博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
【云安全与同态加密_调研分析(1)】国外云安全标准机构——By Me
阅读量:5131 次
发布时间:2019-06-13

本文共 3312 字,大约阅读时间需要 11 分钟。

在云计算领域,传统的信息安全管理标准如ITIL、ISO/IEC20000、ISO/IEC27001、27002、Cobit等被建议应用于云计算安全管理和控制框架的建立。此外,由于云计算本身区别于传统信息技术的特点,必然需要一系列具有针对性的云计算安全标准。

◆1. 国外云安全标准机构(云安全标准)◆
◆云安全标准机构(主要的)◆ ◆标准机构介绍◆ ◆相关标准制定◆ ◆建立的相关模型参考◆ ◆备注(其他参考信息)◆
ISO/IEC 第一联合技术委员会(ISO/IEC JTC1) 组织类型:联合国下属机构
组织简介:
在云计算领域的标准化工作主要由JTC1下工作组SC38来完成
SC27主要关注点是云计算服务数据保护和信息安全控制
已有的云安全相关标准
 - 《开放虚拟机格式》(标准)
2011年8月完成,描述虚拟机迁移的文件格式及打包方法,可以对虚拟机进行应用程序细粒度的打包迁移
-  《云计算安全与隐私管理系统》(标准草案)
为云计算服务过程中的安全控制提供指导,目前正在制定过程中
 

ISO/IEC JTC1/SC27发布的标准如下:

1)《基于ISO/IEC 27002的云计算服务使用信息安全控制指南》ISO/IEC WD TS 27017
2)《公共云服务数据保护控制实践规则》ISO/IEC WD 27018
3)《云计算安全与隐私管理系统》(标准草案)

国际电信联盟--电信标准化部(ITU-T) 组织类型:联合国下属机构
组织简介电信标准化部是国际电信联盟管理下,专门制定远程通信的相关国际标准组织
已有的云安全相关标准
- 云计算焦点组(Focus Group on Cloud Computing, FG Cloud)
 2010年6月成立,正在制定《云安全、威胁与需求》(标准草案),文档计划2011年5月完成
 - 电信云安全研究小组(SG17)
 2009年成立,《电信领域云计算安全指南》(标准),计划2012年3月完成
   
美国国家标准与技术研究院(NIST) 组织类型政府技术审查机构/区域(美国)标准机构
云计算安全工作组(NCC-SWG)2011年1月成立,目前已进行了17次云安全小组研讨会。2011年成立专门的云计算安全工作组,主要关注点是识别云威胁、确定安全控制项及安全管理域、云安全战略实施与评估
工作组具体负责领域如下
    D1-云计算架构框架;
    D2-治理和企业风险管理;
    D3-法律与电子证据发现;
    D4-合规与审计;
    D5-信息生命周期管理;
    D6-可移植性和互操作性;
    D7-传统安全业务连续性和灾难恢复;
    D8-数据中心运行;
    D9-应急响应通告和补救;
    D10-应用安全;
    D11-加密和密钥管理;
    D12-身份和访问管理;
    D13-虚拟化;
已有的云安全相关标准
- 《云计算参考体系架构》(标准)
 定义云计算体系架构,架构组成部件及面临的安全与威胁
 - 《完全虚拟化技术安全指南》(标准)
虚拟机隔离、虚拟机监控以及虚拟面临的安全威胁
- 《云计算安全保障与缓和措施》(草案)
对各种不同部署平台可能面临的安全威胁进行了详尽的分析,并提出应对措施
- 《公共云计算中安全与隐私》(草案)
对公有云中身份管理和隐私保护进行标准化
- 《通用云计算环境》(草案)
规范了云安全访问控制模型中的安全访问边界

NIST云安全标准制定路线图

    - 开发出一种具有权威性的“云安全服务体系架构”,这种架构能够映射到其他云计算体系中去
    - 识别云安全面临威胁,并对威胁进行相应的分类
    - 确定哪些安全服务能够解决云中可能遇到的威胁
    - 针对相应的威胁,对安全控制做一个形式化映射
    - 确定安全管理(包括合规)域,并将安全控制映射到域中
    - 云安全战略实施与评估
NIST云计算定义图

NIST (National Institute of   Standards and   Technology)直属于美国商务部,该机构针对云计算问题出版了多份研究成果,由其提出的云计算定义、3种服务模式、4种部署模型、5大基础特征被认为是描述云计算的基础性参照。NIST   成立了5 个云计算工作组,其中就包括云计算安全工作组。
    
3种服务模式:
   
