AICon上海|与字节、阿里、腾讯等企业共同探索Agent 时代的落地应用 了解详情
写点什么

美国政府提议对云计算进行评估与授权

  • 2010-12-16
  • 本文字数:1397 字

    阅读完需:约 5 分钟

两周前,美国信息管理部办公室发表了一篇 90 页的提案:提议对美国政府云计算进行安全评估与授权。这篇提案是 NIST, GSA, ISIMC 与 CIO 理事会协同工作了 18 个月而得到的,期间的工作包括对美国云计算进行安全管理,多种评估与授权模式的评估。这代表了 CIO 办公室为美国联邦政府提供云计算服务的第一步,同时为创建目前世界上最大私有云服务提供了可靠的榜样。

这个未来的评估和授权模式是由三部分组成,讲述了创建评估和授权框架的想法。美国政府为云计算定义了三种服务模型:软件形式的服务模型 (SaaS), 平台形式的服务模式 PaaS 和基础设施形式的服务模式 (IaaS). 美国联邦政府的这个标准是由联邦信息安全管理法案 FISMA 和国家标准与技术协会 (NIST) 共同要求发表的。这个标准的主要指导方针是:基于“评估一次,使用多次”的方法来鼓励对云计算系统进行更快速和更高效的获取,以此方式来提供安全授权和保证政府的透明度和开放度。

云计算安全需求基准

这份安全管理是基于 NIST 特殊发表刊物 800-53 Revision 3, 联邦信息系统和组织的安全管理建议

  1. 权限控制
  2. 认知与培训
  3. 审计与义务
  4. 评估与授权
  5. 配置管理
  6. 偶发事件的计划
  7. 确认与鉴定
  8. 事故的反应
  9. 维护
  10. 媒体的保护
  11. 机器与环境的保护
  12. 个人安全
  13. 风险评估
  14. 系统与服务的获取
  15. 系统与信息交互的保护
  16. 系统与信息的完整度

持续监控

这个想法是在系统开发生命周期中引入一种动态的,持续的监控程序,由此来判断安全管理的持续有效性。这个流程包括为云计算环境提供一种修改监听程序的能力。在这种机制下,云服务提供商是松散定义的和开放式管理的,所以联邦政府或许可以公开的给公有云服务商提供支持,其中包括: Amazon, Microsoft 和 Salesforce.com. 这里看来,文章的开始篇幅是重点介绍了私有云的示例,并且在接下来的篇幅中继续说明。

以下列表是针对所有云服务提供商所要求提供的报告和文件

  • 补丁管理 – 每月
  • FDCC 验证 – 每季度
  • 事故反应计划 – 每年
  • POAM 纠正 – 每季度
  • 管理权限改变流程 – 每年
  • 入侵测试 – 没年
  • 合作商的管理 – 每半年
  • 证明系统边界的扫描 – 每季度
  • 系统配置管理 – 每季度
  • FISMA 报告 – 每季度
  • 更新文档 – 没季度
  • 偶发事件计划与测试报告 – 每年
  • 责任矩阵的区分 – 每年
  • 信息安全认证和培训 – 每年

潜在的评估和授权方式

CIO 办公室把云计算视为消除联邦政府部门之间信息壁垒的一次机会,并且它可以为共享的系统创建一种统一的安全底线。不过,这个想法的实现难度可能很大,因为政府的预算往往会分配给指定的政府机构或者主动权的拥有者,显而易见的,他们往往不支持这样一个共享的成本结构。如果 CIO 办公室可以消除此类障碍,对于美国纳税人而言,云计算是一个主张高效与节约的政府环境的突破口。所以这就是创建 FedRAMP 的原因,她的目标是:

  • 保证政府层面使用的信息系统和服务有足够的安全性
  • 避免重复的工作和减少风险管理成本
  • 针对联邦政府部的信息系统 / 服务,启动快速的和成本效益为导向的采购

总结

总而言之,这篇文章提出了一种为实现和管理云计算而创造彻底安全与管控的计划。在这个计划中,云计算的信息管理的各个方面都被定义和表达出来了,主要目标就是通过私有机构和全球化商业 机构 来提供云计算的完美框架。针对云计算概念被政府广泛的采纳与认同,这是全新的和坚实的第一步。

这份提议可以公开评论,您可以通过 FedRAMP 在 2010 年 12 月 2 日凌晨前提交您的评论。

查看英文原文: US Government: Proposed Assessment and Authorization for Cloud Computing

2010-12-16 20:151818

评论

发布
暂无评论
发现更多内容

解码“闺蜜机”的商业密码

脑极体

AI

2.5 亿美元融资加速升级,从子网到 Avalanche9000,Avalanche 想要改变什么

TechubNews

客观看待“去测试化”的论调

老张

软件测试 自动化测试 QA 质量保障

通过 TDengine 提升物联网平台性能的秘诀,联犀深度解析

TDengine

数据库 tdengine 时序数据库

阿里云大模型矩阵:千问&Qwen解锁多元智能

测试人

软件测试

淘宝直播间弹幕API接口(taobao.item_video_barrage)

tbapi

淘宝API接口 淘宝直播间弹幕接口 淘宝直播间数据接口 淘宝直播间弹幕API接口

Databend 为什么使用 Rust 开发?

Databend

rust语言

制造业4.0:AI与机器人如何重塑生产线

天津汇柏科技有限公司

机器人 制造业 AI 人工智能

2025 年低代码平台还存活哪些,低代码平台哪家强?

JEECG低代码

低代码 零代码 JeecgBoot 低代码平台比较 jeecg

百度安全获得中国信通院深度伪造视频检测服务评估优秀级

百度安全

JavaScript是按顺序执行的吗?聊聊JavaScript中的变量提升

不在线第一只蜗牛

JavaScript

AI口语考试APP的功能

北京木奇移动技术有限公司

AI智能体 软件外包公司 AI口语练习

仓库存储管理系统-贵金属(源码+文档+部署+讲解)

深圳亥时科技

昇思市场份额将达30%,权威机构对中国AI框架市场最新预测

极客天地

深度解析:利用API技术高效采集淘宝商品信息(涵盖价格、详情图、主图、SKU属性等)

代码忍者

API 接口 pinduoduo API

陶建辉荣登 2024 福布斯中国新时代颠覆力创始人榜单,见证创新力量的崛起

TDengine

数据库 tdengine 时序数据库

北京理工大学鲲鹏昇腾科教创新孵化中心成立  打造教育、科技、人才融合发展新标杆

极客天地

如何让 localStorage 数据实现实时响应

极限实验室

React LocalStorage web 开发

批量重命名--我用火语言RPA写了个EXE可执行文件

火语言RPA

RPA 高效办公 批量重命名软件

AI听力陪练APP的技术框架

北京木奇移动技术有限公司

软件外包公司 AI口语练习 AI听力练习

工业 4.0 赋能 | TapData 诚邀制造行业技术伙伴,共享行业数字化、智能化市场新机遇

tapdata

智能制造 实时数据集成 动态排程 质量追溯

美国政府提议对云计算进行评估与授权_治理_James Vastbinder_InfoQ精选文章