工業(yè)和信息化部電子科學(xué)技術(shù)情報(bào)研究所總工程師尹麗波日前在接受專訪時(shí)指出，美國(guó)聯(lián)邦政府對(duì)云計(jì)算服務(wù)的應(yīng)用推廣和安全管理很值得我國(guó)借鑒和參考。

尹麗波介紹說(shuō)，云計(jì)算因其節(jié)約成本、維護(hù)方便、配置靈活已經(jīng)成為各國(guó)政府優(yōu)先推進(jìn)發(fā)展的一項(xiàng)服務(wù)。美、英、澳大利亞等國(guó)家紛紛出臺(tái)了相關(guān)發(fā)展政策，有計(jì)劃的促進(jìn)了政府部門信息系統(tǒng)向云計(jì)算平臺(tái)的遷移。但是也應(yīng)該看到，政府部門采用云計(jì)算服務(wù)也給其敏感數(shù)據(jù)和重要業(yè)務(wù)的安全帶來(lái)了安全挑戰(zhàn)。美國(guó)作為云計(jì)算服務(wù)應(yīng)用的倡導(dǎo)者，一方面推出“云優(yōu)先戰(zhàn)略”，要求大量聯(lián)邦政府信息系統(tǒng)遷移到“云端”，另一方面為確保安全，要求為聯(lián)邦政府提供的云計(jì)算服務(wù)必須通過(guò)安全審查。

尹麗波表示，美國(guó)聯(lián)邦政府對(duì)云計(jì)算服務(wù)的應(yīng)用推廣和安全管理經(jīng)歷了四個(gè)過(guò)程和階段。

首先，從“花錢建系統(tǒng)”到“花錢買服務(wù)”，以云計(jì)算戰(zhàn)略為先導(dǎo)，推進(jìn)聯(lián)邦政府云計(jì)算安全應(yīng)用。

2009年，奧巴馬政府提出《聯(lián)邦云計(jì)算動(dòng)議》，在聯(lián)邦政府首席信息官委員會(huì)下設(shè)執(zhí)行促進(jìn)委員會(huì)和云計(jì)算顧問(wèn)委員會(huì)，在總務(wù)署設(shè)立云計(jì)算項(xiàng)目管理辦公室，確立了聯(lián)邦政府云計(jì)算發(fā)展目標(biāo)和工作職責(zé)，開(kāi)始推廣云計(jì)算應(yīng)用。2010年，聯(lián)邦預(yù)算管理局發(fā)布《改革聯(lián)邦信息技術(shù)管理的25點(diǎn)實(shí)施計(jì)劃》，實(shí)施“云優(yōu)先”策略，要求將業(yè)務(wù)系統(tǒng)逐步遷移到云計(jì)算平臺(tái)中，截至2015年要消減800個(gè)聯(lián)邦數(shù)據(jù)中心。2011年，美國(guó)發(fā)布《聯(lián)邦云計(jì)算戰(zhàn)略》,明確聯(lián)邦政府向云計(jì)算遷移的具體規(guī)劃，創(chuàng)造安全的云計(jì)算應(yīng)用環(huán)境。同年，國(guó)土安全部制定《從安全角度看云計(jì)算：聯(lián)邦信息技術(shù)管理者入門》，指出了聯(lián)邦政府面臨的16項(xiàng)關(guān)鍵安全挑戰(zhàn)。國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院發(fā)布了《公共云計(jì)算安全和隱私指南》和《完全虛擬化技術(shù)安全指南》兩項(xiàng)標(biāo)準(zhǔn)，為聯(lián)邦政府下一步建立云計(jì)算服務(wù)安全審查制度做好了政策鋪墊。

第二，從“誰(shuí)審查，誰(shuí)使用”到“統(tǒng)一審查，多方使用”，以風(fēng)險(xiǎn)管理和審查授權(quán)為核心，建立云計(jì)算服務(wù)審查制度。