●云软件即服务(SaaS)
    ●云平台即服务(PaaS)
    ●云基础设施即服务(IaaS)
4种部署模型:
    ●公共云
    ●私有云
    ●社区云
    ●混合云
5大基础特征:
    ●按需自助服务
    ●广泛的网络访问(宽带接入)
    ●虚拟化的资源池
    ●快速弹性架构
    ●测量服务
★关键使能技术:
   
●快速广域网
    ●功能强大,价格低廉的服务器计算机
    ●高性能的虚拟化商品硬件
区域标准组织(美国)CIO委员会 组织类型区域(美国)标准机构
组织简介CIO委员会(Chief   Information Officers   Council)成立于2002年,属于美国政府机构,成员主要由来自其他28个政府部分的首席技术人员组成
   
已有的云安全相关标准
-
《美国政府云计算风险评估方法》
2010年2月与NIST、GSA(Genneral   Services Administration)、CIO以及ISIMC(Information Security and Identity   Management Committee)一起合作完成《美国政府云计算风险评估方法》
基于标准化流程的风险评估:提出将云计算置于联邦监控之下的方法及流程;明确了联邦政府、云提供商以及评估小组在云安全中的作用和职责
   
欧洲网络与信息安全管理局(ENISA) 组织类型:区域(欧洲)标准机构
组织简介:ENISA(The   European Network and Information Security   Agency)成立于2004年,总部设在希腊的伊拉克笠翁,目的是提高欧洲网络与信息安全。主要关注点是云计算面临的威胁和应对
WG NRMP工作小组:2010年2月,云安全标准化方面主要关注云计算中风险评估与风险管理等,由ENISA下的WG   NRMP工作小组负责
已有的云安全相关标准
- 《云计算    信息安全保障框架》(标准)
分析云服务体系架构,评估采用云服务后的风险,减轻云服务提供商需担保的负担
- 《云计算    信息安全的好处、风险及建议》(标准)
云风险的详细分类:首先定义了云里的风险类型、资产类型、脆弱性类型,对风险详细分类并给出其可能性、影响大小、与脆弱性关系、影响资产风险等级
           《Cloud Computing Benefits, risks   and recommendations for information security》在2012年12月进行了重新修订。
开放式组织联盟(The Open Group) 组织类型:工业组织联盟
组织简介:由厂家中立、技术中立的工业联盟,旨在开放标准和全球互操作性的基础上,实现企业内部和企业之间的无边界的信息技术交流。主要关注点是如何安全、可靠地实现不同规模的企业运营,减少企业运营的成本、增大商业可扩展性和敏捷性
成员:包括Oracle,IBM,HP,Capgemini,Fujitsu,Hitachi,Orbus   Software,Kingdee,NEC,SAP,US Department of Defence,NASA等知名企业和政府机构
云工作组(Cloud Work Group):2009年10月成立,工作组的标准由组成成员制定的,但非成员也可以参与讨论
已有的云安全相关标准
- 《云计算标准》(标准)
该标准对云计算体系架构进行标准化,包括:通用云架构、云服务质量QoS、云安全、服务虚拟定价
- 《云安全和SOA参考架构》(标准)
该标准构建面向SOA的云安全参考架构,设计云中数据存储安全、数据可信、QoS、审计和数据所有者隐私保护等领域
   

转载于:https://www.cnblogs.com/raulyin/p/7097495.html

你可能感兴趣的文章
leetcode 459. 重复的子字符串(Repeated Substring Pattern)
查看>>
springboot No Identifier specified for entity的解决办法
查看>>
浅谈 unix, linux, ios, android 区别和联系
查看>>
51nod 1428 活动安排问题 (贪心+优先队列)
查看>>
Solaris11修改主机名
查看>>
latex for wordpress(一)
查看>>
如何在maven工程中加载oracle驱动
查看>>
Flask 系列之 SQLAlchemy
查看>>
aboutMe
查看>>
【Debug】IAR在线调试时报错,Warning: Stack pointer is setup to incorrect alignmentStack,芯片使用STM32F103ZET6...
查看>>
一句话说清分布式锁,进程锁,线程锁
查看>>
FastDFS使用
查看>>
服务器解析请求的基本原理
查看>>
[HDU3683 Gomoku]
查看>>
下一代操作系统与软件
查看>>
[NOIP2013提高组] CODEVS 3287 火车运输(MST+LCA)
查看>>
Python IO模型
查看>>
DataGridView的行的字体颜色变化
查看>>
局域网内手机访问电脑网站注意几点
查看>>
[Serializable]的应用--注册码的生成,加密和验证
查看>>