章恒-云计算安全风险研究与测评实践.pdf

云计算安全风险研究与测评实践 北大国信云计算安全实验室主任 章恒 2015中国云计算发展调查报告-公有云 2015中国云计算发展调查报告-公有云 2015中国云计算发展调查报告-私有云 用户关注度 数据安全 隐私保护 企业用户对云计 算的核心关注度 稳定性、用户锁定、可 移植性、可用性等 数据安全 合规性 技术标准 政府用户对云计算的核心关注度 专利分布 目前我国云服务规模较小，运行时间短，未经历大规模用户及服务环境的安全考验； 用户和服务商之间未建立起信任关系，信任问题是阻碍我国云服务发展的最核心问题； 云服务核心技术仍无法摆脱受制于人的境地，不掌握核心技术就是最大的安全隐患 专利数量 目前检索到的明确涉及云安全架构、云安全系统、云安全管理及云资源安全共享 等与云服务安全明显相关的专利已达18000多件。 专利地域分布 美国在云服务安全领域的技术优势明显，已成垄断地位，该领域的专利申请量占 比高达97% ；其他国家在该领域的申请占比低。 专利企业布局 (1)传统IT领域的巨头企业微软、IBM和思科成为云服务安全领域的主要专利权人； (2)浪潮、华为、中兴、阿里等国内企业成为我国云服务安全领域主要专利申请人。 国外相关标准 国际云安全标准机构和组织  ISO/IEC JTC1 ：《开放虚拟机格式》、 《云计算安全与隐私管理 系统》、ISO/IEC 27017 《基于ISO/IEC 27002的云计算服务  ISO/IEC 第一联合技术委员会 的信息安全控制措施实用规则》、ISO/IEC 27018 《公共云计算 服务的数据保护控制措施实用规则》、ISO/IEC 27036-4 《供应 (ISO/IEC JTC1) 商关系的信息安全—第四部分：云服务安全指南》、ISO/IEC  美国国家标准技术研究所（NIST） 27009 《ISO/IEC 27001在特定行业/服务的认可的第三方认证中  欧洲网络与信息安全管理局（ENISA ） 的使用和应用》  云安全联盟（CSA） 已制定  NIST ：《云计算参考体系架构》、 《完全虚拟化技术安全指南》、 《云计算安全障碍与缓和措施》、 《公共云计算中安全与隐私》、  国际电信联盟--电信标准化部(ITU-T) 《通用云计算环境》、 《美国政府云计算安全评估与授权的建议》  区域标准组织（美国）CIO委员会 （FedRAMP）  开放式组织联盟（TheOpenGroup）  ENISA ：《云计算——信息安全保障框架》、 《云计算——信息安 全的好处，风险和建议》、 《政府云的安全和弹性》  结构化信息标准促进组织（OASIS）  CSA ： 《云计算面临的严重威胁》、 《关键领域的云计算安全指  分布式管理任务组（DMTF）