信息安全技術(shù) 云計算安全參考架構(gòu)-編制說明_第1頁
信息安全技術(shù) 云計算安全參考架構(gòu)-編制說明_第2頁
信息安全技術(shù) 云計算安全參考架構(gòu)-編制說明_第3頁
信息安全技術(shù) 云計算安全參考架構(gòu)-編制說明_第4頁
信息安全技術(shù) 云計算安全參考架構(gòu)-編制說明_第5頁
已閱讀5頁,還剩1頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

工作簡況1.1任務(wù)來源2014年12月中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局正式下達任務(wù)書“云計算安全參考架構(gòu)”。負責(zé)人:卿斯?jié)h,王惠蒞。國家標(biāo)準(zhǔn)《云計算安全參考架構(gòu)》由北京大學(xué)軟件與微電子學(xué)院牽頭,中國電子技術(shù)標(biāo)準(zhǔn)化研究院、中國科學(xué)院信息工程研究所、韶關(guān)學(xué)院、北京鼎普科技股份有限公司、北京時代新威信息技術(shù)有限公司、中國移動通信研究院、華為技術(shù)有限公司、中國電信北京研究院、成都大學(xué)、中金數(shù)據(jù)系統(tǒng)有限公司、中國銀聯(lián)電子商務(wù)與電子支付國家工程實驗室、浪潮(北京)電子信息產(chǎn)業(yè)有限公司等單位共同參與起草。隨著工作任務(wù)的展開,越來越多單位加入標(biāo)準(zhǔn)編制的隊伍,包括:阿里巴巴集團、中國信息安全測評中心、中國電子科技集團公司第三十研究所、衛(wèi)士通信息產(chǎn)業(yè)股份有限公司、漢柏科技有限公司、東軟集團、杭州華三通信技術(shù)有限公司、上海眾人網(wǎng)絡(luò)安全技術(shù)有限公司、中國科學(xué)院云計算中心、天融信公司、百度、黑龍江省電子信息產(chǎn)品監(jiān)督檢驗院等。目前,參加單位仍在繼續(xù)增加中。1.2主要工作過程1.2015年1月建立標(biāo)準(zhǔn)編制組,進行廣泛調(diào)研2015年1月標(biāo)準(zhǔn)編制組成立后,隨即展開廣泛調(diào)研,摸清國內(nèi)外的研究動向,為本標(biāo)準(zhǔn)的制定夯實牢固的基礎(chǔ)。國內(nèi)外調(diào)研包括:ISO/IECJTC1/SC27(信息安全分技術(shù)委員會)于2010年開始云計算安全標(biāo)準(zhǔn)后的研制工作。ITU-T(國際電信聯(lián)盟通信局)云計算安全方面的工作,包括前期云計算焦點組和后期SG17的工作。CSA(云安全聯(lián)盟)的安全方案。OASIS(結(jié)構(gòu)化信息標(biāo)準(zhǔn)促進組織)云技術(shù)委員會的工作。ENISA(歐洲網(wǎng)絡(luò)與信息安全局)的相關(guān)工作。NIST(美國國家標(biāo)準(zhǔn)技術(shù)研究院)的云計算和云安全標(biāo)準(zhǔn)化工作。ETSI(歐洲電信標(biāo)準(zhǔn)研究所)的相關(guān)工作。CCIF(云計算互操作論壇)的相關(guān)工作。全國信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會(TC28)和全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(TC260)的標(biāo)準(zhǔn)化工作。CCSA(中國通信標(biāo)準(zhǔn)化協(xié)會)網(wǎng)絡(luò)與信息安全技術(shù)工作委員會(TC8)的安全基礎(chǔ)工作組(WG4)的云計算安全子工作組的相關(guān)工作。中國云計算技術(shù)與產(chǎn)業(yè)聯(lián)盟、CSA(云安全聯(lián)盟)中國區(qū)分會的相關(guān)工作。2.2015年3月11日召開標(biāo)準(zhǔn)啟動會和第1次工作組會議2015年3月11日,在北京龍紹衡大廈十一層會議室,召開了標(biāo)準(zhǔn)啟動會和第1次工作組會議,各標(biāo)準(zhǔn)編制單位的負責(zé)人與專家參加了會議。會上對編制內(nèi)容和方針、編制計劃和編制單位的分工進行了討論,明確了下一步工作計劃。