應(yīng)用

技術(shù)

物聯(lián)網(wǎng)世界 >> 物聯(lián)網(wǎng)新聞 >> 物聯(lián)網(wǎng)熱點(diǎn)新聞
企業(yè)注冊(cè)個(gè)人注冊(cè)登錄

眾組織提議對(duì)美政府云計(jì)算進(jìn)行評(píng)估授權(quán)

2010-12-29 16:15 太平洋電腦網(wǎng)

導(dǎo)讀:兩周前,美國(guó)信息管理部辦公室發(fā)表了一篇90頁(yè)的提案:提議對(duì)美國(guó)政府云計(jì)算進(jìn)行安全評(píng)估與授權(quán)。

  兩周前,美國(guó)信息管理部辦公室發(fā)表了一篇90頁(yè)的提案:提議對(duì)美國(guó)政府云計(jì)算進(jìn)行安全評(píng)估與授權(quán)。這篇提案是NIST,GSA,ISIMC與CIO理事會(huì)協(xié)同工作了18個(gè)月而得到的,期間的工作包括對(duì)美國(guó)云計(jì)算進(jìn)行安全管理,多種評(píng)估與授權(quán)模式的評(píng)估。這代表了CIO辦公室為美國(guó)聯(lián)邦政府提供云計(jì)算服務(wù)的第一步,同時(shí)為創(chuàng)建目前世界上最大私有云服務(wù)提供了可靠的榜樣。

  這個(gè)未來(lái)的評(píng)估和授權(quán)模式是由三部分組成,講述了創(chuàng)建評(píng)估和授權(quán)框架的想法。美國(guó)政府為云計(jì)算定義了三種服務(wù)模型:軟件形式的服務(wù)模型(SaaS),平臺(tái)形式的服務(wù)模式PaaS和基礎(chǔ)設(shè)施形式的服務(wù)模式(IaaS)。美國(guó)聯(lián)邦政府的這個(gè)標(biāo)準(zhǔn)是由聯(lián)邦信息安全管理法案FISMA和國(guó)家標(biāo)準(zhǔn)與技術(shù)協(xié)會(huì)(NIST)共同要求發(fā)表的。這個(gè)標(biāo)準(zhǔn)的主要指導(dǎo)方針是:基于“評(píng)估一次,使用多次”的方法來(lái)鼓勵(lì)對(duì)云計(jì)算系統(tǒng)進(jìn)行更快速和更高效的獲取,以此方式來(lái)提供安全授權(quán)和保證政府的透明度和開(kāi)放度。

云計(jì)算安全需求基準(zhǔn)

  這份安全管理是基于NIST特殊發(fā)表刊物《800-53Revision3》,聯(lián)邦信息系統(tǒng)和組織的安全管理建議:

  權(quán)限控制
  認(rèn)知與培訓(xùn)
  審計(jì)與義務(wù)
  評(píng)估與授權(quán)
  配置管理
  偶發(fā)事件的計(jì)劃
  確認(rèn)與鑒定
  事故的反應(yīng)
  維護(hù)
  媒體的保護(hù)
  機(jī)器與環(huán)境的保護(hù)
  個(gè)人安全
  風(fēng)險(xiǎn)評(píng)估
  系統(tǒng)與服務(wù)的獲取
  系統(tǒng)與信息交互的保護(hù)
  系統(tǒng)與信息的完整度

持續(xù)監(jiān)控

  這個(gè)想法是在系統(tǒng)開(kāi)發(fā)生命周期中引入一種動(dòng)態(tài)的,持續(xù)的監(jiān)控程序,由此來(lái)判斷安全管理的持續(xù)有效性。這個(gè)流程包括為云計(jì)算環(huán)境提供一種修改監(jiān)聽(tīng)程序的能力。在這種機(jī)制下,云服務(wù)提供商是松散定義的和開(kāi)放式管理的,所以聯(lián)邦政府或許可以公開(kāi)的給公有云服務(wù)商提供支持,其中包括:Amazon,Microsoft和Salesforce.com.這里看來(lái),文章的開(kāi)始篇幅是重點(diǎn)介紹了私有云的示例,并且在接下來(lái)的篇幅中繼續(xù)說(shuō)明。

以下列表是針對(duì)所有云服務(wù)提供商所要求提供的報(bào)告和文件:

  補(bǔ)丁管理–每月
  FDCC驗(yàn)證–每季度
  事故反應(yīng)計(jì)劃–每年
  POAM糾正–每季度
  管理權(quán)限改變流程–每年
  入侵測(cè)試–沒(méi)年
  合作商的管理–每半年
  證明系統(tǒng)邊界的掃描–每季度
  系統(tǒng)配置管理–每季度
  FISMA報(bào)告–每季度
  更新文檔–每季度
  偶發(fā)事件計(jì)劃與測(cè)試報(bào)告–每年
  責(zé)任矩陣的區(qū)分–每年
  信息安全認(rèn)證和培訓(xùn)–每年

潛在的評(píng)估和授權(quán)方式

  CIO辦公室把云計(jì)算視為消除聯(lián)邦政府部門之間信息壁壘的一次機(jī)會(huì),并且它可以為共享的系統(tǒng)創(chuàng)建一種統(tǒng)一的安全底線。不過(guò),這個(gè)想法的實(shí)現(xiàn)難度可能很大,因?yàn)檎念A(yù)算往往會(huì)分配給指定的政府機(jī)構(gòu)或者主動(dòng)權(quán)的擁有者,顯而易見(jiàn)的,他們往往不支持這樣一個(gè)共享的成本結(jié)構(gòu)。如果CIO辦公室可以消除此類障礙,對(duì)于美國(guó)納稅人而言,云計(jì)算是一個(gè)主張高效與節(jié)約的政府環(huán)境的突破口。所以這就是創(chuàng)建FedRAMP的原因,她的目標(biāo)是:

  保證政府層面使用的信息系統(tǒng)和服務(wù)有足夠的安全性
避免重復(fù)的工作和減少風(fēng)險(xiǎn)管理成本
針對(duì)聯(lián)邦政府部的信息系統(tǒng)/服務(wù),啟動(dòng)快速的和成本效益為導(dǎo)向的采購(gòu)

總結(jié)

  總而言之,這篇文章提出了一種為實(shí)現(xiàn)和管理云計(jì)算而創(chuàng)造徹底安全與管控的計(jì)劃。在這個(gè)計(jì)劃中,云計(jì)算的信息管理的各個(gè)方面都被定義和表達(dá)出來(lái)了,主要目標(biāo)就是通過(guò)私有機(jī)構(gòu)和全球化商業(yè)機(jī)構(gòu)來(lái)提供云計(jì)算的完美框架。針對(duì)云計(jì)算概念被政府廣泛的采納與認(rèn)同,這是全新的和堅(jiān)實(shí)的第一步。