ITU-T X.1601 建议书(10/2015) - 云计算的安全框架

Size: px

Start display at page:

Download "ITU-T X.1601 建议书(10/2015) - 云计算的安全框架"

代骧容
7 years ago
Views:

1 国际电信联盟 ITU-T X.1601 国际电信联盟电信标准化部门 (10/2015) X 系列 : 数据网开放系统通信和安全性云计算安全云计算安全概述云计算的安全框架 ITU-T X.1601 建议书

2 ITU-T X 系列建议书数据网开放系统通信和安全性公用数据网开放系统互连网间互通报文处理系统号码簿 OSI 组网和系统概貌 OSI 管理安全 OSI 应用开放分布式处理信息和网络安全一般安全问题网络安全安全管理生物测定安全安全应用和服务组播安全家庭网络安全移动安全网页安全安全协议对等网络安全网络身份安全 IPTV 安全网络空间安全计算网络安全反垃圾信息身份管理安全应用和服务应急通信泛在传感器网络安全网络安全信息交换网络安全概述脆弱性 / 状态信息交换事件 / 事故 / 探索法信息交换政策的交换探索法和信息请求标识和发现确保交换云计算安全云计算安全概述云计算安全设计云计算安全最佳做法和导则云计算安全的落实工作其他云计算安全问题 X.1 X.199 X.200 X.299 X.300 X.399 X.400 X.499 X.500 X.599 X.600 X.699 X.700 X.799 X.800 X.849 X.850 X.899 X.900 X.999 X.1000 X.1029 X.1030 X.1049 X.1050 X.1069 X.1080 X.1099 X.1100 X.1109 X.1110 X.1119 X.1120 X.1139 X.1140 X.1149 X.1150 X.1159 X.1160 X.1169 X.1170 X.1179 X.1180 X.1199 X.1200 X.1229 X.1230 X.1249 X.1250 X.1279 X.1300 X.1309 X.1310 X.1339 X.1500 X.1519 X.1520 X.1539 X.1540 X.1549 X.1550 X.1559 X.1560 X.1569 X.1570 X.1579 X.1580 X.1589 X.1600 X.1601 X.1602 X.1639 X.1640 X.1659 X.1660 X.1679 X.1680 X.1699 欲了解更详细信息, 请查阅 ITU-T 建议书目录

3 ITU-T X.1601 建议书云计算的安全框架摘要 ITU-T X.1601 建议书描述云计算的安全框架本建议书分析云计算环境中的安全威胁和挑战, 并阐明可减缓这些风险并应对安全挑战的安全能力本建议书提供的框架方法用于确定在减缓云计算安全威胁和应对安全挑战方面, 需要对其中哪些安全能力做出具体规范本建议书附录 I 提供特定安全威胁或挑战如何由一种或多种安全能力予以解决的对照表历史沿革版本建议书批准日期研究组唯一识别码 * 1.0 ITU-T X /1000/ ITU-T X /1000/12613 关键词云计算隐私保护安全能力安全挑战安全框架安全威胁 * 欲查阅建议书, 请在您的网络浏览器地址域键入 URL handle.itu.int/, 随后输入建议书的唯一识别码, 例如, ITU-T X.1601 建议书 (10/2015) i

4 前言国际电信联盟 (ITU) 是从事电信领域工作的联合国专门机构 ITU-T( 国际电信联盟电信标准化部门 ) 是国际电信联盟的常设机构, 负责研究技术操作和资费问题, 并且为在世界范围内实现电信标准化, 发表有关上述研究项目的建议书每四年一届的世界电信标准化全会 (WTSA) 确定 ITU-T 各研究组的研究课题, 再由各研究组制定有关这些课题的建议书 WTSA 第 1 号决议规定了批准建议书须遵循的程序属 ITU-T 研究范围的某些信息技术领域的必要标准, 是与国际标准化组织 (ISO) 和国际电工技术委员会 (IEC) 合作制定的注本建议书为简明扼要起见而使用的主管部门一词, 既指电信主管部门, 又指经认可的运营机构遵守本建议书的规定是以自愿为基础的, 但建议书可能包含某些强制性条款 ( 以确保例如互操作性或适用性等 ), 只有满足所有强制性条款的规定, 才能达到遵守建议书的目的应该或必须等其它一些强制性用语及其否定形式被用于表达特定要求使用此类用语不表示要求任何一方遵守本建议书知识产权国际电联提请注意 : 本建议书的应用或实施可能涉及使用已申报的知识产权国际电联对无论是其成员还是建议书制定程序之外的其它机构提出的有关已申报的知识产权的证据有效性或适用性不表示意见至本建议书批准之日止, 国际电联尚未收到实施本建议书可能需要的受专利保护的知识产权的通知但需要提醒实施者注意的是, 这可能并非最新信息, 因此特大力提倡他们通过下列网址查询电信标准化局 (TSB) 的专利数据库 : 国际电联 2016 版权所有未经国际电联事先书面许可, 不得以任何手段复制本出版物的任何部分 ii ITU-T X.1601 建议书 (10/2015)

5 目录页码 1 范围参考文献定义他处定义的术语本建议书定义的术语缩写词和首字母缩略语惯例概述云计算的安全威胁云计算客户 (CSC) 的安全威胁云服务提供商 (CSP) 的安全威胁云计算的安全挑战云服务客户 (CSC) 的安全挑战云服务提供商 (CSP) 的安全挑战云服务伙伴 (CSN) 的安全挑战云计算的安全能力信任模式身份和接入管理 (IAM) 认证授权和交易审计物理安全接口安全计算虚拟化的安全网络安全数据隔离保护和隐私保护安全协调操作安全事件管理灾害恢复服务安全评估和审计互操作性可移植性和可反转性供应链安全框架方法附录 I 与云计算安全威胁和挑战相对应的安全能力参考资料 ITU-T X.1601 建议书 (10/2015) iii

7 ITU-T X.1601 建议书云计算的安全框架 1 范围本建议书分析云计算环境中的安全威胁和挑战, 并阐明可减缓这些风险和应对安全挑战的安全能力本建议书提供的框架方法用于确定在减缓云计算安全威胁和应对安全挑战方面, 需要对其中哪些安全能力做出具体规范 2 参考文献无 3 定义 3.1 他处定义的术语本建议书使用了下列他处定义的术语 : 认证 authentication [b-nist-sp ]: 核实用户程序或装置的身份, 这常常是允许获取信息系统资源的前提条件能力 capability [b-iso/iec 19440]: 有能力从事特定活动的品质云计算 cloud computing [b-itu-t.3500]: 有助于网络以按需自助方式调配和管理获取一系列可伸缩和富有弹性的可共享的物理或虚拟资源的范式注资源的例子包括服务器操作系统网络软件应用和存储设备云服务 cloud service [b-itu-t.3500]: 通过使用定义的接口启动的云计算实现的一种或多种功能云服务客户 cloud service customer [b-itu-t.3500]: 为使用云服务 (3.1.4) 而具有业务关系的一方 (3.1.17) 注业务关系不必隐含财务协议云服务合作伙伴 cloud service partner [b-itu-t.3500]: 支持或辅助云服务提供商 (3.1.7) 或云服务客户 (3.1.5) 活动或双方活动的一方 (3.1.17) 云服务提供商 cloud service provider [b-itu-t.3500]: 提供云服务 (3.1.4) 的一方 (3.1.17) 云服务用户 cloud service user [b-itu-t.3500]: 与使用云服务 (3.1.4) 的云服务客户 (3.1.5) 相关联的自然人或其代表实体注这类实体的例子包括设备和应用作为服务的通信 Communications as a Service (CaaS) [b-itu-t.3500]: 云服务的类别, 其中为云服务客户 (3.1.5) 提供的能力是实时通信和协作注 CaaS 既可提供平台能力类型, 也可提供应用能力类型 ITU-T X.1601 建议书 (10/2015) 1

