尹丽波:美国云计算服务安全审查值得借鉴

工业和信息化部电子科学技术情报研究所总工程师尹丽波日前在接受专访时指出,美国联邦政府对云计算服务的应用推广和安全管理很值得我国借鉴和参考。

尹丽波介绍说,云计算因其节约成本、维护方便、配置灵活已经成为各国政府优先推进发展的一项服务。美、英、澳大利亚等国家纷纷出台了相关发展政策,有计划的促进了政府部门信息系统向云计算平台的迁移。但是也应该看到,政府部门采用云计算服务也给其敏感数据和重要业务的安全带来了安全挑战。美国作为云计算服务应用的倡导者,一方面推出“云优先战略”,要求大量联邦政府信息系统迁移到“云端”,另一方面为确保安全,要求为联邦政府提供的云计算服务必须通过安全审查。

尹丽波表示,美国联邦政府对云计算服务的应用推广和安全管理经历了四个过程和阶段。

首先,从“花钱建系统”到“花钱买服务”,以云计算战略为先导,推进联邦政府云计算安全应用。

2009年,奥巴马政府提出《联邦云计算动议》,在联邦政府首席信息官委员会下设执行促进委员会和云计算顾问委员会,在总务署设立云计算项目管理办公室,确立了联邦政府云计算发展目标和工作职责,开始推广云计算应用。2010年,联邦预算管理局发布《改革联邦信息技术管理的25点实施计划》,实施“云优先”策略,要求将业务系统逐步迁移到云计算平台中,截至2015年要消减800个联邦数据中心。2011年,美国发布《联邦云计算战略》,明确联邦政府向云计算迁移的具体规划,创造安全的云计算应用环境。同年,国土安全部制定《从安全角度看云计算:联邦信息技术管理者入门》,指出了联邦政府面临的16项关键安全挑战。国家标准与技术研究院发布了《公共云计算安全和隐私指南》和《完全虚拟化技术安全指南》两项标准,为联邦政府下一步建立云计算服务安全审查制度做好了政策铺垫。

第二,从“谁审查,谁使用”到“统一审查,多方使用”,以风险管理和审查授权为核心,建立云计算服务审查制度。

2011年,联邦预算管理局发布首席信息官备忘录《云计算环境信息系统安全授权》,正式启动了云计算的《联邦风险及授权管理计划》(FedRAMP)。根据《联邦信息安全管理法案》,联邦政府的信息系统在联邦信息系统安全管理框架下,根据相关标准采取了安全措施后,都要进行安全评估。而对于各联邦政府部门采购云计算服务,FedRAMP采取了由第三方评估机构根据相关标准对云计算服务进行安全风险评估,FedRAMP根据评估结果进行审查,对通过审查的云计算服务给予初始授权。各联邦政府部门均可在初始授权名单里根据自身需求选择云计算服务,做到了统一审查,多方使用的高效管理,各联邦政府部门可共享安全评估与审查结果,避免了重复评估和审查。

第三,成立专门的审查机构,引入第三方评估机制,建立云计算安全管理保障机制。

FedRAMP建立了完善的云计算服务安全审查机制,明确了云计算安全管理的政府角色及职责。一是成立领导决策机构——联合授权委员会,由国防部、国土安全部、总务署三方组成,负责制定联邦政府云计算服务安全控制基线要求、批准第三方机构认定标准、对云计算服务进行初始授权等;二是设立隶属于总务署的FedRAMP项目管理办公室,负责日常管理安全评估、授权、持续监督等,并与国家标准与技术研究院合作对第三方机构进行能力认定和日常管理;三是明确云计算服务监督职责,由国土安全部负责监视、响应、报告安全事件;四是引入第三方评估机制,第三方机构必须满足FedRAMP所需的独立性和技术要求,对云计算服务执行独立的安全评估。

