《信息安全技术 云计算安全参考架构-编制说明》.pdfVIP

一、 工作简况 1.1 任务来源 2014 年12 月中央网信办网络安全协调局正式下达任务书 “云计算安全参考架构”。负 责人: 卿斯汉, 王惠莅。 国家标准 《云计算安全参考架构》由北京大学软件与微电子学院牵头，中国电子技术 标准化研究院、中国科学院信息工程研究所、韶关学院、北京鼎普科技股份有限公司、北京 时代新威信息技术有限公司、中国移动通信研究院、华为技术有限公司、中国电信北京研究 院、成都大学、中金数据系统有限公司、中国银联电子商务与电子支付国家工程实验室、浪 潮 （北京）电子信息产业有限公司等单位共同参与起草。 随着工作任务的展开，越来越多单位加入标准编制的队伍，包括：阿里巴巴集团、中 国信息安全测评中心、中国电子科技集团公司第三十研究所、卫士通信息产业股份有限公司、 汉柏科技有限公司、东软集团、杭州华三通信技术有限公司、上海众人网络安全技术有限公 司、中国科学院云计算中心、天融信公司、百度、黑龙江省电子信息产品监督检验院等。目 前，参加单位仍在继续增加中。 1.2 主要工作过程 1.2015年 1月建立标准编制组，进行广泛调研 2015年 1月标准编制组成立后，随即展开广泛调研，摸清国内外的研究动向，为本标 准的制定夯实牢固的基础。 国内外调研包括：  ISO/IEC JTC1/SC27(信息安全分技术委员会) 于2010 年开始云计算安全标准后的 研制工作。  ITU-T （国际电信联盟通信局）云计算安全方面的工作，包括前期云计算焦点组和 后期SG17 的工作。  CSA （云安全联盟）的安全方案。  OASIS （结构化信息标准促进组织）云技术委员会的工作。  ENISA （欧洲网络与信息安全局）的相关工作。  NIST （美国国家标准技术研究院） 的云计算和云安全标准化工作。  ETSI （欧洲电信标准研究所）的相关工作。  CCIF （云计算互操作论坛）的相关工作。  全国信息技术标准化技术委员会 （TC28）和全国信息安全标准化技术委员会 1 （TC260）的标准化工作。  CCSA （中国通信标准化协会）网络与信息安全技术工作委员会 （TC8）的安全基 础工作组 （WG4）的云计算安全子工作组的相关工作。  中国云计算技术与产业联盟、CSA （云安全联盟）中国区分会的相关工作。 2.2015年3 月11 日召开标准启动会和第 1次工作组会议 2015年3 月11 日，在北京龙绍衡大厦十一层会议室，召开了标准启动会和第1次工作 组会议，各标准编制单位的负责人与专家参加了会议。会上对编制内容和方针、编制计划和 编制单位的分工进行了讨论，明确了下一步工作计划。会议除讨论了标准草案v.1.0 的修改 建议外，还重点讨论了3个问题：（1）云计算的主要安全威胁；（2）云计算的安全风险评估； （3）虚拟化安全问题。 3.2015年6 月11 日中期检查会，报告标准编制工作 2015年6月11 日，全国信息安全标准化技术委员会在北京香山饭店一层菊香厅会议室， 召开2014 年重点信息安全标准项目检查工作会议。卿斯汉代表标准编制组做了标准编制工 作报告。评审专家崔书昆，顾建国，杜虹，冯惠，张建军，左晓栋相继肯定了编制组的工作 成绩和总体框架与思路，并对今后工作提出了具体意见和建议。 4.2015年8月28 日召开第2 次工作组会议 2015年8 月28 日，在北京中国科学院信息工程研究所3 号楼会议室，召开了第2 次工 作组会议，各标准编制单位的负责人与专家参加了会议。标准编制组负责人对中期检查的情 况与评审专家的建议做了说明，各标准编制单位对标准草案v.2.0进行了深入的讨论。标准 编制组负责人鼓励大家进行争论，勇于发表不同意见。最后，确定了下一步计划和具体分工， 鼓励提出各不相同的标准修改版本。 5.2016年2 月19-20 日召开第3 次工作组会议 2016年2 月19-20 日，在北京蟹岛会议楼，召开了第3 次工作组会议，各标准编制单 位的负责人与专家参加了会议。这次会议扩展了思路，首先对近期国内外云安全的研究进展 进行了回顾，听取了杭州华三通信技术有限公司首席安全架构师孙松儿关于《云计算安全架