尹麗波:美國云計算服務安全審查值得借鑒
來源:中國日報 更新時間:2014-06-18
原標題:尹麗波:美國云計算服務安全審查值得借鑒
     工業和信息化部電子科學技術情報研究所總工程師尹麗波日前在接受專訪時指出,美國聯邦政府對云計算服務的應用推廣和安全管理很值得我國借鑒和參考。
    尹麗波介紹說,云計算因其節約成本、維護方便、配置靈活已經成為各國政府優先推進發展的一項服務。美、英、澳大利亞等國家紛紛出臺了相關發展政策,有計劃的促進了政府部門信息系統向云計算平臺的遷移。但是也應該看到,政府部門采用云計算服務也給其敏感數據和重要業務的安全帶來了安全挑戰。美國作為云計算服務應用的倡導者,一方面推出“云優先戰略”,要求大量聯邦政府信息系統遷移到“云端”,另一方面為確保安全,要求為聯邦政府提供的云計算服務必須通過安全審查。
    尹麗波表示,美國聯邦政府對云計算服務的應用推廣和安全管理經歷了四個過程和階段。
    首先,從“花錢建系統”到“花錢買服務”,以云計算戰略為先導,推進聯邦政府云計算安全應用。
    2009年,奧巴馬政府提出《聯邦云計算動議》,在聯邦政府首席信息官委員會下設執行促進委員會和云計算顧問委員會,在總務署設立云計算項目管理辦公室,確立了聯邦政府云計算發展目標和工作職責,開始推廣云計算應用。2010年,聯邦預算管理局發布《改革聯邦信息技術管理的25點實施計劃》,實施“云優先”策略,要求將業務系統逐步遷移到云計算平臺中,截至2015年要消減800個聯邦數據中心。2011年,美國發布《聯邦云計算戰略》,明確聯邦政府向云計算遷移的具體規劃,創造安全的云計算應用環境。同年,國土安全部制定《從安全角度看云計算:聯邦信息技術管理者入門》,指出了聯邦政府面臨的16項關鍵安全挑戰。國家標準與技術研究院發布了《公共云計算安全和隱私指南》和《完全虛擬化技術安全指南》兩項標準,為聯邦政府下一步建立云計算服務安全審查制度做好了政策鋪墊。
    第二,從“誰審查,誰使用”到“統一審查,多方使用”,以風險管理和審查授權為核心,建立云計算服務審查制度。
    2011年,聯邦預算管理局發布首席信息官備忘錄《云計算環境信息系統安全授權》,正式啟動了云計算的《聯邦風險及授權管理計劃》(FedRAMP)。根據《聯邦信息安全管理法案》,聯邦政府的信息系統在聯邦信息系統安全管理框架下,根據相關標準采取了安全措施后,都要進行安全評估。而對于各聯邦政府部門采購云計算服務,FedRAMP采取了由第三方評估機構根據相關標準對云計算服務進行安全風險評估,FedRAMP根據評估結果進行審查,對通過審查的云計算服務給予初始授權。各聯邦政府部門均可在初始授權名單里根據自身需求選擇云計算服務,做到了統一審查,多方使用的高效管理,各聯邦政府部門可共享安全評估與審查結果,避免了重復評估和審查。
 第三,成立專門的審查機構,引入第三方評估機制,建立云計算安全管理保障機制。
    FedRAMP建立了完善的云計算服務安全審查機制,明確了云計算安全管理的政府角色及職責。一是成立領導決策機構——聯合授權委員會,由國防部、國土安全部、總務署三方組成,負責制定聯邦政府云計算服務安全控制基線要求、批準第三方機構認定標準、對云計算服務進行初始授權等;二是設立隸屬于總務署的FedRAMP項目管理辦公室,負責日常管理安全評估、授權、持續監督等,并與國家標準與技術研究院合作對第三方機構進行能力認定和日常管理;三是明確云計算服務監督職責,由國土安全部負責監視、響應、報告安全事件;四是引入第三方評估機制,第三方機構必須滿足FedRAMP所需的獨立性和技術要求,對云計算服務執行獨立的安全評估。
    第四,注重審查的頂層設計,從“事前審查”到“事后監管”,建立一系列標準化的方法體系與審查程序。
    美國聯邦政府注重對云計算安全管理的頂層設計,以《聯邦信息安全管理法案》為法律依據,《聯邦信息資源管理》為政策依據,在國家標準《聯邦信息系統和組織的安全及隱私控制》(SP800-53)基礎上,形成了云計算安全基線要求,并以第三方機構認定、云計算服務審查、云計算服務持續監管三大關鍵環節為抓手,提供了十余部標準化的模板、程序與指南材料,建立了聯邦政府云計算服務安全審查體系。同時,FedRAMP明確要求聯邦機構從2014年6月起,必須采購和使用滿足安全審查要求的云計算服務。截止目前,FedRAMP共認定了27家從事云計算服務安全評估的第三方機構,并已有11家云計算服務商的12項云計算服務通過了安全審查。
    尹麗波表示,奧巴馬政府通過頒布一攬子戰略規劃、政策法規、標準指南,建立了云計算服務審查制度與授權機制,使分散、重復、低效的政府云計算服務審批體系有序、統一、高效地運行,值得我國借鑒和參考。
    首先,不斷強化政府和涉及國家安全領域的網絡安全管理。從克林頓政府的《國家信息安全保障采購政策》,到小布什政府的《聯邦信息安全管理法案》和《聯邦機構安全保障和評估產品采購使用指南》,再到奧巴馬政府針對聯邦云計算服務頒布的《聯邦風險及授權管理計劃》,美國始終采取做“加法”的思路,開展政府信息系統網絡安全審查,有力保障了其要害部門的網絡安全。
    其次,云計算服務審查管理和協調機構的絕對權威性,是各項制度、標準得以順利執行和實施的根本保障。國防部、國土安全部、總務署作為美國聯邦最高安全決策和政府服務保障機構,對所有聯邦機構具有很強的影響力、協調力和領導力,有力保證了各項審查法規、政策和標準的全面貫徹執行。
    再次,云計算服務審查政策、標準完善,是規范云計算服務審查工作程序、提高審查效率的基礎。完善的政策法規和標準模板既為聯邦云計算服務安全審查提供了制度保障,又強化了云計算服務供應商對審查結果的認可度,有利于維護審查的公信力。同時,按照統一標準,也減少了重復審查,提高了審查結果的利用率。
    最后,注重云計算服務過程中的持續監測和評估,不斷推動云計算服務的安全應用。通過要求云計算服務商定期提交網絡安全自我評估報告、風險態勢變更報告,以及制定網絡安全事件響應計劃,并提交第三方機構進行獨立安全測評,從而建立了云計算服務監督管理的常態機制,確保了云計算服務在聯邦政府的安全推廣應用。(信蓮)


铁牛视频app下载苹果-铁牛视频app下载地址-铁牛视频app破解版ios