构建云计算环境的安全检查与评估指标体系.pdf

所需积分/C币:15 2019-10-25 11:07:01 9.08MB PDF
18
收藏 收藏
举报

构建云计算环境的安全检查与评估指标体系
安全现状 安全事件 序 号的间 司 服务项目严重程度持续时间 原因 后果 北京时间9月1日早间消息,周日晚间,包括美国众多女星裸 照在内的许多明星照片开始在美国网站和 Twitter上流传 俄罗斯 Elcomsoft公司已开发出一款工具,在无需用户 Apple D帐号的情况下即可收集 iCloud上的备份文件。这一工具 能帮助司法部门分析被搜査的计算机。 号称“高可靠弹性、元杀的云服务实际上并不可靠! 62013年1月 Dropbox在线存储服务高16小时 未声明 在线存储服务中断 72013年1月亚马逊A000n页出高49分钟 内部问题主页无法正常显示,错失近500万美元的收 入 国家信息中心 State Information Center 安全现状 1、国外云服务安全事件已处于高发态势,且2、在我国,针对云服务的DD攻击还较普遍 出现较多造成重大影响的事件,而我国云服务国外则较少。 安全事件数量少、危害轻。 ■原因:一方面主要跟我国相关法律法规还不 ■2013年,国外三大云服务商亚马逊、微软、谷歌 太健全有关系,国外DDoS攻击就很少,因攻 均出现至少两次以的大规模服务中断事故。同年,击者将承担很大的法律责任。 苹果的 Cloud服务发生多次故障。 另一方面,国外云服务面临的黑客攻击已不 ■差异原因:国內外云服务规模和所处阶段不同。我 再是常规的DDoS攻击,而是水平更高的攻击 国云服务市场规模甚至不及亚马逊一家企业的1/3 方式,造成的后果也更严重。 我国云服务发展水平较发达国家落后3~5年。 3、国外云服务网络安全问题大部分也是传统4、从国内外情况看,都是Sa服务出现的安 问题,这与我国的情况是一致的 全问题最多,PaS最少 ■国外:云服务安全事件有50%是传统网络攻击造 ■Saas:国外公开报道的业界重大云安全事件中, 成的,其次是软件漏洞和配置错误。 有44%来源于SaaS服务。调查数据显示,我国SaS ■国内:而据调查统计数据显示,国内典型云服务 服务企业暴露的安全问题占比超过50%。 企业所发生的19次安全事件中有10次属于传统网络 ■Paas:目前,提供PaaS服务的厂商不多,但PaS 攻击造成的,占比达53% 市场热度正不断提高,未来PaaS将爆发出更多问题。 国家信息中心 State Information Center 安全现状安全问题成为制约云计算产业发展的主要因素 行业解决方案成功案例 数据安全 数据安全 云计算服务运营经验 95% 总体拥有成本(TCO) T人员技术水平 隐私保护 92% 企业用户对云计 隐私保护 92% 算的核心关注度 数据集成 稳定性 稳定性、用户锁定、可 用户锁定 81% 移植性、可用性等 可移植性 可用性 80% 迁移成本 75 0% 75% 80% 85% 90% 95% 100% 数据安全 95% 数据安全 技术标准 产业生态建设 合规性 技术标准 持续创新能力 86% 产值 政府用户对云计算的核心关注度 合规性 70% 65% 70% 75% 80% 85% 90% 95% 国家信息中心 State Information Center 安全现状 目前我国云服务规模较小,运行时间短,未经历大规模用户及服务环境的安全考验; 用户和服务商之间未建立起信任关系,信任问题是阻碍我国云服务发展的最核心问题 云服务核心技术仍无法摆脱受制于人的境地,不掌握核心技术就是最大的安全隐患 专利数量 目前检索到的明确涉及云安全架构、云安全系统、云安全管理及云资源安全共享 等与云服务安全明显相关的专利已达18000多件。 专利地域分布 美国在云服务安全领域的技术优势明显,已成垄断地位,该领域的专利申请量占 比高达97%;其他国家在该领域的申请占比低。 专利企业布局 1)传统T领域的巨头企业微软、1BM和思科成为云服务安全领域的主要专利权人; (2)浪潮、中兴通讯等国内企业成为我国云服务安全领域主要专利申请人。 国家信息中心 State Information Center 国内外云安全战略规划 ●目前,世界各国政府和T企业还停留在发布云计算战略阶段,云安全 战略规划很少涉及。 2012年3月,新西兰政府发布全球首个 口国家科技部2012年9月发布的《中 云计算安全战略(云计算保护行动),重点 国云科技发展“十二五”专项规划》即 关注跨境云计算服务的保护措施,值得我国 参考。 对云安全作出规划部署:支持身份认 证、加密与隔离的硬件安全技术,研 口2012年9月,欧盟启动云计算战略规划 发相应安全防护产品与软件,突破运 其中涉及云安全的有:支持在欧盟范围内开 行监控与安全保障等重大关键技术。 展“可信赖云服务供应商”的认证计划,为 掌握云计算环境下用户身份管理技术 云计算SLA制定“安全和公平”模式下的合 同条款。 以及云计算应用服务的安全防护和风 险评估技术。 口2011年2月,美国《联邦云计算战略》指 口相关主管部门:发布的云计算发展 出在管理云服务时要主动监视和定期评估, 指导意见:建设完善云计算安全保障 确保一个安全可信的环境,并作出了战略部 体系。