第四,注重审查的顶层设计,从“事前审查”到“事后监管”,建立一系列标准化的方法体系与审查程序。

美国联邦政府注重对云计算安全管理的顶层设计,以《联邦信息安全管理法案》为法律依据,《联邦信息资源管理》为政策依据,在国家标准《联邦信息系统和组织的安全及隐私控制》(SP800-53)基础上,形成了云计算安全基线要求,并以第三方机构认定、云计算服务审查、云计算服务持续监管三大关键环节为抓手,提供了十余部标准化的模板、程序与指南材料,建立了联邦政府云计算服务安全审查体系。同时,FedRAMP明确要求联邦机构从2014年6月起,必须采购和使用满足安全审查要求的云计算服务。截止目前,FedRAMP共认定了27家从事云计算服务安全评估的第三方机构,并已有11家云计算服务商的12项云计算服务通过了安全审查。

尹丽波表示,奥巴马政府通过颁布一揽子战略规划、政策法规、标准指南,建立了云计算服务审查制度与授权机制,使分散、重复、低效的政府云计算服务审批体系有序、统一、高效地运行,值得我国借鉴和参考。

首先,不断强化政府和涉及国家安全领域的网络安全管理。从克林顿政府的《国家信息安全保障采购政策》,到小布什政府的《联邦信息安全管理法案》和《联邦机构安全保障和评估产品采购使用指南》,再到奥巴马政府针对联邦云计算服务颁布的《联邦风险及授权管理计划》,美国始终采取做“加法”的思路,开展政府信息系统网络安全审查,有力保障了其要害部门的网络安全。

其次,云计算服务审查管理和协调机构的绝对权威性,是各项制度、标准得以顺利执行和实施的根本保障。国防部、国土安全部、总务署作为美国联邦最高安全决策和政府服务保障机构,对所有联邦机构具有很强的影响力、协调力和领导力,有力保证了各项审查法规、政策和标准的全面贯彻执行。

再次,云计算服务审查政策、标准完善,是规范云计算服务审查工作程序、提高审查效率的基础。完善的政策法规和标准模板既为联邦云计算服务安全审查提供了制度保障,又强化了云计算服务供应商对审查结果的认可度,有利于维护审查的公信力。同时,按照统一标准,也减少了重复审查,提高了审查结果的利用率。

最后,注重云计算服务过程中的持续监测和评估,不断推动云计算服务的安全应用。通过要求云计算服务商定期提交网络安全自我评估报告、风险态势变更报告,以及制定网络安全事件响应计划,并提交第三方机构进行独立安全测评,从而建立了云计算服务监督管理的常态机制,确保了云计算服务在联邦政府的安全推广应用。

(责任编辑:mengyishan)

时间: 2024-10-23 20:28:31

尹丽波:美国云计算服务安全审查值得借鉴的相关文章

工信部尹丽波:中国网络安全产业规模已超700亿元

作为互联网建设的重点之一,网络安全一是关注的焦点. 就新时期全球网络安全形势,全球网络安全规则体系和中国网络安全产业发展等问题,21世纪经济报道记者近期专访了工信部电子科学技术情报研究所总工程师尹丽波. 对网络安全的重视在不断的加强 <21世纪>:过去的一年,涌现了怎样的国际网络安全新形势?有哪些新的国际国内网络安全问题? 尹丽波:首先,世界各国对网络安全的重视在不断的加强.各国现在都把网络安全重要视作国家安全的组成部分,并且在不断提升到更重要的层次,国家之间的合作对话正在不断加强. 其次,网

苹果iCloud成美国最受欢迎云计算服务

北京时间3月23日凌晨消息,美国市场研究公司Strategy Analytics发布报告称,苹果iCloud是美国消费者使用量最大的云计算服务. 报告显示,iCloud在美国云计算服务市场上所占份额为27%,高居首位:云存储服务Dropbox排名第二,份额为17%:亚马逊第三,份额为15%:谷歌云存储服务Google Drive第四,份额为10%:云电影服务Ultraviolet第五,份额仅为4%. Strategy Analytics对2300人进行了调查,发现在20到24岁的年轻人中云存储服

“棱镜”曝光促使美国云计算产业亏损高达350亿美元

硅谷网讯 据国外媒体报道,位于美国华盛顿的独立政策智囊团"信息技术与创新基金会"(Information Technology & Innovation Foundation)周一发布报告称,因为对 美国国家安全局电子监控项目的顾虑,美国云计算产业在未来 三年内将亏损215亿美元至350亿美元. 这也是自美国国家安全局的电子监控项目被曝光之后,外界首次认真的对包括亚马逊.谷歌(微博)和微软在内的云计算服务提供商将受到什么影响进行评估.越来越多的证据表明,由于非美国公司担心美国国

