【雲安全與同態加密_調研分析（1）】國外雲安全標準機構——By Me

在雲計算領域，傳統的信息安全管理標準如ITIL、ISO/IEC20000、ISO/IEC2700一、2700二、Cobit等被建議應用於雲計算安全管理和控制框架的創建。此外，因爲雲計算自己區別於傳統信息技術的特色，必然須要一系列具備針對性的雲計算安全標準。

◆1. 國外雲安全標準機構(雲安全標準)◆
◆雲安全標準機構(主要的)◆	◆標準機構介紹◆	◆相關標準制定◆	◆創建的相關模型參考◆	◆備註(其餘參考信息)◆
★ISO/IEC 第一聯合技術委員會(ISO/IEC JTC1)	●組織類型：聯合國下屬機構 ●組織簡介： 在雲計算領域的標準化工做主要由JTC1下工做組SC38來完成 SC27主要關注點是雲計算服務數據保護和信息安全控制	●已有的雲安全相關標準  - 《開放虛擬機格式》(標準) 2011年8月完成，描述虛擬機遷移的文件格式及打包方法，能夠對虛擬機進行應用程序細粒度的打包遷移 -  《雲計算安全與隱私管理系統》(標準草案) 爲雲計算服務過程當中的安全控制提供指導，目前正在制定過程當中		ISO/IEC JTC1/SC27發佈的標準以下： 1）《基於ISO/IEC 27002的雲計算服務使用信息安全控制指南》ISO/IEC WD TS 27017 2）《公共雲服務數據保護控制實踐規則》ISO/IEC WD 27018 3）《雲計算安全與隱私管理系統》（標準草案）
★國際電信聯盟--電信標準化部(ITU-T)	●組織類型：聯合國下屬機構 ●組織簡介：電信標準化部是國際電信聯盟管理下，專門制定遠程通訊的相關國際標準組織	●已有的雲安全相關標準 - 雲計算焦點組(Focus Group on Cloud Computing, FG Cloud)  2010年6月成立，正在制定《雲安全、威脅與需求》(標準草案)，文檔計劃2011年5月完成  - 電信雲安全研究小組(SG17)  2009年成立，《電信領域雲計算安全指南》(標準)，計劃2012年3月完成
★美國國家標準與技術研究院(NIST)	●組織類型：政府技術審查機構/區域(美國)標準機構 ●雲計算安全工做組(NCC-SWG)：2011年1月成立，目前已進行了17次雲安全小組研討會。2011年成立專門的雲計算安全工做組，主要關注點是識別雲威脅、肯定安全控制項及安全管理域、雲安全戰略實施與評估 ●工做組具體負責領域以下：     D1-雲計算架構框架；     D2-治理和企業風險管理；     D3-法律與電子證據發現；     D4-合規與審計；     D5-信息生命週期管理；     D6-可移植性和互操做性；     D7-傳統安全業務連續性和災難恢復；     D8-數據中心運行；     D9-應急響應通告和補救；     D10-應用安全；     D11-加密和密鑰管理；     D12-身份和訪問管理；     D13-虛擬化；	●已有的雲安全相關標準 - 《雲計算參考體系架構》(標準)  定義雲計算體系架構，架構組成部件及面臨的安全與威脅  - 《徹底虛擬化技術安全指南》(標準) 虛擬機隔離、虛擬機監控以及虛擬面臨的安全威脅 - 《雲計算安全保障與緩和措施》(草案) 對各類不一樣部署平臺可能面臨的安全威脅進行了詳盡的分析，並提出應對措施 - 《公共雲計算中安全與隱私》(草案) 對公有云中身份管理和隱私保護進行標準化 - 《通用雲計算環境》(草案) 規範了雲安全訪問控制模型中的安全訪問邊界	●NIST雲安全標準制定路線圖     - 開發出一種具備權威性的「雲安全服務體系架構」，這種架構可以映射到其餘雲計算體系中去     - 識別雲安全面臨威脅，並對威脅進行相應的分類     - 肯定哪些安全服務可以解決雲中可能遇到的威脅     - 針對相應的威脅，對安全控制作一個形式化映射     - 肯定安全管理(包括合規)域，並將安全控制映射到域中     - 雲安全戰略實施與評估 ●NIST雲計算定義圖	NIST （National Institute of   Standards and   Technology）直屬於美國商務部，該機構針對雲計算問題出版了多份研究成果，由其提出的雲計算定義、3種服務模式、4種部署模型、5大基礎特徵被認爲是描述雲計算的基礎性參照。