云计算中心风险评估方法与工具及其产业化V0.43.doc
《云计算中心风险评估方法与工具及其产业化V0.43.doc》由会员分享,可在线阅读,更多相关《云计算中心风险评估方法与工具及其产业化V0.43.doc(75页珍藏版)》请在三一办公上搜索。
1、北京市海淀区科技项目建 议 书填写大纲北京市海淀区科学技术委员会二一一年五月填写大纲说明为方便海淀区广大科技型企业和相关单位申请海淀区科技项目,确保申报工作保质、保量,按计划进行,北京市海淀区科学技术委员会特制定北京市海淀区科技项目建议书填写大纲,对海淀区科技项目申报所需准备的材料及填写要点进行说明。海淀区科技项目采取网上申报的方式,各企业和相关单位可据填写大纲提前准备编写好项目材料的word版,作好准备工作。海淀区科委可申报的项目分为:重大科技研发项目、基本计划项目、专项计划项目海淀区科技项目申报网址为:各企业和相关单位也可根据当年项目申报指南要求直接登录系统进行填写申报。关于网上系统如何使
2、用,可参考相关系统使用说明:注:以下文字中,蓝色斜体字为对填报事项的说明。注:申报的项目材料中不得包含企业名称或企业品牌名称第一部分 项目基本情况1、项目名称 云计算中心风险评估方法与工具的研发及产业化2、技术领域信息(信息安全技术)3、项目联系人 陈伟 项目联系人电子信箱 chenwei 项目联系人电话 010-51626887 项目联系人传真 010-51626887 项目联系人手机 13801175900 4、协作单位 (无) 5、项目总投资 申请资金项目总投资:385万申请资金:100万 6、项目开始时间2011年7月1日项目结束时间2013年6月30日 7、项目摘要在国内大规模的云计
3、算产业布局过程中,信息安全已经成为制约云计算产业发展的重要因素,传统的信息安全风险评估方法已经不适于当前云计算中心的风险评估。本项目目标是研发适用于国内云计算中心的风险评估方法与软件工具并使之产业化,以填补国内空白,以促进国内云计算中心的建设沿着健康可持续的道路发展。 8、年进度指标(一) 2011年7月到2012月6月,主要工作是云计算中心风险方法及软件工具的研发,本期目标是销售软件工具20套,服务及产品销售额达800万元;(二) 2012年7月到2013月6月,主要工作是云计算中心风险咨询服务与产品的产业化,本期目标是销售软件工具25套,服务及产品销售额达1000万元。 9、技术指标摘要
4、云计算中心风险评估软件安装光盘与使用手册各1套 形成政府机构云计算安全风险管理策略组件库1套; 形成银行业云计算安全风险管理策略组件库1套; 形成电信行业云计算安全风险管理策略组件库1套; 形成能源行业云计算安全风险管理策略组件库1套; 形成平台开放性接口API库1套; 申请软件著作权和产品专利各1项。 10、主要经济指标: 结题时本项目累计收入1800(万元)结题时本项目累计利润527.85(万元)结题时本项目累计纳税(含所有税种总和)246.15(万元)本项目新增就业人数15(人)11、 其他经济指标据上海证券报报道,在工信部和国家发改委的推动下,云计算在中国的市场规模有望在未来3年内突破
5、1万亿人民币。按照最保守的情况来估计,云计算安全市场将达到整个云计算市场的5%,将也就是会达到500亿的云计算安全市场规模;云安全评估服务与软件工具按占云计算安全市场的5%估算,将是25亿的市场规模。第二部分 单位基本情况1、公司基本情况公司成立于2007年初,总部位于北京,在上海、深圳、新疆等地设有分公司和办事处,在清华大学创业园设有软件研发中心。公司是业内处于领先地位,致力于 IT 风险管理、IT内部控制、信息系统审计、IT 治理、信息安全管理、IT服务管理等领域的专业服务机构。公司的业务集中在IT风险管理咨询、服务、培训及产品四个方面。其中信息安全咨询与培训业务在国内处于领先水平,已经成
6、功实施国内众多高端行业信息安全、IT风险管理的咨询项目;公司的信息安全方面的认证培训市场占有率为全国第一;公司开发的IT风险管理软件及安全意识教育产品填补了国内空白。公司在 IT 风险管理领域积累了非常丰富的经验,并且形成了一套相对科学完整的方法论和工具体系。公司拥有国内第一批IT风险管理专家,他们曾经任职于国内外著名咨询公司资深专业咨询顾问,具备国际化的知识背景与中国本地信息化实践经验,能够满足企业对于IT风险进行管理和控制需求,为客户提供持续高水准的专业服务。 公司秉持不断地开拓创新精神,致力于吸收国际上最先进的IT风险管理理念,基于成熟的方法论和稳健务实的专家顾问团队,将国际标准和最佳实
