演示文档云安全标准组织.pptVIP

云安全标准机构 国外云安全组织及标准 -云安全标准 1 4、CIO委员会 《美国政府云计算风险评估方法》 基于标准化流程的风险评估： 提出将云计算置于联邦监控之下的方法及流程；明确了联邦政府、云提供商以及评估小组在云安全中的作用和职责。 部门X需要新的基于云的IT系统 部门X从FedRAMP获得安全需求 部门X将获得安全需求转给CSP 部门X向FedRAMP申请授权CSP运行 FedRAMP将CSP加入到授权日志 CSP和部门启动授权程序 CSP、部门和FedRAMP重审安全需求 FedRAMP和CSP一起建立系统安全方案 CSP进行独立的安全评估并提交安全报告 FedRAMP检查报告并给JAB形成授权文档 JAB最终审查并授权CSP执行 FedRAMP将CSP加入授权清单 FedRAMP对CSP进行持续不间断监控 * 云安全标准机构 国外云安全组织及标准 -云安全标准 1 组织类型：区域(欧洲)标准机构 组织简介：ENISA（The European Network and Information Security Agency）成立于2004年，总部设在希腊的伊拉克利翁。目的是提高欧洲网络与信息安全。 2010年2月，云安全标准化方面主要关注云计算中风险评估和风险管理等，由ENISA下WG NRMP工作小组负责。 5、欧洲网络与信息安全管理局（ENISA ） * 云安全标准机构 国外云安全组织及标准 -云安全标准 1 与云安全相关标准 《云计算--信息安全保障框架》（标准） 分析云服务体系架构,评估采用云服务后的风险，减轻云服务提供商需担保的负担 《云计算--信息安全的好处，风险和建议》（标准） 云风险的详细分类：首先定义了云里的风险类型、资产类型、脆弱性类型，对风险详细分类并给出其可能性、影响大小、与脆弱性的关系、影响资产风险等级。 5、欧洲网络与信息安全管理局（ENISA ） * 云安全标准机构 国外云安全组织及标准 -云安全标准 1 《云计算--信息安全的好处，风险和建议》 5、欧洲网络与信息安全管理局（ENISA ） 首先定义了云里的风险类型、资产类型、脆弱性类型，然对风险详细分类并给出其可能性、影响大小、与脆弱性的关系、影响资产风险等级。 数据锁定 管理缺失 一致性挑战 由于合租者引起的商业信用损失 云服务终止或失效 云服务提供商违约 … 资源耗尽 隔离失效 云服务商内部恶意行为 数据传输被截获 不安全或无效的数据删除 密钥丢失 恶意探测和扫描 … 司法权变更 数据保护风险 软件授权风险 网络破坏 网络流量篡改 权限放大 社会工程学攻击 运行、安全日志丢失 非授权访问 … 策略和管理风险 技术风险 法律风险 非云特有风险 风 险 * 云安全标准机构 国外云安全组织及标准 -云安全标准 1 6、开放式组织联盟 组织类型：工业组织联盟 组织简介：由厂家中立、技术中立的工业联盟，旨在开放标准和全球互操作性的基础上，实现企业内部和企业之间的无边界的信息技术交流。 成员：包括Oracle，IBM, HP, Capgemini, Fujitsu, Hitachi, Orbus Software, Kingdee, NEC, SAP, US Department of Defense, NASA等知名企业和政府机构。 组织成员结构图 * 云安全标准机构 国外云安全组织及标准 -云安全标准 1 6、开放式组织联盟 云安全相关的工作组及活动 云工作组（Cloud Work Group） 2009年10月成立， 工作组的标准由组织成员制定的，但非成员也可以参与讨论。 云安全标准 《云计算标准》（标准） 该标准对云计算体系架构进行标准化，包括：通用云架构，云服务质量QOS，云安全，服务虚拟定价。 《云安全和SOA参考架构》（标准） 构建面向SOA的云安全参考架构，涉及云中数据存储安全，数据可信，QOS，审计和数据所有者隐私保护等领域 * 云安全标准建议组织 国外云安全组织及标准 -云安全建议白皮书 1 国际上比较具有影响力的云安全组织，有： 云安全联盟（CSA） 分布式管理任务组（DMTF） 结构化信息标准促进组织（OASIS） * 云安全标准建议组织 国外云安全组织及标准 -云安全建议白皮书 1 组织性质：工业组织联盟 组织简介：电信安全联盟CSA(Cloud Security Alliance)，2009年4月成立，目标是推广云安全的最佳实践方案，开展云安全培训。 组织成员：包括 100多家来自全球IT企业加盟，并与ITU、ENISA等二十家标准组织及机构合作，在云安全最佳实践与标准制定方面具有很大的影响力有影响力。 1、云安全联盟（CSA） * 云安全标准