中文字幕无码久久精品,13—14同岁无码A片,99热门精品一区二区三区无码,菠萝菠萝蜜在线观看视频高清1

 首頁(yè) > 新聞 > 國(guó)際 >

美國(guó)聯(lián)邦政府云計(jì)算安全策略分析

2013-12-03 10:38:09   作者:   來(lái)源:比特網(wǎng)   評(píng)論:0  點(diǎn)擊:


  美國(guó)聯(lián)邦政府注重對(duì)云計(jì)算安全管理的頂層設(shè)計(jì)。在政策法規(guī)的指導(dǎo)下,以安全控制基線(xiàn)為基本要求,以評(píng)估和授權(quán)以及監(jiān)視為管理抓手,同時(shí)提供模板、指南等協(xié)助手段,建立了云計(jì)算安全管理的立體體系(如下圖)。

  云計(jì)算安全管理立體體系

  政策備忘錄:OMB 于2011 年12 月8 日發(fā)布,為政府級(jí)云計(jì)算安全提供方向和高級(jí)框架。

  安全控制基線(xiàn):基于N I S T 發(fā)布的S P800-53 第三版中所描述的安全控制措施指南,補(bǔ)充和增強(qiáng)了控制措施,以應(yīng)對(duì)云計(jì)算系統(tǒng)特定的安全脆弱性。FedRAMP 的安全控制基線(xiàn)于2012 年1 月6 號(hào)單獨(dú)發(fā)布。

  運(yùn)營(yíng)概念(CONOPS):提供對(duì)FedRAMP 的運(yùn)營(yíng)模型與關(guān)鍵過(guò)程的概述。

  運(yùn)營(yíng)模型:FedRAMP 的運(yùn)營(yíng)模型基于OMB 發(fā)布的政策備忘錄,明確FedRAMP 實(shí)現(xiàn)的關(guān)鍵組織,對(duì)各個(gè)組織運(yùn)營(yíng)角色與職責(zé)進(jìn)行抽象描述。

  關(guān)鍵過(guò)程:指“安全評(píng)估與授權(quán)”、“第三方評(píng)估”、“正在進(jìn)行的評(píng)估與授權(quán)”,它們?yōu)镕edRAMP 運(yùn)營(yíng)過(guò)程的三個(gè)主要功能。

  詳細(xì)的模板與指南:云服務(wù)商與第三方評(píng)估組織在FedRAMP 整個(gè)過(guò)程中需要這些文檔模板作為文檔規(guī)范。

  2.4 豐富已有安全措施規(guī)范,制定云計(jì)算安全基線(xiàn)要求

  在《推薦的聯(lián)邦信息系統(tǒng)和組織安全措施》(s p800-53)基礎(chǔ)上,根據(jù)云計(jì)算特點(diǎn),針對(duì)信息系統(tǒng)的不同等級(jí)(低影響級(jí)和中影響級(jí)),制定了云計(jì)算安全基線(xiàn)要求《FedRAMP 安全控制措施》。與傳統(tǒng)安全控制措施相比,云計(jì)算環(huán)境下需增強(qiáng)的安全控制措施包括:

  1)訪問(wèn)控制:要求定義非用戶(hù)帳戶(hù)(如設(shè)備帳戶(hù))的存活期限、采用基于角色的訪問(wèn)控制、供應(yīng)商提供安全功能列表、確定系統(tǒng)使用通知的要素、供應(yīng)商實(shí)現(xiàn)的網(wǎng)絡(luò)協(xié)議要經(jīng)過(guò)JAB 同意等。

  2)審計(jì)和可追蹤:供應(yīng)商要定義審計(jì)的事件集合、配置軟硬件的審計(jì)特性、定義審計(jì)記錄類(lèi)型并經(jīng)過(guò)同意、服務(wù)商要實(shí)現(xiàn)合法的加密算法、審計(jì)記錄90 天有效等。

  3)配置管理:要求供應(yīng)商維護(hù)軟件程序列表、建立變更控制措施和通知措施、建立集中網(wǎng)絡(luò)配置中心且配置列表符合或兼容安全內(nèi)容自動(dòng)化協(xié)議(SCAP)、確定屬性可追蹤信息等。

  4)持續(xù)性規(guī)劃:要求服務(wù)商確定關(guān)鍵的持續(xù)性人員和組織要素的列表、開(kāi)發(fā)業(yè)務(wù)持續(xù)性測(cè)試計(jì)劃、確定哪些要素需要備份、備份如何驗(yàn)證和定期檢查、至少保留用戶(hù)級(jí)信息的3份備份等。

  5)標(biāo)識(shí)和鑒別:要求供應(yīng)商確定抗重放的鑒別機(jī)制、提供特定設(shè)備列表等。

  6)事件響應(yīng):要求每天提供演練計(jì)劃、提供事件響應(yīng)人員和組織要素的列表等。

  7)維護(hù):要確定關(guān)鍵的安全信息系統(tǒng)要素或信息技術(shù)要素、確定獲取維護(hù)的期限等。

  8)介質(zhì)保護(hù):確定介質(zhì)類(lèi)型和保護(hù)方式等。

  9)物理和環(huán)境保護(hù):要確定緊急關(guān)閉的開(kāi)關(guān)位置、測(cè)量溫濕度、確定可替代的工作節(jié)點(diǎn)的管理、運(yùn)維和技術(shù)信息系統(tǒng)安全控制措施等。

  10)系統(tǒng)和服務(wù)獲。簩(duì)所有外包的服務(wù)要記錄在案并進(jìn)行風(fēng)險(xiǎn)評(píng)估、對(duì)開(kāi)發(fā)的代碼提供評(píng)估報(bào)告、確定供應(yīng)鏈威脅的應(yīng)對(duì)措施列表等。