2011年，聯(lián)邦預(yù)算管理局發(fā)布首席信息官備忘錄《云計(jì)算環(huán)境信息系統(tǒng)安全授權(quán)》，正式啟動(dòng)了云計(jì)算的《聯(lián)邦風(fēng)險(xiǎn)及授權(quán)管理計(jì)劃》（FedRAMP）。根據(jù)《聯(lián)邦信息安全管理法案》，聯(lián)邦政府的信息系統(tǒng)在聯(lián)邦信息系統(tǒng)安全管理框架下，根據(jù)相關(guān)標(biāo)準(zhǔn)采取了安全措施后，都要進(jìn)行安全評(píng)估。而對(duì)于各聯(lián)邦政府部門采購(gòu)云計(jì)算服務(wù)，F(xiàn)edRAMP采取了由第三方評(píng)估機(jī)構(gòu)根據(jù)相關(guān)標(biāo)準(zhǔn)對(duì)云計(jì)算服務(wù)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，F(xiàn)edRAMP根據(jù)評(píng)估結(jié)果進(jìn)行審查，對(duì)通過(guò)審查的云計(jì)算服務(wù)給予初始授權(quán)。各聯(lián)邦政府部門均可在初始授權(quán)名單里根據(jù)自身需求選擇云計(jì)算服務(wù)，做到了統(tǒng)一審查，多方使用的高效管理，各聯(lián)邦政府部門可共享安全評(píng)估與審查結(jié)果，避免了重復(fù)評(píng)估和審查。

第三，成立專門的審查機(jī)構(gòu)，引入第三方評(píng)估機(jī)制，建立云計(jì)算安全管理保障機(jī)制。

FedRAMP建立了完善的云計(jì)算服務(wù)安全審查機(jī)制，明確了云計(jì)算安全管理的政府角色及職責(zé)。一是成立領(lǐng)導(dǎo)決策機(jī)構(gòu)——聯(lián)合授權(quán)委員會(huì)，由國(guó)防部、國(guó)土安全部、總務(wù)署三方組成，負(fù)責(zé)制定聯(lián)邦政府云計(jì)算服務(wù)安全控制基線要求、批準(zhǔn)第三方機(jī)構(gòu)認(rèn)定標(biāo)準(zhǔn)、對(duì)云計(jì)算服務(wù)進(jìn)行初始授權(quán)等;二是設(shè)立隸屬于總務(wù)署的FedRAMP項(xiàng)目管理辦公室，負(fù)責(zé)日常管理安全評(píng)估、授權(quán)、持續(xù)監(jiān)督等,并與國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院合作對(duì)第三方機(jī)構(gòu)進(jìn)行能力認(rèn)定和日常管理;三是明確云計(jì)算服務(wù)監(jiān)督職責(zé)，由國(guó)土安全部負(fù)責(zé)監(jiān)視、響應(yīng)、報(bào)告安全事件;四是引入第三方評(píng)估機(jī)制，第三方機(jī)構(gòu)必須滿足FedRAMP所需的獨(dú)立性和技術(shù)要求，對(duì)云計(jì)算服務(wù)執(zhí)行獨(dú)立的安全評(píng)估。

第四，注重審查的頂層設(shè)計(jì)，從“事前審查”到“事后監(jiān)管”，建立一系列標(biāo)準(zhǔn)化的方法體系與審查程序。

美國(guó)聯(lián)邦政府注重對(duì)云計(jì)算安全管理的頂層設(shè)計(jì)，以《聯(lián)邦信息安全管理法案》為法律依據(jù)，《聯(lián)邦信息資源管理》為政策依據(jù)，在國(guó)家標(biāo)準(zhǔn)《聯(lián)邦信息系統(tǒng)和組織的安全及隱私控制》（SP800-53）基礎(chǔ)上，形成了云計(jì)算安全基線要求，并以第三方機(jī)構(gòu)認(rèn)定、云計(jì)算服務(wù)審查、云計(jì)算服務(wù)持續(xù)監(jiān)管三大關(guān)鍵環(huán)節(jié)為抓手，提供了十余部標(biāo)準(zhǔn)化的模板、程序與指南材料，建立了聯(lián)邦政府云計(jì)算服務(wù)安全審查體系。同時(shí)，F(xiàn)edRAMP明確要求聯(lián)邦機(jī)構(gòu)從2014年6月起，必須采購(gòu)和使用滿足安全審查要求的云計(jì)算服務(wù)。截止目前，F(xiàn)edRAMP共認(rèn)定了27家從事云計(jì)算服務(wù)安全評(píng)估的第三方機(jī)構(gòu)，并已有11家云計(jì)算服務(wù)商的12項(xiàng)云計(jì)算服務(wù)通過(guò)了安全審查。