8 社区云 community cloud [b-itu-t.3500]: 云服务 (3.1.4) 专门支持并由一系列特定云服务客户 (3.1.5) 共享的云部署模式, 资源至少由上述客户中的一人控制数据控制方 data controller [b-key definition]: 确定个人数据的使用目的和处理方法的人 ( 自己或联合他人或与其他人一道进行 ) 数据处理方 data processor [b-key definition]: 在个人数据方面, 这意味着代表数据控制方处理数据的任何人 ( 而非数据控制方的雇员 ) 管理程序 hypervisor [b-nist-sp ]: 管理主机客户操作系统 (guest OS) 并控制客户操作系统与物理硬件之间指令流动的虚拟化部分作为服务的基础设施 Infrastructure as a Service [b-itu-t.3500]: 云服务的类别, 其中向云服务客户 (3.1.5) 提供的云能力类型是一种基础设施能力类型注云服务客户 (3.1.5) 不管理也不控制下层物理和虚拟资源, 但控制操作系统存储和使用物理及虚拟资源得到部署的应用云服务客户 (3.1.5) 也可拥有控制特定网络成份 ( 如主机防火墙 ) 的有限能力多租户 multi-tenancy [b-itu-t.3500]: 物理和虚拟资源的分配方法能够使多租户 (3.1.26) 及其计算和数据相互隔离并无法实现互访作为服务的网络 Network as a Service [b-itu-t.3500]: 一种类别云服务, 其中向云服务客户 (3.1.5) 提供的能力为传送连接和相关网络能力注 NaaS 可提供三种云能力类型中的任何一种相关方 party [b- ISO/IEC 27729]: 自然人或组织个人可识别信息 personally identifiable information [b-iso/iec 29100]:(a) 可被用于识别相关信息与之关联的 PII( 个人可识别信息 ) 主体, 或 (b) 能被或可能被直接或间接与 PII 主体联系起来的任何信息作为服务的平台 Platform as a Service [b-itu-t.3500]: 一种类别云服务, 其中向服务客户 (3.1.5) 提供的能力类型是平台能力类型私有云 private cloud [b-iut-t.3500]: 云服务 (3.1.4) 专门由一个单一云服务客户 (3.1.5) 享用的云部署模式, 资源由云服务客户 (3.1.5) 控制公共云 public cloud [b-iut-t.3500]: 云服务 (3.1.4) 可潜在地向任何云服务客户 (3.1.5) 提供的云部署模式, 资源由云服务提供商 (3.1.5) 控制安全域 security domain [b-itu-t X.810]: 指一套元素安全政策安全管理机构和一组与安全相关的活动, 其中有关元素须符合相关活动的安全政策, 而安全政策则受到有关安全域中安全管理机构的管理安全事件 security incident [b-itu-t E.409]: 安全事件系指使安全的某个方面受到威胁的有害事件服务水平协议 service level agreement [b-iso/iec ]: 服务提供商与客户之间书面记录的明确服务和服务目标的协议注 1 也可在服务提供商与供应商内部集团或作为供应商行事的客户之间签订服务水平协议注 2 可将服务水平协议纳入合同或另一种文件记录协议之中 2 ITU-T X.1601 建议书 (10/2015)

9 作为服务的软件 Software as a Service [b-iut-t.3500]: 一种类别云服务, 其中向云服务客户 (3.1.5) 提供的云能力类型为应用能力类型租户 tenant [b-iut-t.3500]: 共享一套物理和虚拟资源接入的一组云服务用户 (3.1.8) 威胁 threat [b-iso/iec 27000]: 可能对系统或机构造成伤害的有害事件的潜在起因虚拟机器 virtual machine [b-nist-sp ]: 对真实机器的高效隔离和逻辑复制漏洞 vulnerability [b-nist-sp ]: 可由威胁来源加以利用的信息系统系统安全程序内部控制或实施中存在的弱点 3.2 本建议书定义的术语本建议书定义了下列术语 : 安全挑战 security challenge: 一种源自自然或云服务操作环境的安全困难, 而非直接安全威胁, 包括间接威胁, 见以下第 7 和第 8 节 4 缩写词和首字母缩略语 API BCP CaaS CPU CSC CSN CSP CSU DNS IaaS IAM ICT IP IT NaaS OS PaaS PII 本建议书使用了下列缩写词和首字母缩略语 : 应用程序界面业务连续性计划作为服务的通信中央处理单元云服务客户云服务伙伴云服务提供商云服务用户域名系统作为服务的基础设施身份和接入管理信息通信技术 IP 互联网协议信息技术作为服务的网络操作系统作为服务的平台个人可识别信息 ITU-T X.1601 建议书 (10/2015) 3

10 PKI SaaS SIM SLA VM 公共密钥基础设施作为服务的软件用户身份模块服务水平协议虚拟机器 5 惯例无 6 概述云计算是一种有助于网络方便和按需获取一系列可调配资源 ( 如, 网络服务器存储应用和服务 ) 的范式, 这些资源可以最少的管理工作和服务提供商介入迅速得到调配和释放云计算客户可使用这些资源在云计算环境中在任何装置任何时间和地点以灵活和按需方式开发托管和运行服务和应用云计算服务通常以特定服务类别提供, 如, 作为服务的基础设施 (IaaS) 作为服务的平台 (PaaS) 作为服务的软件 (SaaS) 作为服务的网络 (NaaS) 以及许多其他类别这些服务类别有助于云计算客户在无需建立新的信息通信技术 (ICT) 基础设施和系统的前提下快速和方便地出台或改变其业务, 并获得了按照需要弹性调配资源的机会例如, 一些云服务提供商 (CSPs) 可能提供作为服务的抽象硬件和软件资源 ( 如 IaaS 或 NaaS) 其他云服务提供商可能提供针对具体云的平台 (PaaS) 或应用 (SaaS), 以方便客户和伙伴快速开发和部署能够远程配置和使用的新应用在采用云计算方面亦存在着安全威胁和挑战, 且不同云计算服务部署模式和服务类别的安全要求也大相径庭由于云计算具有分布式和多租户性质, 远程获取云计算服务司空见惯, 且每一程序所涉实体众多, 因此, 云计算比其它范式更易受到内部和外部安全威胁的影响是与生俱来的可采用传统安全程序和机制缓解诸多安全威胁安全涉及和影响到云计算服务的诸多方面因此, 对云计算服务及相关资源进行安全管理, 是云计算的一个至关重要的方面在将 ICT 系统过渡到云计算之前, 潜在的云服务客户 (CSC) 应确定其安全威胁 ( 见以下第 7 节 ) 和安全挑战 ( 见以下第 8 节 ) 根据这些威胁和挑战, 应明确一系列高层安全能力 ( 见第 9 节 ) 有关这些能力的具体要求不属于本建议书的范围, 它们需要根据对已明确的威胁和挑战做出的风险评估, 提出实施具体云计算服务的相关能力要求在风险评估基础上,CSC 可确定是否采用云计算, 并就服务提供商和架构做出知情决定应通过采用信息安全风险管理框架 ( 如,[b-ISO/IEC 27005] 确定的风险管理框架 ) 进行上述风险评估有关推荐使用的框架方法亦见以下第 10 节本建议书对安全威胁和安全挑战做出区分安全威胁与攻击 ( 主动和被动 ) 相关联, 但也与环境故障或灾难有关安全挑战是由自然或云服务操作环境产生的困难如果安全挑战不能得到正确应对, 则可能为威胁的产生打开方便之门本建议书在这些得到确定的安全威胁和挑战基础上, 描述一系列旨在减缓云计算安全威胁和应对安全挑战的安全能力 4 ITU-T X.1601 建议书 (10/2015)