  11)系統(tǒng)和通信保護(hù):確定拒絕服務(wù)攻擊類(lèi)型列表、使用可信網(wǎng)絡(luò)聯(lián)接傳輸聯(lián)邦信息、通信網(wǎng)絡(luò)流量通過(guò)經(jīng)鑒別的服務(wù)器轉(zhuǎn)發(fā)、使用隔離措施。

  12)系統(tǒng)和信息完整性:在信息系統(tǒng)監(jiān)視時(shí)要確定額外的指示系統(tǒng)遭到攻擊的指標(biāo)。其他方面如意識(shí)和培訓(xùn)、評(píng)估和授權(quán)、規(guī)劃、人員安全、風(fēng)險(xiǎn)評(píng)估則與傳統(tǒng)差別不大。

  2.5 主抓評(píng)估和授權(quán),加強(qiáng)安全監(jiān)視

  安全授權(quán)越來(lái)越變?yōu)橐环N高時(shí)間消耗的過(guò)程,其成本也不斷增加。政府級(jí)的風(fēng)險(xiǎn)和授權(quán)項(xiàng)目通過(guò)“一次授權(quán),多次應(yīng)用”的方式加速政府部門(mén)采用云服務(wù)的過(guò)程,節(jié)約云服務(wù)采用費(fèi)用,實(shí)現(xiàn)在政府部門(mén)內(nèi)管理目標(biāo)的開(kāi)放和透明。

  1)以第三方評(píng)估機(jī)構(gòu)作支撐,對(duì)云服務(wù)進(jìn)行安全評(píng)估

  CSP 向FedRAMP PMO 提出安全評(píng)估請(qǐng)求,并經(jīng)已獲得授權(quán)的3PAO 檢查與驗(yàn)證后,向FedRAMP PMO 提交評(píng)估材料,由FedRAMP PMO 組織專(zhuān)家組對(duì)其進(jìn)行評(píng)審。當(dāng)專(zhuān)家組通過(guò)評(píng)估后,由FedRAMP PMO 向CSP 頒發(fā)初始授權(quán)。云計(jì)算應(yīng)用部門(mén)不應(yīng)該把部門(mén)的安全責(zé)任轉(zhuǎn)嫁給CSP,政府部門(mén)以該初始授權(quán)為基礎(chǔ),頒發(fā)部門(mén)的云服務(wù)運(yùn)營(yíng)授權(quán)(ATO)。

  2)通過(guò)初始安全授權(quán),加強(qiáng)雙層授權(quán)機(jī)制

  FedRAMP PMO 維護(hù)一個(gè)初始授權(quán)以及相關(guān)安全評(píng)估材料的信息庫(kù),政府部門(mén)可以基于這些初始授權(quán)和評(píng)估材料頒發(fā)部門(mén)的服務(wù)運(yùn)營(yíng)授權(quán),政府部門(mén)也可以添加另外的安全控制。

  3)對(duì)云服務(wù)商持續(xù)監(jiān)視,保證云服務(wù)運(yùn)營(yíng)安全

  對(duì)已獲得初始授權(quán)的CSP,F(xiàn)edRAMP PMO 應(yīng)與3PAO 一同開(kāi)展對(duì)其系統(tǒng)和服務(wù)的連續(xù)監(jiān)視活動(dòng)。連續(xù)監(jiān)視需要判斷安全控制是否持續(xù)有效。

  2.6 提供SLA、合同等指導(dǎo),為云服務(wù)安全采購(gòu)提供指南

  政府部門(mén)在采用云服務(wù)、特別在采用公有云服務(wù)時(shí),將會(huì)面臨諸多嚴(yán)重安全風(fēng)險(xiǎn),如多租戶(hù)引入的安全問(wèn)題、信息安全與隱私泄露、業(yè)務(wù)連續(xù)性、廠商鎖定等諸多安全問(wèn)題。在云服務(wù)采購(gòu)合同中包含有效的SLA 內(nèi)容將會(huì)為云服務(wù)采購(gòu)及其使用過(guò)程提供充分的安全保障。

  2010 年9 月MITRE 給出的《政府客戶(hù)云計(jì)算SL A 考慮》中,對(duì)政府部門(mén)與云服務(wù)商之間的SLA 設(shè)計(jì)給出了具體的指南,指出SLA 設(shè)計(jì)要考慮如下11 方面的內(nèi)容,每個(gè)方面的內(nèi)容又劃分為具體的細(xì)項(xiàng)給予了具體的指導(dǎo):S L A 背景、服務(wù)描述、測(cè)量與關(guān)鍵性能指標(biāo)、連續(xù)性或業(yè)務(wù)中斷、安全管理、角色與責(zé)任、支付與賠償及獎(jiǎng)勵(lì)、術(shù)語(yǔ)與條件、報(bào)告指南與需求、服務(wù)管理、定義/ 術(shù)語(yǔ)表。

  另外,在合同方面,2012 年2 月發(fā)布的《聯(lián)邦政府制定有效的云計(jì)算合同——獲取IT 即服務(wù)的最佳實(shí)踐》,給出了采購(gòu)云服務(wù)的合同需求和建議,包括服務(wù)協(xié)議條款、保密協(xié)議、服務(wù)級(jí)別協(xié)議等,并分析安全、隱私、電子發(fā)現(xiàn)、信息自由訪問(wèn)、聯(lián)邦記錄保留等方面的需求并給出了具體建議。

  3 結(jié)束語(yǔ)

  本文從政府部門(mén)如何安全管理云計(jì)算的角度,重點(diǎn)分析了美國(guó)聯(lián)邦政府的云計(jì)算安全保障策略。這些策略可以為中國(guó)政府部門(mén)實(shí)施基于云服務(wù)的信息安全保障提供參考。

分享到: 收藏

專(zhuān)題