2018年云計算安全國際標準發展現狀及相關思考.pdf

《2018年云計算安全國際標準發展現狀及相關思考.pdf》由會員分享，可在線閱讀，更多相關《2018年云計算安全國際標準發展現狀及相關思考.pdf（19頁珍藏版）》請在三個皮匠報告上搜索。

1、云計算安全國際標準發展現狀及相關思考目 錄云計算安全形勢云計算發展步伐持續加快云安全新老問題不斷交織云安全標準化工作得到廣泛重視云計算安全標準化工作概述ITU-T云計算安全標準現狀相關思考4231云計算安全形勢：云計算發展步伐持續加快近年來，云計算市場增長迅速，行業應用不斷深化，各大云服務商不斷加快云計算基礎設施的建設布局。與此同時，云計算關鍵技術的快速迭代更新推動著云技術架構和應用模式不斷演進。全球云計算市場規模穩定增長信通院云計算發展白皮書（2018年），整理自Gartner2017年，以IaaS、PaaS、SaaS為代表的主要公有云服務市場規模達1110億美元（約合人民幣7635.9億元

2、）；預計到2021年，全球公有云市場規模將達2461億美元，年復合增長率達18.89%。云計算底層技術架構不斷演變關鍵技術快速迭代：容器、高性能計算、微服務架構等技術發展加快云計算技術架構迭代更新；技術融合驅動業務應用不斷深化：云網融合，云計算與物聯網、工業互聯網、人工智能等有機結合不斷深化業務應用。多云形態逐漸成為主流應用模式企業需要多種云環境并存以適應業務發展趨勢；從基礎架構為核心到應用為核心的轉變；結合公有云的彈性和私有云的私密性，尋求最佳性能和安全可靠間的平衡。云計算安全形勢：新老安全問題不斷交織云安全事件頻發，網絡安全問題持續發生一方面，網絡病毒、漏洞入侵、內部泄漏等傳統網絡安全威脅

3、依然存在；另一方面，云環境網絡規?；?、數據信息海量化、存儲服務集約化等特點也給云平臺架構和云業務發展帶來新的安全挑戰。2016年9月，國際CDN廠商Cloudflare曝出API密鑰安全漏洞，導致數百萬網絡托管客戶數據被泄露；2017年3月，微軟Azure公有云存儲故障導致業務受影響超過8小時；2017年6月，亞馬遜AWS共和黨數據庫中的美國2億選民個人信息被曝光。專業化、集約化的新計算模式引發新安全風險承載多類型業務應用，服務模式復雜化引發業務邏輯安全、認證鑒權和不良信息管控等安全問題多使用第三方組件等開源軟件系統性安全功能相對缺乏，存在安全漏洞存儲、計算等多層面資源虛擬化，帶來數據管理權與

4、所有權分離，網絡邊界模糊等問題各類數據集中存儲，涉及海量用戶敏感信息和數據資產，安全問題將引發“一點突破、全網皆失”的嚴重后果云計算安全形勢：云安全標準化工作得到廣泛重視云計算安全標準化工作重要性云基礎設施作為承載各類應用的底層關鍵信息基礎設施，其安全性與其上各類關鍵業務系統、基礎資源、用戶數據安全性強相關，成為影響云計算發展的關鍵因素之一；缺乏統一的概念術語、架構、測評、風險管理等標準，將對技術的發展應用和產業化形成阻礙。國際標準化組織、開源組織、區域化標準機構相繼開展云計算安全標準化工作；ISO IEC JTC1 SC27（信息安全分技術委員會）最早于2010開始推進云計算安全標準化工作；

5、ITU-T于2010年成立云計算焦點組，并于2011年10月，重組成立SG17 Q8云計算安全研究組，持續推進云計算安全標準化工作。我國主要在國家標準和行業標準兩個層面開展云計算安全標準化工作；TC260于2011年9月發布云計算安全及標準研究報告，開展云計算安全相關標準工作，目前云計算服務安全指南等4項相關標準已發布，另有4項標準已到報批稿階段；CCSA TC8 WG4于2011年成立云計算安全子工作組，組織制定了多項云計算安全方面的標準和研究報告。目 錄云計算形勢云計算安全標準化工作概述國際云計算安全標準工作我國云計算安全標準工作ITU-T云計算安全標準現狀相關思考1432 云計算安全標準

6、化工作概述：國際國際標準化組織較早認識到云計算安全標準化工作對發展的重要性，從頂層設計、安全架構、云計算場景等方面，自上而下、全方面、體系化開展云計算安全標準研制工作。區域標準化組織受云計算發展和監管需求影響開展安全標準探索區域標準組織（美國）CIO委員會：美國政府云計算風險評估方法NIST：云計算參考體系架構完全虛擬化技術安全指南等開源組織和聯盟注重開源安全技術架構、應用場景中的安全問題國際標準化機構從整體架構到細分領域全面推動標準工作ISO/IEC：開放虛擬機格式云計算安全與隱私管理系統公共云計算服務的控制措施實用規則等系列標準ITU-T：云計算的安全框架軟件即服務應用環境的安全要求云計算

