2018年云计算安全国际标准发展现状及相关思考.pdf

1、云计算安全国际标准发展现状及相关思考目 录云计算安全形势云计算发展步伐持续加快云安全新老问题不断交织云安全标准化工作得到广泛重视云计算安全标准化工作概述ITU-T云计算安全标准现状相关思考4231云计算安全形势：云计算发展步伐持续加快近年来，云计算市场增长迅速，行业应用不断深化，各大云服务商不断加快云计算基础设施的建设布局。与此同时，云计算关键技术的快速迭代更新推动着云技术架构和应用模式不断演进。全球云计算市场规模稳定增长信通院云计算发展白皮书（2018年），整理自Gartner2017年，以IaaS、PaaS、SaaS为代表的主要公有云服务市场规模达1110亿美元（约合人民币7635.9亿元

2、）；预计到2021年，全球公有云市场规模将达2461亿美元，年复合增长率达18.89%。云计算底层技术架构不断演变关键技术快速迭代：容器、高性能计算、微服务架构等技术发展加快云计算技术架构迭代更新；技术融合驱动业务应用不断深化：云网融合，云计算与物联网、工业互联网、人工智能等有机结合不断深化业务应用。多云形态逐渐成为主流应用模式企业需要多种云环境并存以适应业务发展趋势；从基础架构为核心到应用为核心的转变；结合公有云的弹性和私有云的私密性，寻求最佳性能和安全可靠间的平衡。云计算安全形势：新老安全问题不断交织云安全事件频发，网络安全问题持续发生一方面，网络病毒、漏洞入侵、内部泄漏等传统网络安全威胁

3、依然存在；另一方面，云环境网络规模化、数据信息海量化、存储服务集约化等特点也给云平台架构和云业务发展带来新的安全挑战。2016年9月，国际CDN厂商Cloudflare曝出API密钥安全漏洞，导致数百万网络托管客户数据被泄露；2017年3月，微软Azure公有云存储故障导致业务受影响超过8小时；2017年6月，亚马逊AWS共和党数据库中的美国2亿选民个人信息被曝光。专业化、集约化的新计算模式引发新安全风险承载多类型业务应用，服务模式复杂化引发业务逻辑安全、认证鉴权和不良信息管控等安全问题多使用第三方组件等开源软件系统性安全功能相对缺乏，存在安全漏洞存储、计算等多层面资源虚拟化，带来数据管理权与

4、所有权分离，网络边界模糊等问题各类数据集中存储，涉及海量用户敏感信息和数据资产，安全问题将引发“一点突破、全网皆失”的严重后果云计算安全形势：云安全标准化工作得到广泛重视云计算安全标准化工作重要性云基础设施作为承载各类应用的底层关键信息基础设施，其安全性与其上各类关键业务系统、基础资源、用户数据安全性强相关，成为影响云计算发展的关键因素之一；缺乏统一的概念术语、架构、测评、风险管理等标准，将对技术的发展应用和产业化形成阻碍。国际标准化组织、开源组织、区域化标准机构相继开展云计算安全标准化工作；ISO IEC JTC1 SC27（信息安全分技术委员会）最早于2010开始推进云计算安全标准化工作；

5、ITU-T于2010年成立云计算焦点组，并于2011年10月，重组成立SG17 Q8云计算安全研究组，持续推进云计算安全标准化工作。我国主要在国家标准和行业标准两个层面开展云计算安全标准化工作；TC260于2011年9月发布云计算安全及标准研究报告，开展云计算安全相关标准工作，目前云计算服务安全指南等4项相关标准已发布，另有4项标准已到报批稿阶段；CCSA TC8 WG4于2011年成立云计算安全子工作组，组织制定了多项云计算安全方面的标准和研究报告。目 录云计算形势云计算安全标准化工作概述国际云计算安全标准工作我国云计算安全标准工作ITU-T云计算安全标准现状相关思考1432 云计算安全标准

6、化工作概述：国际国际标准化组织较早认识到云计算安全标准化工作对发展的重要性，从顶层设计、安全架构、云计算场景等方面，自上而下、全方面、体系化开展云计算安全标准研制工作。区域标准化组织受云计算发展和监管需求影响开展安全标准探索区域标准组织（美国）CIO委员会：美国政府云计算风险评估方法NIST：云计算参考体系架构完全虚拟化技术安全指南等开源组织和联盟注重开源安全技术架构、应用场景中的安全问题国际标准化机构从整体架构到细分领域全面推动标准工作ISO/IEC：开放虚拟机格式云计算安全与隐私管理系统公共云计算服务的控制措施实用规则等系列标准ITU-T：云计算的安全框架软件即服务应用环境的安全要求云计算