10 元
下载资源

云安全标准组织

上传人:痛*** 文档编号:245035432 上传时间:2024-10-07 格式:PPT 页数:50 大小:1.15MB
返回 下载 相关 举报
云安全标准组织_第1页
第1页 / 共50页
云安全标准组织_第2页
第2页 / 共50页
云安全标准组织_第3页
第3页 / 共50页
点击查看更多>>
资源描述
单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,云安全标准概况,国外云安全组织及标准,1,国内云安全组织及标准,2,云安全标准之我见,3,目 录,国外云安全组织及标准,国内云安全组织及标准,2,云安全标准之我见,3,目 录,1,云安全标准机构,国外云安全组织及标准,-,云安全标准,1,目前主要的云安全标准机构,有:,ISO/IEC,第一联合技术委员会,(ISO/IEC JTC1),国际电信联盟,-,电信标准化部,(ITU-T),美国国家标准技术研究所(,NIST,),区域标准组织(美国),CIO,委员会,欧洲网络与信息安全管理局(,ENISA,),开放式组织联盟,(,TheOpenGroup,),云安全标准机构,国外云安全组织及标准,-,云安全标准,1,1,、,ISO/IEC,第一联合技术委员会,(ISO/IEC JTC1),组织类型:,联合国下属机构,组织简介:,1987,年,ISO,与,IEC,两大国际标准组织联合组建了第一个联合技术委员会,。,组织成员:,JTC1,的成员类型分为三种:参加成员(,P-MEMBER,)、观察成员(,O-MEMBER,)和联络成员。目前,JTC1,有,27,个参加成员,(,中国包含其中,),、,38,个观察成员、,16,个内部联络员及,22,个外部联络员,在,云,计算领域的,标准化,工作,主要由,JTC1,下工,作,组,SC38,来完成,。,主席:,Ms. Karen,Higginbottom(USA),秘书:,Mrs. Lisa,Rajchel (USA),云安全标准机构,国外云安全组织及标准,-,云安全标准,1,1,、,ISO/IEC,第一联合技术委员会,(ISO/IEC JTC1),已有的,云安全相关,标准,:,开放虚拟机格式,(标准),2011,年,8,月完成,描述了虚拟机迁移的,文件,格式及,打包,方法,可以对虚拟机进行应用程序细粒度的打包迁移。,云计算安全与隐私管理系统,(标准草案),:,为云计算服务过程中的安全控制提供指导,;,目前正在制定过程,主席:,Ms. Karen,Higginbottom(USA),秘书:,Mrs. Lisa,Rajchel (USA),云安全标准机构,国外云安全组织及标准,-,云安全标准,1,2,、国际电信联盟,-,电信标准化部(,ITU-T,),组织类型:,联合国下属机构,组织简介,:,电信标准,化,部,(,ITU-T,,,ITU Telecommunication Standardization Sector,)是,国际电信联盟管理下,专门制定远程通信,的,相关国际标准组织,。,组织成员:,主要来自世界上大多数电信业务提供商、软件生产商等,目前已有,190,多个政府机构和,700,多个私营部门实体。,云安全标准机构,国外云安全组织及标准,-,云安全标准,1,2,、国际电信联盟,-,电信标准化部(,ITU-T,),已有的云安全相关标准,云计算焦点组(,Focus Group on Cloud Computing,,,FG Cloud,),2010,年,6,月成立,正在制定,云安全、威胁与需求,(标准草案),,文档计划,2011,年,5,月完成,电信云安全研究小组,-SG17,2009,年成立,电信领域云计算安全指南,计划,于,2012,年,3,月完成,云安全标准机构,国外云安全组织及标准,-,云安全标准,1,3,、美国国家标准技术研究所(,NIST,),组织类型:,区域,(,美国,),标准机构,组织,简介,:,电信标准,化,部,(,ITU-T,,,ITU Telecommunication Standardization Sector,)是,国际电信联盟管理下,专门制定远程通信,的,相关国际标准组织,。,云计算安全工作组(,NCC-SWG,),2011,年,1,月份成立,目前已进行了,17,次,云安全小组研讨会。