2011 年12 月OMB 發(fā)布了一項關于“云計算環(huán)境下信息系統(tǒng)安全授權”的首席信息官備忘錄，正式設立FedRAMP 項目。

2012 年2 月成立了FedRAMP 項目聯合授權委員會(JAB)并發(fā)布了《FedRAMP 概念框架(CONOPS)》、《FedRAMP 安全控制措施》。

2 美國聯邦政府云計算安全策略分析

2.1 高度重視云計算安全和隱私、可移植性和互操作性，對云服務實施基于風險的管理

美國聯邦政府在推動云計算一開始就認識到云計算安全和隱私、可移植性和互操作性是云計算被接納的主要障礙，并給予了高度重視。美國聯邦政府認為，對于云服務要實施基于風險的安全管理，在控制風險的基礎上，充分利用云計算高效、快捷、利于革新等重要優(yōu)勢，并啟動了聯邦風險和授權管理項目(FedRAMP)。

2.2 加強云計算安全管理，明確安全管理相關方及其職責

首先，明確了云計算安全管理的政府部門角色及其職責：

1) 聯合授權委員會(JAB)：成立了由國防部(DOD)、DHS、GSA 三方組成的聯合授權委員會JAB，主要負責制定更新安全基線要求、批準第三方評估機構認可標準、設立優(yōu)先順序并評審云服務授權包、對云服務供應進行初始授權等;2)FedRAMP 項目管理辦公室(FedRAMPPMO)：設立于GSA，負責管理評估、授權、持續(xù)監(jiān)視過程等, 并與NIST 合作實施對第三方評估組織的符合性評估;3)國土安全部：主要負責監(jiān)視、響應、報告安全事件，為可信互聯網聯接提供指南等;4)各執(zhí)行部門或機構：按照DHS、JAB 等要求評估、授權、使用和監(jiān)視云服務等，并每年4 月向CIOC 提供由本部門CIO 和CFO 簽發(fā)的認證;5)首席信息官委員會：負責出版和分發(fā)來自FedRAMP PMO 和JAB 的信息。

其次，明確了FedRAMP 項目相關方的角色和職責(如圖1)。這些角色中除了DHS、JAB、FedRAMPPMO、各執(zhí)行部門或機構、CIOC 外，還包括云服務商(CSP)和第三方評估組織(3PAO)。云服務商實現安全控制措施;創(chuàng)建滿足FedRAMP 需求的安全評估包;與第三方評估機構聯系，執(zhí)行初始的系統(tǒng)評估，以及運行中所需的評估與授權;維護連續(xù)監(jiān)視項目;遵從有關變更管理和安全事件報告的聯邦需求。

第三方評估組織保持滿足FedRAMP 所需的獨立性和技術優(yōu)勢;對CSP 系統(tǒng)執(zhí)行獨立評估，并創(chuàng)建滿足FedRAMP 需求的安全評估包清單。

 2/3   首頁 上一頁 1 2 3 下一頁 尾頁