• 关于我们 联系我们
当前位置:云计算行业动态 → 正文

欧盟出台《云计算合同安全服务水平监测指南》

责任编辑:hli |来源:企业网D1Net  2012-06-12 09:38:19 本文摘自:中国电子报

随着云计算应用的日益深入,云计算服务正在成为政府采购越来越多的一项内容。如何保证政府和企业使用云计算服务的安全性,如何建立采购云计算服务的安全标准,如何加强云计算服务的安全监测,已经引起政府主管部门的高度关注。为保证成员国政府云计算服务采购的安全,欧盟网络与信息安全局于2012年4月正式出台《云计算合同安全服务水平监测指南》(简称《指南》),提供了一套持续监测云计算服务提供商服务级别协议运行情况的操作体系,将监测行动科学地引入到全合同周期之中,以达到实时核查用户数据安全性的目的。

加强安全监测成为云计算服务发展重要前提

随着云计算应用的广泛和深入,云服务安全隐患问题愈发凸显,加强安全监测,是发展云服务的重要前提。

由于云计算可以大幅降低成本并提高效率,目前各国在公共服务领域采购云计算服务的金额和比重都呈现快速上升趋势。据IDC预测,2013年云服务利润将达442亿美元,而欧洲云服务市场也将超过60亿欧元。虽然云服务的好处不胜枚举,但也因其多用户、共享资源等特点,带来很多风险和不确定性。特别是随着云计算应用的日益广泛和深入,云服务涉及的数据安全隐患问题愈发凸显。总的来说,云计算环境的风险主要有3个方面:一是政策和组织风险,如丧失一定的管理权、被迫锁定于某一个或某几个云服务提供商(CSP)等;二是技术风险,如用户间的数据隔离失效、数据删除不完全、内部人员恶意操作等;三是法律风险,如数据保护风险等。可见,加强安全监测和防范风险,无疑是发展云服务的重要前提。这不仅有利于发挥规模效应,还会使CSP具有差异化竞争优势和更及时有效的更新能力。

出台《指南》是欧盟云服务安全部署关键环节

为了持续保障云服务安全,欧盟出台了《云计算合同安全服务水平监测指南》,将评估工作贯穿整个合同期。

早在2009年,欧盟网络与信息安全局(ENISA)就启动了相关研究工作,先后发布了《云计算:好处、风险及信息安全建议》和《ENISA云计算信息安全保障框架》,使公共部门对云服务提供商进行预评估,确定是否采购其服务。2011年,ENISA又发布了《政府云的安全性和复原力》报告,为公共机构提供了决策指南。ENISA还调查了欧洲140多个公共机构在云服务采购方面的做法,为进一步出台详细的操作指南奠定了基础。然而,以上部署主要关注在云服务提供前期如何规避安全风险。为了在整个合同期持续地保障云服务安全,2012年4月,ENISA制定并发布了《云计算合同安全服务水平监测指南》。《指南》重点关注公共服务领域的合同,将评估工作贯穿整个合同期。这将有助于对云服务的数据安全持续监测,为云服务采购者提供指导,推动产业进入一个全新的发展阶段。

《指南》八项指标体系反映SLA运行情况

《指南》从SLA角度出发,为客户提出了包括服务可用性、事故响应、数据生命周期管理等8个指标体系。

由于云服务的安全性主要由云服务提供商掌控,而客户与提供商的互通主要是通过服务级别协议(SLA)。因此,本《指南》主要从SLA角度出发,为客户提出了包括服务可用性、事故响应、服务弹性、数据生命周期管理等8个方面的一整套持续监测其服务提供商SLA运行情况的指标体系,旨在通过对这8项反映SLA运行情况的关键指标的持续监测和预警,帮助客户达到核查其数据安全性的目的。

服务的可用性:可用性是指在一定的时间内,服务请求和服务时间得到满足的占比。在服务协议中,必须明确给出关于服务可用性状态的描述。目前,已经出现了很多用于监测网络连接状态的服务和产品,以及依靠云服务提供商的监测工具。

事故响应:事故是指服务非正常提供的状态,以及引起或可能引起服务中断或服务质量下降的事件。根据信息技术基础架构库(ITIL)模型,对事故的监测和响应等级通常由两个因素决定:一是严重性,根据事故的严重性分级进行确定。二是响应时间,是指进行补救的时间

服务弹性与负载公差:弹性可以在数量上描述为在一个执行期内失败资源配置占全部配置要求的比例。一些CSP提供冗余能力服务,这不但可在其他用户使用时保证一定的弹性,而且更重要的是,对灾害恢复时期意义重大。

