資源描述:
《美國(guó)聯(lián)邦政府云計(jì)算安全策略分析》由會(huì)員上傳分享,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)。
1�����、美國(guó)聯(lián)邦政府云計(jì)算安全策略分析關(guān)鍵字:安全策略云安全云計(jì)算云計(jì)算在經(jīng)濟(jì)高效、敏捷和創(chuàng)新等方面的突出優(yōu)勢(shì)����,受到各國(guó)政府的廣泛重視�。文章在考察美國(guó)政府云計(jì)算安全進(jìn)展基礎(chǔ)上����,詳細(xì)分析了美國(guó)政府在云計(jì)算安全組織建立�、安全管理框架設(shè)計(jì)��、安全基線制定��、評(píng)估和授權(quán)�����、安全服務(wù)采購(gòu)等方面的策略,這些策略可以為中國(guó)政府部門采購(gòu)和管理安全的云服務(wù)提供參考���?����! ∫浴 ∮捎谠朴?jì)算在經(jīng)濟(jì)��、敏捷和創(chuàng)新方面的突出特點(diǎn)����,受到美國(guó)政府高度重視��。早在2009年1月,美國(guó)行政管理和預(yù)算局(OMB)就開(kāi)始關(guān)注云計(jì)算和虛擬化。3月維維克·昆德拉被任命為聯(lián)邦政府首席信息官委員會(huì)(CIOC)的首席
2�����、信息官后即表示將推動(dòng)政府采用云計(jì)算��,啟動(dòng)了聯(lián)邦云計(jì)算倡議(FCCI)���,成立了專門管理組織�����,包括下設(shè)于CIOC的決策機(jī)構(gòu)“FCCI執(zhí)行促進(jìn)委員會(huì)”(ESC)和顧問(wèn)機(jī)構(gòu)“FCCI云計(jì)算顧問(wèn)委員會(huì)”(CCAC)以及下設(shè)于總務(wù)管理局(GSA)的FCCI日常辦公機(jī)構(gòu)“云計(jì)算項(xiàng)目管理辦公室”(CCPMO)�����,并確定了聯(lián)邦政府云計(jì)算發(fā)展目標(biāo)���。5月份發(fā)布的2010財(cái)年美國(guó)政府預(yù)算報(bào)告的《遠(yuǎn)景分析》中明確提出要開(kāi)展云計(jì)算示范項(xiàng)目,通過(guò)優(yōu)化云計(jì)算平臺(tái)來(lái)優(yōu)化通用的服務(wù)和解決方案��,并在隨后發(fā)布了聯(lián)邦政府云服務(wù)采購(gòu)書(shū)面需求單和上線了app.gov云服務(wù)在線店面��。2010年12月份
3����、發(fā)布了《改革聯(lián)邦信息技術(shù)管理的25點(diǎn)實(shí)施計(jì)劃》����,要求聯(lián)邦政府與數(shù)據(jù)中心整合相配合�����,實(shí)施“云首選”的策略等���。2011年發(fā)布了《聯(lián)邦云計(jì)算戰(zhàn)略》,確定了云遷移的三步走決策框架以及促進(jìn)云計(jì)算發(fā)展的6方面措施?�! ≡诿绹?guó)聯(lián)邦政府大力推進(jìn)云計(jì)算的同時(shí)�,美國(guó)政府大力研究和制定云計(jì)算安全策略��。本文在簡(jiǎn)要分析美國(guó)政府云計(jì)算安全進(jìn)展的基礎(chǔ)上���,重點(diǎn)剖析了美國(guó)政府云計(jì)算安全策略����,可為我國(guó)政府發(fā)展云計(jì)算提供有價(jià)值的參考。 1美國(guó)聯(lián)邦政府云計(jì)算安全發(fā)展過(guò)程 昆德拉上任時(shí)就承認(rèn)云計(jì)算可能存在隱私泄露或其它安全隱患���,但表示不能因此而錯(cuò)過(guò)云計(jì)算的速度和效率。2009年5月召開(kāi)的云
