三周前，美國信息管理部辦公室發(fā)表了一篇90頁的提案：提議對美國政府云計算進行安全評估與授權(quán)。這篇提案是NIST, GSA, ISIMC與CIO 理事會協(xié)同工作了18個月而得到的，期間的工作包括對美國云計算進行安全管理，多種評估與授權(quán)模式的評估。這代表了CIO辦公室為美國聯(lián)邦政府提供云計算服務(wù)的第一步，同時為創(chuàng)建目前世界上最大私有云服務(wù)提供了可靠的榜樣。

這個未來的評估和授權(quán)模式是由三部分組成，講述了創(chuàng)建評估和授權(quán)框架的想法。美國政府為云計算定義了三種服務(wù)模型：軟件形式的服務(wù)模型(SaaS), 平臺形式的服務(wù)模式 PaaS 和基礎(chǔ)設(shè)施形式的服務(wù)模式(IaaS). 美國聯(lián)邦政府的這個標準是由聯(lián)邦信息安全管理法案 FISMA 和國家標準與技術(shù)協(xié)會(NIST)共同要求發(fā)表的。這個標準的主要指導(dǎo)方針是：基于“評估一次，使用多次”的方法來鼓勵對云計算系統(tǒng)進行更快速和更高效的獲取，以此方式來提供安全授權(quán)和保證政府的透明度和開放度。

云計算安全需求基準

這份安全管理是基于NIST特殊發(fā)表刊物 800-53 Revision 3, 聯(lián)邦信息系統(tǒng)和組織的安全管理建議

1. 權(quán)限控制
2. 認知與培訓(xùn)
3. 審計與義務(wù)
4. 評估與授權(quán)
5. 配置管理
6. 偶發(fā)事件的計劃
7. 確認與鑒定
8. 事故的反應(yīng)
9. 維護
10. 媒體的保護
11. 機器與環(huán)境的保護
12. 個人安全
13. 風(fēng)險評估
14. 系統(tǒng)與服務(wù)的獲取
15. 系統(tǒng)與信息交互的保護
16. 系統(tǒng)與信息的完整度

持續(xù)監(jiān)控

這個想法是在系統(tǒng)開發(fā)生命周期中引入一種動態(tài)的，持續(xù)的監(jiān)控程序，由此來判斷安全管理的持續(xù)有效性。這個流程包括為云計算環(huán)境提供一種修改監(jiān)聽程序的能力。在這種機制下，云服務(wù)提供商是松散定義的和開放式管理的，所以聯(lián)邦政府或許可以公開的給公有云服務(wù)商提供支持，其中包括: Amazon, Microsoft和Salesforce.com. 這里看來，文章的開始篇幅是重點介紹了私有云的示例，并且在接下來的篇幅中繼續(xù)說明。

以下列表是針對所有云服務(wù)提供商所要求提供的報告和文件

• 補丁管理 – 每月
• FDCC驗證 – 每季度
• 事故反應(yīng)計劃 – 每年
• POAM糾正 – 每季度
• 管理權(quán)限改變流程 – 每年
• 入侵測試 – 沒年
• 合作商的管理 – 每半年
• 證明系統(tǒng)邊界的掃描 – 每季度
• 系統(tǒng)配置管理 – 每季度
• FISMA報告 – 每季度
• 更新文檔 – 沒季度
• 偶發(fā)事件計劃與測試報告 – 每年
• 責(zé)任矩陣的區(qū)分 – 每年
• 信息安全認證和培訓(xùn) – 每年

潛在的評估和授權(quán)方式

CIO辦公室把云計算視為消除聯(lián)邦政府部門之間信息壁壘的一次機會，并且它可以為共享的系統(tǒng)創(chuàng)建一種統(tǒng)一的安全底線。不過，這個想法的實現(xiàn)難度可能很大，因為政府的預(yù)算往往會分配給指定的政府機構(gòu)或者主動權(quán)的擁有者，顯而易見的，他們往往不支持這樣一個共享的成本結(jié)構(gòu)。如果CIO辦公室可以消除此類障礙，對于美國納稅人而言，云計算是一個主張高效與節(jié)約的政府環(huán)境的突破口。所以這就是創(chuàng)建FedRAMP的原因，她的目標是：

• 保證政府層面使用的信息系統(tǒng)和服務(wù)有足夠的安全性
• 避免重復(fù)的工作和減少風(fēng)險管理成本
• 針對聯(lián)邦政府部的信息系統(tǒng)/服務(wù)，啟動快速的和成本效益為導(dǎo)向的采購

總結(jié)

總而言之，這篇文章提出了一種為實現(xiàn)和管理云計算而創(chuàng)造徹底安全與管控的計劃。在這個計劃中，云計算的信息管理的各個方面都被定義和表達出來了，主要目標就是通過私有機構(gòu)和全球化商業(yè) 機構(gòu) 來提供云計算的完美框架。針對云計算概念被政府廣泛的采納與認同，這是全新的和堅實的第一步。

查看英文原文：US Government: Proposed Assessment and Authorization for Cloud Computing