7、践,如COBIT、TOFAF、CMMI、ITIL、ISMS、BCM、ISO27001、ISO20000、BS25999等引入企业,结合国内行业特点,帮助组织建立符合业务需要的IT管理及运营体系,提升企业的风险管理意识,提高IT管理水平,建立风险管控机制,并保持独立、中立和客观的立场,为客户提供量身定做并且遵循国际标准的IT风险管理和控制系列解决方案。2、相关经济数据:公司成立时间2007年1月29日注册资本500万法定代表人企业负责人联系人姓名李华李华陈伟最高学历本科本科研究生专业机械工程机械工程工业管理工程身份证号321028197608180016321028197608180016370
8、502196806203212职称无无无办公电话010-51626887010-51626887010-51626887移动电话139100088491391000884913801175900Emaillihualihuachenwei股东构成股东名称(或姓名)投资者经济形态法人代码(或身份证号)是否上市公司境外公司或外籍所占股份投资方式李华自然人321028197608180016否否27%货币无形资产陈伟自然人370502196806203212否否26%货币无形资产刘敬国自然人23010319750819511X否否26%货币无形资产魏彩霞自然人132337198105250708否否
9、14%货币无形资产古树生自然人否否7%货币无形资产开户银行北京银行航天支行信用等级账号0109037280120109116339上年研究开发经费投入上年度纳税总额上年度创汇0万美元(折合)企业类型研发型企业员工总数87人已有成果数8已转让成果数0企业性质有限责任公司企业等级类型05有限责任公司企业特性第三部分 项目的目的、意义和必要性1、项目目的当前,云计算被公认为是继个人计算和互联网变革之后的第三次革命,相关研究机构预测,到2012年,全球财富100强将有80%使用云计算服务,到2015年,使用云计算企业的比例将提高到95%。谷歌、亚玛逊、微软、IBM等重点企业,已经在云计算领域均投入大量
10、人力、财力。从以上数据可以看到,云计算未来发展市场巨大。我国云计算产业市场规模在2010年已经达到了170亿,未来几年增长率将保持爆炸式增长,增长率达90%左右。预计未来5年,云计算和相关服务市场将保持高速增长态势。然而,当前制约云计算发展主要有云计算标准制定、云计算服务推广和云计算安全保障等方面的问题。其中,云计算安全保障问题是关系到云服务能否得到用户认可、云计算产业健康发展的关键要素。云计算的安全问题不完全等同于传统的信息安全问题,云计算安全除了要考虑传统的基础设施使用的可靠性与敏感信息访问的安全性问题外,还需要考虑虚拟资源管理、用户隐私保护、数据信息主权、数据位置控制、云中业务内控等全新
11、的安全问题。本项目的目的:一是通过研究提供规范化、流程化、指标化的方法,简化云计算的安全评估过程,为云计算服务的快速推广奠定安全基础;二是通过扎实的方法研究与软件开发工作,在即将蓬勃兴起的云计算安全评估市场上填补空白,获取先机,通过软件工具的落地使研究方法产品化;三是把政府与企业的云计算中心的安全评估与体系建设作为研发重点,使之产业化,实现社会效益与经济效益的同步发展。2、项目意义本项目的实施将为云计算安全提供一个完整的评估框架与实施方法,云计算安全并不仅仅是目前国内反病毒业界中非常热门的 “云查杀”这类反病毒技术,云查杀”反病毒技术只是将云端的计算和商用模式应用到反病毒领域。本项目以IT风险
12、管理理论为指导,基于多年信息安全技术体系和管理体系的建设经验,接合国内外当前云计算的实践,深入研究云计算中心安全问题,建立云计算环境下信息安全风险评估模型,为政府与企业即将大批建立的云计算中心提供完整、科学、可行的一整套风险评估方法,通过软件产品的方式固化安全评估流程,提供实施云计算安全评估所需的知识库,满足政府及企业在建立云计算机中心过程中进一步完善信息安全保障体系的要求。本项目的实施,将使云计算安全从以用户应用端安全控制为主导的“云查杀”式的外延性安全模式,走向关注云计算中心本身健康状态的内生性安全模式;从以防火墙、入侵检测、防病毒为主导的单一技术导向模式,走向关注治理合规、综合管控、态势