,云安全标准机构,国外云安全组织及标准,-,云安全标准,1,3,、美国国家标准技术研究所(,NIST,),NIST,云安全标准制定,路线图,开发出一种具有权威性的“云安全服务体系架构”,这种架构能够映射到其他云计算体系中去;,识别云安全面临威胁,并对威胁进行相应地分类;,确定哪些安全服务能解决云中可能遇到威胁;,针对相应地威胁,对安全控制做一个形式化映射,确定安全管理(包括合规)域,并将安全控制映射到域中;,云安全战略实施与评估;,云安全标准机构,国外云安全组织及标准,-,云安全标准,1,3,、美国国家标准技术研究所(,NIST,),相关云安全标准,云计算参考体系架构,(标准),定义云计算体系架构,架构组成部件及面临的安全与隐私,完全虚拟化技术安全指南,(标准),虚拟机隔离、虚拟机监控以及虚拟面临的安全威胁,云计算安全障碍与缓和措施(草案,),对各种不同部署平台可能面临的安全威胁进行了详尽的分析,并提出了应对措施,。,公共云计算中安全,与,隐私(草案,),对,公有云,中,身份管理,和隐私保护进行标准化,通用云计算环境,(,草案,),规范了,云安全访问,控制模型,中的安全访问边界,云安全标准机构,国外云安全组织及标准,-,云安全标准,1,3,、美国国家标准技术研究所(,NIST,),NIST,为云安全构建一个完整的标准,体系,云计算参考体系架构,提出,NIST,云参考体系架构,定义了云计算中部署模型、各层的组成及参与实体,云消费者:向云提供商按需购买服务,云提供商:为个人、组织等实体提供云服务,云审计:第三方机构,对云服务进行客观的评测,云承载:属于中间层,为云客户与云提供商提供信息交互,云经纪人:负责管理云服务的使用、性能和部署,并协调云消费者与云提供商的关系,公共云计算中安全与隐私:对公有云中身份管理和隐私保护进行标准化,完全虚拟化技术安全指南,:完全虚拟化技术(在一台机器上虚拟多个,OS,)的中虚拟机隔离、虚拟机监控等面临的安全威胁,云安全标准机构,国外云安全组织及标准,-,云安全标准,1,组织类型:,区域,(,美国,),标准机构,组织,简介,:,CIO,委员会,(Chief Information Officers,Council),成立于,2002,年,属于美国政府机构,成员主要由来自其他,28,个政府部分的首席技术人员组成,。,2010,年,2,月,与,NIST,、,GSA(General Services Administration ),、,CIO,以及,ISIMC(Information Security and Identity Management Committee ),一起合作完成,美国政府云计算风险评估方法,4,、,CIO,委员会,云安全标准机构,国外云安全组织及标准,-,云安全标准,1,4,、,CIO,委员会,美国政府云计算风险评估方法,基于标准化流程的风险评估,:,提出,将云计算置于联邦监控之下的方法及流程;明确了联邦政府、云提供商以及评估小组在云安全中的作用和职责。,部门,X,需要新的基于云的,IT,系统,部门,X,从,FedRAMP,获得安全需求,部门,X,将获得安全需求转给,CSP,部门,X,向,FedRAMP,申请授权,CSP,运行,FedRAMP,将,CSP,加入到授权日志,CSP,和部门启动授权程序,CSP,、部门和,FedRAMP,重审安全需求,FedRAMP,和,CSP,一起建立系统安全方案,CSP,进行独立的安全评估并提交安全报告,FedRAMP,检查报告并给,JAB,形成授权文档,JAB,最终审查并授权,CSP,执行,FedRAMP,将,CSP,加入授权清单,FedRAMP,对,CSP,进行持续不间断监控,云安全标准机构,国外云安全组织及标准,-,云安全标准,1,组织类型:,区域,(,欧洲,),标准机构,组织,简介,:,ENISA,(,The European Network and Information Security Agency,)成立于,2004,年,总部设在希腊的伊拉克利翁。目的是提高欧洲网络与信息安全,。,2010,年,2,月,云安全标准化方面主要关注云计算中风险评估和风险管理等,由,ENISA,下,WG NRMP,工作小组负责。