随着云计算的出现,云存储、云服务的广泛应用,云安全相关标准及认证也快速发展。近些年来,很多组织陆续推出了一些云安全相关标准,与此同时,一些机构也推广云安全相关认证服务。本文将主要的云安全相关测评认证进行一个简单介绍。
1、德国可信云计算认证
德国可信云计算认证是面向大众市场的认证,目的是帮助云服务使用者选择更好的云服务提供商,帮助欧洲企业保护用户数据免受美国政府和企业的介入。
该认证由德国互联网协会经欧洲云计算协会授权,牵头开发制定云计算认证体系,认证体系参与方包括德国联邦信息技术安全局、欧盟国际标准组织、欧洲认证组织专家、云计算服务提供商、毕马威、财政金融交易方面的专家、自然科学研究机构等。
认证标准包括ISO 27001、ISO 9000、SAS 70等,认证内容包含云计算平台认证、基础设施认证的5星级认证,根据标准如果认证是2星以下,表示没有合格,只能用于测试,不能接入SAP系统;从3星开始,表明已基本满足各方面要求;4星表明操作运营过程比较好,也采取了质量保证措施;5星表示在4星基础上,在基础设施上有很高的安全性。
2、韩国可信服务商认证
韩国可信服务商认证是面向大众市场的认证,目的是帮助云服务使用者选择更好的云服务提供商。
该认证由韩国政府组织开展,主要依托于第三方中立机构-韩国云服务协会(KCSA),受韩国广播通信委员会KCC的支持和委托。
认证内容包括业务质量(可用性、性能、可扩展等)、数据安全(数据管理、安全防护等)和基础设施(一致性、支持等)三个方面。
认证标准主要参照《云服务认证指标指南》,其中IaaS有105个小条目,39条必检;SaaS有85个小条目,33个必检。至少通过所有评估小条目的70%,才能予以通过,颁发证书。
3、日本云服务信息披露认证
日本云服务信息披露认证是面向大众市场的认证,目的是帮助云服务使用者选择更好的云服务提供商,认证本身验证了云服务商需要回答用户90%的问题。
该认证由日本信息通信部MIC与ASPIC(ASP-SaaS-CloudCONSORTIUM)合作开展,主要以资料审查为主。
认证内容包括ASP.SaaS,IaaS.PaaS,数据中心三个方面,包括业务质量、数据管理、财务信息、合同规范等方面的信息披露可信度认证。
4、美国FedRAMP认证
美国FedRAMP(Federal Risk and Authorization Management Program)认证是面向政府采购的云服务认证,目的是指导政府采购云计算服务。
该认证由美国政府主导,标准研究所、总务署、国家安全局、联邦CIO委员会等机构组成云计算管理办公室PMO主导认证工作。
认证标准参考NIST SP 800-53标准,内容包括信息安全、服务质量、市场因素等方面。
5*、英国G-Cloud认证
英国G-Cloud(Government Cloud Strategy)认证是面向政府采购的云服务认证,目的是对云计算服务进行规范和安全审查,指导政府部门选择、采购各类云计算服务。
该认证由司法部、政府办公室组成的G-Cloud委员会主导,其下设置云服务组、安全审查工作组、商业工作组三个执行部门。
认证标准是由ISO 27001和《HMG Information Standards NO.1&2》组成的G-Cloud框架,以ISO 27001为最佳实践,并制定了多租户隔离、网络连接、数据位置、数据传输、数据彻底删除、人员审查和现场审查等云计算专门要求。
6、中国可信云服务认证
可信云服务认证是我国唯一针对云服务可信性的权威认证体系,目的是建立云服务商的评估体系,为用户选择安全、可信的云服务商提供支撑,并最终促进我国云计算市场健康、有序发展。
可信云服务认证是在工信部通信发展司的指导下,由数据中心联盟和云计算发展与政策论坛联合组织,由云计算发展与政策论坛成立的“可信云服务工作组”组织开展。 “可信云服务工作组”的主要成员包括工信部电信研究院、三家电信运营商、主要互联网企业和设备提供商。
可信云服务认证的具体测评内容包括三大类共16项,分别是:数据管理类(数据存储的持久性、数据可销毁性、数据可迁移性、数据保密性、数据知情权、数据可审查性)、业务质量类(业务功能、业务可用性、业务弹性、故障恢复能力、网络接入性能、服务计量准确性)和权益保障类(服务变更、终止条款、服务赔偿条款、用户约束条款和服务商免责条款),基本涵盖了云服务商需要向用户承诺或告知(基于服务SLA)的90%的问题。可信云服务认证将系统评估云服务商对这16个指标的实现程度,为用户选择云服务商提供基本依据。
7、BSI(STAR)云安全认证
BSI(STAR)云安全认证是基于ISO 27001认证的增强版本,目的是向云服务客户与潜在客户充分证明,云计算安全体系稳定可靠,且已经解决了在云安全方面至关重要的特定问题。
该认证是BSI与CSA(云安全联盟)合作,基于云控制矩阵(CCM)开发出的全新STAR认证项目。认证评级分为STAR金牌、银牌与铜牌,等级取决于云安全体系与组织的融合度。
认证内容涵盖以下领域:合规性(CO)、数据治理(DG)、设施安全(FS)、人力资源(HR)、信息安全(IS)、法规(LG)、运营管理(OP)、风险管理(RI)、发布管理(RM)、弹性(RS)、安全架构(SA)。
8、赛宝C-STAR云安全评估
赛宝C-STAR云安全评估是由赛宝认证中心与CSA(云安全联盟)合作,开展的第三方C-STAR云安全评估认证,目的是指导企业提升云服务信息安全水平,从而将云服务的信息安全隐忧大幅降低。
该评估认证采用CSA(云安全联盟)云控制矩阵(CCM),结合国内相关法律法规(如等级保护和个人信息保护指南等)、GB/T22080标准要求,有效评估云服务安全状况。
C-STAR云安全控制矩阵,从应用和接口安全、审核保证、业务连续性管理和操作弹性、变更控制和配置管理、数据安全和信息生命周期管理等16个云安全控制领域,对云服务的安全控制状况进行系统评估。同时,为了帮助企业对云安全管理成熟度进行评估和持续改进,引入了云安全管理成熟度评价(将在形成的评估报告中给出成熟度评估得分),对C-STAR云安全控制矩阵中的安全控制措施进行成熟度评分并划分为5个等级,不同分数等级代表云服务提供商的安全控制的管理成熟度水平。
除了上述这些认证之外,与云计算安全相关的认证还包括ISO 27001认证、信息系统等级保护测评等,由于这些认证是信息安全相关的基础性认证,并且这些认证对于大多数人来讲并不陌生,所以在这里不再赘述。