7、監控服務的安全要求云服務客戶數據安全導則云計算的安全框架開放式組織聯盟（TheOpenGroup）：云安全和SOA參考架構等云安全聯盟（CSA）：云計算面臨的嚴重威脅關鍵領域的云計算安全指南等結 構 化 信 息 標 準 促 進 組 織（OASIS）：身份在云中的使用分布式管理任務組（DMTF）：云管理體系結構歐洲網絡與信息安全管理局（ENISA）：云計算信息安全保障框架政府云的安全和彈性等云計算安全標準化工作概述：我國我國在2011年開始云計算安全相關標準制定工作，側重于云計算應用場景的安全規范，國家標準和行業標準同步推進。TC260聚焦云計算安全應用和服務等方面，制定和發布了相關國家標準我國

8、除加快制定國內云計算安全標準外，積極參與國際標準的制定，主導ITU-T云計算安全相關標準制定工作基礎標準：信息安全技術 云計算服務安全指南等；產品和應用規范：信息安全技術 網站安全云防護平臺技術要求信息安全技術 政府門戶網站云計算服務安全指南信息安全技術 桌面云安全技術要求等；面向政務云等對象的云計算安全服務指導：信息安全技術 云計算服務安全能力要求信息安全技術 云計算服務運行監管框架等。CCSA在云計算安全總體架構、隱私和數據保護等方面持續推進行業相關標準工作 總體架構和管理要求：云計算安全架構公有云服務安全防護要求等；安全要求和應用：云計算身份識別與訪問管理應用場景及技術要求 等；面向行業

9、云等對象的云計算安全服務指導：基于云計算的居民健康服務平臺安全框架基于云計算的互聯網數據中心信息安全技術要求等。目 錄云計算形勢云計算安全標準化工作概述ITU-T云計算安全標準現狀概述標準架構總體要求安全設計安全實現、最佳實踐和指南相關思考1243 ITU-T云計算安全標準現狀：概述多年來我國企業和研究機構等廣泛參與到ITU-T SG17 Q8云計算安全標準制定工作中，承擔工作組報告人、編輯人工作，發布X.1601、X.1631等相關標準，主導推進ITU-T云計算安全標準制定。ITU-T SG17 Q8：云計算安全工作組中國信息通信研究院安全所擔任ITU-T SG17 Q8工作組報告人，促進我

10、國發揮主導作用；制定相關標準或其他文檔，促進云計算的安全性；制定標準，明確安全要求和威脅，保障云計算服務安全；制定身份認證機制、審計技術、風險評估等云計算生態系統相關標準；.ITU-T相關云計算安全標準：標準架構ITU-T最早于2010年開始云計算安全相關標準化工作，從綜述、安全設計、安全實現、最佳實踐和指南等方面，構建云安全標準架構。X.1601:云計算安全框架綜 述 安全設計安全實現 最佳實踐 和指南X.1602-X.1605安全要求(e.g.,X.1602,X.1603,X.SRIaaS,X.SRCaaS,X.SRNaaS)安全能力X.1606-X.1610信任模型安全架構/功能X.16

11、11-X.1615安全控制X.1616-X.1625安全解決方案安全機制X.1626-X.1630突發事件管理，容災備份安全評估和審計 X.1631-X.1640最佳實踐/指南(e.g.,X.1642,X.1631,X.1641,X.GSBDaaS)已發布及已立項正在制定中的標準項目 已制定研究計劃，待制定標準項目 ITU-T相關云計算安全標準：總體要求基礎框架標準，指導云計算安全具體標準的制定，指導云服務商設計和部署云安全解決方案，指導云服務用戶考察云服務商的安全能力；明確提出對云計算威脅和挑戰，并從云服務用戶（CSC）、云服務提供商（CSP）和第三方云服務伙伴（CSN）三個角色進行了分析；

12、明確應對云計算安全威脅和挑戰的云服務安全能力標準；提出創新性的云計算安全框架方法，明確從威脅分析到安全能力再到安全框架的三步驟分析法。X.1601：首個正式發布的云計算安全ITU-T國際標準 ITU-T相關云計算安全標準：安全設計目前已發布的ITU-T云計算安全設計相關標準有X.1602、X.1603，主要是對云服務商和云服務合作伙伴提出SaaS應用環境安全要求，以及對云服務商和云服務客戶提出全周期安全監控的要求。針對云服務提供商（CSP）和云服務合作伙伴（CSN），提出基于SaaS應用成熟度級別的SaaS應用環境安全要求。X.SRIaaS、X.SRCaaS等相關標準正加快制定X.SRIaaS