尹麗波表示，奧巴馬政府通過(guò)頒布一攬子戰(zhàn)略規(guī)劃、政策法規(guī)、標(biāo)準(zhǔn)指南，建立了云計(jì)算服務(wù)審查制度與授權(quán)機(jī)制，使分散、重復(fù)、低效的政府云計(jì)算服務(wù)審批體系有序、統(tǒng)一、高效地運(yùn)行，值得我國(guó)借鑒和參考。

首先，不斷強(qiáng)化政府和涉及國(guó)家安全領(lǐng)域的網(wǎng)絡(luò)安全管理。從克林頓政府的《國(guó)家信息安全保障采購(gòu)政策》，到小布什政府的《聯(lián)邦信息安全管理法案》和《聯(lián)邦機(jī)構(gòu)安全保障和評(píng)估產(chǎn)品采購(gòu)使用指南》，再到奧巴馬政府針對(duì)聯(lián)邦云計(jì)算服務(wù)頒布的《聯(lián)邦風(fēng)險(xiǎn)及授權(quán)管理計(jì)劃》，美國(guó)始終采取做“加法”的思路，開(kāi)展政府信息系統(tǒng)網(wǎng)絡(luò)安全審查，有力保障了其要害部門的網(wǎng)絡(luò)安全。

其次，云計(jì)算服務(wù)審查管理和協(xié)調(diào)機(jī)構(gòu)的絕對(duì)權(quán)威性，是各項(xiàng)制度、標(biāo)準(zhǔn)得以順利執(zhí)行和實(shí)施的根本保障。國(guó)防部、國(guó)土安全部、總務(wù)署作為美國(guó)聯(lián)邦最高安全決策和政府服務(wù)保障機(jī)構(gòu)，對(duì)所有聯(lián)邦機(jī)構(gòu)具有很強(qiáng)的影響力、協(xié)調(diào)力和領(lǐng)導(dǎo)力，有力保證了各項(xiàng)審查法規(guī)、政策和標(biāo)準(zhǔn)的全面貫徹執(zhí)行。

再次，云計(jì)算服務(wù)審查政策、標(biāo)準(zhǔn)完善，是規(guī)范云計(jì)算服務(wù)審查工作程序、提高審查效率的基礎(chǔ)。完善的政策法規(guī)和標(biāo)準(zhǔn)模板既為聯(lián)邦云計(jì)算服務(wù)安全審查提供了制度保障，又強(qiáng)化了云計(jì)算服務(wù)供應(yīng)商對(duì)審查結(jié)果的認(rèn)可度，有利于維護(hù)審查的公信力。同時(shí)，按照統(tǒng)一標(biāo)準(zhǔn)，也減少了重復(fù)審查，提高了審查結(jié)果的利用率。

最后，注重云計(jì)算服務(wù)過(guò)程中的持續(xù)監(jiān)測(cè)和評(píng)估，不斷推動(dòng)云計(jì)算服務(wù)的安全應(yīng)用。通過(guò)要求云計(jì)算服務(wù)商定期提交網(wǎng)絡(luò)安全自我評(píng)估報(bào)告、風(fēng)險(xiǎn)態(tài)勢(shì)變更報(bào)告，以及制定網(wǎng)絡(luò)安全事件響應(yīng)計(jì)劃，并提交第三方機(jī)構(gòu)進(jìn)行獨(dú)立安全測(cè)評(píng)，從而建立了云計(jì)算服務(wù)監(jiān)督管理的常態(tài)機(jī)制，確保了云計(jì)算服務(wù)在聯(lián)邦政府的安全推廣應(yīng)用。