美国云计算服务安全审查值得借鉴

时间:14-06-18 栏目:云安全, 云计算 作者:爱说云网 评论:0 点击: 1,813 次

工业和信息化部电子科学技术情报研究所总工程师尹丽波日前在接受专访时指出,美国联邦政府对云计算服务的应用推广和安全管理很值得我国借鉴和参考。

尹丽波介绍说,云计算因其节约成本、维护方便、配置灵活已经成为各国政府优先推进发展的一项服务。美、英、澳大利亚等国家纷纷出台了相关发展政策,有计划的促进了政府部门信息系统向云计算平台的迁移。但是也应该看到,政府部门采用云计算服务也给其敏感数据和重要业务的安全带来了安全挑战。美国作为云计算服务应用的倡导者,一方面推出“云优先战略”,要求大量联邦政府信息系统迁移到“云端”,另一方面为确保安全,要求为联邦政府提供的云计算服务必须通过安全审查。

尹丽波表示,美国联邦政府对云计算服务的应用推广和安全管理经历了四个过程和阶段。

首先,从“花钱建系统”到“花钱买服务”,以云计算战略为先导,推进联邦政府云计算安全应用。

2009年,奥巴马政府提出《联邦云计算动议》,在联邦政府首席信息官委员会下设执行促进委员会和云计算顾问委员会,在总务署设立云计算项目管理办公室,确立了联邦政府云计算发展目标和工作职责,开始推广云计算应用。2010年,联邦预算管理局发布《改革联邦信息技术管理的25点实施计划》,实施“云优先”策略,要求将业务系统逐步迁移到云计算平台中,截至2015年要消减800个联邦数据中心。2011年,美国发布《联邦云计算战略》,明确联邦政府向云计算迁移的具体规划,创造安全的云计算应用环境。同年,国土安全部制定《从安全角度看云计算:联邦信息技术管理者入门》,指出了联邦政府面临的16项关键安全挑战。国家标准与技术研究院发布了《公共云计算安全和隐私指南》和《完全虚拟化技术安全指南》两项标准,为联邦政府下一步建立云计算服务安全审查制度做好了政策铺垫。

第二,从“谁审查,谁使用”到“统一审查,多方使用”,以风险管理和审查授权为核心,建立云计算服务审查制度。

2011年,联邦预算管理局发布首席信息官备忘录《云计算环境信息系统安全授权》,正式启动了云计算的《联邦风险及授权管理计划》(FedRAMP)。根据《联邦信息安全管理法案》,联邦政府的信息系统在联邦信息系统安全管理框架下,根据相关标准采取了安全措施后,都要进行安全评估。而对于各联邦政府部门采购云计算服务,FedRAMP采取了由第三方评估机构根据相关标准对云计算服务进行安全风险评估,FedRAMP根据评估结果进行审查,对通过审查的云计算服务给予初始授权。各联邦政府部门均可在初始授权名单里根据自身需求选择云计算服务,做到了统一审查,多方使用的高效管理,各联邦政府部门可共享安全评估与审查结果,避免了重复评估和审查。

第三,成立专门的审查机构,引入第三方评估机制,建立云计算安全管理保障机制。

FedRAMP建立了完善的云计算服务安全审查机制,明确了云计算安全管理的政府角色及职责。一是成立领导决策机构——联合授权委员会,由国防部、国土安全部、总务署三方组成,负责制定联邦政府云计算服务安全控制基线要求、批准第三方机构认定标准、对云计算服务进行初始授权等;二是设立隶属于总务署的FedRAMP项目管理办公室,负责日常管理安全评估、授权、持续监督等,并与国家标准与技术研究院合作对第三方机构进行能力认定和日常管理;三是明确云计算服务监督职责,由国土安全部负责监视、响应、报告安全事件;四是引入第三方评估机制,第三方机构必须满足FedRAMP所需的独立性和技术要求,对云计算服务执行独立的安全评估。

第四,注重审查的顶层设计,从“事前审查”到“事后监管”,建立一系列标准化的方法体系与审查程序。

美国联邦政府注重对云计算安全管理的顶层设计,以《联邦信息安全管理法案》为法律依据,《联邦信息资源管理》为政策依据,在国家标准《联邦信息系统和组织的安全及隐私控制》(SP800-53)基础上,形成了云计算安全基线要求,并以第三方机构认定、云计算服务审查、云计算服务持续监管三大关键环节为抓手,提供了十余部标准化的模板、程序与指南材料,建立了联邦政府云计算服务安全审查体系。同时,FedRAMP明确要求联邦机构从2014年6月起,必须采购和使用满足安全审查要求的云计算服务。截止目前,FedRAMP共认定了27家从事云计算服务安全评估的第三方机构,并已有11家云计算服务商的12项云计算服务通过了安全审查。

尹丽波表示,奥巴马政府通过颁布一揽子战略规划、政策法规、标准指南,建立了云计算服务审查制度与授权机制,使分散、重复、低效的政府云计算服务审批体系有序、统一、高效地运行,值得我国借鉴和参考。