数据生命周期管理:主要用于测量提供商数据处理的效率和效益,包括服务的备份或数据复制系统、导出数据的能力和数据丢失防护系统。

技术合规性和漏洞管理:用于衡量云服务是否符合技术安全政策,包括控制的准确性和漏洞处理能力。监测技术的合规性和漏洞管理,往往要根据偏离基准线安全政策的程度进行。

变更管理:用于对与系统安全属性和配置有关的重要变更进行监测和管理。在签署合同时需要制定一个清单明细,如果清单上的项目发生变更,应向用户发出通知。

数据隔离:是一种功能性的要求,必须实时进行。数据隔离可确保不同的客户数据和服务的保密性、完整性和可用性,并保护数据免受未授权第三方用户的访问。

日志管理与取证:包括获取用户使用云资源的历史信息。按照其内部控制、合规、审计、法律和监管要求,客户可能需要获取以下信息:哪些用户在何时、何处、对哪些数据进行怎样的处理。

相关链接

美国率先对云服务安全监测进行部署

在世界各国纷纷着手研究云服务相关安全监管政策之时,美国已率先进行了云服务安全监测部署。美国国家标准与技术研究院(NIST)发布了一系列云计算白皮书,NIST的《云计算定义》也被广泛引用和采纳。近期,NIST还发布了《联邦信息系统和机构的信息安全持续监测(ISCM)》报告,为筹划内部云服务安全流程提供指导,通过持续监测,保持其对信息安全、漏洞和威胁的警觉。

《联邦风险和授权管理计划(FedRAMP)》是美国联邦政府机构在采购云服务时须遵守的操作指南。该计划不仅制定了安全要求,同时也监测安全措施的执行情况,例如每季度定期发布漏洞扫描报告。FedRAMP很可能成为美国云服务公共合同监测的参考基准。

关键字:指南计算服务安全监测

本文摘自:中国电子报

x 欧盟出台《云计算合同安全服务水平监测指南》 扫一扫
分享本文到朋友圈
当前位置:云计算行业动态 → 正文

欧盟出台《云计算合同安全服务水平监测指南》

责任编辑:hli |来源:企业网D1Net  2012-06-12 09:38:19 本文摘自:中国电子报

随着云计算应用的日益深入,云计算服务正在成为政府采购越来越多的一项内容。如何保证政府和企业使用云计算服务的安全性,如何建立采购云计算服务的安全标准,如何加强云计算服务的安全监测,已经引起政府主管部门的高度关注。为保证成员国政府云计算服务采购的安全,欧盟网络与信息安全局于2012年4月正式出台《云计算合同安全服务水平监测指南》(简称《指南》),提供了一套持续监测云计算服务提供商服务级别协议运行情况的操作体系,将监测行动科学地引入到全合同周期之中,以达到实时核查用户数据安全性的目的。

加强安全监测成为云计算服务发展重要前提

随着云计算应用的广泛和深入,云服务安全隐患问题愈发凸显,加强安全监测,是发展云服务的重要前提。

由于云计算可以大幅降低成本并提高效率,目前各国在公共服务领域采购云计算服务的金额和比重都呈现快速上升趋势。据IDC预测,2013年云服务利润将达442亿美元,而欧洲云服务市场也将超过60亿欧元。虽然云服务的好处不胜枚举,但也因其多用户、共享资源等特点,带来很多风险和不确定性。特别是随着云计算应用的日益广泛和深入,云服务涉及的数据安全隐患问题愈发凸显。总的来说,云计算环境的风险主要有3个方面:一是政策和组织风险,如丧失一定的管理权、被迫锁定于某一个或某几个云服务提供商(CSP)等;二是技术风险,如用户间的数据隔离失效、数据删除不完全、内部人员恶意操作等;三是法律风险,如数据保护风险等。可见,加强安全监测和防范风险,无疑是发展云服务的重要前提。这不仅有利于发挥规模效应,还会使CSP具有差异化竞争优势和更及时有效的更新能力。