,5,、欧洲网络与信息安全管理局(,ENISA,),云安全标准机构,国外云安全组织及标准,-,云安全标准,1,与云安全相关标准,云计算,-,信息安全保障框架,(标准),分析云服务体系架构,评估采用云服务后的风险,减轻云服务提供商需担保的负担,云计算,-,信息安全的好处,风险和建议,(标准),云风险的详细分类:首先定义了云里的风险类型、资产类型、脆弱性类型,对风险详细分类并给出其可能性、影响大小、与脆弱性的关系、影响资产风险等级。,5,、欧洲网络与信息安全管理局(,ENISA,),云安全标准机构,国外云安全组织及标准,-,云安全标准,1,云计算,-,信息安全的好处,风险和建议,5,、欧洲网络与信息安全管理局(,ENISA,),首先定义了云里的风险类型、资产类型、脆弱性类型,然对风险详细分类并给出其可能性、影响大小、与脆弱性的关系、影响资产风险等级。,数据锁定,管理缺失,一致性挑战,由于合租者引起的商业信用损失,云服务终止或失效,云服务提供商违约,资源耗尽,隔离失效,云服务商内部恶意行为,数据传输被截获,不安全或无效的数据删除,密钥丢失,恶意探测和扫描,司法权变更,数据保护风险,软件授权风险,网络破坏,网络流量篡改,权限放大,社会工程学攻击,运行、安全日志丢失,非授权访问,策略和管理风险,技术风险,法律风险,非云特有风险,风,险,云安全标准机构,国外云安全组织及标准,-,云安全标准,1,6,、开放式组织联盟,组织类型:,工业组织联盟,组织简介:,由,厂家中立、技术中立的工业联盟,旨在开放标准和全球互操作性的基础上,实现企业内部和企业之间的无边界的,信息技术,交流。,成员:,包括,Oracle,,,IBM, HP,Capgemini, Fujitsu, Hitachi,Orbus,Software,Kingdee, NEC, SAP, US Department of Defense, NASA,等,知名企业和政府,机构。,组织成员结构图,云安全标准机构,国外云安全组织及标准,-,云安全标准,1,6,、开放式组织联盟,云,安全相关的工作组及,活动,云工作组(,Cloud Work Group,),2009,年,10,月成立,,工作组的,标准,由,组织,成员制定的,但非成员也可以参与讨论。,云安全标准,云计算标准,(标准),该标准对云计算体系架构进行标准化,包括:通用云架构,云服务质量,QOS,,云安全,服务虚拟定价。,云安全和,SOA,参考架构,(标准),构建,面向,SOA,的云安全,参考架构,,涉及,云中数据存储安全,数据可信,,QOS,,审计和数据所有者隐私保护,等领域,云安全标准建议组织,国外云安全组织及标准,-,云安全建议白皮书,1,国际上比较具有影响力的云安全组织,有:,云,安全联盟(,CSA,),分布式管理任务组(,DMTF,),结构化信息标准促进组织(,OASIS,),云安全标准建议组织,国外云安全组织及标准,-,云安全建议白皮书,1,组织性质:,工业组织联盟,组织简介:,电信安全联盟,CSA(Cloud Security Alliance),,,2009,年,4,月成立,目标是推广云安全,的,最佳实践,方案,开展,云安全培训,。,组织成员:,包括,100,多家来自全球,IT,企业加盟,,,并与,ITU,、,ENISA,等二十家标准组织及机构合作,,在云安全最佳实践与标准制定方面,具有很大的影响力,有影响力,。,1,、云安全联盟(,CSA,),云安全标准建议组织,国外云安全组织及标准,-,云安全建议白皮书,1,1,、云安全联盟(,CSA,),在,云安全标准化工作,方面,以白皮书的形式向全球发布云安全方面的,参考与建议,。,已,完成云计算面临的严重威胁、关键领域的云计算安全指南,、,身份隐私与接入安全,等,3,项标准化,建议,发布了如何保护云数据、定义云安全:六种观点等,2,项云,安全,相关的,建议书,。,云安全标准建议组织,国外云安全组织及标准,-,云安全建议白皮书,1,1,、云安全联盟(,CSA,),CSA,:云模型、安全控制和合规模型的映射,云参考模型,安全控制模型,合规模型,云安全标准建议组织,国外云安全组织及标准,-,云安全建议白皮书,1,2,、分布式管理任务组(,DMTF,),组织性质:,工业组织联盟,组织简介:,成立于,1992,年,,目的是,联合整个,IT,行业协同开发、验证和推广系统管理标准,帮助全世界范围内简化管理,降低,IT,管理成本,。