會議除討論了標(biāo)準(zhǔn)草案v.1.0的修改建議外,還重點討論了3個問題:(1)云計算的主要安全威脅;(2)云計算的安全風(fēng)險評估;(3)虛擬化安全問題。3.2015年6月11日中期檢查會,報告標(biāo)準(zhǔn)編制工作2015年6月11日,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會在北京香山飯店一層菊香廳會議室,召開2014年重點信息安全標(biāo)準(zhǔn)項目檢查工作會議。卿斯?jié)h代表標(biāo)準(zhǔn)編制組做了標(biāo)準(zhǔn)編制工作報告。評審專家崔書昆,顧建國,杜虹,馮惠,張建軍,左曉棟相繼肯定了編制組的工作成績和總體框架與思路,并對今后工作提出了具體意見和建議。4.2015年8月28日召開第2次工作組會議2015年8月28日,在北京中國科學(xué)院信息工程研究所3號樓會議室,召開了第2次工作組會議,各標(biāo)準(zhǔn)編制單位的負責(zé)人與專家參加了會議。標(biāo)準(zhǔn)編制組負責(zé)人對中期檢查的情況與評審專家的建議做了說明,各標(biāo)準(zhǔn)編制單位對標(biāo)準(zhǔn)草案v.2.0進行了深入的討論。標(biāo)準(zhǔn)編制組負責(zé)人鼓勵大家進行爭論,勇于發(fā)表不同意見。最后,確定了下一步計劃和具體分工,鼓勵提出各不相同的標(biāo)準(zhǔn)修改版本。5.2016年2月19-20日召開第3次工作組會議2016年2月19-20日,在北京蟹島會議樓,召開了第3次工作組會議,各標(biāo)準(zhǔn)編制單位的負責(zé)人與專家參加了會議。這次會議擴展了思路,首先對近期國內(nèi)外云安全的研究進展進行了回顧,聽取了杭州華三通信技術(shù)有限公司首席安全架構(gòu)師孫松兒關(guān)于《云計算安全架構(gòu)設(shè)計》;百度云安全部總經(jīng)理馬杰關(guān)于《百度大數(shù)據(jù)安全實踐》和東軟集團網(wǎng)絡(luò)安全事業(yè)部云安全事業(yè)部部長關(guān)于《網(wǎng)絡(luò)安全與云環(huán)境的融合之道》等3個主題報告。然后,結(jié)合大數(shù)據(jù)與云安全,對標(biāo)準(zhǔn)草案v.3.0進行了深入討論。最后,確定了下一步計劃和具體分工,并在6月1日形成標(biāo)準(zhǔn)草案版本v.4.0。6.2016年6月14日,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會2016年第一次工作組會議周,報告標(biāo)準(zhǔn)編制工作,形成標(biāo)準(zhǔn)征求意見稿全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會2016年第一次工作組會議周于2016年6月13-16日舉行。2016年6月14日,在北京會議中心東會議廳,卿斯?jié)h代表標(biāo)準(zhǔn)編制組做了標(biāo)準(zhǔn)編制工作報告及標(biāo)準(zhǔn)草案版本v.4.0的說明。根據(jù)與會代表提出的意見和建議,完成了意見匯總處理表,并在此基礎(chǔ)上修改標(biāo)準(zhǔn)文本,形成標(biāo)準(zhǔn)草案版本v.4.1,并上傳到TC260平臺。工作組同意進入“征求意見稿”階段,2016年7月1日,進一步修改后形成標(biāo)準(zhǔn)(征求意見稿)版本v1.0,并上傳到TC260平臺。編制原則和主要內(nèi)容2.1編制原則《云計算安全參考架構(gòu)》通過借鑒國外標(biāo)準(zhǔn)的研究,結(jié)合國內(nèi)應(yīng)用實踐和我們的科研成果,提出與國際標(biāo)準(zhǔn)接軌、適合我國國情,并具有一定創(chuàng)新性的“云計算安全參考架構(gòu)”標(biāo)準(zhǔn)。通過該標(biāo)準(zhǔn)在云系統(tǒng)中的實施,確保環(huán)境安全、運行安全和數(shù)據(jù)遷移安全;為云計算的安全規(guī)劃與安全實施提供指導(dǎo)?!