美國(guó)聯(lián)邦政府注重對(duì)云計(jì)算安全管理的頂層設(shè)計(jì)。在政策法規(guī)的指導(dǎo)下，以安全控制基線(xiàn)為基本要求，以評(píng)估和授權(quán)以及監(jiān)視為管理抓手，同時(shí)提供模板、指南等協(xié)助手段，建立了云計(jì)算安全管理的立體體系（如下圖）。

　　云計(jì)算安全管理立體體系

　　政策備忘錄：OMB 于2011 年12 月8 日發(fā)布，為政府級(jí)云計(jì)算安全提供方向和高級(jí)框架。

　　安全控制基線(xiàn)：基于N I S T 發(fā)布的S P800-53 第三版中所描述的安全控制措施指南，補(bǔ)充和增強(qiáng)了控制措施，以應(yīng)對(duì)云計(jì)算系統(tǒng)特定的安全脆弱性。FedRAMP 的安全控制基線(xiàn)于2012 年1 月6 號(hào)單獨(dú)發(fā)布。

　　運(yùn)營(yíng)概念（CONOPS）：提供對(duì)FedRAMP 的運(yùn)營(yíng)模型與關(guān)鍵過(guò)程的概述。

　　運(yùn)營(yíng)模型：FedRAMP 的運(yùn)營(yíng)模型基于OMB 發(fā)布的政策備忘錄，明確FedRAMP 實(shí)現(xiàn)的關(guān)鍵組織，對(duì)各個(gè)組織運(yùn)營(yíng)角色與職責(zé)進(jìn)行抽象描述。

　　關(guān)鍵過(guò)程：指“安全評(píng)估與授權(quán)”、“第三方評(píng)估”、“正在進(jìn)行的評(píng)估與授權(quán)”，它們?yōu)镕edRAMP 運(yùn)營(yíng)過(guò)程的三個(gè)主要功能。

　　詳細(xì)的模板與指南：云服務(wù)商與第三方評(píng)估組織在FedRAMP 整個(gè)過(guò)程中需要這些文檔模板作為文檔規(guī)范。

　　2.4 豐富已有安全措施規(guī)范，制定云計(jì)算安全基線(xiàn)要求

　　在《推薦的聯(lián)邦信息系統(tǒng)和組織安全措施》（s p800-53）基礎(chǔ)上，根據(jù)云計(jì)算特點(diǎn)，針對(duì)信息系統(tǒng)的不同等級(jí)（低影響級(jí)和中影響級(jí)），制定了云計(jì)算安全基線(xiàn)要求《FedRAMP 安全控制措施》。與傳統(tǒng)安全控制措施相比，云計(jì)算環(huán)境下需增強(qiáng)的安全控制措施包括：

　　1）訪問(wèn)控制：要求定義非用戶(hù)帳戶(hù)（如設(shè)備帳戶(hù)）的存活期限、采用基于角色的訪問(wèn)控制、供應(yīng)商提供安全功能列表、確定系統(tǒng)使用通知的要素、供應(yīng)商實(shí)現(xiàn)的網(wǎng)絡(luò)協(xié)議要經(jīng)過(guò)JAB 同意等。

　　2）審計(jì)和可追蹤：供應(yīng)商要定義審計(jì)的事件集合、配置軟硬件的審計(jì)特性、定義審計(jì)記錄類(lèi)型并經(jīng)過(guò)同意、服務(wù)商要實(shí)現(xiàn)合法的加密算法、審計(jì)記錄90 天有效等。

　　3）配置管理：要求供應(yīng)商維護(hù)軟件程序列表、建立變更控制措施和通知措施、建立集中網(wǎng)絡(luò)配置中心且配置列表符合或兼容安全內(nèi)容自動(dòng)化協(xié)議（SCAP）、確定屬性可追蹤信息等。

　　4）持續(xù)性規(guī)劃：要求服務(wù)商確定關(guān)鍵的持續(xù)性人員和組織要素的列表、開(kāi)發(fā)業(yè)務(wù)持續(xù)性測(cè)試計(jì)劃、確定哪些要素需要備份、備份如何驗(yàn)證和定期檢查、至少保留用戶(hù)級(jí)信息的3份備份等。

　　5）標(biāo)識(shí)和鑒別：要求供應(yīng)商確定抗重放的鑒別機(jī)制、提供特定設(shè)備列表等。

　　6）事件響應(yīng)：要求每天提供演練計(jì)劃、提供事件響應(yīng)人員和組織要素的列表等。

　　7）維護(hù)：要確定關(guān)鍵的安全信息系統(tǒng)要素或信息技術(shù)要素、確定獲取維護(hù)的期限等。

　　8）介質(zhì)保護(hù)：確定介質(zhì)類(lèi)型和保護(hù)方式等。

　　9）物理和環(huán)境保護(hù)：要確定緊急關(guān)閉的開(kāi)關(guān)位置、測(cè)量溫濕度、確定可替代的工作節(jié)點(diǎn)的管理、運(yùn)維和技術(shù)信息系統(tǒng)安全控制措施等。

　　10）系統(tǒng)和服務(wù)獲�。簩�(duì)所有外包的服務(wù)要記錄在案并進(jìn)行風(fēng)險(xiǎn)評(píng)估、對(duì)開(kāi)發(fā)的代碼提供評(píng)估報(bào)告、確定供應(yīng)鏈威脅的應(yīng)對(duì)措施列表等。

　　11）系統(tǒng)和通信保護(hù)：確定拒絕服務(wù)攻擊類(lèi)型列表、使用可信網(wǎng)絡(luò)聯(lián)接傳輸聯(lián)邦信息、通信網(wǎng)絡(luò)流量通過(guò)經(jīng)鑒別的服務(wù)器轉(zhuǎn)發(fā)、使用隔離措施。

