随着云计算的出现,云存储、云服务的广泛应用,云安全相关标准及认证也快速发展。近些年来,很多组织陆续推出了一些云安全相关标准,与此同时,一些机构也推广云安全相关认证服务。
目前云安全标准相关组织机构,可以简单分为云安全标准组织、云安全研究组织、云安全认证组织,本文将主要的云安全标准组织、研究组织进行一个简单介绍。
1、第一联合技术委员会(ISO/IEC JTC1)
1987年国际标准化组织与国际电工委员会两大国际标准组织联合组建了第一联合技术委员会。
第一联合技术委员会下设置了很多工作组,其中SC38工作组主要负责云计算领域的标准化工作,目前已经发布与正在研究的内容包括云计算词汇、云计算参考架构、开放虚拟化格式、云计算安全与隐私管理等。
第一联合技术委员会下的SC27工作组,也就是研发了著名的ISO 27000标准族的工作组,也研发了关于云计算服务信息安全控制、公共云服务数据保护控制措施的两个标准,另外,在其它标准(如供应关系信息安全等)中也涉及了云安全相关内容。
云计算与云安全研究主要成果包括:
《基于ISO/IEC 27001的云计算服务的信息安全控制措施实用规则》
《公有云服务的数据保护控制实用规则》
《云计算概述和词汇》
《云计算参考框架》等
2、国际电信联盟-电信标准化部(ITU-T )
电信标准化部是国际电信联盟管理下,专门制定远程通信的相关国际标准组织。其下属的ITU-T SG13是由云计算焦点组(FGCC)转化而来。
目前ITU-T SG13发布了云计算安全框架、云计算身份管理、云计算基础设施、电信领域云计算安全等成果。
云计算与云安全研究主要成果包括:
《云计算安全框架》
《云计算身份管理要求》
《云计算基础设施要求》
《云在电信和ICT产业的收益》等
3、欧洲网络与信息安全管理局(ENISA )
欧洲网络与信息安全管理局成立于2004年,总部设在希腊的伊拉克利翁。目的是提高欧洲网络与信息安全。
云安全标准化方面工作主要由ENISA下的WG NRMP工作小组负责,主要关注云计算中风险评估和风险管理等方面。
云计算与云安全研究主要成果包括:
《云计算--信息安全保障框架》
《云计算--信息安全的好处,风险和建议》等
4、欧洲电信标准研究所(ETSI TC GRID)
欧洲电信标准研究所全称是欧洲电信标准研究院网络技术委员会,主要成员涉及电信行政管理机构、国家标准化组织、网络运营商、设备制造商、专用网业务提供者、用户研究机构等。
云计算与云安全研究主要成果包括:
《对云服务标准要求初始分析》
《云服务的SLA》
云个人用户的建议等
5、美国国家标准技术研究所(NIST)
美国国家标准技术研究所在云计算方面主要是通过技术引导和推进标准化工作,来帮助政府和行业安全有效地使用云计算技术。
美国国家标准技术研究所成立了云计算参考架构和分类工作组、云计算安全工作组、云计算标准路线图工作组、云计算业务用例工作组,旨在促进云计算应用的标准推进。
云计算与云安全研究主要成果包括:
《NIST 云计算术语定义》
《NIST 云计算参考架构》
《美国政府技术路线图卷》
《安全控制》等
6、美国CIO委员会(CIOC)
CIO委员会成立于2002年,属于美国政府机构,成员主要由来自其他28个政府部门的首席技术人员。
2010年2月,CIO委员会与其它标准机构一起合作完成《美国政府云计算风险评估方法》,提出将云计算置于联邦监控之下的方法及流程,明确了联邦政府、云提供商以及评估小组在云安全中的作用和职责。
云计算与云安全研究主要成果包括:
- 《美国政府云计算风险评估方法》等
7、全国信息安全标准化技术委员会(TC260)
全国信息安全标准化技术委员会(简称信息安全标委会,TC260)于2002年4月15日在北京正式成立,负责组织开展国内信息安全有关的标准化技术工作,工作范围包括:安全技术、安全机制、安全服务、安全管理、安全评估等领域的标准化技术工作。
云计算与云安全研究主要成果包括:
《云计算服务安全指南》
《云计算服务安全能力要求》等
8、中国通信标准化协会(CCSA)
中国通信标准化协会于2002年12月18日在北京正式成立,是国内企、事业单位自愿联合组织起来,经业务主管部门批准,国家社团登记管理机关登记,开展通信技术领域标准化活动的非营利性法人社会团体。
云计算与云安全研究主要成果包括:
《移动环境下云计算安全技术研究》
《电信业务云安全需求和框架》等
9、开放式组织联盟(The Open Group)
开放式组织联盟是厂家中立、技术中立的工业联盟,旨在开放标准和全球互操作性的基础上,实现企业内部和企业之间的无边界的信息技术交流。成员包括Oracle、IBM、HP等知名企业和政府机构。
云计算与云安全研究主要成果包括:
《云计算标准》
《云安全和SOA参考架构》等
10、云安全联盟(CSA)
云安全联盟是提供云计算安全保障的非赢利性组织,共成立了10个工作组,包括结构及框架工作组,GRC、Audit、Physical、BCM、DR工作组,法律及电子发展工作组,可移植性、互操作性及应用安全工作组,身份与接入管理、加密与密钥管理工作组,数据中心运行及事故响应工作组,信息生命周期管理及存储工作组,虚拟化及技术分类工作组,安全即服务工作组和一致性评估工作组。
云计算与云安全研究主要成果包括:
《云计算关键领域安全指南》
《云控制矩阵》
《云计算重点关键领域安全指南》
《CSA云控制模型》等
11、分布式管理任务组(DMTF)
分布式管理任务组成立于1992年,目的是联合整个IT行业协同开发、验证和推广系统管理标准,帮助全世界范围内简化管理,降低IT管理成本。
2009年4月,成立了开放云标准孵化器工作组,2010年7月成立了云管理工作组,2011年4月成立了云审计数据联邦工作组,致力于促使云供应商提高安全能力。
云计算与云安全研究主要成果包括:
- 《云管理体系结构》,内容包括云安全体系架构、云管理安全接口、租户身份管理与存储等
12、结构化信息标准促进组织(OASIS)
结构化信息标准促进组织致力于推动全球信息社会开放标准的开发、融合和采用。到2010年8月底为止包括了IBM、Microsoft等两百六十个来自不同国家的组织、团体、大学、研究院和公司。
2010年成立云身份技术委员会,致力于解决云计算中身份管理带来的严重的安全挑战,成员包括Red Hat、IBM、Microsoft 等大型IT企业。
云计算与云安全研究主要成果包括:
- 《身份在云中的使用》:对租户身份的部署,配置和管理用例进行定义
还有很多单纯的研究云计算的组织并未一一列出,在此主要将国内外与云安全相关的标准组织、研究机构进行了简要介绍,在这些组织机构中,ISO/IEC JTC1、ENISA、NIST、TC260、CSA相对而言知名度比较高一些,其它组织由于性质及关注领域等因素,知名度相对略低。