11 7 云计算的安全威胁威胁会对诸如信息程序和系统等资产带来潜在危害, 因此也会对组织造成潜在危害威胁可源于自然, 或由人为造成, 可以是意外性质, 也可以是故意所为威胁可来自组织内部或外部, 威胁也可被归类为意外威胁或有意威胁, 以及主动或被动威胁所遇到的具体威胁在很大程序上取决于选定的特定云服务例如, 对于公共云而言, 威胁可源自 CSC 和 CSP 之间的职责分工 : 具体规定对数据和程序的管辖权方面的复杂性数据保护的一致性和充分性以及隐私的保持等然而, 对于私有云而言, 威胁则更易于解决, 因为 CSC 控制着由 CSP 托管的所有租户尽管本建议书确定的一些威胁已由一些行业现有文件涵盖 ( 如 ITU-T X.800 建议书 ), 但所有威胁均与云计算相关威胁是否具有相关性取决于特定云服务本节阐述云计算环境中可能出现的多种不同安全威胁 7.1 云计算客户 (CSC) 的安全威胁下述威胁直接影响到 CSC 这些威胁可能影响 CSC 的个人或企业利益隐私合法性或安全并非所有 CSC 都将受到所有威胁的影响,CSC 的性质不同以及所使用云计算服务的不同决定了风险不是等同的例如, 具体针对商业视频文档代码转换的云服务并不要求保护个人可识别信息 (PII), 但却强烈要求保护数字资产数据丢失和泄漏由于云服务环境通常为多租户环境, 因此, 数据丢失或泄漏对 CSC 是一项严重威胁不能恰如其分地管理加密信息 ( 如加密密钥 ) 认证代码和接入特权, 可能会带来诸如数据丢失和向外界意外透露数据的极大损害例如, 造成这一威胁的主要原因可能是认证授权和审计控制不足加密和 / 或认证密钥的使用不统一操作失败处理不当管辖权和政治问题数据中心的可靠性以及数据恢复情况, 且这些与第段丧失信任第段丧失管理和第段丧失隐私所述的挑战相关联不安全的服务获取身份证书, 包括 CSC 管理员的身份证书在高度分布的云计算环境中尤其易于被未经授权的用户加以利用, 因为云计算不同于传统电信环境, 常常难以依赖地点 ( 如有线网络 ) 或特定硬件元素的存在 ( 如, 移动签约用户身份模块 (SIM)) 来强化身份认证由于多数服务为远程提供服务, 因此, 未得到保护的连接存在潜在漏洞即使连接得到保护或为局部连接, 其它攻击方式 ( 如网上钓鱼欺诈社交工程和软件漏洞的利用 ) 也可能获得成功如果攻击方获得用户或管理员的证书, 则他们可以对活动和交易进行偷听操纵数据返回虚假信息, 并将 CSC 的客户机指向非法网站密码常常被重复用于多个网站和服务, 这就加大了此类攻击的影响, 因为任何一种单一破坏都会使诸多服务面临风险云计算解决方案还在此之上增加了一种新的威胁 :CSC 的账户或服务实例可能变成攻击者的新基地攻击者可以此为起点, 充分利用 CSC 的声誉和资源发起后续攻击内部威胁只要涉及到人, 就总是存在个人以与服务安全不一致的方式行事的风险 CSC 雇员共用管理员密码不能安全保管证书 ( 如, 将证书写在贴在屏幕上的便签上 ) 用户 ( 或消费者群体中的成员 ) 粗心大意或训练无素心怀不满的雇员的恶意行为等始终会带来重大威胁 ITU-T X.1601 建议书 (10/2015) 5

12 7.2 云服务提供商 (CSP) 的安全威胁本节明确直接影响 CSP 的威胁这类威胁可能影响到 CSP 提供服务开展业务保留客户并避免法律或监管困难的能力对特定 CSP 的威胁也取决于其具体提供的服务和环境未经授权的管理获取云计算服务包括方便 CSC 自身员工管理由 CSC 掌控的云计算服务部分的接口和软件成份, 如, 增加或消除 CSC 雇员账户与 CSC 的自身服务器进行连接, 改变服务能力更新域名系统 (DNS) 条目和网站等这种管理接口可成为攻击者选定的目标, 攻击者可假冒 CSC 管理员对 CSP 发起攻击由于此类云计算服务必须能够由 CSC 自身员工获取, 因此, 保护这些服务就成了云计算安全的主要关切内部威胁只要涉及到人, 就永远存在个人以恶意或粗心大意方式行事的风险, 使服务安全受到威胁 CSP 雇员共用管理员密码不能安全保管证书 ( 如, 将证书写在贴在屏幕上的便签上 ) 粗心大意或训练无素的用户或心存不满的雇员的恶意行为始终会对任何企业都造成重大威胁 CSP 特别需要认真考虑其自身雇员的可信任性即使对雇员进行过很好的鉴别, 也总是会有技能娴熟的入侵者成功获得 CSP 数据中心员工的位置这种入侵者可能企图破坏 CSP 本身, 或打算渗透目前得到支持的特定 CSC 系统, 当 CSC 是高度知名的公司或管理机构时尤其如此 8 云计算的安全挑战安全挑战包含产生于自然或云服务操作环境的困难, 而非安全威胁, 挑战包括间接威胁间接威胁为云服务一个参与方面临的威胁可能对其它方带来有害后果本建议书确定的挑战如不能得到适当应对, 则可能为威胁打开方便之门在考虑云计算服务时, 应对这些挑战做出考虑 8.1 云服务客户 (CSC) 的安全挑战本节阐述与环境困难相关的安全挑战或间接威胁, 这些可能会直接威胁 CSC 的利益职责分工不明确云服务客户通过不同类别服务和部署模式消费所提供的资源, 因此, 客户自建的信息通信系统依赖于这些服务在 CSC 与 CSP 之间缺乏明确职责分工可能会带来理念和操作方面的冲突如果有关所提供服务的合同相互矛盾, 则会导致异常现象或事件的发生例如, 在国际范围内, 哪个实体是数据控制方, 哪个实体是数据处理方可能并不明确, 即便所谓国际方面被缩减至特定区域外的最低程度第三方, 如欧洲联盟由于法律和监管要求, 任何相关疑虑 ( 如, 特定 CSC 或 CSP 是数据控制方, 还是数据处理方 ) 都会导致上述各方需遵守的一套规则出现歧义如果不同管辖机构对此做出不同解释, 则特定 CSC 或 CSP 会发现他们在相同服务或特定部分数据方面面临相互矛盾的规则 6 ITU-T X.1601 建议书 (10/2015)

