首页建筑研究 专题列表

云计算安全研究报告(3):云计算安全现状

收录时间:2012-11-23 15:18 来源: 信息安全国家重点实验室  作者:冯登国,张敏,张妍,徐震  阅读:0次 评论:0我要评论

内容提示: 云计算在美国和欧洲等国得到政府的大力支持和推广,云计算安全和风险问题也得到各国政府的广泛重视.国外已经有越来越多的标准组织开始着手制定云计算及安全标准,以求增强互操作性和安全性,减少重复投资或重新发明,我们对这些标准组织及其目前的研究进展展开加以介绍。

延伸阅读:云安全技术框架 云安全服务 云安全标准 云计算

        3 云计算安全现状

        3.1 各国政府对云计算安全的关注

        云计算在美国和欧洲等国得到政府的大力支持和推广,云计算安全和风险问题也得到各国政府的广泛重视.2010 年11 月,美国政府CIO 委员会发布关于政府机构采用云计算的政府文件,阐述了云计算带来的挑战以及针对云计算的安全防护,要求政府及各机构评估云计算相关的安全风险并与自己的安全需求进行比对分析.同时指出,由政府授权机构对云计算服务商进行统一的风险评估和授权认定,可加速云计算的评估和采用,并能降低风险评估的费用.

        2010 年3 月,参加欧洲议会讨论的欧洲各国网络法律专家和领导人呼吁制定一个关于数据保护的全球协议,以解决云计算的数据安全弱点.欧洲网络和信息安全局(ENISA)表示,将推动管理部门要求云计算提供商通知客户有关安全攻击状况.

        日本政府也启动了官民合作项目,组织信息技术企业与有关部门对于云计算的实际应用开展计算安全性测试,以提高日本使用云计算的安全水平,向中小企业普及云计算,并确保企业和个人数据的安全性.在我国,2010 年5 月,工信部副部长娄勤俭在第2 届中国云计算大会上表示,我国应加强云计算信息安全研究,解决共性技术问题,保证云计算产业健康、可持续地发展.

        3.2 国内外云计算安全标准组织及其进展

        国外已经有越来越多的标准组织开始着手制定云计算及安全标准,以求增强互操作性和安全性,减少重复投资或重新发明,如ITU-TSG17 研究组[4]、结构化信息标准促进组织[5]与分布式管理任务组[6]等都启动了云计算标准工作.此外,专门成立的组织,如云计算安全联盟[7]也在云计算安全标准化方面取得了一定进展.下面我们对这些标准组织及其目前的研究进展展开加以介绍.

        3.2.1 云安全联盟

        云安全联盟CSA(Cloud Security Alliance)是在2009 年的RSA 大会上宣布成立的一个非盈利性组织,宗旨是“促进云计算安全技术的最佳实践应用,并提供云计算的使用培训,帮助保护其他形式的计算”.自成立后,CSA迅速获得了业界的广泛认可,其企业成员涵盖了国际领先的电信运营商、IT 和网络设备厂商、网络安全厂商、云计算提供商等.

        云计算安全联盟确定了云计算安全的15 个焦点领域,对每个领域给出了具体建议,并从中选取较为重要的若干领域着手标准的制定,在制定过程中,广泛咨询IT 人员的反馈意见,获取关于需求方案说明书的建议.云计算安全联盟确定的15 个云计算安全焦点领域分别是:信息生命周期管理、政府和企业风险管理、法规和审计、普通立法、eDiscovery、加密和密钥管理、认证和访问管理、虚拟化、应用安全、便携性和互用性、数据中心、操作管理事故响应、通知和修复、传统安全影响(商业连续性、灾难恢复、物理安全)、体系结构.目前,云计算安全联盟已完成《云计算面临的严重威胁》、《云控制矩阵》、《关键领域的云计算安全指南》[7]等研究报告,并发布了云计算安全定义.这些报告从技术、操作、数据等多方面强调了云计算安全的重要性、保证安全性应当考虑的问题以及相应的解决方案,对形成云计算安全行业规范具有重要影响.

