美国联邦政府云计算安全策略分析

　　美国联邦政府注重对云计算安全管理的顶层设计。在政策法规的指导下，以安全控制基线为基本要求，以评估和授权以及监视为管理抓手，同时提供模板、指南等协助手段，建立了云计算安全管理的立体体系（如下图）。

　　云计算安全管理立体体系

　　政策备忘录：OMB 于2011 年12 月8 日发布，为政府级云计算安全提供方向和高级框架。

　　安全控制基线：基于N I S T 发布的S P800-53 第三版中所描述的安全控制措施指南，补充和增强了控制措施，以应对云计算系统特定的安全脆弱性。FedRAMP 的安全控制基线于2012 年1 月6 号单独发布。

　　运营概念（CONOPS）：提供对FedRAMP 的运营模型与关键过程的概述。

　　运营模型：FedRAMP 的运营模型基于OMB 发布的政策备忘录，明确FedRAMP 实现的关键组织，对各个组织运营角色与职责进行抽象描述。

　　关键过程：指“安全评估与授权”、“第三方评估”、“正在进行的评估与授权”，它们为FedRAMP 运营过程的三个主要功能。

　　详细的模板与指南：云服务商与第三方评估组织在FedRAMP 整个过程中需要这些文档模板作为文档规范。

　　2.4 丰富已有安全措施规范，制定云计算安全基线要求

　　在《推荐的联邦信息系统和组织安全措施》（s p800-53）基础上，根据云计算特点，针对信息系统的不同等级（低影响级和中影响级），制定了云计算安全基线要求《FedRAMP 安全控制措施》。与传统安全控制措施相比，云计算环境下需增强的安全控制措施包括：

　　1）访问控制：要求定义非用户帐户（如设备帐户）的存活期限、采用基于角色的访问控制、供应商提供安全功能列表、确定系统使用通知的要素、供应商实现的网络协议要经过JAB 同意等。

　　2）审计和可追踪：供应商要定义审计的事件集合、配置软硬件的审计特性、定义审计记录类型并经过同意、服务商要实现合法的加密算法、审计记录90 天有效等。

　　3）配置管理：要求供应商维护软件程序列表、建立变更控制措施和通知措施、建立集中网络配置中心且配置列表符合或兼容安全内容自动化协议（SCAP）、确定属性可追踪信息等。

　　4）持续性规划：要求服务商确定关键的持续性人员和组织要素的列表、开发业务持续性测试计划、确定哪些要素需要备份、备份如何验证和定期检查、至少保留用户级信息的3份备份等。

　　5）标识和鉴别：要求供应商确定抗重放的鉴别机制、提供特定设备列表等。

　　6）事件响应：要求每天提供演练计划、提供事件响应人员和组织要素的列表等。

　　7）维护：要确定关键的安全信息系统要素或信息技术要素、确定获取维护的期限等。

　　8）介质保护：确定介质类型和保护方式等。

　　9）物理和环境保护：要确定紧急关闭的开关位置、测量温湿度、确定可替代的工作节点的管理、运维和技术信息系统安全控制措施等。

　　10）系统和服务获取：对所有外包的服务要记录在案并进行风险评估、对开发的代码提供评估报告、确定供应链威胁的应对措施列表等。

　　11）系统和通信保护：确定拒绝服务攻击类型列表、使用可信网络联接传输联邦信息、通信网络流量通过经鉴别的服务器转发、使用隔离措施。

　　12）系统和信息完整性：在信息系统监视时要确定额外的指示系统遭到攻击的指标。其他方面如意识和培训、评估和授权、规划、人员安全、风险评估则与传统差别不大。

　　2.5 主抓评估和授权，加强安全监视

　　安全授权越来越变为一种高时间消耗的过程，其成本也不断增加。政府级的风险和授权项目通过“一次授权，多次应用”的方式加速政府部门采用云服务的过程，节约云服务采用费用，实现在政府部门内管理目标的开放和透明。

　　1）以第三方评估机构作支撑，对云服务进行安全评估

　　CSP 向FedRAMP PMO 提出安全评估请求，并经已获得授权的3PAO 检查与验证后，向FedRAMP PMO 提交评估材料，由FedRAMP PMO 组织专家组对其进行评审。当专家组通过评估后，由FedRAMP PMO 向CSP 颁发初始授权。云计算应用部门不应该把部门的安全责任转嫁给CSP，政府部门以该初始授权为基础，颁发部门的云服务运营授权（ATO）。

　　2）通过初始安全授权，加强双层授权机制

　　FedRAMP PMO 维护一个初始授权以及相关安全评估材料的信息库，政府部门可以基于这些初始授权和评估材料颁发部门的服务运营授权，政府部门也可以添加另外的安全控制。

　　3）对云服务商持续监视，保证云服务运营安全

　　对已获得初始授权的CSP，FedRAMP PMO 应与3PAO 一同开展对其系统和服务的连续监视活动。连续监视需要判断安全控制是否持续有效。

　　2.6 提供SLA、合同等指导，为云服务安全采购提供指南

　　政府部门在采用云服务、特别在采用公有云服务时，将会面临诸多严重安全风险，如多租户引入的安全问题、信息安全与隐私泄露、业务连续性、厂商锁定等诸多安全问题。在云服务采购合同中包含有效的SLA 内容将会为云服务采购及其使用过程提供充分的安全保障。

　　2010 年9 月MITRE 给出的《政府客户云计算SL A 考虑》中，对政府部门与云服务商之间的SLA 设计给出了具体的指南，指出SLA 设计要考虑如下11 方面的内容，每个方面的内容又划分为具体的细项给予了具体的指导：S L A 背景、服务描述、测量与关键性能指标、连续性或业务中断、安全管理、角色与责任、支付与赔偿及奖励、术语与条件、报告指南与需求、服务管理、定义/ 术语表。

　　另外，在合同方面，2012 年2 月发布的《联邦政府制定有效的云计算合同——获取IT 即服务的最佳实践》，给出了采购云服务的合同需求和建议，包括服务协议条款、保密协议、服务级别协议等，并分析安全、隐私、电子发现、信息自由访问、联邦记录保留等方面的需求并给出了具体建议。

　　3 结束语

　　本文从政府部门如何安全管理云计算的角度，重点分析了美国联邦政府的云计算安全保障策略。这些策略可以为中国政府部门实施基于云服务的信息安全保障提供参考。