4、計(jì)算倡議工業(yè)界峰會(huì)上���,美國(guó)產(chǎn)業(yè)界認(rèn)識(shí)到云計(jì)算在法律法規(guī)和政策以及IT安全和隱私方面的挑戰(zhàn),深入討論了云計(jì)算認(rèn)證認(rèn)可����、訪問(wèn)控制和身份管理���、數(shù)據(jù)和應(yīng)用安全�����、可移植性和互操作性以及服務(wù)級(jí)別協(xié)議(SLA)等��。5月份的《遠(yuǎn)景分析》中指出了與新技術(shù)服務(wù)交付模型相關(guān)的風(fēng)險(xiǎn)����,包括政策的變化��、動(dòng)態(tài)應(yīng)用的實(shí)施以及動(dòng)態(tài)環(huán)境的安全保障����,要求建立一個(gè)項(xiàng)目管理辦公室來(lái)實(shí)施工業(yè)界最佳實(shí)踐和政府項(xiàng)目管理方面的政策。10月份國(guó)家標(biāo)準(zhǔn)和技術(shù)研究所(NIST)在《有效安全地使用云計(jì)算范式》的研究報(bào)告中分析了云計(jì)算安全的眾多優(yōu)勢(shì)和挑戰(zhàn)�����?�! ?010年2月美國(guó)啟動(dòng)了政府范圍的云計(jì)算解決方案的安
5����、全認(rèn)證認(rèn)可過(guò)程的開(kāi)發(fā)。8月CIOC發(fā)布了《聯(lián)邦部門和機(jī)構(gòu)使用云計(jì)算的隱私建議》�����,指出云環(huán)境下隱私風(fēng)險(xiǎn)跟法律法規(guī)�、隱私數(shù)據(jù)存儲(chǔ)位置�、云服務(wù)商服務(wù)條款和隱私保護(hù)策略有關(guān),并指出了9類風(fēng)險(xiǎn)�,通過(guò)使用相關(guān)標(biāo)準(zhǔn)、簽署隱私保護(hù)的補(bǔ)充合同條款���、進(jìn)行隱私門檻分析和隱私影響評(píng)估����、充分考慮相關(guān)的隱私保護(hù)法律���,可以有效加強(qiáng)云計(jì)算環(huán)境下的隱私保護(hù)�����。9月非盈利組織MITRE給出了《政府客戶云計(jì)算SLA考慮》��。11月份��,NIST��、GSA����、CIOC以及信息安全及身份管理委員會(huì)(ISIMC)等組成的團(tuán)隊(duì)歷時(shí)18個(gè)月提出了《美國(guó)政府云計(jì)算安全評(píng)估和授權(quán)建議方案》,該方案由云計(jì)算安全要求
6�、基線、持續(xù)監(jiān)視�����、評(píng)估和授權(quán)三部分組成�。12月,在《改革聯(lián)邦信息技術(shù)管理的25點(diǎn)實(shí)施計(jì)劃》中指出安全���、互操作性���、可移植性是云計(jì)算被接納的主要障礙?�! ?011年1月國(guó)土安全部(DHS)給出了《從安全角度看云計(jì)算:聯(lián)邦I(lǐng)T管理者入門》讀本,指出了聯(lián)邦面臨的16項(xiàng)關(guān)鍵安全挑戰(zhàn):隱私�、司法、調(diào)查與電子發(fā)現(xiàn)�、數(shù)據(jù)保留、過(guò)程驗(yàn)證�、多租戶、安全評(píng)估���、共享風(fēng)險(xiǎn)�、人員安全甄選��、分布式數(shù)據(jù)中心�、物理安全����、程序編碼安全、數(shù)據(jù)泄露�����、未來(lái)的規(guī)章制度�����、云計(jì)算應(yīng)用、有能力的IT人員挑戰(zhàn)�����,NIST發(fā)布了《公共云計(jì)算安全和隱私指南》和《完全虛擬化技術(shù)安全指南》�。2月份的《聯(lián)邦云計(jì)算戰(zhàn)略
7、》指出在管理云服務(wù)時(shí)要主動(dòng)監(jiān)視和定期評(píng)估�,確保一個(gè)安全可信的環(huán)境,并做出了戰(zhàn)略部署,包括推動(dòng)聯(lián)邦風(fēng)險(xiǎn)和授權(quán)管理項(xiàng)目(FedRAMP)、DHS要每6個(gè)月或按需發(fā)布一個(gè)安全威脅TOP列表并給出合適的安全控制措施和方法����,NIST要發(fā)布一些安全技術(shù)指南��。 2011年12月OMB發(fā)布了一項(xiàng)關(guān)于“云計(jì)算環(huán)境下信息系統(tǒng)安全授權(quán)”的首席信息官備忘錄����,正式設(shè)立FedRAMP項(xiàng)目?���! ?012年2月成立了FedRAMP項(xiàng)目聯(lián)合授權(quán)委員會(huì)(JAB)并發(fā)布了《FedRAMP概念框架(CONOPS)》、《FedRAMP安全控制措施》�。 2美國(guó)聯(lián)邦政府云計(jì)算安全策略分析 2
8����、.1高度重視云計(jì)算安全和隱私、可移植性和互操作性�����,對(duì)云服務(wù)實(shí)施基于風(fēng)險(xiǎn)的管理 美國(guó)聯(lián)邦政府在
