YD_T 3148-2016云计算安全框架.pdf

ICS 33.040M 10YO中华人民共和国通信行业标准YD/T3148-2016云计算安全框架Security framework for cloud computing(ITU-T X.1601,Security framework for cloud computing,IDT)2016-07-11发布2016-10-01实施中华人民共和国工业和信息化部发布 YD/T次.-11范围·2规范性引用文件3术语、定义和缩略语·4概述5云计算的安全或胁6云计算的安全挑战7云计算的安全能力108框架方法...附录A（资料性附录）与云计算安全威胁和挑战相对应的安全能力参考文献 YD/T3148-2016可用性并非为云计算环境独有，但由于云计算设计原理是面向服务的，因此，如果上游云计算服务不能完全得到提供，则服务提供可能受到影响。此外，由于云计算的依赖性是动态变化的，因此为攻击者带来了更多的可能性，例如，对一个上游服务发起的拒绝服务攻击可能影响同一个云计算系统中的多个下游服务。6.1.6锁定一家云服务提供商高度依赖单一一家CSP会使由另一家CSP取而代之更加圈难。如果CSP依靠非标准功能或格式、且不提供互操作性的话，即会出现这一情况。俏若被锁定使用的CSP不能解决安全漏洞，则上述情况会变成一种安全威胁，从面使CSC在面临风险时无法迁移至另一家CSP。6.1.7盗用知识产权当CSC的代码由CSP运行或其他资产由后者存储时，则存在该资料被泄露给第三方或被盗用（用于未经授权的用途）的挑战。这其中可包括侵犯版权或录露商业秘密，6.1.8丧失软件完整性一且CSC的代码由CSP运行，则该代码可能被修改或够染，而CSC却无法对此直接掌控，从而使其软件在某种程度上行为异常，尽管这种可能性无法由CSC控制，但它却可严重影响到云服务客户的声誉和业务。6.2云服务提供商（CSP）的安全挑战本节阐述可能会使CSP利益受到更多直接成励的与环境困难相关的安全携战或间接威肋。6.2.1职责分工不明确可在云计算系统中确定不同作用（CSP、CSC以及云服务伙伴（CSN）），职分工不明确涉及到诸如数据拥有、接入控制或基础设施维护等间题，这会影响到业务或带来法律争端（特别是在涉及到第三方或CSP同时也是CSC或CSN时），当CSP跨多个管辖区开展工作和/或提供服务（合同和协议可能以不同语言拟就或属于不同法律框架）时，这种职责分工不明确的风险进一步加大。亦见以下有关“管落冲笑”的6.2.4。6.2.2共享环境云计算在很大范围内实现大量数据共享，因此可节约成本，但这种情况也使诸多接口面临潜在风险，例如，不同CSC同时消费同一个云的服务，由此，CSC可在未得到授权时接入租户的虚拟机、网络流量、实际/剩余数据等，这种对另一家CSC资产的未经授权或恶意接入可能使完整性、可用性和必威体育官网网址性受到危害。例如，多个共同托管在一个物理服务器上的虚拟机器既共享中央处理单元（CPU），也共享由管理程序（hypervisor）予以虚报化的内存资源，由此产生的挑战涉及到管理程序隔离机制的失效，从而方便了对其他虚拟机的内存或存储器进行未经授权的访问。6.2.3保护机制之间的相互矛盾和冲突由于云计算基础设施呈非集中架构，因此，其分布式安全模块之间的保护机制可能相互矛盾。例如，由一个安全模块拒绝的接入可能获得另一个模块的许可，这种相互矛盾可能为得到授权的用户带来间题，或可能由攻击者利用，从而使必威体育官网网址性、完整性和可用性受到危害。6.2.4管辖冲突8 YD/T中的数据可在数据中心之间、基或跨国境移动。在不同托管国，数据可能受不同适用管辑区的规管，管辖冲突可能带来法律方面的复杂性。6.2.5演进风险云计算的一个优点是从系统设计阶段到实施阶段可推退某些选择，这意味着，只有当要求采用系统相关依赖软件组件的功能得到实现后才选择和实施这些成份。然面，传统的风险评估方法不再适应这种动态演进系统的需求，在设计阶段已通过安全评估的系统在其后期可能出现新的漏洞，因为软件成份发生了变化，6.2.6不良的过渡和集成向云系统进行过渡往往意味着需要移动大量数据并对配置做出重大修改（如网络寻址），将一部分ICT系统过渡到外部CSP可能要求在系统设计方面做出重大改变（如网络和安全政策），互不兼容的接口或相互矛盾的政策执行所引起的不良集成可能会带来功能性和非功能性方面的影响。例如，在专用数据中心防火墙后运行的虚拟机器可能在CSP的云中被意外暴露给开放的互联网。6.2.7业务中断云计算对资源进行分配并将其作为服务予以提供。整个云计算生态系统由多个相互依赖的部分组成，任何一个部分的中断（如断电、拒绝服务或延误）都可能影响到与6.1.5一服务的不可用性一相关的云计算的可用性，并题后导致业务中断。6.2.8