13、感知、人员安全、持续改进的体系化模式;从人工式、分离式的安全评估模式,走向规范化、工具化的综合性的自动化评估模式。本项目的实施,将极大地促进云计算的安全评估实施工作,促进云计算中心安全保障体系的建立,大力推进当前国内安全产业的升级和发展;同时,也将对云计算中心防范内部人员风险、减少信息资产损失,加强内部信息安全管理方面起到极其重要的作用。2、项目必要性我国“十二五”规划纲要及国务院关于加快培育和发展战略性新兴产业的决定,均把云计算作为新一代信息技术产业的重要部分。2010年10月18日,工信部确定北京、上海、深圳、杭州、无锡等5个城市先行开展云计算服务创新发展试点示范工作。最近3年,国内已有至
14、少20个城市宣布推出云计算,已经有多个云计算中心在建设中。据不完全统计,目前除北京的“祥云工程”、上海的“云海计划”、 广州的“天云计划”外,深圳提出了打造“华南云计算中心”的概念,而重庆、天津、山东等地也有相关的云计算布局。在如此大规模云计算产业布局过程中,如果不形成一套科学有效的云计算安全的理论与方法,还是延续过去先发展后治理的老路,将对云服务的大规模推广应用和云计算产业的健康发展造成极大的风险。Gartner认为云计算的方法最初就没有考虑安全性的设计,对安全的忽略将对云计算的发展造成严重阻碍。根据CSDN之前的一项对国内云计算应用的调查显示,认为“未经授权的进入与窃取信息风险”及“云计算
15、架构的安全缺陷”分别占到被调查者的50.8%和63.1%而最近发生的多起云计算安全事故正好印证了CSDN的调查结论。索尼用户数据被窃。2011年4月17日,索尼旗下Playstation网站遭遇黑客入侵,黑客侵入索尼公司位于美国圣迭戈市的数据服务器,窃取了用户登录的个人信息,受影响用户多达7700万人,涉及57个国家和地区。 亚马逊云服务中断。全球最大的网络零售商,一直标榜云计算服务是企业用户外包数据中心业务的廉价、安全途径的亚马逊公司,爆出了史前最大的宕机事件。2011年4月21日凌晨,亚马逊公司在北弗吉尼亚州的云计算中心宕机,致亚马逊云服务中断持续了近4天,对租用其云服务的厂商造成较大影响
16、。此外,2011年4月25日,VMware全新云计算服务Cloud Foundry因存储柜的电供应导致停机;2011年5月9日到13日的一周中,微软Exchange在线服务停用,谷歌的免费博客托管平台无法登陆,Twitter发生重大中断,安全事故使得云计算用户在不同程度上受到了影响。如此频繁密集的云计算信息安全事件,为我国当前“热火朝天”的云计算建设敲响了警钟。我们应当把云计算安全与云计算基础设施建设、云计算应用开发、云服务应用推广放到同等重要的地位来看待。当前,云计算安全的理论与方法的研究、安全保障体系的建设刻不容缓! 第四部分 项目所属领域国内外研究开发现状和发展趋势1、国内外研发现状l
17、云安全联盟2009年成立的云安全联盟(Cloud Security Alliance) 是专门针对云计算安全方面的标准组织。对对云安全界较早地开展了对云计算安全的研究,已经发布了云计算关键领域的安全指南白皮书成为云计算安全领域的重要指导文件。l NISTNIST(National Institute of Standards and Technology,美国国家标准技术研究院)由美国联邦政府支持,进行了大量的信息安全标准化工作。它集合了众多云计算方面的核心厂商,共同提出了目前为止被广泛接受的SP800-145 云计算定义和SP800-144公共云计算安全与隐私保护指南,对业界有着重要指导意义
