引言

由于云計算在經(jīng)濟(jì)、敏捷和創(chuàng)新方面的突出特點，受到美國政府高度重視。早在2009 年1 月, 美國行政管理和預(yù)算局(OMB)就開始關(guān)注云計算和虛擬化。3 月維維克·昆德拉被任命為聯(lián)邦政府首席信息官委員會(CIOC)的首席信息官后即表示將推動政府采用云計算，啟動了聯(lián)邦云計算倡議(FCCI)，成立了專門管理組織，包括下設(shè)于CIOC 的決策機構(gòu)“FCCI 執(zhí)行促進(jìn)委員會”(ESC)和顧問機構(gòu)“FCCI 云計算顧問委員會”(CCAC)以及下設(shè)于總務(wù)管理局(GSA)的FCCI 日常辦公機構(gòu)“云計算項目管理辦公室”(CCPMO)，并確定了聯(lián)邦政府云計算發(fā)展目標(biāo)。5 月份發(fā)布的2010 財年美國政府預(yù)算報告的《遠(yuǎn)景分析》中明確提出要開展云計算示范項目，通過優(yōu)化云計算平臺來優(yōu)化通用的服務(wù)和解決方案，并在隨后發(fā)布了聯(lián)邦政府云服務(wù)采購書面需求單和上線了app.gov 云服務(wù)在線店面。2010 年12 月份發(fā)布了《改革聯(lián)邦信息技術(shù)管理的25 點實施計劃》，要求聯(lián)邦政府與數(shù)據(jù)中心整合相配合，實施“云首選”的策略等。2011 年發(fā)布了《聯(lián)邦云計算戰(zhàn)略》,確定了云遷移的三步走決策框架以及促進(jìn)云計算發(fā)展的6 方面措施。

在美國聯(lián)邦政府大力推進(jìn)云計算的同時，美國政府大力研究和制定云計算安全策略。本文在簡要分析美國政府云計算安全進(jìn)展的基礎(chǔ)上，重點剖析了美國政府云計算安全策略，可為我國政府發(fā)展云計算提供有價值的參考。

1 美國聯(lián)邦政府云計算安全發(fā)展過程

昆德拉上任時就承認(rèn)云計算可能存在隱私泄露或其它安全隱患，但表示不能因此而錯過云計算的速度和效率。2009 年5月召開的云計算倡議工業(yè)界峰會上，美國產(chǎn)業(yè)界認(rèn)識到云計算在法律法規(guī)和政策以及I T 安全和隱私方面的挑戰(zhàn)，深入討論了云計算認(rèn)證認(rèn)可、訪問控制和身份管理、數(shù)據(jù)和應(yīng)用安全、可移植性和互操作性以及服務(wù)級別協(xié)議(S L A)等。5 月份的《遠(yuǎn)景分析》中指出了與新技術(shù)服務(wù)交付模型相關(guān)的風(fēng)險，包括政策的變化、動態(tài)應(yīng)用的實施以及動態(tài)環(huán)境的安全保障，要求建立一個項目管理辦公室來實施工業(yè)界最佳實踐和政府項目管理方面的政策。10 月份國家標(biāo)準(zhǔn)和技術(shù)研究所(NIST)在《有效安全地使用云計算范式》的研究報告中分析了云計算安全的眾多優(yōu)勢和挑戰(zhàn)。

2010 年2 月美國啟動了政府范圍的云計算解決方案的安全認(rèn)證認(rèn)可過程的開發(fā)。8 月CIOC 發(fā)布了《聯(lián)邦部門和機構(gòu)使用云計算的隱私建議》，指出云環(huán)境下隱私風(fēng)險跟法律法規(guī)、隱私數(shù)據(jù)存儲位置、云服務(wù)商服務(wù)條款和隱私保護(hù)策略有關(guān)，并指出了9 類風(fēng)險，通過使用相關(guān)標(biāo)準(zhǔn)、簽署隱私保護(hù)的補充合同條款、進(jìn)行隱私門檻分析和隱私影響評估、充分考慮相關(guān)的隱私保護(hù)法律，可以有效加強云計算環(huán)境下的隱私保護(hù)。9 月非盈利組織MITRE 給出了《政府客戶云計算SL A 考慮》。11 月份，NIST、GSA、CIOC 以及信息安全及身份管理委員會(ISIMC)等組成的團(tuán)隊歷時18 個月提出了《美國政府云計算安全評估和授權(quán)建議方案》，該方案由云計算安全要求基線、持續(xù)監(jiān)視、評估和授權(quán)三部分組成。12月，在《改革聯(lián)邦信息技術(shù)管理的25 點實施計劃》中指出安全、互操作性、可移植性是云計算被接納的主要障礙。

 1/3    1 2 3 下一頁 尾頁