美国云计算服务安全审查值得借鉴

工业和信息化部电子科学技术情报研究所总工程师尹丽波日前在接受专访时指出，美国联邦政府对云计算服务的应用推广和安全管理很值得我国借鉴和参考。

尹丽波介绍说，云计算因其节约成本、维护方便、配置灵活已经成为各国政府优先推进发展的一项服务。美、英、澳大利亚等国家纷纷出台了相关发展政策，有计划的促进了政府部门信息系统向云计算平台的迁移。但是也应该看到，政府部门采用云计算服务也给其敏感数据和重要业务的安全带来了安全挑战。美国作为云计算服务应用的倡导者，一方面推出“云优先战略”，要求大量联邦政府信息系统迁移到“云端”，另一方面为确保安全，要求为联邦政府提供的云计算服务必须通过安全审查。

尹丽波表示，美国联邦政府对云计算服务的应用推广和安全管理经历了四个过程和阶段。

首先，从“花钱建系统”到“花钱买服务”，以云计算战略为先导，推进联邦政府云计算安全应用。

2009年，奥巴马政府提出《联邦云计算动议》，在联邦政府首席信息官委员会下设执行促进委员会和云计算顾问委员会，在总务署设立云计算项目管理办公室，确立了联邦政府云计算发展目标和工作职责，开始推广云计算应用。2010年，联邦预算管理局发布《改革联邦信息技术管理的25点实施计划》，实施“云优先”策略，要求将业务系统逐步迁移到云计算平台中，截至2015年要消减800个联邦数据中心。2011年，美国发布《联邦云计算战略》,明确联邦政府向云计算迁移的具体规划，创造安全的云计算应用环境。同年，国土安全部制定《从安全角度看云计算：联邦信息技术管理者入门》，指出了联邦政府面临的16项关键安全挑战。国家标准与技术研究院发布了《公共云计算安全和隐私指南》和《完全虚拟化技术安全指南》两项标准，为联邦政府下一步建立云计算服务安全审查制度做好了政策铺垫。

第二，从“谁审查，谁使用”到“统一审查，多方使用”，以风险管理和审查授权为核心，建立云计算服务审查制度。

2011年，联邦预算管理局发布首席信息官备忘录《云计算环境信息系统安全授权》，正式启动了云计算的《联邦风险及授权管理计划》（FedRAMP）。根据《联邦信息安全管理法案》，联邦政府的信息系统在联邦信息系统安全管理框架下，根据相关标准采取了安全措施后，都要进行安全评估。而对于各联邦政府部门采购云计算服务，FedRAMP采取了由第三方评估机构根据相关标准对云计算服务进行安全风险评估，FedRAMP根据评估结果进行审查，对通过审查的云计算服务给予初始授权。各联邦政府部门均可在初始授权名单里根据自身需求选择云计算服务，做到了统一审查，多方使用的高效管理，各联邦政府部门可共享安全评估与审查结果，避免了重复评估和审查。

第三，成立专门的审查机构，引入第三方评估机制，建立云计算安全管理保障机制。

FedRAMP建立了完善的云计算服务安全审查机制，明确了云计算安全管理的政府角色及职责。一是成立领导决策机构——联合授权委员会，由国防部、国土安全部、总务署三方组成，负责制定联邦政府云计算服务安全控制基线要求、批准第三方机构认定标准、对云计算服务进行初始授权等;二是设立隶属于总务署的FedRAMP项目管理办公室，负责日常管理安全评估、授权、持续监督等,并与国家标准与技术研究院合作对第三方机构进行能力认定和日常管理;三是明确云计算服务监督职责，由国土安全部负责监视、响应、报告安全事件;四是引入第三方评估机制，第三方机构必须满足FedRAMP所需的独立性和技术要求，对云计算服务执行独立的安全评估。

第四，注重审查的顶层设计，从“事前审查”到“事后监管”，建立一系列标准化的方法体系与审查程序。

美国联邦政府注重对云计算安全管理的顶层设计，以《联邦信息安全管理法案》为法律依据，《联邦信息资源管理》为政策依据，在国家标准《联邦信息系统和组织的安全及隐私控制》（SP800-53）基础上，形成了云计算安全基线要求，并以第三方机构认定、云计算服务审查、云计算服务持续监管三大关键环节为抓手，提供了十余部标准化的模板、程序与指南材料，建立了联邦政府云计算服务安全审查体系。同时，FedRAMP明确要求联邦机构从2014年6月起，必须采购和使用满足安全审查要求的云计算服务。截止目前，FedRAMP共认定了27家从事云计算服务安全评估的第三方机构，并已有11家云计算服务商的12项云计算服务通过了安全审查。

尹丽波表示，奥巴马政府通过颁布一揽子战略规划、政策法规、标准指南，建立了云计算服务审查制度与授权机制，使分散、重复、低效的政府云计算服务审批体系有序、统一、高效地运行，值得我国借鉴和参考。

首先，不断强化政府和涉及国家安全领域的网络安全管理。从克林顿政府的《国家信息安全保障采购政策》，到小布什政府的《联邦信息安全管理法案》和《联邦机构安全保障和评估产品采购使用指南》，再到奥巴马政府针对联邦云计算服务颁布的《联邦风险及授权管理计划》，美国始终采取做“加法”的思路，开展政府信息系统网络安全审查，有力保障了其要害部门的网络安全。

其次，云计算服务审查管理和协调机构的绝对权威性，是各项制度、标准得以顺利执行和实施的根本保障。国防部、国土安全部、总务署作为美国联邦最高安全决策和政府服务保障机构，对所有联邦机构具有很强的影响力、协调力和领导力，有力保证了各项审查法规、政策和标准的全面贯彻执行。

再次，云计算服务审查政策、标准完善，是规范云计算服务审查工作程序、提高审查效率的基础。完善的政策法规和标准模板既为联邦云计算服务安全审查提供了制度保障，又强化了云计算服务供应商对审查结果的认可度，有利于维护审查的公信力。同时，按照统一标准，也减少了重复审查，提高了审查结果的利用率。

最后，注重云计算服务过程中的持续监测和评估，不断推动云计算服务的安全应用。通过要求云计算服务商定期提交网络安全自我评估报告、风险态势变更报告，以及制定网络安全事件响应计划，并提交第三方机构进行独立安全测评，从而建立了云计算服务监督管理的常态机制，确保了云计算服务在联邦政府的安全推广应用。