在云计算领域,传统的信息安全管理标准如ITIL、ISO/IEC20000、ISO/IEC27001、27002、Cobit等被建议应用于云计算安全管理和控制框架的建立。此外,由于云计算本身区别于传统信息技术的特点,必然需要一系列具有针对性的云计算安全标准。
◆1. 国外云安全标准机构(云安全标准)◆ | ||||
◆云安全标准机构(主要的)◆ | ◆标准机构介绍◆ | ◆相关标准制定◆ | ◆建立的相关模型参考◆ | ◆备注(其他参考信息)◆ |
★ISO/IEC 第一联合技术委员会(ISO/IEC JTC1) | ●组织类型:联合国下属机构●组织简介:在云计算领域的标准化工作主要由JTC1下工作组SC38来完成SC27主要关注点是云计算服务数据保护和信息安全控制 | ●已有的云安全相关标准 - 《开放虚拟机格式》(标准)2011年8月完成,描述虚拟机迁移的文件格式及打包方法,可以对虚拟机进行应用程序细粒度的打包迁移- 《云计算安全与隐私管理系统》(标准草案)为云计算服务过程中的安全控制提供指导,目前正在制定过程中 | ISO/IEC JTC1/SC27发布的标准如下: 1)《基于ISO/IEC 27002的云计算服务使用信息安全控制指南》ISO/IEC WD TS 270172)《公共云服务数据保护控制实践规则》ISO/IEC WD 270183)《云计算安全与隐私管理系统》(标准草案) | |
★国际电信联盟--电信标准化部(ITU-T) | ●组织类型:联合国下属机构●组织简介:电信标准化部是国际电信联盟管理下,专门制定远程通信的相关国际标准组织 | ●已有的云安全相关标准- 云计算焦点组(Focus Group on Cloud Computing, FG Cloud) 2010年6月成立,正在制定《云安全、威胁与需求》(标准草案),文档计划2011年5月完成 - 电信云安全研究小组(SG17) 2009年成立,《电信领域云计算安全指南》(标准),计划2012年3月完成 | ||
★美国国家标准与技术研究院(NIST) | ●组织类型:政府技术审查机构/区域(美国)标准机构●云计算安全工作组(NCC-SWG):2011年1月成立,目前已进行了17次云安全小组研讨会。2011年成立专门的云计算安全工作组,主要关注点是识别云威胁、确定安全控制项及安全管理域、云安全战略实施与评估●工作组具体负责领域如下: D1-云计算架构框架; D2-治理和企业风险管理; D3-法律与电子证据发现; D4-合规与审计; D5-信息生命周期管理; D6-可移植性和互操作性; D7-传统安全业务连续性和灾难恢复; D8-数据中心运行; D9-应急响应通告和补救; D10-应用安全; D11-加密和密钥管理; D12-身份和访问管理; D13-虚拟化; | ●已有的云安全相关标准- 《云计算参考体系架构》(标准) 定义云计算体系架构,架构组成部件及面临的安全与威胁 - 《完全虚拟化技术安全指南》(标准)虚拟机隔离、虚拟机监控以及虚拟面临的安全威胁- 《云计算安全保障与缓和措施》(草案)对各种不同部署平台可能面临的安全威胁进行了详尽的分析,并提出应对措施- 《公共云计算中安全与隐私》(草案)对公有云中身份管理和隐私保护进行标准化- 《通用云计算环境》(草案)规范了云安全访问控制模型中的安全访问边界 | ●NIST云安全标准制定路线图 - 开发出一种具有权威性的“云安全服务体系架构”,这种架构能够映射到其他云计算体系中去 - 识别云安全面临威胁,并对威胁进行相应的分类 - 确定哪些安全服务能够解决云中可能遇到的威胁 - 针对相应的威胁,对安全控制做一个形式化映射 - 确定安全管理(包括合规)域,并将安全控制映射到域中 - 云安全战略实施与评估●NIST云计算定义图
| NIST (National Institute of Standards and Technology)直属于美国商务部,该机构针对云计算问题出版了多份研究成果,由其提出的云计算定义、3种服务模式、4种部署模型、5大基础特征被认为是描述云计算的基础性参照。NIST 成立了5 个云计算工作组,其中就包括云计算安全工作组。 ★3种服务模式: ●云软件即服务(SaaS) ●云平台即服务(PaaS) ●云基础设施即服务(IaaS)★4种部署模型: ●公共云 ●私有云 ●社区云 ●混合云★5大基础特征: ●按需自助服务 ●广泛的网络访问(宽带接入) ●虚拟化的资源池 ●快速弹性架构 ●测量服务★关键使能技术: ●快速广域网 ●功能强大,价格低廉的服务器计算机 ●高性能的虚拟化商品硬件 |
★区域标准组织(美国)CIO委员会 | ●组织类型:区域(美国)标准机构●组织简介:CIO委员会(Chief Information Officers Council)成立于2002年,属于美国政府机构,成员主要由来自其他28个政府部分的首席技术人员组成 | ●已有的云安全相关标准- 《美国政府云计算风险评估方法》2010年2月与NIST、GSA(Genneral Services Administration)、CIO以及ISIMC(Information Security and Identity Management Committee)一起合作完成《美国政府云计算风险评估方法》基于标准化流程的风险评估:提出将云计算置于联邦监控之下的方法及流程;明确了联邦政府、云提供商以及评估小组在云安全中的作用和职责 | ||
★欧洲网络与信息安全管理局(ENISA) | ●组织类型:区域(欧洲)标准机构●组织简介:ENISA(The European Network and Information Security Agency)成立于2004年,总部设在希腊的伊拉克笠翁,目的是提高欧洲网络与信息安全。主要关注点是云计算面临的威胁和应对●WG NRMP工作小组:2010年2月,云安全标准化方面主要关注云计算中风险评估与风险管理等,由ENISA下的WG NRMP工作小组负责 | ●已有的云安全相关标准- 《云计算 信息安全保障框架》(标准)分析云服务体系架构,评估采用云服务后的风险,减轻云服务提供商需担保的负担- 《云计算 信息安全的好处、风险及建议》(标准)云风险的详细分类:首先定义了云里的风险类型、资产类型、脆弱性类型,对风险详细分类并给出其可能性、影响大小、与脆弱性关系、影响资产风险等级 | 《Cloud Computing Benefits, risks and recommendations for information security》在2012年12月进行了重新修订。 | |
★开放式组织联盟(The Open Group) | ●组织类型:工业组织联盟●组织简介:由厂家中立、技术中立的工业联盟,旨在开放标准和全球互操作性的基础上,实现企业内部和企业之间的无边界的信息技术交流。主要关注点是如何安全、可靠地实现不同规模的企业运营,减少企业运营的成本、增大商业可扩展性和敏捷性●成员:包括Oracle,IBM,HP,Capgemini,Fujitsu,Hitachi,Orbus Software,Kingdee,NEC,SAP,US Department of Defence,NASA等知名企业和政府机构●云工作组(Cloud Work Group):2009年10月成立,工作组的标准由组成成员制定的,但非成员也可以参与讨论 | ●已有的云安全相关标准- 《云计算标准》(标准)该标准对云计算体系架构进行标准化,包括:通用云架构、云服务质量QoS、云安全、服务虚拟定价- 《云安全和SOA参考架构》(标准)该标准构建面向SOA的云安全参考架构,设计云中数据存储安全、数据可信、QoS、审计和数据所有者隐私保护等领域 |