        3.2.2 其他相关标准组织动态

        2009 年底,国际标准化组织/国际电工委员会、第一联合技术委员会(ISO/IEC,JTC1)正式通过成立分布应用平台服务分技术委员会(SC38)的决议,并明确规定SC38 下设云计算研究组.

        国际电信联盟ITU-TSG17 研究组会议于2010 年5 月在瑞士的日内瓦召开,决定成立云计算专项工作组,旨在达成一个“全球性生态系统”,确保各个系统之间安全地交换信息.工作组将评估当前的各项标准,将来会推出新的标准.云计算安全是其中重要的研究课题,计划推出的标准包括《电信领域云计算安全指南》.

        结构化信息标准促进组织(OASIS)将云计算看作是SOA 和网络管理模型的自然扩展.在标准化工作方面,OASIS 致力于在现有标准的基础上建立云计算模型、配置文件和扩展相关的标准.现有标准包括安全、访问和身份策略标准,如OASIS SAML,XACML,SPML,WSSecurityPolicy 等;内容、格式控制和数据导入/导出标准,如OASIS ODF,DITA,CMIS 等;注册、储存和目录标准,如OASIS ebXML,UDDI;以及SOA 方法和模型、网络管理、服务质量和互操作性标准,如OASIS SCA,SDO,SOA-RM 和BPEL 等.

        近期,分布式管理任务组(Distributed Management Task Force,简称DMTF)[6]也已启动了云标准孵化器过程.参与成员将关注通过开发云资源管理协议、数据包格式以及安全机制来促进云计算平台间标准化的交互,致力于开发一个云资源管理的信息规范集合.该组织的核心任务是扩展开放虚拟化格式(OVF)标准,使云计算环境中工作负载的部署及管理更为便捷.

        3.3 国内外云计算安全技术现状

        在IT 产业界,各类云计算安全产品与方案不断涌现.例如,Sun 公司发布开源的云计算安全工具可为Amazon 的EC2,S3 以及虚拟私有云平台提供安全保护.工具包括OpenSolaris VPC 网关软件,能够帮助客户迅速和容易地创建一个通向Amazon 虚拟私有云的多条安全的通信通道;为Amazon EC2 设计的安全增强的VMIs,包括非可执行堆栈,加密交换和默认情况下启用审核等;云安全盒(cloud safety box),使用类Amazon S3 接口,自动地对内容进行压缩、加密和拆分,简化云中加密内容的管理等.微软为云计算平台Azure 筹备代号为Sydney的安全计划,帮助企业用户在服务器和Azure 云之间交换数据,以解决虚拟化、多租户环境中的安全性.EMC,Intel, Vmware 等公司联合宣布了一个“可信云体系架构”的合作项目,并提出了一个概念证明系统.该项目采用Intel 的可信执行技术(trusted execution technology)、Vmware 的虚拟隔离技术、RSA 的enVision 安全信息与事件管理平台等技术相结合,构建从下至上值得信赖的多租户服务器集群.开源云计算平台Hadoop 也推出安全版本,引入kerberos 安全认证技术,对共享商业敏感数据的用户加以认证与访问控制,阻止非法用户对Hadoop clusters 的非授权访问. 来源: 《建筑中文网》.

原文网址:http://www.pipcn.com/research/201211/15172.htm

也许您还喜欢阅读:

云计算安全研究参考文献

云计算安全研究报告(5):云计算安全关键技术研究

云计算安全研究报告(4):云计算安全技术框架建议

云计算安全研究报告(2):云计算安全挑战

云计算安全研究报告(1):云计算发展趋势

国家建筑标准设计电子化研究

云计算的基本概念和关键技术


【重要声明】本作品版权归建筑中文网和作者所有,允许以学习、研究之目的转载、复制和传播,但必须在明显位置注明原文出处和作者署名(请参考以下引文格式)且保证内容一致性,不得用于出售、出版、付费数据库或其它商业目的,本站保留追究一切法律责任的权利。投稿信箱
引用复制:网址 QQ/MSN 论文/著作 HTML代码

请告诉我们

请告诉我们您的知识需求以及对本站的评价与建议。
满意 不满意

Email: