在云计算领域,传统的信息安全管理标准如ITIL、ISO/IEC20000、ISO/IEC27001、27002、Cobit等被建议应用于云计算安全管理和控制框架的建立。此外,由于云计算本身区别于传统信息技术的特点,必然需要一系列具有针对性的云计算安全标准。
| ◆1. 国外云安全标准机构(云安全标准)◆ | ||||
| ◆云安全标准机构(主要的)◆ | ◆标准机构介绍◆ | ◆相关标准制定◆ | ◆建立的相关模型参考◆ | ◆备注(其他参考信息)◆ |
| ★ISO/IEC 第一联合技术委员会(ISO/IEC JTC1) | ●组织类型:联合国下属机构 ●组织简介: 在云计算领域的标准化工作主要由JTC1下工作组SC38来完成 SC27主要关注点是云计算服务数据保护和信息安全控制 |
●已有的云安全相关标准 - 《开放虚拟机格式》(标准) 2011年8月完成,描述虚拟机迁移的文件格式及打包方法,可以对虚拟机进行应用程序细粒度的打包迁移 - 《云计算安全与隐私管理系统》(标准草案) 为云计算服务过程中的安全控制提供指导,目前正在制定过程中 |
ISO/IEC JTC1/SC27发布的标准如下: |
|
| ★国际电信联盟--电信标准化部(ITU-T) | ●组织类型:联合国下属机构 ●组织简介:电信标准化部是国际电信联盟管理下,专门制定远程通信的相关国际标准组织 |
●已有的云安全相关标准 - 云计算焦点组(Focus Group on Cloud Computing, FG Cloud) 2010年6月成立,正在制定《云安全、威胁与需求》(标准草案),文档计划2011年5月完成 - 电信云安全研究小组(SG17) 2009年成立,《电信领域云计算安全指南》(标准),计划2012年3月完成 |
||
| ★美国国家标准与技术研究院(NIST) | ●组织类型:政府技术审查机构/区域(美国)标准机构 ●云计算安全工作组(NCC-SWG):2011年1月成立,目前已进行了17次云安全小组研讨会。2011年成立专门的云计算安全工作组,主要关注点是识别云威胁、确定安全控制项及安全管理域、云安全战略实施与评估 ●工作组具体负责领域如下: D1-云计算架构框架; D2-治理和企业风险管理; D3-法律与电子证据发现; D4-合规与审计; D5-信息生命周期管理; D6-可移植性和互操作性; D7-传统安全业务连续性和灾难恢复; D8-数据中心运行; D9-应急响应通告和补救; D10-应用安全; D11-加密和密钥管理; D12-身份和访问管理; D13-虚拟化; |
●已有的云安全相关标准 - 《云计算参考体系架构》(标准) 定义云计算体系架构,架构组成部件及面临的安全与威胁 - 《完全虚拟化技术安全指南》(标准) 虚拟机隔离、虚拟机监控以及虚拟面临的安全威胁 - 《云计算安全保障与缓和措施》(草案) 对各种不同部署平台可能面临的安全威胁进行了详尽的分析,并提出应对措施 - 《公共云计算中安全与隐私》(草案) 对公有云中身份管理和隐私保护进行标准化 - 《通用云计算环境》(草案) 规范了云安全访问控制模型中的安全访问边界 |
●NIST云安全标准制定路线图
|
NIST (National Institute of Standards and Technology)直属于美国商务部,该机构针对云计算问题出版了多份研究成果,由其提出的云计算定义、3种服务模式、4种部署模型、5大基础特征被认为是描述云计算的基础性参照。NIST 成立了5 个云计算工作组,其中就包括云计算安全工作组。 ★3种服务模式: ●云软件即服务(SaaS) ●云平台即服务(PaaS) ●云基础设施即服务(IaaS) ★4种部署模型: ●公共云 ●私有云 ●社区云 ●混合云 ★5大基础特征: ●按需自助服务 ●广泛的网络访问(宽带接入) ●虚拟化的资源池 ●快速弹性架构 ●测量服务 ★关键使能技术: ●快速广域网 ●功能强大,价格低廉的服务器计算机 ●高性能的虚拟化商品硬件 |
| ★区域标准组织(美国)CIO委员会 | ●组织类型:区域(美国)标准机构 ●组织简介:CIO委员会(Chief Information Officers Council)成立于2002年,属于美国政府机构,成员主要由来自其他28个政府部分的首席技术人员组成 |
●已有的云安全相关标准 - 《美国政府云计算风险评估方法》 2010年2月与NIST、GSA(Genneral Services Administration)、CIO以及ISIMC(Information Security and Identity Management Committee)一起合作完成《美国政府云计算风险评估方法》 基于标准化流程的风险评估:提出将云计算置于联邦监控之下的方法及流程;明确了联邦政府、云提供商以及评估小组在云安全中的作用和职责 |
 |
|
| ★欧洲网络与信息安全管理局(ENISA) | ●组织类型:区域(欧洲)标准机构 ●组织简介:ENISA(The European Network and Information Security Agency)成立于2004年,总部设在希腊的伊拉克笠翁,目的是提高欧洲网络与信息安全。主要关注点是云计算面临的威胁和应对 ●WG NRMP工作小组:2010年2月,云安全标准化方面主要关注云计算中风险评估与风险管理等,由ENISA下的WG NRMP工作小组负责 |
●已有的云安全相关标准 - 《云计算 信息安全保障框架》(标准) 分析云服务体系架构,评估采用云服务后的风险,减轻云服务提供商需担保的负担 - 《云计算 信息安全的好处、风险及建议》(标准) 云风险的详细分类:首先定义了云里的风险类型、资产类型、脆弱性类型,对风险详细分类并给出其可能性、影响大小、与脆弱性关系、影响资产风险等级 |
 |
《Cloud Computing Benefits, risks and recommendations for information security》在2012年12月进行了重新修订。 |
| ★开放式组织联盟(The Open Group) | ●组织类型:工业组织联盟 ●组织简介:由厂家中立、技术中立的工业联盟,旨在开放标准和全球互操作性的基础上,实现企业内部和企业之间的无边界的信息技术交流。主要关注点是如何安全、可靠地实现不同规模的企业运营,减少企业运营的成本、增大商业可扩展性和敏捷性 ●成员:包括Oracle,IBM,HP,Capgemini,Fujitsu,Hitachi,Orbus Software,Kingdee,NEC,SAP,US Department of Defence,NASA等知名企业和政府机构 ●云工作组(Cloud Work Group):2009年10月成立,工作组的标准由组成成员制定的,但非成员也可以参与讨论 |
●已有的云安全相关标准 - 《云计算标准》(标准) 该标准对云计算体系架构进行标准化,包括:通用云架构、云服务质量QoS、云安全、服务虚拟定价 - 《云安全和SOA参考架构》(标准) 该标准构建面向SOA的云安全参考架构,设计云中数据存储安全、数据可信、QoS、审计和数据所有者隐私保护等领域 |
||
