成员也可以参与讨论。云安全标准云计算标准（标准）该标准对云计算体系架构进行标准化，包括：通用云架构，云服务质量QOS，云安全，服务虚拟定价。云安全和SOA参考架构（标准）构建面向SOA的云安全参考架构，涉及云中数据存储安全，数据可信，QOS，审计和数据所有者隐私保护等领域云安全标准机构国外云安全组织及标准 -云安全标准16、开云安全标准建议组织国外云安全组织及标准 -云安全建议白皮书1国际上比较具有影响力的云安全组织，有：云安全联盟（CSA）分布

16、式管理任务组（DMTF）结构化信息标准促进组织（OASIS）云安全标准建议组织国外云安全组织及标准 -云安全建议白皮云安全标准建议组织国外云安全组织及标准 -云安全建议白皮书1组织性质：工业组织联盟组织简介：电信安全联盟CSA(Cloud Security Alliance)，2009年4月成立，目标是推广云安全的最佳实践方案，开展云安全培训。组织成员：包括 100多家来自全球IT企业加盟，并与ITU、ENISA等二十家标准组织及机构合作，在云安全最佳实践与标准制定方面具有很大的影响力有影响力。1、云安全联盟（CSA）云安全标准建议组织国外云安全组织及标准 -云安全建议白皮云安全标准建议组织国

17、外云安全组织及标准 -云安全建议白皮书11、云安全联盟（CSA）在云安全标准化工作方面以白皮书的形式向全球发布云安全方面的参考与建议。已完成云计算面临的严重威胁、关键领域的云计算安全指南、身份隐私与接入安全等3项标准化建议发布了如何保护云数据、定义云安全：六种观点等2项云安全相关的建议书。云安全标准建议组织国外云安全组织及标准 -云安全建议白皮云安全标准建议组织国外云安全组织及标准 -云安全建议白皮书11、云安全联盟（CSA）CSA：云模型、安全控制和合规模型的映射云参考模型安全控制模型合规模型云安全标准建议组织国外云安全组织及标准 -云安全建议白皮云安全标准建议组织国外云安全组织及标准 -云

18、安全建议白皮书12、分布式管理任务组（DMTF）组织性质：工业组织联盟组织简介：成立于1992年，目的是联合整个IT行业协同开发、验证和推广系统管理标准，帮助全世界范围内简化管理，降低IT管理成本。组织成员：包括全球160个公司和组织。董事会成员由Dell、HP、IBM、Cisco、Intel、AMD、Oracle、Microsoft、EMC、CA、Citrix、VMware、Hitachi、Fujitsu、Broadcom十五家公司组成。云安全标准建议组织国外云安全组织及标准 -云安全建议白皮云安全标准建议组织国外云安全组织及标准 -云安全建议白皮书12、分布式管理任务组（DMTF）云安全相

19、关的工作组及活动2009年4月，成立了工作组-开放云标准孵化器(Open Cloud Standard Incubator)2010年7月成立了云管理工作组2011年4月成立了云审计数据联邦工作组，它致力于促使云供应商提高安全能力。云安全相关标准云管理体系结构2010年6月18日发布云安全体系架构、云管理安全接口、租户身份管理与存储等云安全标准建议组织国外云安全组织及标准 -云安全建议白皮云安全标准建议组织国外云安全组织及标准 -云安全建议白皮书13、结构化信息标准促进组织（OASIS）组织性质：工业组织联盟组织简介：结构化信息标准促进组织致力于推动全球信息社会开放标准的开发、融合和采用。组织

20、成员：到2010年8月底为止包括了IBM、Microsoft等两百六十个来自不同国家的组织、团体、大学、研究院和公司。云安全标准建议组织国外云安全组织及标准 -云安全建议白皮云安全标准建议组织国外云安全组织及标准 -云安全建议白皮书13、结构化信息标准促进组织（OASIS）与云安全相关活动云身份（IDCloud）技术委员会2010年成立致力于解决云计算中身份管理带来的严重的安全挑战。包括成员Red Hat,IBM,Microsoft等大型IT企业云安全相关标准 身份在云中的使用2011年2月发布对租户身份的部署，配置和管理用例进行定义。云安全标准建议组织国外云安全组织及标准 -云安全建议白皮国

21、外云安全组织及标准1国内云安全组织及标准2国内云安全组织及标准3目 录国外云安全组织及标准1国内云安全组织及标准2国内云安全组织及国外云安全组织及标准国内云安全组织及标准2云安全标准之我见3目 录1国外云安全组织及标准国内云安全组织及标准2云安全标准之我见31、中国通信标准化协会（CCSA）组织简介： 2002年12月18日在北京正式成立。该协会是国内企、事业单位自愿联合组织起来，经业务主管部门批准，国家社团登记管理机关登记，开展通信技术领域标准化活动的非营利性法人社会团体。组织成员： 目前已有277个研究组织和企业加盟。国内云安全组织及标准21、中国通信标准化协会（CCSA）组织简介： 国内