加强云计算环境下网络与信息 署,包括推动联邦风险和授权管理项目 安全监测,完善安全事件预警、态势 FedRAMP,成为美国联邦政府机构在采购云 感知和处置机制,强化云计算容灾备 服务时的参考基准。 份和恢复能力 国家信息中心 State Information Center 国外相关标准 国际云安全标准机构和组织 ISO/EC JTC1:《开放虚拟机格式》、《云计算安全与隐私管理系 统》、丨SOEC27017《基于|SOEC27002的云计算服务的信息 丨 SO/EC第一联合技术委员会(SO/EC 安全控制措施实用规则》、丨SOEC27018《公共云计算服务的数 JTC1) 据保护控制措施实用规则》、丨 SO/EC27036-4《供应商关系的信 息安全一第四部分:云服务安全指南》、丨SOEC27009 口美国国家标准技术研究所(NST SO/EC27001在特定行业/服务的认可的第三方认证中的使用和 口欧洲网络与信息安全管理局(EN|SA) 应用》 口云安全联盟(cSA) 已制定>NsT:《云计算参考体系架构》、《完全虚拟化技术安全指南》 《云计算安全障碍与缓和措施》、《公共云计算中安全与隐私》 口国际电信联盟-电信标准化部(TUT) 《通用云计算环境》、《美国政府云计算安全评估与授权的建议》 口区域标准组织(美国)CO委员会 (FedRAMP 口开放式组织联盟( TheOpen Group) ENSA:《云计算——信息安全保障框架》、《云计算—信息安 全的好处,风险和建议》、《政府云的安全和弹性》 口结构化信息标准促进组织(OAS|S) cSA:《云计算面临的严重威胁》、《关键领域的云计算安全指 口分布式管理任务组(DMTF) 南》、《身份隐私与接入安全》 ≯ITUT:《云安全、威胁与需求》、《电信领域云计算安全指南》 C|O委员会:《美国政府云计算风险评估方法》 ISoNST ensa CUA ssC lrY > TheOpen Group:《云安全和SOA参考架构》 aliance OASS:《身份在云中的使用》 OASIS W DMTE DMTF:《云管理体系结构》 COgOn THE UPO/ GROUP 心h 非ie 国家信息中心 State Information Center 国内相关标准 中国通信标准化协会(ccSA) 中国遢信化会 China Communications Standards Association 日2011年9月,在网络与信息安全技术工作委员会(Tc8)的安全基础工作组(WG4)下成立了云计算安全子工作组,专门 负责云计算安全方面的标准研发工作,目前该工作组已召开了三次会议,组织制定了多项云计算安全方面的标准和研究报告。 口正在制定的标准有 在云计算的总体架构方面,有《云安全标准体系研究》、《公有云安全基线要求》、《云计算安全威胁和需求》等; ·在访问控制方面,有《云计算身份识别与访问管理应用场景及技术要求》、《云计算的可信技术硏究》等; ·在云中隐私和数据保护方面,有《公有云数据安全要求》、《公有云中隐私保护措施》等; ·在行业云方面,有《基于云计算的电子政务公共平台安全》、《基于云计算的居民健康服务平台安全框架》等 ·在基于云计算的Dc方面,有《基于云计算的互联网数据中心信息安全技术要求》和《基于云计算的互联网数据中心信息安 全管理要求》; 在云计算应用安全方面,有《云计算应用安全运营技术要求》等。 全国信息安全标准化委员会(TC260 全国信息安全标准化技变员会 Htp://www.Ic2buurg.en 口在信安标委内部立了专门对云计算及安全进行研究的课题,包括:《政府部门云计算服务提供商安全基本 要求》、《政府部门云计算服务安全指南》和《政府部门云计算服务安全能力要求》等。 等保评估中心、国信中心、阿里云等 口云计算信息系统安全等级保护基本要求》、《云计算信息系统安全等级保护测评要求》、《云计算信息 系统安全等级保护设计技术指南》。 国家信息中心 State Information Center 国家相关政策要求 《国家信息化领导小组关于加强信息安全保障工作的意见》(中 办发[2003]27号) 《关于开展信息安全风险评估工作的意见》(国信办[2006]5号) ≯《国家电子政务工程建设项目管理暂行办法》(发改委55号令) ≯《关于加强和完善国家电子政务工程建设管理的意见》(发改髙 技[2013]266号) 设计杰、建设 评估 验收 运维 国家信息中心 State Information Center

...展开详情
试读 23P 构建云计算环境的安全检查与评估指标体系.pdf
立即下载 低至0.43元/次 身份认证VIP会员低至7折
一个资源只可评论一次,评论内容不能少于5个字
您会向同学/朋友/同事推荐我们的CSDN下载吗?
谢谢参与!您的真实评价是我们改进的动力~
  • 签到新秀

  • 分享宗师

关注 私信
上传资源赚钱or赚积分
最新推荐
构建云计算环境的安全检查与评估指标体系.pdf 15积分/C币 立即下载
1/23
构建云计算环境的安全检查与评估指标体系.pdf第1页
构建云计算环境的安全检查与评估指标体系.pdf第2页
构建云计算环境的安全检查与评估指标体系.pdf第3页
构建云计算环境的安全检查与评估指标体系.pdf第4页
构建云计算环境的安全检查与评估指标体系.pdf第5页

试读结束, 可继续读2页

15积分/C币 立即下载 >