【云安全与同态加密_调研分析（1）】国外云安全标准机构——By Me

在云计算领域，传统的信息安全管理标准如ITIL、ISO/IEC20000、ISO/IEC27001、27002、Cobit等被建议应用于云计算安全管理和控制框架的建立。此外，由于云计算本身区别于传统信息技术的特点，必然需要一系列具有针对性的云计算安全标准。

◆1. 国外云安全标准机构(云安全标准)◆
◆云安全标准机构(主要的)◆	◆标准机构介绍◆	◆相关标准制定◆	◆建立的相关模型参考◆	◆备注(其他参考信息)◆
★ISO/IEC 第一联合技术委员会(ISO/IEC JTC1)	●组织类型：联合国下属机构 ●组织简介： 在云计算领域的标准化工作主要由JTC1下工作组SC38来完成 SC27主要关注点是云计算服务数据保护和信息安全控制	●已有的云安全相关标准  - 《开放虚拟机格式》(标准) 2011年8月完成，描述虚拟机迁移的文件格式及打包方法，可以对虚拟机进行应用程序细粒度的打包迁移 -  《云计算安全与隐私管理系统》(标准草案) 为云计算服务过程中的安全控制提供指导，目前正在制定过程中		ISO/IEC JTC1/SC27发布的标准如下： 1）《基于ISO/IEC 27002的云计算服务使用信息安全控制指南》ISO/IEC WD TS 27017 2）《公共云服务数据保护控制实践规则》ISO/IEC WD 27018 3）《云计算安全与隐私管理系统》（标准草案）
★国际电信联盟--电信标准化部(ITU-T)	●组织类型：联合国下属机构 ●组织简介：电信标准化部是国际电信联盟管理下，专门制定远程通信的相关国际标准组织	●已有的云安全相关标准 - 云计算焦点组(Focus Group on Cloud Computing, FG Cloud)  2010年6月成立，正在制定《云安全、威胁与需求》(标准草案)，文档计划2011年5月完成  - 电信云安全研究小组(SG17)  2009年成立，《电信领域云计算安全指南》(标准)，计划2012年3月完成
★美国国家标准与技术研究院(NIST)	●组织类型：政府技术审查机构/区域(美国)标准机构 ●云计算安全工作组(NCC-SWG)：2011年1月成立，目前已进行了17次云安全小组研讨会。2011年成立专门的云计算安全工作组，主要关注点是识别云威胁、确定安全控制项及安全管理域、云安全战略实施与评估 ●工作组具体负责领域如下：     D1-云计算架构框架；     D2-治理和企业风险管理；     D3-法律与电子证据发现；     D4-合规与审计；     D5-信息生命周期管理；     D6-可移植性和互操作性；     D7-传统安全业务连续性和灾难恢复；     D8-数据中心运行；     D9-应急响应通告和补救；     D10-应用安全；     D11-加密和密钥管理；     D12-身份和访问管理；     D13-虚拟化；	●已有的云安全相关标准 - 《云计算参考体系架构》(标准)  定义云计算体系架构，架构组成部件及面临的安全与威胁  - 《完全虚拟化技术安全指南》(标准) 虚拟机隔离、虚拟机监控以及虚拟面临的安全威胁 - 《云计算安全保障与缓和措施》(草案) 对各种不同部署平台可能面临的安全威胁进行了详尽的分析，并提出应对措施 - 《公共云计算中安全与隐私》(草案) 对公有云中身份管理和隐私保护进行标准化 - 《通用云计算环境》(草案) 规范了云安全访问控制模型中的安全访问边界	●NIST云安全标准制定路线图     - 开发出一种具有权威性的“云安全服务体系架构”，这种架构能够映射到其他云计算体系中去     - 识别云安全面临威胁，并对威胁进行相应的分类     - 确定哪些安全服务能够解决云中可能遇到的威胁     - 针对相应的威胁，对安全控制做一个形式化映射     - 确定安全管理(包括合规)域，并将安全控制映射到域中     - 云安全战略实施与评估 ●NIST云计算定义图	NIST （National Institute of   Standards and   Technology）直属于美国商务部，该机构针对云计算问题出版了多份研究成果，由其提出的云计算定义、3种服务模式、4种部署模型、5大基础特征被认为是描述云计算的基础性参照。NIST   成立了5 个云计算工作组，其中就包括云计算安全工作组。      ★3种服务模式：     ●云软件即服务（SaaS）     ●云平台即服务（PaaS）     ●云基础设施即服务（IaaS） ★4种部署模型：     ●公共云     ●私有云     ●社区云     ●混合云 ★5大基础特征：     ●按需自助服务     ●广泛的网络访问(宽带接入)     ●虚拟化的资源池     ●快速弹性架构     ●测量服务 ★关键使能技术：     ●快速广域网     ●功能强大，价格低廉的服务器计算机     ●高性能的虚拟化商品硬件
★区域标准组织(美国)CIO委员会	●组织类型：区域(美国)标准机构 ●组织简介：CIO委员会(Chief   Information Officers   Council)成立于2002年，属于美国政府机构，成员主要由来自其他28个政府部分的首席技术人员组成	●已有的云安全相关标准 - 《美国政府云计算风险评估方法》 2010年2月与NIST、GSA(Genneral   Services Administration)、CIO以及ISIMC(Information Security and Identity   Management Committee)一起合作完成《美国政府云计算风险评估方法》 基于标准化流程的风险评估：提出将云计算置于联邦监控之下的方法及流程；明确了联邦政府、云提供商以及评估小组在云安全中的作用和职责
★欧洲网络与信息安全管理局(ENISA)	●组织类型：区域(欧洲)标准机构 ●组织简介：ENISA(The   European Network and Information Security   Agency)成立于2004年，总部设在希腊的伊拉克笠翁，目的是提高欧洲网络与信息安全。主要关注点是云计算面临的威胁和应对 ●WG NRMP工作小组：2010年2月，云安全标准化方面主要关注云计算中风险评估与风险管理等，由ENISA下的WG   NRMP工作小组负责	●已有的云安全相关标准 - 《云计算    信息安全保障框架》(标准) 分析云服务体系架构，评估采用云服务后的风险，减轻云服务提供商需担保的负担 - 《云计算    信息安全的好处、风险及建议》(标准) 云风险的详细分类：首先定义了云里的风险类型、资产类型、脆弱性类型，对风险详细分类并给出其可能性、影响大小、与脆弱性关系、影响资产风险等级		《Cloud Computing Benefits, risks   and recommendations for information security》在2012年12月进行了重新修订。
★开放式组织联盟(The Open Group)	●组织类型：工业组织联盟 ●组织简介：由厂家中立、技术中立的工业联盟，旨在开放标准和全球互操作性的基础上，实现企业内部和企业之间的无边界的信息技术交流。主要关注点是如何安全、可靠地实现不同规模的企业运营，减少企业运营的成本、增大商业可扩展性和敏捷性 ●成员：包括Oracle,IBM,HP,Capgemini,Fujitsu,Hitachi,Orbus   Software,Kingdee,NEC,SAP,US Department of Defence,NASA等知名企业和政府机构 ●云工作组(Cloud Work Group)：2009年10月成立，工作组的标准由组成成员制定的，但非成员也可以参与讨论	●已有的云安全相关标准 - 《云计算标准》(标准) 该标准对云计算体系架构进行标准化，包括：通用云架构、云服务质量QoS、云安全、服务虚拟定价 - 《云安全和SOA参考架构》(标准) 该标准构建面向SOA的云安全参考架构，设计云中数据存储安全、数据可信、QoS、审计和数据所有者隐私保护等领域