出台《指南》是欧盟云服务安全部署关键环节

为了持续保障云服务安全,欧盟出台了《云计算合同安全服务水平监测指南》,将评估工作贯穿整个合同期。

早在2009年,欧盟网络与信息安全局(ENISA)就启动了相关研究工作,先后发布了《云计算:好处、风险及信息安全建议》和《ENISA云计算信息安全保障框架》,使公共部门对云服务提供商进行预评估,确定是否采购其服务。2011年,ENISA又发布了《政府云的安全性和复原力》报告,为公共机构提供了决策指南。ENISA还调查了欧洲140多个公共机构在云服务采购方面的做法,为进一步出台详细的操作指南奠定了基础。然而,以上部署主要关注在云服务提供前期如何规避安全风险。为了在整个合同期持续地保障云服务安全,2012年4月,ENISA制定并发布了《云计算合同安全服务水平监测指南》。《指南》重点关注公共服务领域的合同,将评估工作贯穿整个合同期。这将有助于对云服务的数据安全持续监测,为云服务采购者提供指导,推动产业进入一个全新的发展阶段。

《指南》八项指标体系反映SLA运行情况

《指南》从SLA角度出发,为客户提出了包括服务可用性、事故响应、数据生命周期管理等8个指标体系。

由于云服务的安全性主要由云服务提供商掌控,而客户与提供商的互通主要是通过服务级别协议(SLA)。因此,本《指南》主要从SLA角度出发,为客户提出了包括服务可用性、事故响应、服务弹性、数据生命周期管理等8个方面的一整套持续监测其服务提供商SLA运行情况的指标体系,旨在通过对这8项反映SLA运行情况的关键指标的持续监测和预警,帮助客户达到核查其数据安全性的目的。

服务的可用性:可用性是指在一定的时间内,服务请求和服务时间得到满足的占比。在服务协议中,必须明确给出关于服务可用性状态的描述。目前,已经出现了很多用于监测网络连接状态的服务和产品,以及依靠云服务提供商的监测工具。

事故响应:事故是指服务非正常提供的状态,以及引起或可能引起服务中断或服务质量下降的事件。根据信息技术基础架构库(ITIL)模型,对事故的监测和响应等级通常由两个因素决定:一是严重性,根据事故的严重性分级进行确定。二是响应时间,是指进行补救的时间

服务弹性与负载公差:弹性可以在数量上描述为在一个执行期内失败资源配置占全部配置要求的比例。一些CSP提供冗余能力服务,这不但可在其他用户使用时保证一定的弹性,而且更重要的是,对灾害恢复时期意义重大。

数据生命周期管理:主要用于测量提供商数据处理的效率和效益,包括服务的备份或数据复制系统、导出数据的能力和数据丢失防护系统。

技术合规性和漏洞管理:用于衡量云服务是否符合技术安全政策,包括控制的准确性和漏洞处理能力。监测技术的合规性和漏洞管理,往往要根据偏离基准线安全政策的程度进行。

变更管理:用于对与系统安全属性和配置有关的重要变更进行监测和管理。在签署合同时需要制定一个清单明细,如果清单上的项目发生变更,应向用户发出通知。

数据隔离:是一种功能性的要求,必须实时进行。数据隔离可确保不同的客户数据和服务的保密性、完整性和可用性,并保护数据免受未授权第三方用户的访问。

日志管理与取证:包括获取用户使用云资源的历史信息。按照其内部控制、合规、审计、法律和监管要求,客户可能需要获取以下信息:哪些用户在何时、何处、对哪些数据进行怎样的处理。

相关链接

美国率先对云服务安全监测进行部署

在世界各国纷纷着手研究云服务相关安全监管政策之时,美国已率先进行了云服务安全监测部署。美国国家标准与技术研究院(NIST)发布了一系列云计算白皮书,NIST的《云计算定义》也被广泛引用和采纳。近期,NIST还发布了《联邦信息系统和机构的信息安全持续监测(ISCM)》报告,为筹划内部云服务安全流程提供指导,通过持续监测,保持其对信息安全、漏洞和威胁的警觉。

《联邦风险和授权管理计划(FedRAMP)》是美国联邦政府机构在采购云服务时须遵守的操作指南。该计划不仅制定了安全要求,同时也监测安全措施的执行情况,例如每季度定期发布漏洞扫描报告。FedRAMP很可能成为美国云服务公共合同监测的参考基准。

关键字:指南计算服务安全监测

本文摘自:中国电子报

电子周刊
回到顶部
网站地图

企业网D1Net 信众智-CIO社交平台 第1培训-企业数字化培训平台 会展活动

CIO 数字化转型 云计算 数据中心 大数据 元宇宙 物联网 人工智能 安全

移动办公 服务器 存储 访谈 区块链 数据网络 智慧城市 视频会议 芯片

统一通信 企业应用软件 创新技术 新闻中心

联系我们:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

投稿信箱:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^