13 8.1.2 丧失信任有时, 由于云计算服务具有黑盒 (black-box) 特点, 因此,CSC 难以确定对其 CSP 的信任程度如果无法以正式方式获得并认可提供商的安全水平, 则 CSC 无法评估提供商所实施的安全水平这种有关 CSP 安全水平认可的缺乏可能成为一些 CSC 在使用云计算服务方面的一项严重安全威胁丧失管理云服务客户决定将其部分 ICT 系统过渡到云计算基础实施上意味着由 CSP 部分掌控其自身系统, 这可能对 CSC 的数据造成严重威胁, 特别在涉及到提供商的作用和所获得的特权时如果与此同时还不明确了解云计算提供商的做法的话, 则可能会出现配置失当甚至方便不怀好意的内部人员发起攻击的情况一些 CSC 在采用云计算服务时, 可能担心失去自身对由 CSP 托管的信息和资产数据存储对数据备份的依赖 ( 数据保留问题 ) 业务连续性计划 (BCP) 措施和灾难恢复等的控制例如 : 云服务客户出于法律原因可能希望删除某一文件, 但 CSP 却保留了 CSC 并不知情的副本云服务提供商赋予 CSC 管理员超出后者政策允许的特权一些 CSC 可能担心 CSP 向外国政府透露其数据, 这可能对 CSC 如何遵守隐私法 ( 如欧洲联盟数据保护指令 ) 造成影响丧失隐私当 CSP 处理私密信息时, 可能对隐私造成侵犯, 从而违反了相关隐私规则或法律包括泄露私密信息, 或处理私密信息的目的并非为 CSC 和 / 或数据主体所授权的目的服务的不可用性可用性并非为云计算环境独有但由于云计算设计原理是面向服务的, 因此, 如果上游云计算服务不能完全得到提供, 则服务提供可能受到影响此外, 由于云计算的依赖性是动态变化的, 因此为攻击者带来了更多的可能性例如, 对一个上游服务发起的拒绝服务攻击可能影响同一个云计算系统中的多个下游服务锁定一家云服务提供商高度依赖单一一家 CSP 会使由另一家 CSP 取而代之的努力更加困难如果 CSP 依靠非标准功能或格式且不提供互操作性的话, 即会出现这一情况倘若被锁定使用的 CSP 不能解决安全漏洞, 则上述情况会变成一种安全威胁, 从而使 CSC 在面临风险时无法迁移至另一家 CSP 盗用知识产权当 CSC 的代码由 CSP 运行或其它资产由后者存储时, 则存在该资料被泄露给第三方或被盗用 ( 用于未经授权的用途 ) 的挑战这其中可包括侵犯版权或暴露商业秘密丧失软件完整性一旦 CSC 的代码由 CSP 运行, 则该代码可能被修改或感染, 而 CSC 却无法对此直接掌控, 从而使其软件在某种程度上行为异常尽管这种可能性无法由 CSC 控制, 但它却可严重影响到云服务客户的声誉和业务 ITU-T X.1601 建议书 (10/2015) 7

14 8.2 云服务提供商 (CSP) 的安全挑战本节阐述可能会使 CSP 利益受到更多直接威胁的与环境困难相关的安全挑战或间接威胁职责分工不明确可在云计算系统中确定不同作用 (CSP CSC 以及云服务伙伴 (CSN)) 职责分工不明确涉及到诸如数据拥有接入控制或基础实施维护等问题, 这些会影响到业务或带来法律争端 ( 特别是在涉及到第三方或 CSP 同时也是 CSC 或 CSN 时 ) 当 CSP 跨多个管辖区开展工作和 / 或提供服务 ( 合同和协议可能以不同语言拟就或属于不同法律框架 ) 时, 这种职责分工不明确的风险进一步加大亦见以下有关管辖冲突的第段共享环境云计算在很大范围内实现大量数据共享, 因此可节约成本, 但这种情况也使诸多接口面临潜在风险例如, 不同 CSC 同时消费同一个云的服务, 由此,CSC 可在未得到授权时接入租户的虚拟机器网络流量实际 / 剩余数据等这种对另一家 CSC 资产的未经授权或恶意接入可能使完整性可用性和保密性受到危害例如, 多个共同托管在一个物理服务器上的虚拟机器既共享中央处理单元 (CPU), 也共享由管理程序予以虚拟化的内存资源, 由此产生的挑战涉及到管理程序隔离机制的失效, 从而方便了对其它虚拟机器的内存或存储器进行未经授权的访问保护机制之间的相互矛盾和冲突由于云计算基础设施呈非集中架构, 因此, 其分布式安全模块之间的保护机制可能相互矛盾例如, 由一个安全模块拒绝的接入可能获得另一个模块的许可, 这种相互矛盾可能为得到授权的用户带来问题, 或可能由攻击者利用, 从而使保密性完整性和可用性受到危害管辖冲突云中的数据可在数据中心之间甚或跨国境移动在不同托管国, 数据可能受不同适用管辖区的管理例如, 诸如欧洲联盟等一些管辖区要求对个人可识别信息进行广泛保护, 这些信息通常不能在无法实现足够程度保护的地方处理另一个示例是, 一些管辖区可能将作为服务的通信 (CaaS) 作为不受监管的信息服务处理, 而其它管辖区则将其作为受监管的电话服务予以处理这种管辖冲突可能带来法律方面的复杂性演进风险云计算的一个优点是从系统设计阶段到实施阶段可推迟某些选择, 这意味着, 只有当要求采用系统相关依赖性软件部分的功能得到实施后才选择和实施这些成份然而, 传统的风险评估方法不再适应这种动态演进系统的需求在设计阶段已通过安全评估的系统在其后期寿命期可能出现新的漏洞, 因为软件成份发生了变化不良的过渡和集成向云系统进行过渡往往意味着需要移动大量数据并对配置做出重大修改 ( 如网络寻址 ) 将一部分 ICT 系统过渡到外部 CSP 可能要求在系统设计方面做出重大改变 ( 如网络和安全政策 ) 互不兼容的接口或相互矛盾的政策执行所引起的不良集成可能会带来功能性和非功能性方面的影响例如, 在专用数据中心防火墙后运行的虚拟机器可能在 CSP 的云中被意外暴露给开放的互联网 8 ITU-T X.1601 建议书 (10/2015)