首先,不断强化政府和涉及国家安全领域的网络安全管理。从克林顿政府的《国家信息安全保障采购政策》,到小布什政府的《联邦信息安全管理法案》和《联邦机构安全保障和评估产品采购使用指南》,再到奥巴马政府针对联邦云计算服务颁布的《联邦风险及授权管理计划》,美国始终采取做“加法”的思路,开展政府信息系统网络安全审查,有力保障了其要害部门的网络安全。

其次,云计算服务审查管理和协调机构的绝对权威性,是各项制度、标准得以顺利执行和实施的根本保障。国防部、国土安全部、总务署作为美国联邦最高安全决策和政府服务保障机构,对所有联邦机构具有很强的影响力、协调力和领导力,有力保证了各项审查法规、政策和标准的全面贯彻执行。

再次,云计算服务审查政策、标准完善,是规范云计算服务审查工作程序、提高审查效率的基础。完善的政策法规和标准模板既为联邦云计算服务安全审查提供了制度保障,又强化了云计算服务供应商对审查结果的认可度,有利于维护审查的公信力。同时,按照统一标准,也减少了重复审查,提高了审查结果的利用率。

最后,注重云计算服务过程中的持续监测和评估,不断推动云计算服务的安全应用。通过要求云计算服务商定期提交网络安全自我评估报告、风险态势变更报告,以及制定网络安全事件响应计划,并提交第三方机构进行独立安全测评,从而建立了云计算服务监督管理的常态机制,确保了云计算服务在联邦政府的安全推广应用。

 

相关文章

关于云计算的点点
views 2094
你不可能一个月没有听到关于主要云计算提供商的一些价格的下降.。 虽然这似乎是一个竞相杀价,其实云服务提供商已经开始做真正赚钱。 公共云功能很像公共设施。多少企业支付这些工具的费用直接取决于他们如何消费的基于云的资源,如存储,计算和应用。消耗的云服务公司有效地少付,而低效付出更多。 [3按键提示的云供...
每秒453G!阿里云抵御全球互联网史上最大DDoS攻击...
views 2165
12月24日午间消息,阿里云计算发布声明:12月20日-21日,部署在阿里云上的一家知名游戏公司,遭遇了全球互联网史上最大的一次DDoS攻击,攻击时间长达14个小时,攻击峰值流量达到每秒453.8Gb。 第一波分布式拒绝服务攻击(DDoS)从12月20日晚上19点左右开始,一直持续到21日凌晨,第二...
雷军携小米金山押注云计算:云服务窗口期已经来临...
views 1764
12月3日下午,在小米总部大楼,雷军换下印有小米标志的经典服装,身着红色金山POLO衫以金山董事长的身份亮相。在会议中,雷军表示,金山未来三年的战略计划方向是金山云,未来3-5年内将向云业务投入10亿美金。 雷军认为,云服务的窗口期已经到来,这是未来的发展方向,金山软件想要活下来,需要在云业务...
如何结合大数据与云计算?
views 1653
  你如何在大数据的海洋寻宝?对于那些拥有庞大信息需要处理的企业,在数据分析之前要克服的第一个障碍就是--不能够定位到相关并且有意义的信息。这也是HGST遇到的问题,HGST(日立环球存储科技公司)是一个计算机硬件的主要生产厂商,他们现在迫切需要追踪在生产设施上收集到的数据。据HGST的云计算与高性...
中国电信与VMware联合发布天翼混合云服务...
views 1664
中国电信股份有限公司云计算分公司(以下简称“中国电信云公司”)今天与VMware签署合作备忘录,宣布双方将联合构建中国电信天翼混合云服务。 中国电信天翼混合云服务主要针对大型企业原有自建的数据中心发展遇到的基础设施、电力扩张困难等问题,为其搭建企业侧自建的数据中心与托管到公有云的混合资源模式,方便企...
世纪互联Azure:我们要与微软“一刀两断”...
views 2031
12月的北京,已经能明确感觉到了冬天的寒意,但是云计算,确切说是公有云服务,在北京仍然是炙手可热的话题。UCloud、青云以及著名的亚马逊AWS都选择在这个月着重发出了自己的声音。当然,谁也不能忽视在这一市场上的一个重要角色——微软的Azure,从某种角度上讲,这个率先进入中国的国际性公有云品牌,真...
云存储:越过安全门槛 才能俘获用户芳心...
views 1845
现如今,随着云存储技术的深入应用,云存储的优势是不言而喻的,然而,目前,云存储却受困扰安全危机,不仅严重影响到云存储发展,也直接影响到用户的使用效果,未来,随着云存储技术的不断发展,安全问题终将得到解决。 云存储   其一、按需使用,按需付费,企业不必承担多余的开销,可以有效降低成本。 ...
云计算将从五大方面改造传统制造业
views 1529
令人惊讶的是,一部分管理者仍然在争论云是否能对企业的制造产生价值——尽管他们在一些明确的情况下仍然会考虑使用云。大多数管理者对云避而不谈是出于对成本的考虑,但在我们当前营运的行业里,基于云的解决方案尤具成本效益,特别是考虑到减少数据中心和IT管理人员所节省下来的时间和费用。   对云依然存有疑问的管...

声明: 本文由( 爱说云网 )原创编译,转载请保留链接: 美国云计算服务安全审查值得借鉴

美国云计算服务安全审查值得借鉴:等您坐沙发呢!

发表评论


读者排行