18、。l Gartner发布云计算安全风险评估白皮书2008年7月,著名研究机构Gartner近日发布一份名为云计算安全风险评估的白皮书,列出了云计算技术存在的7大风险,包括:特权用户的接入、可审查性、数据位置、数据隔离、数据恢复、调查支持、长期生存性。l 美国联邦政府2011年11月美国政府CIO委员会发布了关于政府机构采用云计算的政府文件,文件阐述了美国政府对于云计算服务的基本立场和政策,分析了为什么需要考虑评估云计算、采用云计算带来了什么挑战、接下来政府、各机构、私营企业、业界等需要采用哪些行动等。文件要求政府、各机构谨慎评估云计算相关的安全风险,并与自己的安全需求进行比对分析,文件还建议由
19、一个政府授权机构对云计算服务商进行统一的风险评估和授权认定,从而加速云计算的评估和采用,降低风险评估的费用。l 欧洲网络及信息安全局欧洲网络及信息安全局(ENISA)发布了云计算风险评估报告,此报告基于三个用例场景,为云计算的风险评估提供了一种可参考的方法。报告中列出了云计算用户需要重点保护的23类信息资产,描述了这些资产的53类的脆弱性,分析了云计算用户可能面临的35种风险。此报告对组织开展云计算的风险评估有一定的指导意义。l 国内外云计算产品与服务厂商IBM、HP、EMC、Cisco、Microsoft、Oracle、Google、Amazon、浪潮、联想等云计算基础设备厂商及服务厂商都从
20、自身体产品及服务的角色提出了云安全的概念、技术白皮书及安全控制最佳实践等。例如Google的云计算安全白皮书、 IBM的云计算安全战略路线图、Microsoft的云计算的安全考虑等。国内外几乎所有的反病毒厂商,趋势、赛门铁克、瑞星、360、金山等公司等,都推出了各自的 “云安全”产品。这些厂商提出的“云安全”是将用户和反病毒技术平台通过互联网紧密相连,组成一个庞大的恶意软件监测和查杀网络,每个用户都为“云安全”计划贡献一份力量,同时分享其他所有用户的安全成果。从以上各专业机构研究成果来看,目前各机构还只是从概念模型及框架建议的角度提出了云计算安全风险评估的方法,其合理性和适用性还有待于实践的检
21、验、其可操作性还有待于细化,目前还缺少可以进行对云计算进行安全评估的软件工具。2、技术领域发展趋势由于云计算是近十年来刚刚兴起的新生事物,从国内外云计算发展的现状来看,各专业厂商和研究机构一般是站在自身的角度,对云计算安全提出了各自的概念与方法。在技术领域,各类反病毒厂商的产品都只是利用云计算技术来保护系统主机和用户终端,以免受恶意代码的侵袭,而并不涉及对云计算中心的整体的风险评估。在综合风险管控领域,各专业研究机构,例如:云计算联盟、NIST、Gartner等,则相应对云计算安全提出了更全面的概念定义与方法模型,对云计算的服务提供者及使用者从基础设施、运行环境、数据合规、安全防护等方面提供了
22、较全面的风险评估与控制概念与方法。这些概念与方法一般都包含了以下内容:l 安全防护:通过成熟的安全防护技术与产品,确保云计算中心的网络系统、主机系统、应用系统能抵御各种恶意代码的攻击。l 可靠接入:确保云计算用户与云计算中心的接入采用了可靠的安全通道,保证接入通道的可用性与安全性。 l 身份认证:云服务供应商要为客户提供可信的身份认证与权限管理机制,确保云应用与数据始终是在有效授权的条件下使用。l 数据控制:云服务供应商要确保采取适当的技术防护措施,确保客户数据得到有效的隔离与保护,并能提供高质量的数据服务。l 可移植性:云服务供应商要确保提供给客户的任何云的应用与数据均能无缝移植到其他云中,
23、并能与其他云实现最大程度的互用。l 法规遵守:云服务供应商要确保使客户遵守各种法规要求,例如个人隐私保护和行业敏感数据保护等方面的规范。 云计算中心安全风险评估不仅要考虑技术安全防范措施,更要综合考虑云计算中心架构、部署、运行、管理等方面的安全风险。 另一方面,目前国际上流行的趋势是信息安全风险评估过程的工具化,目前有个别国外厂家在做相关研究与开发工作。国外的Callio Secura17799、RealISMS,国内的科飞Info-Riskmanager等风险评估软件基本是利用ISO3335的风险评估方法进行简单的信息资产风险评估,整体功能较弱,方法单一;IBM公司推出了Workplace
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算中心 风险 评估 方法 工具 及其 产业化 V0 43
链接地址:https://www.31ppt.com/p-2393180.html