美国国家标准技术研究所.docxVIP

NIST云计算安全工作组简介美国国家标准技术研究所的云计算安全工作组（NCC一5WG)2011年1月份成立。NIST云安全标准制定路线图开发出一种具有权威性的“云安全服务体系架构”，这种架构能够映射到其他云计算体系中去；识别云安全面临威胁，并对威胁进行相应地分类；确定哪些安全服务能解决云中可能遇到威胁；针对相应地威胁，对安全控制做一个形式化映射确定安全管理（包括合规）域，并将安全控制映射到域中；云安全战略实施与评估；相关云安全标准1．SP 800-146《云计算梗概和建议》2011-05-12阐述了云计算的益处和已知的问题，概述云技术的主要大类，为组织应如何面对云计算所带来的机遇和风险，以及它们之间的关系提供了指导和建议。2．SP 500-291《云计算标准路线图》2011-08-10 分析了云计算标准现状、存在问题，提出了有关改进建议。3．SP800-145《云计算定义》2011-09-08 对云计算的定义、服务模式、部署模式进行了正式界定。4．SP 500-292《云计算参考体系架构》2011-09-28 提出了云计算参考框架及类型划分。5．SP 500-293《美国政府云计算技术路线图》2011-11-03包括三卷。第一卷主要提出政府应用云计算的 10 大需求，以及应用云计算过程中需要考虑的各种因素；第二卷主要对政府应用云计算提供一些理论指导和案例，分析现有的不足，强调了安全问题，并提出一些指导性建议；第三届主要为政府部门部署云计算提供技术指引。6．SP 800-144《公有云中的安全和隐私指南》2011-12提供公有云计算的概况以及在安全和隐私方面的挑战，论述了公有云环境的威胁、技术风险和保护措施，并为规划出合理的信息技术解决方案提供了一些见解。提到联邦政府，美国商务部的分支机构美国国家标准与技术研究院NIST，在过去的一年肯定一直在忙着发布各种专门的提案和报告，解决云计算建议，安全性及相关问题。7．SP 800-125 《完全虚拟化技术安全指南》2011年1月虚拟机隔离、虚拟机监控以及虚拟面临的安全威胁相关云安全标准草案SP 800-63-2电子认证指南草案该建议实施电子认证的联邦机构，并提供技术指导，其目的不是为了限制开发或使用标准以外。该建议涉及远程认证的用户（如员工，承包商或个人）与政府资讯科技系统，在开放的网络。它定义了各领域的身份校对，登记，标记，管理流程，认证协议和相关的断言，保证四个层次的技术要求。这个草案将取代NIST出版800-63-1。NIST IR-7904在云计算中受信任草案：概念实现的证明2012-12- 21该草案介绍了选择安全的地理位置所遇到的挑战，涉及基础设施作为服务（IaaS）的云计算技术和地理定位。然后，它描述了一个证明的概念实施，目的是要应对这些挑战。SP800-164在移动设备上的硬件层次的安全准则草案目的是提供一个共同的基线安全技术，可以实现范围广泛的移动设备，以帮助安全机构发行的移动设备以及设备带入组织，如在企业环境中（例如，把自己的设备，BYOD），使用个人拥有的设备。它着重于通过使用基于硬件的信任根存储和保护，提供三种安全功能的设备的完整性，隔离。SP 800-90?构建随机位发生器（RBG）的建议草案SP 800-90B随机比特生成的熵来源的建议草案SP 800-40 Rev. 3企业补丁管理技术指南草案第3版 2012-9-5补丁管理产品和系统补丁的识别，获取，安装和验证的过程。本出版物的目的是帮助组织了解企业补丁管理技术的基本知识。它解释了修补程序管理的重要性，并探讨在执行补丁管理固有的挑战。它概述了企业补丁管理技术，同时也简要讨论了指标测量技术的有效性。草案NIST SP800-40第3版取代了以前的版本（版本2），这是2005年出版的。SP 800-56 A Rev成对使用离散对数密码体制的密钥建立计划的建议草案（修订草案）2012-8-20SP 800-56A指定的密钥建立方案的基础上的离散对数问题有限域和椭圆曲线，其中包括一些变化的Diffie-Hellman密钥建立方案和MQV的。于2007年3月版本的修订。附录D中列出的主要变化SP800-147B对服务器的BIOS保护指南草案 2012-6-30本指南旨在减轻威胁服务器级系统中基本的系统固件完整性，通常被称为基本输入/输出系统（BIOS）。本指南确定的安全要求和指导方针的安全更新BIOS的过程中，使用数字签名来验证更新。本文档的目标读者包括服务器级的系统和信息系统安全专业人士谁负责采购，部署和管理服务器的BIOS和平台供应商。SP800-124 Rev.1移动设备在企业中的管理和保护的准则草案 2012-7-10目的是帮助企业集中管理和保护移动设备免受各种威胁。本出版物提供建议，选择，实施和使用集中式