美国联邦政府云计算安全策略分析

　　云计算在经济高效、敏捷和创新等方面的突出优势，受到各国政府的广泛重视。文章在考察美国政府云计算安全进展基础上，详细分析了美国政府在云计算安全组织建立、安全管理框架设计、安全基线制定、评估和授权、安全服务采购等方面的策略，这些策略可以为中国政府部门采购和管理安全的云服务提供参考。

　　引言

　　由于云计算在经济、敏捷和创新方面的突出特点，受到美国政府高度重视。早在2009 年1 月， 美国行政管理和预算局（OMB）就开始关注云计算和虚拟化。3 月维维克·昆德拉被任命为联邦政府首席信息官委员会（CIOC）的首席信息官后即表示将推动政府采用云计算，启动了联邦云计算倡议（FCCI），成立了专门管理组织，包括下设于CIOC 的决策机构“FCCI 执行促进委员会”（ESC）和顾问机构“FCCI 云计算顾问委员会”（CCAC）以及下设于总务管理局（GSA）的FCCI 日常办公机构“云计算项目管理办公室”（CCPMO），并确定了联邦政府云计算发展目标。5 月份发布的2010 财年美国政府预算报告的《远景分析》中明确提出要开展云计算示范项目，通过优化云计算平台来优化通用的服务和解决方案，并在随后发布了联邦政府云服务采购书面需求单和上线了app.gov 云服务在线店面。2010 年12 月份发布了《改革联邦信息技术管理的25 点实施计划》，要求联邦政府与数据中心整合相配合，实施“云首选”的策略等。2011 年发布了《联邦云计算战略》，确定了云迁移的三步走决策框架以及促进云计算发展的6 方面措施。

　　在美国联邦政府大力推进云计算的同时，美国政府大力研究和制定云计算安全策略。本文在简要分析美国政府云计算安全进展的基础上，重点剖析了美国政府云计算安全策略，可为我国政府发展云计算提供有价值的参考。

　　1. 美国联邦政府云计算安全发展过程

　　昆德拉上任时就承认云计算可能存在隐私泄露或其它安全隐患，但表示不能因此而错过云计算的速度和效率。2009 年5月召开的云计算倡议工业界峰会上，美国产业界认识到云计算在法律法规和政策以及I T 安全和隐私方面的挑战，深入讨论了云计算认证认可、访问控制和身份管理、数据和应用安全、可移植性和互操作性以及服务级别协议（S L A）等。5 月份的《远景分析》中指出了与新技术服务交付模型相关的风险，包括政策的变化、动态应用的实施以及动态环境的安全保障，要求建立一个项目管理办公室来实施工业界最佳实践和政府项目管理方面的政策。10 月份国家标准和技术研究所（NIST）在《有效安全地使用云计算范式》的研究报告中分析了云计算安全的众多优势和挑战。

　　2010 年2 月美国启动了政府范围的云计算解决方案的安全认证认可过程的开发。8 月CIOC 发布了《联邦部门和机构使用云计算的隐私建议》，指出云环境下隐私风险跟法律法规、隐私数据存储位置、云服务商服务条款和隐私保护策略有关，并指出了9 类风险，通过使用相关标准、签署隐私保护的补充合同条款、进行隐私门槛分析和隐私影响评估、充分考虑相关的隐私保护法律，可以有效加强云计算环境下的隐私保护。9 月非盈利组织MITRE 给出了《政府客户云计算SL A 考虑》。11 月份，NIST、GSA、CIOC 以及信息安全及身份管理委员会（ISIMC）等组成的团队历时18 个月提出了《美国政府云计算安全评估和授权建议方案》，该方案由云计算安全要求基线、持续监视、评估和授权三部分组成。12月，在《改革联邦信息技术管理的25 点实施计划》中指出安全、互操作性、可移植性是云计算被接纳的主要障碍。

　　2011 年1 月国土安全部（ DHS ） 给出了《从安全角度看云计算：联邦IT 管理者入门》读本，指出了联邦面临的16 项关键安全挑战：隐私、司法、调查与电子发现、数据保留、过程验证、多租户、安全评估、共享风险、人员安全甄选、分布式数据中心、物理安全、程序编码安全、数据泄露、未来的规章制度、云计算应用、有能力的IT人员挑战，NIST 发布了《公共云计算安全和隐私指南》和《完全虚拟化技术安全指南》。2 月份的《联邦云计算战略》指出在管理云服务时要主动监视和定期评估，确保一个安全可信的环境，并做出了战略部署，包括推动联邦风险和授权管理项目（FedRAMP）、DHS 要每6个月或按需发布一个安全威胁TOP 列表并给出合适的安全控制措施和方法，NIST 要发布一些安全技术指南。

　　2011 年12 月OMB 发布了一项关于“云计算环境下信息系统安全授权”的首席信息官备忘录，正式设立FedRAMP 项目。

　　2012 年2 月成立了FedRAMP 项目联合授权委员会（JAB）并发布了《FedRAMP 概念框架（CONOPS）》、《FedRAMP 安全控制措施》。

　　2. 美国联邦政府云计算安全策略分析

　　2.1 高度重视云计算安全和隐私、可移植性和互操作性，对云服务实施基于风险的管理

　　美国联邦政府在推动云计算一开始就认识到云计算安全和隐私、可移植性和互操作性是云计算被接纳的主要障碍，并给予了高度重视。美国联邦政府认为，对于云服务要实施基于风险的安全管理，在控制风险的基础上，充分利用云计算高效、快捷、利于革新等重要优势，并启动了联邦风险和授权管理项目（FedRAMP）。

　　2.2 加强云计算安全管理，明确安全管理相关方及其职责

　　首先，明确了云计算安全管理的政府部门角色及其职责：

　　1） 联合授权委员会（JAB）：成立了由国防部（DOD）、DHS、GSA 三方组成的联合授权委员会JAB，主要负责制定更新安全基线要求、批准第三方评估机构认可标准、设立优先顺序并评审云服务授权包、对云服务供应进行初始授权等；2）FedRAMP 项目管理办公室（FedRAMPPMO）：设立于GSA，负责管理评估、授权、持续监视过程等， 并与NIST 合作实施对第三方评估组织的符合性评估；3）国土安全部：主要负责监视、响应、报告安全事件，为可信互联网联接提供指南等；4）各执行部门或机构：按照DHS、JAB 等要求评估、授权、使用和监视云服务等，并每年4 月向CIOC 提供由本部门CIO 和CFO 签发的认证；5）首席信息官委员会：负责出版和分发来自FedRAMP PMO 和JAB 的信息。

　　其次，明确了FedRAMP 项目相关方的角色和职责（如图1）。这些角色中除了DHS、JAB、FedRAMPPMO、各执行部门或机构、CIOC 外，还包括云服务商（CSP）和第三方评估组织（3PAO）。云服务商实现安全控制措施；创建满足FedRAMP 需求的安全评估包；与第三方评估机构联系，执行初始的系统评估，以及运行中所需的评估与授权；维护连续监视项目；遵从有关变更管理和安全事件报告的联邦需求。

　　第三方评估组织保持满足FedRAMP 所需的独立性和技术优势；对CSP 系统执行独立评估，并创建满足FedRAMP 需求的安全评估包清单。

　　FedRAMP 项目相关方的角色和职责

　　2.3 注重云计算安全管理的顶层设计