　　12）系統(tǒng)和信息完整性：在信息系統(tǒng)監(jiān)視時(shí)要確定額外的指示系統(tǒng)遭到攻擊的指標(biāo)。其他方面如意識(shí)和培訓(xùn)、評(píng)估和授權(quán)、規(guī)劃、人員安全、風(fēng)險(xiǎn)評(píng)估則與傳統(tǒng)差別不大。

　　2.5 主抓評(píng)估和授權(quán)，加強(qiáng)安全監(jiān)視

　　安全授權(quán)越來(lái)越變?yōu)橐环N高時(shí)間消耗的過(guò)程，其成本也不斷增加。政府級(jí)的風(fēng)險(xiǎn)和授權(quán)項(xiàng)目通過(guò)“一次授權(quán)，多次應(yīng)用”的方式加速政府部門(mén)采用云服務(wù)的過(guò)程，節(jié)約云服務(wù)采用費(fèi)用，實(shí)現(xiàn)在政府部門(mén)內(nèi)管理目標(biāo)的開(kāi)放和透明。

　　1）以第三方評(píng)估機(jī)構(gòu)作支撐，對(duì)云服務(wù)進(jìn)行安全評(píng)估

　　CSP 向FedRAMP PMO 提出安全評(píng)估請(qǐng)求，并經(jīng)已獲得授權(quán)的3PAO 檢查與驗(yàn)證后，向FedRAMP PMO 提交評(píng)估材料，由FedRAMP PMO 組織專(zhuān)家組對(duì)其進(jìn)行評(píng)審。當(dāng)專(zhuān)家組通過(guò)評(píng)估后，由FedRAMP PMO 向CSP 頒發(fā)初始授權(quán)。云計(jì)算應(yīng)用部門(mén)不應(yīng)該把部門(mén)的安全責(zé)任轉(zhuǎn)嫁給CSP，政府部門(mén)以該初始授權(quán)為基礎(chǔ)，頒發(fā)部門(mén)的云服務(wù)運(yùn)營(yíng)授權(quán)（ATO）。

　　2）通過(guò)初始安全授權(quán)，加強(qiáng)雙層授權(quán)機(jī)制

　　FedRAMP PMO 維護(hù)一個(gè)初始授權(quán)以及相關(guān)安全評(píng)估材料的信息庫(kù)，政府部門(mén)可以基于這些初始授權(quán)和評(píng)估材料頒發(fā)部門(mén)的服務(wù)運(yùn)營(yíng)授權(quán)，政府部門(mén)也可以添加另外的安全控制。

　　3）對(duì)云服務(wù)商持續(xù)監(jiān)視，保證云服務(wù)運(yùn)營(yíng)安全

　　對(duì)已獲得初始授權(quán)的CSP，F(xiàn)edRAMP PMO 應(yīng)與3PAO 一同開(kāi)展對(duì)其系統(tǒng)和服務(wù)的連續(xù)監(jiān)視活動(dòng)。連續(xù)監(jiān)視需要判斷安全控制是否持續(xù)有效。

　　2.6 提供SLA、合同等指導(dǎo)，為云服務(wù)安全采購(gòu)提供指南

　　政府部門(mén)在采用云服務(wù)、特別在采用公有云服務(wù)時(shí)，將會(huì)面臨諸多嚴(yán)重安全風(fēng)險(xiǎn)，如多租戶(hù)引入的安全問(wèn)題、信息安全與隱私泄露、業(yè)務(wù)連續(xù)性、廠商鎖定等諸多安全問(wèn)題。在云服務(wù)采購(gòu)合同中包含有效的SLA 內(nèi)容將會(huì)為云服務(wù)采購(gòu)及其使用過(guò)程提供充分的安全保障。

　　2010 年9 月MITRE 給出的《政府客戶(hù)云計(jì)算SL A 考慮》中，對(duì)政府部門(mén)與云服務(wù)商之間的SLA 設(shè)計(jì)給出了具體的指南，指出SLA 設(shè)計(jì)要考慮如下11 方面的內(nèi)容，每個(gè)方面的內(nèi)容又劃分為具體的細(xì)項(xiàng)給予了具體的指導(dǎo)：S L A 背景、服務(wù)描述、測(cè)量與關(guān)鍵性能指標(biāo)、連續(xù)性或業(yè)務(wù)中斷、安全管理、角色與責(zé)任、支付與賠償及獎(jiǎng)勵(lì)、術(shù)語(yǔ)與條件、報(bào)告指南與需求、服務(wù)管理、定義/ 術(shù)語(yǔ)表。

　　另外，在合同方面，2012 年2 月發(fā)布的《聯(lián)邦政府制定有效的云計(jì)算合同——獲取IT 即服務(wù)的最佳實(shí)踐》，給出了采購(gòu)云服務(wù)的合同需求和建議，包括服務(wù)協(xié)議條款、保密協(xié)議、服務(wù)級(jí)別協(xié)議等，并分析安全、隱私、電子發(fā)現(xiàn)、信息自由訪問(wèn)、聯(lián)邦記錄保留等方面的需求并給出了具體建議。

　　3 結(jié)束語(yǔ)

　　本文從政府部門(mén)如何安全管理云計(jì)算的角度，重點(diǎn)分析了美國(guó)聯(lián)邦政府的云計(jì)算安全保障策略。這些策略可以為中國(guó)政府部門(mén)實(shí)施基于云服務(wù)的信息安全保障提供參考。