BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

美国政府提议对云计算进行评估与授权

| 作者 James Vastbinder 关注 0 他的粉丝 ,译者 陈亮 关注 0 他的粉丝 发布于 2010年12月17日. 估计阅读时间: 4 分钟 | 如何结合区块链技术,帮助企业降本增效?让我们深度了解几个成功的案例。

两周前,美国信息管理部办公室发表了一篇90页的提案:提议对美国政府云计算进行安全评估与授权。这篇提案是NIST, GSA, ISIMC与CIO 理事会协同工作了18个月而得到的,期间的工作包括对美国云计算进行安全管理,多种评估与授权模式的评估。这代表了CIO办公室为美国联邦政府提供云计算服务的第一步,同时为创建目前世界上最大私有云服务提供了可靠的榜样。

这个未来的评估和授权模式是由三部分组成,讲述了创建评估和授权框架的想法。美国政府为云计算定义了三种服务模型:软件形式的服务模型(SaaS), 平台形式的服务模式 PaaS 和基础设施形式的服务模式(IaaS). 美国联邦政府的这个标准是由联邦信息安全管理法案 FISMA 和国家标准与技术协会(NIST)共同要求发表的。这个标准的主要指导方针是:基于“评估一次,使用多次”的方法来鼓励对云计算系统进行更快速和更高效的获取,以此方式来提供安全授权和保证政府的透明度和开放度。

云计算安全需求基准

这份安全管理是基于NIST特殊发表刊物 800-53 Revision 3, 联邦信息系统和组织的安全管理建议

  1. 权限控制
  2. 认知与培训
  3. 审计与义务
  4. 评估与授权
  5. 配置管理
  6. 偶发事件的计划
  7. 确认与鉴定
  8. 事故的反应
  9. 维护
  10. 媒体的保护
  11. 机器与环境的保护
  12. 个人安全
  13. 风险评估
  14. 系统与服务的获取
  15. 系统与信息交互的保护
  16. 系统与信息的完整度

持续监控

这个想法是在系统开发生命周期中引入一种动态的,持续的监控程序,由此来判断安全管理的持续有效性。这个流程包括为云计算环境提供一种修改监听程序的能力。在这种机制下,云服务提供商是松散定义的和开放式管理的,所以联邦政府或许可以公开的给公有云服务商提供支持,其中包括: Amazon, Microsoft和Salesforce.com. 这里看来,文章的开始篇幅是重点介绍了私有云的示例,并且在接下来的篇幅中继续说明。

以下列表是针对所有云服务提供商所要求提供的报告和文件

  • 补丁管理 – 每月
  • FDCC验证 – 每季度
  • 事故反应计划 – 每年
  • POAM纠正 – 每季度
  • 管理权限改变流程 – 每年
  • 入侵测试 – 没年
  • 合作商的管理 – 每半年
  • 证明系统边界的扫描 – 每季度
  • 系统配置管理 – 每季度
  • FISMA报告 – 每季度
  • 更新文档 – 没季度
  • 偶发事件计划与测试报告 – 每年
  • 责任矩阵的区分 – 每年
  • 信息安全认证和培训 – 每年

潜在的评估和授权方式

CIO办公室把云计算视为消除联邦政府部门之间信息壁垒的一次机会,并且它可以为共享的系统创建一种统一的安全底线。不过,这个想法的实现难度可能很大,因为政府的预算往往会分配给指定的政府机构或者主动权的拥有者,显而易见的,他们往往不支持这样一个共享的成本结构。如果CIO办公室可以消除此类障碍,对于美国纳税人而言,云计算是一个主张高效与节约的政府环境的突破口。所以这就是创建FedRAMP的原因,她的目标是:

  • 保证政府层面使用的信息系统和服务有足够的安全性
  • 避免重复的工作和减少风险管理成本
  • 针对联邦政府部的信息系统/服务,启动快速的和成本效益为导向的采购

总结

总而言之,这篇文章提出了一种为实现和管理云计算而创造彻底安全与管控的计划。在这个计划中,云计算的信息管理的各个方面都被定义和表达出来了,主要目标就是通过私有机构和全球化商业 机构 来提供云计算的完美框架。针对云计算概念被政府广泛的采纳与认同,这是全新的和坚实的第一步。

这份提议可以公开评论,您可以通过FedRAMP在2010年12月2日凌晨前提交您的评论。

查看英文原文:US Government: Proposed Assessment and Authorization for Cloud Computing

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

有点儿晕 by 侯 伯薇

到底是“美国政府提议对云计算进行评估与授权”还是其它组织给美国政府提议,对云计算进行评估与授权呢??

我们这边还没动静呢 by Zeng Abrams

领导们估计连什么是云都还搞不清楚哦

Re: 有点儿晕 by 马 国耀

从内容看,似乎标题有点问题。

应该是“众组织提议对美国政府的云计算进行安全评估和授权”。

FedRAMP项目 by 张 立强

美国政府和IBM等公司合作,开展Federal Cloud(美国联邦政府云),将政府的信息系统移植到云计算环境中。由于云计算可能带来的相关风险,因此,政府安全部门提议需要对该云计算平台进行风险评估和认证,同时发布评估指南和结果,供各部门在采用云计算时参考使用。类似于信息系统安全评估认证与分级。

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

4 讨论

深度内容

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT