云标准化组织-云安全深度剖析：技术原理及应用实践

2023-11-18 理论教育版权反馈

【摘要】：国内外研究和制订云计算安全标准的组织有很多。目前，全世界已经有50多个标准组织宣布加入云计算标准的制订行列。②以CSA和云计算互操作论坛等为代表的专门致力于进行云计算标准化的新兴标准组织。

国内外研究和制订云计算安全标准的组织有很多。目前，全世界已经有50多个标准组织宣布加入云计算标准的制订行列。这些标准组织大致可分为以下3种类型^[1]：①以分布式管理任务组（DMTF）、开放网格论坛（OGF）和网络存储工业协会（SNIA）等为代表的传统IT标准组织或产业联盟，这些标准组织中有一部分原来是专注于网格标准化的，现在转而进行云计算的标准化工作。②以CSA和云计算互操作论坛（CCIF）等为代表的专门致力于进行云计算标准化的新兴标准组织。这些新兴的标准化组织和协会，通常从某一方面入手，开展云计算标准研制，如CSA主要关注云安全标准研制，CSC主要从客户使用云服务的角度开展标准研制。③以国际电信联盟（ITU）、国际标准化组织（ISO）、IEEE和IETF等为代表的传统电信或互联网领域的标准组织。他们关于云计算标准化的工作大致分为两类：一类是已有的分技术委员会，如软件和系统工程技术委员会（ISO/IEC JTC1 SC7）、信息技术安全技术委员会（ISO/IEC JTC1 SC27），在原有标准化工作的基础上逐步渗透到云计算领域。其主要成果有《基于ISO/IEC 27002的云计算服务的信息安全控制措施实用规则》《公有云服务的数据保护控制实用规则》《供应商相关信息安全第4部分云服务安全指南。这些规则和指南基本确定了云计算安全和隐私的概念体系架构。另一类是新成立的分技术委员会如分布式应用平台和服务（ISO/IEC JTC1 SC38）、信息技术可持续发展（ISO/IEC JTC1 SC39）等开展云计算领域新兴标准的研制。SC38的主要成果是与ITU-T形成联合工作组共同推出《云计算概述和词汇》与《云计算参考架构》两项标准。

这些标准组织关于云计算标准化工作的研究和制订主要集中在如下几个方面：①云计算的概念、架构与应用场景，如NIST和ITU的电信标准化部（ITU-T）等组织进行了相关研究；②云计算业务的互操作，如OCC等标准组织进行有关研究；③云计算安全，如CSA和ITU-T等进行相关研究；④云计算相关技术，从事这方面研究的比较有名组织是SNIA；⑤云计算的运维与资源管理，如DMTF、结构化信息标准促进组织（OASIS）等。

在国内，工信部自2009年以来已将推动和促进云计算技术研发、产业发展和标准化作为重点工作内容之一，并及时组织中国电子技术标准化研究所、全国信息技术标准化技术委员会SOA标准工作组、工业和信息化部信息技术服务标准工作组，启动了云计算相关技术和服务标准的预研、规划及标准制订工作。(www.chuimin.cn)

由于云计算安全研究尚处于起步阶段，业界尚未形成统一标准。不同组织所制订的标准和工作重点也不尽相同。比如，ISO/IEC下专门从事信息安全标准化的分技术委员会（SC27）是信息安全领域中最具代表性的国际标准化组织。SC27的工作涵盖了信息安全管理和技术领域，包括信息安全管理体系、密码学与安全机制、安全评价准则、安全控制与服务、身份管理与隐私保护技术。SC27于2010年10月启动了研究项目《云计算安全和隐私》，随后又启动了《云安全评估和审计》《适于云的风险管理框架》《云安全组件》与云安全密切相关的研究项目。

云标准化组织-云安全深度剖析：技术原理及应用实践

相关推荐