,组织成员:,包括全球,160,个公司和组织,。,董事会成员,由,Dell,、,HP,、,IBM,、,Cisco,、,Intel,、,AMD,、,Oracle,、,Microsoft,、,EMC,、,CA,、,Citrix,、,VMware,、,Hitachi,、,Fujitsu,、,Broadcom,十五家公司,组成。,云安全标准建议组织,国外云安全组织及标准,-,云安全建议白皮书,1,2,、分布式管理任务组(,DMTF,),云,安全相关的工作组及,活动,2009,年,4,月,成立了工作组,-,开放云标准孵化器,(Open Cloud Standard Incubator),2010,年,7,月成立了云管理工作组,2011,年,4,月成立了云审计数据联邦工作组,它致力于促使云供应商提高安全能力。,云安全相关,标准,云管理体系结构,2010,年,6,月,18,日发布,云安全体系架构、云管理安全接口、租户身份管理与存储等,云安全标准建议组织,国外云安全组织及标准,-,云安全建议白皮书,1,3,、结构化信息标准促进组织(,OASIS,),组织性质:,工业组织联盟,组织简介:,结构化信息标准促进组织致力于推动全球信息社会开放标准的开发、融合和采用,。,组织成员:,到,2010,年,8,月底为止包括了,IBM,、,Microsoft,等两百六十个来自不同国家的组织、团体、大学、研究院和公司,。,云安全标准建议组织,国外云安全组织及标准,-,云安全建议白皮书,1,3,、结构化信息标准促进组织(,OASIS,),与,云安全相关,活动,云身份(IDCloud)技术委员会,2010年成立,致力于解决云计算中身份管理带来的严重的安全挑战。,包括成员Red Hat,IBM,Microsoft等大型,IT,企业,云安全相关,标准,身份在云中的使用,2011,年,2,月发布,对,租户,身份的部署,配置和管理用例进行定义。,国外云安全组织及标准,1,国内云安全组织及标准,2,国内云安全组织及标准,3,目 录,国外云安全组织及标准,国内云安全组织及标准,2,云安全标准之我见,3,目 录,1,1、中国通信标准化协会(CCSA),组织简介:,2002,年,12,月,18,日在北京正式成立。,该,协会是国内企、事业单位自愿联合组织起来,经业务主管部门批准,国家社团登记管理机关登记,开展通信技术领域标准化活动的非营利性法人社会团体,。,组织成员:,目前已有,277,个研究组织和企业加盟。,国内云安全组织及标准,2,1、中国通信标准化协会(CCSA),相关云安全标准:,移动环境下云计算安全技术研究,由中国联合网络通信集团有限公司牵头,针对移动环境中云计算中面临的安全关键问题进行详细分析和研究,电信业务云安全需求和框架,由中兴通讯股份有限公司牵头,旨在构建电信业务云环境的安全业务云体系框架,国内云安全组织及标准,2,2、全国信息技术标准化技术委员,组织简介:,成立,于,1983,年,受国家标准化管理委员会和工业和信息化部的共同领导,下设,17,分技术委员会和,10,个直属工作组,SOA,标准工作组(,WGSOA,)负责云计算领域的相关标准,目前尚未发布与云安全相关标准,国内云安全组织及标准,2,目前可借鉴信息安全领域标准,身份认证与隐私保护,隐私,保护,框架,、,隐私参照体系架构,等等,数据隐私与安全,公钥基础设施安全支撑平台技术框架,、,证书认证系统密码及其相关安全技术规范,等等,风险评估,信息安全管理系统,、,风险,管理,-,风险,评估技术,等等,国内云安全组织及标准,2,国外云安全组织及标准,1,国内云安全组织及标准,2,云安全标准之我见,3,目 录,34,国外云安全组织及标准,国内云安全组织及标准,2,云安全标准之我见,3,目 录,1,云,for,安全?,service,可信的云?,Trusted Cloud,安全的云?,Secure Cloud,可靠的云?,Safe Cloud,可控的云?,Controlled Cloud,我们对云安全的认识,云安全标准之我见,3,云,for,安全?,service,可信的云?,Trusted Cloud,安全的云?,Secure Cloud,可靠的云?,Safe Cloud,可控的云?,Controlled