13、、X.SRCaaS、X.SRNaaS等安全要求相關標準工作已立項，在基礎設施即服務、網絡即服務等業務方面，持續推進安全標準化研制工作。X.1602：軟件即服務（SaaS）應用環境的安全要求針對云計算環境下監控服務，分析數據安全威脅和挑戰，描述監控服務的數據范圍、數據生命周期、數據獲取和數據存儲等數據安全要求。X.1603：云計算監控服務的安全要求 ITU-T相關云計算安全標準：安全實現、最佳實踐和指南（1）除X.1631明確云計算最佳實踐和指南總體架構外，X.1641、X.1642也在數據安全、操作安全方面，對緩解云計算的安全風險及其操作面臨的安全挑戰，以及對保障數據生命周期各階段的安全起指導

14、作用。針對云服務客戶（CSC），分析了CSC數據安全性的生命周期，以及對保障數據生命周期的各階段提出安全要求。X.1641：云服務客戶數據安全導則X.1631是ITU-T和ISO/IEC通用標準；在ISO/IEC 27002 信息安全管理實用規則的基礎上：X.1631|ISO/IEC 27017：為云業務提供商和云服務客戶提供安全控制指導p 完善了基于ISO/IEC 27002系列標準中規定的控制實施指導；p 新增對云服務有關的活動安全控制事件指導。ITU-T相關云計算安全標準：安全實現、最佳實踐和指南（2）除X.1631明確云計算最佳實踐和指南總體架構外，X.1641、X.1642也在數據安

15、全、操作安全方面，對緩解云計算的安全風險及其操作面臨的安全挑戰，以及對保數據生命周期各階段的安全起到指導作用。X.GSBDaaS等相關標準正加快制定X.GSBDaaS安全最佳實踐和指南相關標準工作已立項，研究制定工作正加快推進。此外，安全機制、容災備份、安全評估和審計、安全能力、信任模型、安全架構/功能等相關標準制定工作正同步推進。X.1642：云計算的運營安全導則針對云業務提供商（CSP），分析云計算操作的安全要求和標準，為日常維護提供了一系列安全措施并詳細闡述安全工作。目 錄1234云計算形勢云計算安全標準化工作概述ITU云計算安全標準現狀相關思考完善標準規劃和體系建設加強安全監管力度相關

16、思考（一）結合云計算技術發展，進一步強化云計算安全標準的動態完善和落地實施云計算專業化、規?；男掠嬎隳Ｊ?，給云計算業務帶來了新的安全挑戰，安全問題成為影響云計算發展的關鍵。未來，為了更好地應對云計算發展的新老安全問題，我國應堅持鼓勵支持和規范發展并行，從推進安全標準、健全安全機制等方面，不斷推動云計算技術的安全發展和應用。1跟蹤云計算技術和標準化發展動態，完善技術標準體系，加快對云計算安全機制、安全評估和審計、安全最佳實踐等新標準的立項和研制工作。2鼓勵政產學研各界積極參與到國際標準制定工作中，推動我國云計算安全等標準國際化，逐步提升我國在網絡安全國際標準化組織中的影響力和話語權。加大標準規

17、范的宣傳貫徹力度，推動云計算安全標準應用落地，3對云網融合等云計算技術架構新模式，公有云、私有云、混合云等多種云并存的云服務環境，強化跟蹤和研究，云計算安全同步更新迭代。相關思考（二）加強云計算安全監管力度云計算專業化、規?；男掠嬎隳Ｊ?，給云計算業務帶來了新的安全挑戰，安全問題成為影響云計算發展的關鍵。未來，為了更好地應對云計算發展的新老安全問題，我國應堅持鼓勵支持和規范發展并行，從推進安全標準、健全安全機制等方面，不斷推動云計算技術的安全發展和應用。落實網絡安全法重點要求，將重點領域、重點行業云基礎設施納納入關鍵信息基礎設施安全管理范疇，落實云服務商安全防護主體責任，加大云安全防護監管力度。2研究健全云服務安全信用管理機制，統籌運用安全評估、責任考核等監管手段，將公有云服務商安全納入主管部門安全巡檢，將巡檢結果作為云服務商信用指標；持續開展云計算安全領域的網絡安全試點示范工作，推動企業加大新興領域的研發，促進先進技術和經驗的推廣應用。3強化風險評估機制，尤其是云計算在物聯網、工業互聯網等新業務中威脅分析，保障云計算技術在新業務中的安全應用。41謝 謝！