22、云安全组织1、中国通信标准化协会（CCSA）相关云安全标准：移动环境下云计算安全技术研究由中国联合网络通信集团有限公司牵头针对移动环境中云计算中面临的安全关键问题进行详细分析和研究电信业务云安全需求和框架由中兴通讯股份有限公司牵头旨在构建电信业务云环境的安全业务云体系框架国内云安全组织及标准21、中国通信标准化协会（CCSA）相关云安全标准：国内云安全2、全国信息技术标准化技术委员组织简介： 成立于 1983年受国家标准化管理委员会和工业和信息化部的共同领导下设17分技术委员会和10个直属工作组SOA标准工作组（WGSOA）负责云计算领域的相关标准目前尚未发布与云安全相关标准国内云安全组织及标

23、准22、全国信息技术标准化技术委员组织简介： 国内云安全组织及标目前可借鉴信息安全领域标准身份认证与隐私保护隐私保护框架、隐私参照体系架构 等等数据隐私与安全公钥基础设施安全支撑平台技术框架、证书认证系统密码及其相关安全技术规范等等风险评估信息安全管理系统、风险管理-风险评估技术等等国内云安全组织及标准2目前可借鉴信息安全领域标准身份认证与隐私保护国内云安全组织及34国外云安全组织及标准1国内云安全组织及标准2云安全标准之我见3目 录34国外云安全组织及标准1国内云安全组织及标准2云安全标准之国外云安全组织及标准国内云安全组织及标准2云安全标准之我见3目 录1国外云安全组织及标准国内云安全组织

24、及标准2云安全标准之我见3云 for 安全？service可信的云？Trusted Cloud安全的云？Secure Cloud可靠的云？Safe Cloud可控的云？Controlled Cloud 我们对云安全的认识云安全标准之我见3云 for 安全？可信的云？安全的云？可靠的云？可控的云？ 37云 for 安全？service可信的云？Trusted Cloud安全的云？Secure Cloud可靠的云？Safe Cloud可控的云？Controlled Cloud 我们对云安全的认识云能够提供持续可靠的服务不会发生服务中断不会因故障给租户带来损失云安全标准之我见337云 for 安全？

25、可信的云？安全的云？可靠的云？可控的云38云 for 安全？service可信的云？Trusted Cloud安全的云？Secure Cloud可靠的云？Safe Cloud可控的云？Controlled Cloud 我们对云安全的认识云安全标准之我见338云 for 安全？可信的云？安全的云？可靠的云？可控的云39云 for 安全？service可信的云？Trusted Cloud安全的云？Secure Cloud可靠的云？Safe Cloud可控的云？Controlled Cloud 我们对云安全的认识云本身是可信的云中用户的数据或者程序不会被窃取、篡改或分析云安全标准之我见339云 fo

26、r 安全？可信的云？安全的云？可靠的云？可控的云40云 for 安全？service可信的云？Trusted Cloud安全的云？Secure Cloud可靠的云？Safe Cloud可控的云？Controlled Cloud 我们对云安全的认识云安全标准之我见340云 for 安全？可信的云？安全的云？可靠的云？可控的云41云 for 安全？service可信的云？Trusted Cloud安全的云？Secure Cloud可靠的云？Safe Cloud可控的云？Controlled Cloud 我们对云安全的认识保护云以及云的用户不会受到外来的攻击和损害恶意软件感染；数据破坏；中间人攻击；

27、会话劫持；用户假冒 云安全标准之我见341云 for 安全？可信的云？安全的云？可靠的云？可控的云42云 for 安全？service可信的云？Trusted Cloud安全的云？Secure Cloud可靠的云？Safe Cloud可控的云？Controlled Cloud 我们对云安全的认识云安全标准之我见342云 for 安全？可信的云？安全的云？可靠的云？可控的云43云 for 安全？service可信的云？Trusted Cloud安全的云？Secure Cloud可靠的云？Safe Cloud可控的云？Controlled Cloud 我们对云安全的认识保证云不会被用来作恶用云发动

28、网络攻击用云散布恶意舆论云安全标准之我见343云 for 安全？可信的云？安全的云？可靠的云？可控的云44云 for 安全？service可信的云？Trusted Cloud安全的云？Secure Cloud可靠的云？Safe Cloud可控的云？Controlled Cloud 我们对云安全的认识云安全标准之我见344云 for 安全？可信的云？安全的云？可靠的云？可控的云45云 for 安全？service可信的云？Trusted Cloud安全的云？Secure Cloud可靠的云？Safe Cloud可控的云？Controlled Cloud 我们对云安全的认识用强大的云技术来进行安全

29、防护：云查杀云安全标准之我见345云 for 安全？可信的云？安全的云？可靠的云？可控的云46云 for 安全？service可信的云？Trusted Cloud安全的云？Secure Cloud可靠的云？Safe Cloud可控的云？Controlled Cloud 我们对云安全的认识云安全标准之我见346云 for 安全？可信的云？安全的云？可靠的云？可控的云47云安全标准现状统计云安全分类安全子类相关组织、标准(白皮书)云安全体系架构及术语NIST：云计算参考体系（标准）CSA: 云计算关键领域安全指南（白皮书）ITU-T：电信领域云计算安全指南（标准草案）TheOpenGroup:云安全和SOA参考架构（标准）安全的云身份隐私与访问控制OASIS:身份在云中的使