15 8.2.7 业务中断云计算对资源进行分配并将其作为服务予以提供整个云计算生态系统由多个相互依赖的部分组成, 任何一个部分的中断 ( 如断电拒绝服务或延误 ) 都可能影响到与第段服务的不可用性相关的云计算的可用性, 并随后导致业务中断云服务伙伴的锁定云服务提供商的平台是利用来自多家不同供应商的软件和硬件成份构建的, 一些成份可能包含对 CSP 有用的专用功能特性或扩展然而, 依赖这些专用功能特性限制了 CSP 采用另一家部件供应商服务的能力虽然锁定是一个业务问题, 本身并非安全威胁, 然而, 该问题有时会带来安全方面的担忧例如, 如果提供关键部件的 CSN 停业, 则可能无法进一步提供安全补丁如果部件出现漏洞, 则减缓该风险会异常困难或代价高昂供应链漏洞如果通过 CSP 供应链提供的平台硬件或软件威胁到 CSC 或 CSP 的安全, 则前者会面临风险 ( 如意外或有意引入恶意软件或可被利用的漏洞 ) 一个有说服力的例子便是 CSN 的不良代码如果 CSN 的代码由 CSP 运行, 如客户界面虚拟机器 (VM) 客户操作系统 (OS) 应用平台部件或审计 / 监测软件 ( 如伙伴提供服务审计 ), 则存在这一安全挑战另一个示例是 CSP 运行由伙伴提供的代码如果伙伴不能及时提供必要的安全更新, 则 CSP 面临风险软件依赖如发现漏洞, 可能无法立即应用更新, 因为如此行事会破坏其它软件成份 ( 尽管这些成份可能并不要求更新 ) 如果由一家或多家 CSN 而非 CSP 本身提供的成份之间相互依赖, 则这种情况会更为明显 8.3 云服务伙伴 (CSN) 的安全挑战本节说明直接影响 CSN 的挑战这类挑战可能影响到 CSN 开展业务获得付款保护其知识产权并避开法律或监管困难的能力特定 CSN 面临的安全挑战取决于其具体的业务和环境, 如开发集成审计或其它方面职责分工不明确如果服务中混合运行 CSP 和 CSN 代码, 则 CSC 不能明确了解由谁负责减缓风险和处理安全事件通过技术分析可能十分难以确定应负责的实体, 这会使 CSP 和 CSN 就责任问题相互指责, 且如果不能找出根源则使情况进一步恶化盗用知识产权当伙伴提交代码或其它资产由 CSP 执行时, 则存在该材料被泄露给第三方或被盗用 ( 用于未经授权的用途 ) 的安全挑战, 其中可能包括侵犯版权或泄露商业秘密丧失软件完整性一旦伙伴的代码由 CSP 运行, 则该代码可能被修改或感染, 而 CSN 却无法对其直接掌控, 从而使其软件在某种程度上行为异常尽管这种可能性无法由 CSN 控制, 但它却可严重影响到其声誉和业务 ITU-T X.1601 建议书 (10/2015) 9

16 9 云计算的安全能力本建议书针对已明确的云计算安全威胁和挑战确定下列安全能力可在安全服务水平协议 (SLA) 中明确规定与这些安全能力相关的参数, 如事件响应时间 9.1 信任模式对于任何多个提供商通过合作提供值得信任服务的任何系统而言, 一个共同的信任模式是必不可少的由于云计算具有高度分布和多利益攸关方性质, 因此, 云计算环境需要纳入一个总体信任模式该信任模式将便于创建受信任实体的岛屿和 / 或联盟, 从而使系统中不相干的成份能够对其它实体和成份的身份和授权权利进行认证每一个信任岛屿或联盟都将以一个或多个受信任的管理机构 ( 如, 公共密钥基础实施 (PKI) 证书管理机构 ) 为基础当前, 云计算和非云计算环境中都存在多信任模式, 具体信任模式的采用不属于本建议书的范围 9.2 身份和接入管理 (IAM) 认证授权和交易审计云计算服务涉及到多个管理员和用户, 且这些云计算服务既由内部 (CSP) 也由外部 (CSC) 获取和使用身份管理不仅对保护身份是必要的, 而且有助于在这种动态和开放的云计算基础设施中进行接入管理认证授权和交易审计为了通过 IAM 进行身份认证, 所以需要一个或多个共同信任模式 ( 第 9.1 段 ), 同时开发商管理程序和其它系统成份也需要利用这些模式来认证系统成份, 如已下载的软件模块应用或数据集身份和接入管理有助于实现服务和资源的保密性完整性和可用性, 因此在云计算中必不可少此外,IAM 通过使用不同认证机制或在不同安全域中得到分布促成实现云的单一登陆和身份联盟的实施交易审计可保护交易不受否认的影响, 便于在出现安全事件后进行取证分析 (forensic analysis), 并阻止攻击 ( 入侵者和内部作案人员 ) 交易审计不仅仅是简单的记录, 而且包括主动监测, 以便对可疑活动做出标记 9.3 物理安全有必要实现物理安全应将包含 CSP 设备地点的出入限于得到授权的人员, 并要求相关人员只能在与其履行工作职责直接相关的地点活动, 这是 LAM 程序的组成部分然而, 物理安全的程度取决于数据的价值以及多个客户被允许接入的程度 9.4 接口安全该能力可确保向 CSC 和 / 或其它定有合同的 CSP 开放的接口的安全 ( 多种不同云计算服务通过上述方面提供 ), 并确保基于这些接口的通信的安全现有的可保障接口安全的机制包括但不限于 : 单边 / 相互认证完整性校验和端到端加密数字签名等 9.5 计算虚拟化的安全计算虚拟化安全系指整个计算虚拟化环境的安全, 它保护管理程序免受攻击保护托管平台免受源自计算虚拟化环境的威胁的影响, 并保持 VM 在整个寿命期间的安全特别应当指出, 该能力有助于实现 VM 隔离, 并在存储和迁移过程中, 保护 VM 图像和中止 VM 实例 10 ITU-T X.1601 建议书 (10/2015)

