基 于 C S A C - S TA R 的 云计算安全管理实践 广州赛宝认证中心服务有限公司 技术发展部 副主任 国际云计算安全评估（ C-STAR ）开发者 李 尧 云计算市场空间巨大 云计算类型 云计算安全责任划分 云计算市场分析 驱动 为什么使用云计算 Top 5 Only Source: IDC Enterprise Panel, 3Q09, n = 263, September 2009 对现有云平台最担心的的问题：如amazon、saleforce等 障碍 障碍 使用云计算的问题 Top 5 Only Source: IDC Enterprise Panel, 3Q09, n = 263, September 2009 障碍 什么使得用户不考虑使用云 Cloud Computing 2010, An IDC Update; Forrester (Jan 2010) As IaaS Cloud Adoption Goes Global, Tech Vendors Must Address Local Concerns Base: 1,059 North American and European enterprise and SMB IT decision-makers IDC预测，云计算将会以25%的年增长率增长，到2014年将会到达555亿美元。2011年云计算安全市场规模达 到32亿美元，并将保持30%左右的年增长率。特别是在基于云模式的安全审计及电子证据保全方面，市场需求 增长更快。 云计算领域用户关注问题 云计算安全问题 新技术新问题 电子证据 数据审查风险（M） 数据保护风险 Licence风险（M） 数据泄漏 EDoS（M） 老技术新问题 控制权丧失 符合性挑战（M） 隔离失效 恶意内部人员（M） 数据传输丢失 DDoS 密钥丢失 恶意扫描 注： （M）代表主要是管理类问题 新服务新问题 供应商锁定（M） 商业声誉丧失（M） 服务中断 云服务提供商并购（M） 服务供应链问题（M） 资源耗尽 服务管控失效（M） 责任不清（M） 管理接口威胁 不安全的数据清除 云计算安全管理参考规范 Information technology — Security techniques — Information security management systems — Requirements(2013) 27001 GB/T 22239—2008《信息安全技术 信 息系统安全等级保护基本要求》 CSA Cloud Controls Matrix 等级保 云计算安 护 C-STAR 全管理通 用要求 GB/T 31167-2014 《信息安全技术 云计 算服务安全指南》 GB/T 31168-2014 《信息安全技术 云计 算服务安全能力要求》 云安全审 查 27017 ISO/IEC 27017 – Information technology Security techniques - Code of practice for information security controls for cloud computing services based on ISO/IEC 27002 云计算安全管理参考框架 CCM-16 domains         Application & Interface Security Audit Assurance & Compliance Business Continuity Management & Operational Resilience Change Control & Configuration Management Data Security & Information Lifecycle Managment Datacenter Security Encryption & Key Management Governance and Risk Management CCM-136 controls         Human Resources Identity & Access Management Infrastructure & Virtualization Security Interoperability & Portability Mobile Security Security Incident Management, E-Discovery & Cloud Forensics Supply Chain Management, Transparency and Accountability Threat and Vulnerability Management 专门为云计算安全风险管理而设计的基准安全控制框架 CCM中包括16个控制域、136条控制措施 代表当前云计算安全管理先进水平 云计算安全管理参考框架 治理 治理和风险管理（Governance and Risk Management） 审计保证与合规性 （Audit Assurance & Compliance） 运营和维护 设计、开发 威胁和脆弱性管理 （Threat and Vulnerability Management） 身份识别和访问管理 （Identity & Access Management） 数据安全和信息生命周期管理 （Data Security & Information Lifecycle Management） 数据中心安全 （Datacenter Security） 移动安全 （Mobile Security） 互 操 作 性 和 可 移 植 性 业务连续性管理和操作弹性 （Business Continuity Management & Operational Resilience） 安全事件管理、电子证据及 云端调查取证 （Security Incident Management, E-Discovery & Cloud Forensics） 供应链管理 供应链管理、透明性及责任 （Supply Chain Management, Transparency and Accountability） ） 变 更 控 制 和 配 置 管 理 人 力 资 源 (Human Resource) 基础设施和虚拟化安全 （Infrastructure & Virtualization Security） （ Change Control & Configuration Management ） 加 密 和 密 钥 管 理 ） (Interoperability & Portability) Application & Interface Security 应 用 和 接 口 安 全 （ Encryption & Key Management （ 人力 资源 C-STAR云安全评估 国内首个全 球性云安全 评估 不分规模和 行业 国内首个云安 全领域的成熟 度评估 庞大的科研 团队支撑 C-STAR云安全评估 评估对象：云服 务 评估形式：现场 评价 评估内容： CCM+中国要求 16个域 治理和风险管理（Governance and Risk Management） 威胁和脆弱性管理（Threat and Vulnerability Management） 人力资源 (Human Resource) 评分等 级 等级描述 1级 不安全 2级 被动安全级 3级 主动安全级 4级 改进提升级 5级 系统优化级 数据中心安全 （Datacenter Security） 变更控制和配置管理 标识和访问管理（Identity & （Change Control & Configuration （ 业 Access Management） 安 Management） 务 全 连 加密和密钥管理（Encryption 事 移动安全（Mobile Security） 续 件 & Key Management） 性 审 管 管 核 理 基础设施和虚拟化安全 互操作性和可移植性 理 保 （Infrastructure & Virtualization 及 证 (Interoperability & Portability) ） 和 ） 电 Security） 操 子 作 证 数据安全和信息生命周期管理 弹 据 （Data Security & Information Lifecycle Management） 性 ） Audit Assurance & Compliance 评估结论：成熟度等级报告 Business Continuity Management & Operational Resilience 认可程度：全球 性 Security Incident Management, E-Discovery & Cloud Forensics （ （ 应用和接口安全 （Application & Interface Security） 供应链管理（Supply Chain Management） C-STAR云安全评估价值 国内ISMS有效证书数量 4500 4000 3500 3000 2500 2000 降低安全风险、减 少损失、降低成本 1500 1000 500 0 C-STAR价值 Thank you!