NIST   成立了5 個雲計算工做組，其中就包括雲計算安全工做組。      ★3種服務模式：     ●雲軟件即服務（SaaS）     ●雲平臺即服務（PaaS）     ●雲基礎設施即服務（IaaS） ★4種部署模型：     ●公共雲     ●私有云     ●社區雲     ●混合雲 ★5大基礎特徵：     ●按需自助服務     ●普遍的網絡訪問(寬帶接入)     ●虛擬化的資源池     ●快速彈性架構     ●測量服務 ★關鍵使能技術：     ●快速廣域網     ●功能強大，價格低廉的服務器計算機     ●高性能的虛擬化商品硬件
★區域標準組織(美國)CIO委員會	●組織類型：區域(美國)標準機構 ●組織簡介：CIO委員會(Chief   Information Officers   Council)成立於2002年，屬於美國政府機構，成員主要由來自其餘28個政府部分的首席技術人員組成	●已有的雲安全相關標準 - 《美國政府雲計算風險評估方法》 2010年2月與NIST、GSA(Genneral   Services Administration)、CIO以及ISIMC(Information Security and Identity   Management Committee)一塊兒合做完成《美國政府雲計算風險評估方法》 基於標準化流程的風險評估：提出將雲計算置於聯邦監控之下的方法及流程；明確了聯邦政府、雲提供商以及評估小組在雲安全中的做用和職責
★歐洲網絡與信息安全管理局(ENISA)	●組織類型：區域(歐洲)標準機構 ●組織簡介：ENISA(The   European Network and Information Security   Agency)成立於2004年，總部設在希臘的伊拉克笠翁，目的是提升歐洲網絡與信息安全。主要關注點是雲計算面臨的威脅和應對 ●WG NRMP工做小組：2010年2月，雲安全標準化方面主要關注雲計算中風險評估與風險管理等，由ENISA下的WG   NRMP工做小組負責	●已有的雲安全相關標準 - 《雲計算    信息安全保障框架》(標準) 分析雲服務體系架構，評估採用雲服務後的風險，減輕雲服務提供商需擔保的負擔 - 《雲計算    信息安全的好處、風險及建議》(標準) 雲風險的詳細分類：首先定義了雲裏的風險類型、資產類型、脆弱性類型，對風險詳細分類並給出其可能性、影響大小、與脆弱性關係、影響資產風險等級		《Cloud Computing Benefits, risks   and recommendations for information security》在2012年12月進行了從新修訂。
★開放式組織聯盟(The Open Group)	●組織類型：工業組織聯盟 ●組織簡介：由廠家中立、技術中立的工業聯盟，旨在開放標準和全球互操做性的基礎上，實現企業內部和企業之間的無邊界的信息技術交流。主要關注點是如何安全、可靠地實現不一樣規模的企業運營，減小企業運營的成本、增大商業可擴展性和敏捷性 ●成員：包括Oracle,IBM,HP,Capgemini,Fujitsu,Hitachi,Orbus   Software,Kingdee,NEC,SAP,US Department of Defence,NASA等知名企業和政府機構 ●雲工做組(Cloud Work Group)：2009年10月成立，工做組的標準由組成成員制定的，但非成員也能夠參與討論	●已有的雲安全相關標準 - 《雲計算標準》(標準) 該標準對雲計算體系架構進行標準化，包括：通用雲架構、雲服務質量QoS、雲安全、服務虛擬訂價 - 《雲安全和SOA參考架構》(標準)該標準構建面向SOA的雲安全參考架構，設計雲中數據存儲安全、數據可信、QoS、審計和數據全部者隱私保護等領域