17 对于 CSP 而言, 管理程序往往对被托管 VM 形成保护 ( 例如通过在管理程序内提供反病毒和反垃圾信息处理功能实现 ), 从而使 VM 无需单独实施这些功能通常, 用尽可能少的一套服务对管理程序进行配置, 不必要的接口和应用程序接口 (API) 被关闭, 无关的服务成份也通常被禁用该能力涵盖的 VM 既包括由 CSC 在 SaaS 中创建的 VM, 也包括 SaaS 和 PaaS 创建的任何 VM 通常, 在共享内存中央处理单元 (CPU) 和存储容量时会对虚拟机器进行严格隔离一般情况下, 虚拟机器都拥有固有的安全能力和政策意识 ( 如, 在客户操作系统中 ) 9.6 网络安全在云计算环境中, 网络安全既能实现物理和虚拟网络的隔离, 也能确保所有参与方之间通信的安全它能促成实现网络安全域分割网络边界接入控制 ( 防火墙 ) 入侵发现和预防在安全政策基础上分离网络流量, 并保护网络免受物理和虚拟环境的攻击 9.7 数据隔离保护和隐私保护该能力旨在解决一般性数据保护问题, 这些问题往往具有法律影响数据隔离在云计算环境中, 租户不能接入属于另一租户的数据, 即便数据得到加密也是如此, 但明确得到授权的情况除外根据所要求的隔离梯度和云计算软件及硬件的具体部署情况, 可以逻辑或物理方式实现数据隔离注 1 在云计算中, 隔离出现在租户层面例如, 在云中, 一个特定 CSC 可能拥有多个租户, 目的是为了将不同下属机构处室或业务单位相互分开数据保护数据保护确保云计算环境中保存的 CSC 数据和衍生数据得到适当保护, 使其只能按照 CSC 的授权 ( 或按照适用法律 ) 得到访问或修改这种保护可包括合并采用访问控制清单完整性核实误码纠正 / 数据恢复加密和其它适当机制当 CSP 为 CSC 提供存储加密时, 该加密可以是客户机一侧加密 ( 如, 在 CSP 应用内 ) 或服务器一侧加密隐私保护私密信息可包括 PII 和公司保密数据, 对私密信息的收集使用传送处理存储和销毁须遵守有关隐私的规则和法律, 这一限制既适用于 CSP, 也适用于 CSC 如,CSC 必须有能力永久删除包含私密信息的数据表, 即便 CSP 并不知晓该表的内容 CSP 可能还需要以经过改造或加密的形式支持 CSC 数据的处理, 如, 搜索 CSC 数据隐私保护还包括觉察到的或由 CSC 活动衍生的私密信息, 如业务趋势与其它各方的关系或通信活动程度或规律等隐私保护还能够确保所有私密信息 ( 包括觉察到的或衍生的数据 ) 都仅用于 CSC 与 CSP 之间一致认可的目的对私密信息进行风险评估 ( 称作隐私风险评估 ) 可帮助 CSP 明确在预见到的工作中可能产生的破坏隐私的具体风险 CSP 应确定并实施相关能力, 以解决通过风险评估确定的隐私风险, 并处理私密信息注 2 在一些管辖区, 作为自然人的个人 ( 即个人用户 ) 独立于其雇主而得到单独对待, 目的是保护隐私在这种情况下, 除保护云服务客户 (CSC) 或云服务租户的隐私外, 云服务用户 (CSU) 的隐私也将得到适当保护 ITU-T X.1601 建议书 (10/2015) 11

18 9.8 安全协调由于不同云计算服务意味着需要实施不同的安全控制手段, 因此, 这种安全能力可以对安全机制做出和谐统一的协调, 以避免出现保护方面的冲突在云计算生态环境中发挥不同作用的各方, 如,CSP CSC CSN, 对物理或虚拟资源和服务 ( 包括对安全的控制 ) 拥有不同程度的控制权对于以上各方而言, 可采用繁复多样的安全机制, 包括管理程序隔离 LAM 网络保护等云计算的目的之一是方便这些不同方面共同协作, 对多种不同物理和虚拟资源进行设计建造部署和运营因此,CSP 需要有能力对各不同方的不同安全机制进行协调安全协调取决于多种不同安全机制的互操作性和统一性 9.9 操作安全该能力可为云计算服务和基础实施的日常操作和维护提供安全保护这一操作安全能力包括 : 确定一套安全政策和安全活动, 如配置管理补丁升级安全评估事件响应 ( 亦见关于事件管理的第 9.1 段 ), 并确保这些安全措施得到正确落实, 以满足适用法律和合同 ( 包括任何安全 SLA) 的要求监督 CSP 的安全措施及其效果, 并向受到影响的 CSC 和相关第三方审计者 ( 作为 CSN 行事 ) 提出报告, 这将有助于 CSC 衡量 CSP 是否在履行其有关 SLA 的安全承诺如果 CSP 的安全措施或其效果发生变化, 应向所有下游 CSP 和 CSC 发出有关变化的提示这些报告和提示将有助于得到授权的 CSC 看出相关事件审计信息和与其云计算服务有关的配置数据 9.10 事件管理事件管理旨在对事件进行监督做出预测发出警告并做出响应为了解云计算服务是否在整个基础实施上都在按照预期进行运行, 需要连续不断进行检测 ( 如, 检测虚拟化平台和虚拟化机器的实时性能 ) 这将使系统能够捕获服务的安全状况确定不正常情况并早期发出有关安全系统过载受到破坏服务中断等警告出现安全事件后, 要明确问题, 并很快自动或通过管理员的干预迅速对事件做出响应非公开事件得到记录和分析, 以了解其可能潜在的规律, 从而便于积极主动对其加以研究解决 9.11 灾害恢复灾害恢复能力是对毁灭性灾害做出响应, 以恢复安全状态, 并尽快重启正常操作该能力可以在最小程度地中断所提供服务的前提下保持服务的连续性 9.12 服务安全评估和审计该能力有助于对云计算服务做出安全评估, 它有助于得到授权的方面核实某种云服务是否符合适用的安全要求安全评估或安全审计可由 CSC CSP 或第三方 (CSN) 进行, 安全认证可由得到授权的第三方 (CSN) 进行应实施相关安全标准, 以使 CSC 和 CSP 之间就安全水平达成相互谅解 12 ITU-T X.1601 建议书 (10/2015)