Cloud,我们对云安全的认识,云能够提供持续可靠的服务,不会发生服务中断,不会因故障给租户带来损失,云安全标准之我见,3,37,云,for,安全?,service,可信的云?,Trusted Cloud,安全的云?,Secure Cloud,可靠的云?,Safe Cloud,可控的云?,Controlled Cloud,我们对云安全的认识,云安全标准之我见,3,38,云,for,安全?,service,可信的云?,Trusted Cloud,安全的云?,Secure Cloud,可靠的云?,Safe Cloud,可控的云?,Controlled Cloud,我们对云安全的认识,云本身是可信的,云中用户的数据或者程序不会被窃取、篡改或分析,云安全标准之我见,3,39,云,for,安全?,service,可信的云?,Trusted Cloud,安全的云?,Secure Cloud,可靠的云?,Safe Cloud,可控的云?,Controlled Cloud,我们对云安全的认识,云安全标准之我见,3,40,云,for,安全?,service,可信的云?,Trusted Cloud,安全的云?,Secure Cloud,可靠的云?,Safe Cloud,可控的云?,Controlled Cloud,我们对云安全的认识,保护云以及云的用户不会受到外来的攻击和损害,恶意软件感染;数据破坏;中间人攻击;会话劫持;用户假冒,云安全标准之我见,3,41,云,for,安全?,service,可信的云?,Trusted Cloud,安全的云?,Secure Cloud,可靠的云?,Safe Cloud,可控的云?,Controlled Cloud,我们对云安全的认识,云安全标准之我见,3,42,云,for,安全?,service,可信的云?,Trusted Cloud,安全的云?,Secure Cloud,可靠的云?,Safe Cloud,可控的云?,Controlled Cloud,我们对云安全的认识,保证云不会被用来作恶,用云发动网络攻击,用云散布恶意舆论,云安全标准之我见,3,43,云,for,安全?,service,可信的云?,Trusted Cloud,安全的云?,Secure Cloud,可靠的云?,Safe Cloud,可控的云?,Controlled Cloud,我们对云安全的认识,云安全标准之我见,3,44,云,for,安全?,service,可信的云?,Trusted Cloud,安全的云?,Secure Cloud,可靠的云?,Safe Cloud,可控的云?,Controlled Cloud,我们对云安全的认识,用强大的云技术来进行安全防护:,云查杀,云安全标准之我见,3,45,云,for,安全?,service,可信的云?,Trusted Cloud,安全的云?,Secure Cloud,可靠的云?,Safe Cloud,可控的云?,Controlled Cloud,我们对云安全的认识,云安全标准之我见,3,46,云安全标准现状统计,云安全标准之我见,3,47,云安全标准现状,云安全标准之我见,3,可控的云,云用户行为监控,可信的云,安全,的云,可靠的云,云内容安全监控,云审计,云信誉管理,数据安全与隐私保护,云身份认证与访问控制,云漏洞扫描,云安全风险评估,云,DDoS/EDoS,检测,云安全防御,虚拟运行环境安全,云备份,云容灾,富云(云联盟),SaaS,PaaS,IaaS,已有标准,已有白皮书,待开发,云安全术语,云安全体系架构,可信云基础设施,云容错,云安全标准化面临的问题,云,安全的标准化尚处于初级阶段,缺乏对云安全的统一认识,云的体系架构、云的安全威胁方面已经有一些标准及白皮书,安全的云、可信的云方面有初步的标准,尚待进一步研究,可靠的云、可控的云以及云,for,安全方面的标准还处于空白阶段,我们下一步的工作,统一对云安全的认识,对国外已有标准通过深入分析,决定借鉴或者采标?,开展云安全标准研究,填补国内外云安全标准空白,云安全标准之我见,3,谢 谢!,50,
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 管理文书 > 施工组织


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!