【阿里云资讯】阿里云电子政务云平台首批通过党政部门云服务网络安全审查

9月19日,在2016年国家网络安全宣传周上,中央网信办宣布,经过多轮评议,阿里云电子政务云平台通过党政部门云计算服务网络安全审查(增强级). 据悉,阿里云提供的电子政务云平台首批参与党政部门云计算服务网络安全审查的服务商.去年以来,中央网信办组织中国电子标准化研究院作为第三方机构,分别从开发与供应链安全.系统与通信保护.维护.应急响应与灾备.审计.风险评估与持续监控等10个方面对阿里云电子政务云平台开展了安全审查. 经过一年半的努力,阿里云电子政务云平台安全能力基本符合GB/T 31168-2

“棱镜”导致美国云计算产业损失350亿美元

[导读]出于对美国电子监控项目的顾虑,非美国公司正在取消或减少使用美国云计算服务. 腾讯科技讯(明轩)北京时间8月6日消息,据国外媒体报道,位于美国华盛顿的独立政策智囊团"信息技术与创新基金会"(Information Technology & Innovation Foundation)周一发布报告称,因为对 美国国家安全局电子监控项目的顾虑,美国云计算产业在未来 三年内将亏损215亿美元至350亿美元.这也是自美国国家安全局的电子监控项目被 曝光之后,外界首次认真的对包括亚

消息称欧盟拟封杀美国云计算服务商

摘要:来自欧盟的内部消息称,欧盟已经在讨论禁止美国公司在欧洲提供云计算服务事宜,旨在迫使美国调整其相关法规. http://www.aliyun.com/zixun/aggregation/17197.html">北京时间7月8日晚间消息,科技网站TechEYE.net援引知情人士的消息称,欧盟计划封杀欧洲市场上由美国公司提供的云计算服务. 该知情人士称,美国试图将其<爱国法案>(Partriot Act)应用到由美国公司在欧洲市场上提供的全部云计算服务中,而欧盟对此大为恼火.

Gartner:今年全球云计算服务收入将达683亿美元

中介交易 SEO诊断 淘宝客 云主机 技术大厅 北京时间6月24日早间消息,据国外媒体报道,美国市场研究公司Gartner今天发布报告称,2010年全球云计算服务收入有望达到 683亿美元,较2009年的586亿美元增加16.6%.此后仍将保持强劲增长,到2014年全球收入预计将达到1488亿美元. Gartner研究副总裁本·普龄(Ben Pring)说:"我们看到云计算和云计算服务在企业中的使用率呈现加速增长态势.而且随着技术供应商加紧调整策略,希望抓住不断增长的商业机遇,供应活动也出现了爆

企业面对云计算服务是租赁还是自建?

  任何财务顾问都会告诉你自主持有要比租赁合适,但是在提及云计算时,实用性却被忽略了. 越来越多的企业按月向云提供商支付订阅费用,从而快速访问最新和最好的基础架构.平台以及他们无法购买得起的应用.现在,租赁IT平台.应用于运维市场非常火爆,企业可以获取任何事物即服务(XaaS),他们期望这些服务能够降低IT成本. 根据2012 媒体针对1500名IT人员的调查,我们发现差不多四分之三(73%)的IT人士使用公有云服务的首要原因是节省成本. 但是长期来看,云服务最终会比本地IT成本多得多,这也是为

揭秘美国云计算 大企业是第一推动力

本文讲的是揭秘美国云计算 大企业是第一推动力,最先在企业内部进行云计算部署实践的几家企业,如谷歌.亚马逊.微软,在云计算方面投入最大的前若干名公司,如HP.IBM等,都是总部设在美国的跨国企业,同时,围绕着这些巨头也出现了很多中小企业提供云计算产业上下游某个环节的产品服务,出现了众多可行的云计算商业模式.回顾这5年来云计算在 美国的发展,观察分析参与其中各方--企业.政府.机构的表现举措,对我国的云计算产业发展将有非常积极的借鉴意义.  互联网巨头出于自身需要发展出了云计算服务  在云计算概念提