19 每一个 CSP 及其所有服务都可具有有关 CSP 安全控制及其效果的安全水平明确宣布的 CSP 及其服务的安全水平将有助于对相关 CSP 和云计算服务做出比较和选择可利用受信任的独立第三方提供可靠独立和中立的安全水平评估为避免 CSP 对每一个 CSC 都单独进行安全审计, 可重复使用统一的服务审计结果如果 CSP 的云计算服务范围广泛, 则可对每一项云计算服务都进行安全审计 CSP 可向经授权的 CSC( 如潜在客户 ) 和某些其它 CSP 及 CSN( 如第三方审计者 ) 提供所有和部分云计算服务的审计结果对于云计算服务链而言, 下游服务提供商的安全审计结果将综合上游服务提供商的相关安全审计结果 9.13 互操作性可移植性和可反转性该能力有助于异质成份实现共存和合作 ( 互操作性 ), 并方便 CSC 酌情以另一家 CSP 替换现有 CSP( 可移植性 ), 同时有助于 CSC 将其 ICT 系统由云计算环境转回至非云计算 ICT 基础实施 ( 可反转性 ) 这种可反转性还促进实现被遗忘权 ( 如果当地法律或规则要求的话 ) 注 1 该能力仅涉及云计算安全功能的可互操作和可移植性, 不涉及实际数据元数据或信息格式, 后者属于云计算平台的其它功能例如, 该能力可提供过渡性加密密钥管理和身份信息, 以便于数据和其它内容能在两个不同加密系统之间移动 ( 在传送过程中, 两个系统或数据都不会被暴露 ) 注 2 被遗忘权尚未得到明确定义, 在一些情况下, 可能受到有关将特定数据保存最低一段时间的监管要求限制, 如呼叫记录或连接信息因此, 可能需要在同一时间段内保留相关密钥或其它安全信息 9.14 供应链安全云服务提供商使用若干供应商来建造其服务, 其中一些可能来自云计算行业, 如 CSN, 而其它供应商可能是传统信息技术 (IT) 设备或服务提供商, 如, 与云计算没有直接关系的硬件制造商这一能力有助于通过安全活动在 CSP 与所有参与供应链的各方之间建立起信任关系这种供应链安全活动包括明确并收集有关 CSP 所购得成份和服务 ( 用以提供云计算服务 ) 的信息, 并实施供应链安全政策例如,CSP 开展的典型供应链安全活动可包括 : 确认供应链中各方的背景信息 ; 验证 CSP 使用的硬件软件和服务 ; 检查 CSP 购买的硬件和软件, 以确保在传送过程中不会被破坏 ; 提供有关核实云服务软件来源的机制, 如, 由 CSN 提供的代码适当时,CSN 及其托管 CSP 还应提供验证 CSN 软件成份完整性的程序, 以确保供货完全符合要求, 未被改动或破坏一些 CSN 可能要求提供由其直接对之进行验证的手段该能力是持续不断的, 以满足系统的持续演进和更新需求 10 框架方法如第 7 和 8 节所述, 确定云计算的安全框架意味着要了解对特定云服务的威胁和挑战何在, 同时作为整体考虑业务技术和监管要求, 以确定特定云服务所需的安全控制政策和程序随后, 可采用第 9 节所述的旨在减缓和解决这些威胁和挑战的能力来制定针对选定的特定云计算服务的安全控制政策和程序本建议书的重点是云计算环境中的安全需求云环境中存在的传统计算环境的威胁和挑战, 因此, 除本建议书外, 还应遵守业界确定的下列标准和最佳做法 ITU-T X.1601 建议书 (10/2015) 13

20 应采用在此描述的方法创建相关框架, 以明确特定云计算服务需要哪些安全控制政策和程序不可能为所有云计算服务提供一种单一的规范性框架, 因为云计算服务的业务模式所提供的服务和实施选择大相径庭 : 步骤 1: 通过第 7 和 8 节的内容确定目前得到研究的云计算服务面临的安全威胁以及挑战带来的安全影响步骤 2: 在已确定的威胁和挑战基础上, 利用第 9 节的内容确定所需的高层安全能力, 以减缓安全威胁并应对安全挑战步骤 3: 由此制定相关安全控制政策和程序, 以根据得到明确的安全能力提供所需的安全能力注云服务客户和 CSP 需通过利用相关标准, 确定一套有关安全能力的要求这一工作应以风险评估为基础为明确哪些安全威胁和挑战涉及目前得到研究的云服务, 应对每一种威胁和挑战都做出审议其中一个简单的方法是在一表格中以标出威胁和挑战现举例说明如何使用这一方法当 CSP 向个人用户提供作为服务的文档存储时, 该 CSP 可能需要了解用户主要担心哪些安全威胁和挑战, 并对 CSP 主要需要应对的安全威胁和挑战做出分析表 1 具体说明该方式表 1 安全框架分析法步骤 1 示例 ( 作为服务的文档存储 ) 分析领域第 7.1 段 - 云服务客户 (CSC) 的安全威胁第 7.2 段 - 云服务提供商 (CSP) 的安全威胁第 8.1 段 - 云服务客户 (CSC) 的安全挑战具体威胁或挑战第段 - 数据丢失和泄漏第段 - 不安全的服务获取第段 - 内部威胁第段 - 未经授权的管理获取第段 - 内部威胁第段 - 职责分工不明确第段 - 丧失信任第段 - 丧失管理第段 - 丧失隐第段 - 服务的不可用性第段 - 锁定一家云服务提供商第段 - 盗用知识产权第段 - 丧失软件完整性是否适用于该服务? 14 ITU-T X.1601 建议书 (10/2015)

21 表 1 安全框架分析法步骤 1 示例 ( 作为服务的文档存储 ) 分析领域第 8.2 段 - 云服务提供商 (CSP) 的安全挑战第 8.3 段 - 云服务伙伴 (CSN) 的安全挑战具体威胁或挑战第段 - 职责分工不明确第段 - 共享环境第段 - 保护机制之间的相互矛盾和冲突第段 - 管辖冲突第段 - 演进风险第段 - 不良的过渡和集成第段 - 业务中断第段 - 云服务伙伴的锁定第段 - 供应链漏洞第段 - 软件依赖第段 - 职责分工不明确第段 - 盗用知识产权第段 - 丧失软件完整性是否适用于该服务? 一旦明确了安全威胁和挑战, 则可明确能够减缓这些威胁并应对这些挑战的安全能力表 I.1 以示例将云安全威胁和挑战与安全能力相对应该表中纵向栏和横向行形成的交叉框中的字母表明可由相应安全能力应对的特定安全威胁和挑战该表列出了所有威胁和挑战及相应安全能力一旦所需能力得到明确, 则可确定所需的安全控制政策和程序可得到使用的控制为操作安全 ([b-iso/iec 27002] 第 12 节 ) 和信息安全事件管理 ([b-iso/iec 27002] 第 16 节 ), 可分别通过第 9.9 和第 9.10 段所确定的能力得出上述控制云服务可拥有由多家 CSP 构成的供应链参与该供应链的公司在供应链安全方面可参阅国际电联和业界标准 ( 如 [b-iso/iec 28000]) 每一个 CSP 都需要明确界定其在云计算服务链中的职责, 并根据上述分三步走的方式得出的安全能力制定其安全控制政策和程序为了向 CSC 提供连贯一致的安全性, 上游 CSP 可能需要按照其安全职责与其下游 CSP 就这些安全能力进行谈判必要时,CSC 也应遵守这一分三步走的程序此外, 必要时应定期实施上述分三步走的程序 ( 如, 当出现破坏安全的情况, 或 CSP 更改了其上游 CSP 时 ) ITU-T X.1601 建议书 (10/2015) 15

22 附录 I 与云计算安全威胁和挑战相对应的安全能力 ( 本附录不构成本建议书的组成部分 ) 表 I.1 所示为与云计算安全威胁和挑战相对应的一些安全能力由表中纵向栏和横向行形成的方格中的字母表示由相应安全能力应对的特定安全威胁和挑战表 I.1 与云计算安全威胁和挑战相对应的安全能力第 9 节云计算的安全能力第 9.1 段信任模式第 9.2 段身份和接入管理 (IAM) 认证授权和交易审计第 9.3 段物理安全第 9.4 段接口安全第 9.5 段计算虚拟化的安全第 9.6 段网络安全第 9.7 段数据隔离保护和隐私保护第 9.8 段安全协调第 9.9 段操作安全第 9.10 段事件管理第 9.11 段灾害恢复第 9.12 段服务安全评估和审计第 9.13 段互操作性可移植性和可反转性第 9.14 段供应链安全第 7 节云计算的安全威胁第 7.1 段云计算客户 (CSC) 的安全威胁第 7.2 段云服务提供商 (CSP) 的安全威第段数据丢失和泄漏第段不安全的服务获取第段内部威胁第段未经授权的管理获取第段内部威胁 16 ITU-T X.1601 建议书 (10/2015)

