飞天发布时刻:2024年 Forrester 公有云平台Wave™评估报告解读 了解详情
写点什么

美国政府提议对云计算进行评估与授权

  • 2010-12-16
  • 本文字数:1397 字

    阅读完需:约 5 分钟

两周前,美国信息管理部办公室发表了一篇 90 页的提案:提议对美国政府云计算进行安全评估与授权。这篇提案是 NIST, GSA, ISIMC 与 CIO 理事会协同工作了 18 个月而得到的,期间的工作包括对美国云计算进行安全管理,多种评估与授权模式的评估。这代表了 CIO 办公室为美国联邦政府提供云计算服务的第一步,同时为创建目前世界上最大私有云服务提供了可靠的榜样。

这个未来的评估和授权模式是由三部分组成,讲述了创建评估和授权框架的想法。美国政府为云计算定义了三种服务模型:软件形式的服务模型 (SaaS), 平台形式的服务模式 PaaS 和基础设施形式的服务模式 (IaaS). 美国联邦政府的这个标准是由联邦信息安全管理法案 FISMA 和国家标准与技术协会 (NIST) 共同要求发表的。这个标准的主要指导方针是:基于“评估一次,使用多次”的方法来鼓励对云计算系统进行更快速和更高效的获取,以此方式来提供安全授权和保证政府的透明度和开放度。

云计算安全需求基准

这份安全管理是基于 NIST 特殊发表刊物 800-53 Revision 3, 联邦信息系统和组织的安全管理建议

  1. 权限控制
  2. 认知与培训
  3. 审计与义务
  4. 评估与授权
  5. 配置管理
  6. 偶发事件的计划
  7. 确认与鉴定
  8. 事故的反应
  9. 维护
  10. 媒体的保护
  11. 机器与环境的保护
  12. 个人安全
  13. 风险评估
  14. 系统与服务的获取
  15. 系统与信息交互的保护
  16. 系统与信息的完整度

持续监控

这个想法是在系统开发生命周期中引入一种动态的,持续的监控程序,由此来判断安全管理的持续有效性。这个流程包括为云计算环境提供一种修改监听程序的能力。在这种机制下,云服务提供商是松散定义的和开放式管理的,所以联邦政府或许可以公开的给公有云服务商提供支持,其中包括: Amazon, Microsoft 和 Salesforce.com. 这里看来,文章的开始篇幅是重点介绍了私有云的示例,并且在接下来的篇幅中继续说明。

以下列表是针对所有云服务提供商所要求提供的报告和文件

  • 补丁管理 – 每月
  • FDCC 验证 – 每季度
  • 事故反应计划 – 每年
  • POAM 纠正 – 每季度
  • 管理权限改变流程 – 每年
  • 入侵测试 – 没年
  • 合作商的管理 – 每半年
  • 证明系统边界的扫描 – 每季度
  • 系统配置管理 – 每季度
  • FISMA 报告 – 每季度
  • 更新文档 – 没季度
  • 偶发事件计划与测试报告 – 每年
  • 责任矩阵的区分 – 每年
  • 信息安全认证和培训 – 每年

潜在的评估和授权方式

CIO 办公室把云计算视为消除联邦政府部门之间信息壁垒的一次机会,并且它可以为共享的系统创建一种统一的安全底线。不过,这个想法的实现难度可能很大,因为政府的预算往往会分配给指定的政府机构或者主动权的拥有者,显而易见的,他们往往不支持这样一个共享的成本结构。如果 CIO 办公室可以消除此类障碍,对于美国纳税人而言,云计算是一个主张高效与节约的政府环境的突破口。所以这就是创建 FedRAMP 的原因,她的目标是:

  • 保证政府层面使用的信息系统和服务有足够的安全性
  • 避免重复的工作和减少风险管理成本
  • 针对联邦政府部的信息系统 / 服务,启动快速的和成本效益为导向的采购

总结

总而言之,这篇文章提出了一种为实现和管理云计算而创造彻底安全与管控的计划。在这个计划中,云计算的信息管理的各个方面都被定义和表达出来了,主要目标就是通过私有机构和全球化商业 机构 来提供云计算的完美框架。针对云计算概念被政府广泛的采纳与认同,这是全新的和坚实的第一步。

这份提议可以公开评论,您可以通过 FedRAMP 在 2010 年 12 月 2 日凌晨前提交您的评论。

查看英文原文: US Government: Proposed Assessment and Authorization for Cloud Computing

2010-12-16 20:151790

评论

发布
暂无评论
发现更多内容

虚拟币交易平台开发指南:打造安全高效的虚拟货币交易系统

区块链软件开发推广运营

交易所开发 dapp开发 链游开发 NFT开发 代币开发

可信AI评估|中国信通院可信AI“大模型一体机”第二批评估正式启动

中国信通院AI Infra工作组

活动预告:“大模型时代下AI中台”主题沙龙

中国信通院AI Infra工作组

《科研智能(AI4R&D)——人工智能驱动的研发新范式》正式发布

中国信通院AI Infra工作组

一文说清楚ETL与Kafka如何实现集成

RestCloud

kafka 数据处理 分析 ETL 数据集成

“前沿思享会:探索AI+材料新边界”闭门研讨会顺利召开

中国信通院AI Infra工作组

区块链DApp开发:选择正确公链的重要性

区块链软件开发推广运营

交易所开发 dapp开发 NFT开发 公链开发 代币开发

Go 必知必会:Interface灵活而强大的类型系统

王中阳Go

接口 interface 数据类型 GO语言编程

金融安全架构设计中的反思

I

安全架构 金融服务安全 安全架构设计

LED厂家告诉您LED玻璃幕墙如何设计

Dylan

设计 艺术 LED LED display LED显示屏

阿里巴巴拍立淘API返回值:商家优化商品信息的深度指南

代码忍者

API 测试 pinduoduo API

mac苹果电脑系统优化工具:CleanMyMac X for mac 中文激活版

你的猪会飞吗

mac破解软件下载 CleanMyMac X破解版 CleanMyMac X中文

故障测试入门指南

FunTester

Amazon Bedrock 模型微调实践(二):数据准备篇

亚马逊云科技 (Amazon Web Services)

人工智能

虚拟人,如何用好这个“外挂”?一定要看看这本书!

博文视点Broadview

中国信通院启动科研智能(AI4R&D)重点标准化方向及参编专家征集工作

中国信通院AI Infra工作组

探索高质量大模型推理平台建设路径——大模型推理标准第二次研讨会即将召开

中国信通院AI Infra工作组

海尔连续3年蝉联生态品牌认证“领航者”,飞书获评“突破者” ,共建生态绿洲

ToB行业头条

语音识别与语音控制

芯动大师

语音控制

基于京东API返回值的商家商品管理策略优化

代码忍者

API 接口 API 测试 pinduoduo API

中国信通院可信人工智能基础平台(AI Infra)评估工作正式启动

中国信通院AI Infra工作组

VMware Live Site Recovery 9.0.2 发布下载,新增功能概览

sysin

vmware esxi

美国政府提议对云计算进行评估与授权_治理_James Vastbinder_InfoQ精选文章