对朴嬎惆踩珔⒖技軜?gòu)》標(biāo)準(zhǔn)的編制遵循以下原則:(1)先進性:標(biāo)準(zhǔn)反映當(dāng)今云計算與云安全的先進技術(shù)水平;(2) 開放性:標(biāo)準(zhǔn)的編制、評審與使用具有開放性;(3) 適應(yīng)性:標(biāo)準(zhǔn)結(jié)合我國國情;(4) 簡明性:標(biāo)準(zhǔn)易于理解、實現(xiàn)和應(yīng)用;(5) 中立性:公正、中立,不與任何利益攸關(guān)方發(fā)生關(guān)聯(lián);(6) 一致性:術(shù)語與國內(nèi)外標(biāo)準(zhǔn)所用術(shù)語最大程度保持一致。2.2主要內(nèi)容1范圍 2規(guī)范性引用文件 3術(shù)語和定義 4概述 4.1云計算的相關(guān)概念4.2云計算的參與角色 4.3云計算的安全挑戰(zhàn)4.4云計算參與角色的安全職責(zé)概述4.4.1云服務(wù)客戶4.4.2云服務(wù)商 4.4.3云代理者 4.4.4云審計者 4.4.5云基礎(chǔ)網(wǎng)絡(luò)運營者 5云計算安全參考架構(gòu) 5.1概述5.2云服務(wù)客戶 5.2.1安全云服務(wù)管理 5.2.2安全云服務(wù)協(xié)同 5.3云服務(wù)商 5.3.1安全云服務(wù)協(xié)同5.3.2安全云服務(wù)管理5.4云代理者5.4.1技術(shù)代理者 5.4.2業(yè)務(wù)代理者 5.4.3安全云服務(wù)協(xié)同5.4.4安全服務(wù)聚合5.4.5安全云服務(wù)管理5.4.6安全服務(wù)中介5.4.7安全服務(wù)仲裁5.5云審計者5.6云基礎(chǔ)網(wǎng)絡(luò)運營者附錄A(資料性附錄)云計算的安全風(fēng)險 主要試驗(或驗證)的分析、綜述報告、技術(shù)經(jīng)濟論證、預(yù)期的經(jīng)濟效果編制組已請相關(guān)編制單位,包括華為、阿里、浪潮、百度、東軟、中科院云計算中心、中國信息安全測評中心等對標(biāo)準(zhǔn)進行試用與驗證,取得初步成果,目前進展良好。反饋的建議對標(biāo)準(zhǔn)的制定奠定了良好基礎(chǔ)。采用國際標(biāo)準(zhǔn)和國外先進標(biāo)準(zhǔn)的程度、以及與國際、國外同類標(biāo)準(zhǔn)水平的對比情況、或與測試的國外樣品、樣機的有關(guān)數(shù)據(jù)對比情況本標(biāo)準(zhǔn)重點參考了美國國家標(biāo)準(zhǔn)技術(shù)研究院NIST的系列云計算與云安全標(biāo)準(zhǔn),包括:SP800-144《公共云中的安全和隱私指南》、SP800-146《云計算梗概和建議》、SP500-291《云計算標(biāo)準(zhǔn)路線圖》、SP800-145《云計算定義》、SP500-292《云計算參考體系架構(gòu)》、SP500-293《美國政府云計算技術(shù)路線圖》。以及NIST的其它輸出物:《云計算安全障礙和緩解措施列表》、《美國聯(lián)邦政府使用云計算的安全需求》、《聯(lián)邦政府云指南》、《美國政府云計算安全評估與授權(quán)的建議》等。我們以SP500-299《云計算安全參考體系架構(gòu)》為基礎(chǔ),廣泛參考了ISO、ITU-T、CSA、OASIS、ENISA、ETSI和CCIF的相關(guān)工作進行編制,但不照搬。而是結(jié)合目前的技術(shù)發(fā)展、我國的應(yīng)用實踐,以及我們的科研成果進行修改、補充與完善。提出與國際標(biāo)準(zhǔn)接軌、適合我國國情,并具有一定創(chuàng)新性的“云計算安全參考架構(gòu)”標(biāo)準(zhǔn)。與有關(guān)的現(xiàn)行法律、法規(guī)和強制性國家標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)符合現(xiàn)有法律法規(guī)的要求。重大分歧意見的處理經(jīng)過和依據(jù)本標(biāo)準(zhǔn)在編制過程中未出現(xiàn)重大分歧,其他詳見意見匯總處理表。國家標(biāo)準(zhǔn)作為強制性國家標(biāo)準(zhǔn)或推薦性國家標(biāo)準(zhǔn)的建議建議本標(biāo)準(zhǔn)作為推薦性國家標(biāo)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論