23 表 I.1 与云计算安全威胁和挑战相对应的安全能力第 9 节云计算的安全能力第 9.1 段信任模式第 9.2 段身份和接入管理 (IAM) 认证授权和交易审计第 9.3 段物理安全第 9.4 段接口安全第 9.5 段计算虚拟化的安全第 9.6 段网络安全第 9.7 段数据隔离保护和隐私保护第 9.8 段安全协调第 9.9 段操作安全第 9.10 段事件管理第 9.11 段灾害恢复第 9.12 段服务安全评估和审计第 9.13 段互操作性可移植性和可反转性第 9.14 段供应链安全第段职责分工不明确第段丧失信任第段丧失管理第 8 节云计算的安全挑战第 8.1 段云服务客户 (CSC) 的安全挑战第段丧失隐私第段服务的不可用性第段锁定一家云服务提供商第段盗用知识产权第段丧失软件完整性 ITU-T X.1601 建议书 (10/2015) 17

24 表 I.1 与云计算安全威胁和挑战相对应的安全能力第 9 节云计算的安全能力第 9.1 段信任模式第 9.2 段身份和接入管理 (IAM) 认证授权和交易审计第 9.3 段物理安全第 9.4 段接口安全第 9.5 段计算虚拟化的安全第 9.6 段网络安全第 9.7 段数据隔离保护和隐私保护第 9.8 段安全协调第 9.9 段操作安全第 9.10 段事件管理第 9.11 段灾害恢复第 9.12 段服务安全评估和审计第 9.13 段互操作性可移植性和可反转性第 9.14 段供应链安全第段职责分工不明确第 8.2 段云服务提供商 (CSP) 的安全挑战第段共享环境第段保护机制之间的相互矛盾和冲突第段管辖冲突第段演进风险第段不良的过渡和集成第段业务中断第段云服务伙伴的锁定 18 ITU-T X.1601 建议书 (10/2015)

25 表 I.1 与云计算安全威胁和挑战相对应的安全能力第 9 节云计算的安全能力第 9.1 段信任模式第 9.2 段身份和接入管理 (IAM) 认证授权和交易审计第 9.3 段物理安全第 9.4 段接口安全第 9.5 段计算虚拟化的安全第 9.6 段网络安全第 9.7 段数据隔离保护和隐私保护第 9.8 段安全协调第 9.9 段操作安全第 9.10 段事件管理第 9.11 段灾害恢复第 9.12 段服务安全评估和审计第 9.13 段互操作性可移植性和可反转性第 9.14 段供应链安全第 8.3 段云服务伙伴 (CSN) 的安全挑战第段供应链漏洞第段软件依赖第段职责分工不明确第段盗用知识产权第段丧失软件完整性 ITU-T X.1601 建议书 (10/2015) 19

26 [b-itu-t E.409] 参考资料 ITU-T E.409 (2004) 建议书, 事故管理组织和安全事故处理 : 电信组织指南 [b-itu-t X.810] ITU-T X.810 (1995) 建议书 ISO/IEC :1996, 信息技术开放系统互连 (OSI) 开放系统安全框架 : 概述 [b-itu-t.3500] ITU-T.3500 (2014) 建议书 ISO/IEC 17788:2014, 信息技术云计算概述和词汇 [b-itu-t.3502] ITU-T.3502 (2014) 建议书 ISO/IEC 17789:2014, 信息技术云计算参考架构 [b-iso/iec 19440] [b-iso/iec ] ISO/IEC 19440:2007, Enterprise integration Constructs for enterprise modelling. ISO/IEC :2011, Information technology Service management Part 1: Service management system requirements. [b-iso/iec 27000] ISO/IEC 27000:2012, Information technology Security techniques Information security management systems Overview and vocabulary. [b-iso/iec 27002] ISO/IEC 27002:2005, Information technology Security techniques Code of practice for information security management. [b-iso/iec 27005] ISO/IEC 27005:2011, Information technology Security techniques Information security risk management. [b- ISO/IEC 27729] [b-iso/iec 28000] ISO/IEC 27729:2012, Information and documentation International standard name identifier (ISNI). ISO/IEC 28000:2007, Specification for security management systems for the supply chain. [b-iso/iec 29100] ISO/IEC 29100:2011, Information technology Security techniques Privacy framework. [b-nist-sp ] [b-nist-sp ] [b-nist-sp ] [b-nist-sp ] [b-csa Matrix] [b-key definition] NIST Special Publication (2012), Guide for Conducting Risk Assessments. NIST Special Publication Rev.3 (2009), Recommended Security Controls for Federal Information Systems and Organizations. NIST Special Publication (2011), Guide to Security for Full Virtualization Technologies. NIST Special Publication (2011), The NIST Definition of Cloud Computing. CSA (2013), Cloud Controls Matrix, Cloud Security Alliance. Key definitions of the Data Protection Act, Information Commissioners Office < 20 ITU-T X.1601 建议书 (10/2015)

28 ITU-T 系列建议书 A 系列 D 系列 E 系列 F 系列 G 系列 H 系列 I 系列 J 系列 K 系列 L 系列 M 系列 N 系列 O 系列 P 系列 Q 系列 R 系列 S 系列 T 系列 U 系列 V 系列 X 系列系列 Z 系列 ITU-T 工作的组织一般资费原则综合网络运行电话业务业务运行和人为因素非话电信业务传输系统和媒质数字系统和网络视听及多媒体系统综合业务数字网有线网络和电视声音节目及其它多媒体信号的传输干扰的防护电缆和外部设备其它组件的结构安装和保护电信管理, 包括 TMN 和网络维护维护 : 国际声音节目和电视传输电路测量设备的技术规范电话传输质量电话设施及本地线路网络交换和信令电报传输电报业务终端设备远程信息处理业务的终端设备电报交换电话网上的数据通信数据网开放系统通信和安全性全球信息基础设施互联网协议问题和下一代网络用于电信系统的语言和一般软件问题瑞士印刷 2016 年, 日内瓦

ITU-T X 建议书 (09/2012) - 通用平台列举名称匹配

ITU-T X 建议书 (09/2012) - 通用平台列举名称匹配国际电信联盟 ITU-T 国际电信联盟电信标准化部门 X.1528.2 (09/2012) X 系列 : 数据网开放系统通信和安全性网络安全信息交换脆弱性 / 状态信息交换通用平台列举名称匹配 ITU-T X.1528.2 建议书 ITU-T X 系列建议书数据网开放系统通信和安全性公用数据网开放系统互连网间互通报文处理系统号码簿 OSI 组网和系统概貌 OSI 管理安全 OSI 应用开放分布式处理信息和网络安全一般安全问题网络安全安全管理生物测定安全安全应用和服务组播安全家庭网络安全移动安全网页安全安全协议对等网络安全网络身份安全