立即领取|华润集团、宁德核电、东风岚图等 20+ 标杆企业数字化人才培养实践案例 了解详情
写点什么

美国政府提议对云计算进行评估与授权

  • 2010-12-16
  • 本文字数:1397 字

    阅读完需:约 5 分钟

两周前,美国信息管理部办公室发表了一篇 90 页的提案:提议对美国政府云计算进行安全评估与授权。这篇提案是 NIST, GSA, ISIMC 与 CIO 理事会协同工作了 18 个月而得到的,期间的工作包括对美国云计算进行安全管理,多种评估与授权模式的评估。这代表了 CIO 办公室为美国联邦政府提供云计算服务的第一步,同时为创建目前世界上最大私有云服务提供了可靠的榜样。

这个未来的评估和授权模式是由三部分组成,讲述了创建评估和授权框架的想法。美国政府为云计算定义了三种服务模型:软件形式的服务模型 (SaaS), 平台形式的服务模式 PaaS 和基础设施形式的服务模式 (IaaS). 美国联邦政府的这个标准是由联邦信息安全管理法案 FISMA 和国家标准与技术协会 (NIST) 共同要求发表的。这个标准的主要指导方针是:基于“评估一次,使用多次”的方法来鼓励对云计算系统进行更快速和更高效的获取,以此方式来提供安全授权和保证政府的透明度和开放度。

云计算安全需求基准

这份安全管理是基于 NIST 特殊发表刊物 800-53 Revision 3, 联邦信息系统和组织的安全管理建议

  1. 权限控制
  2. 认知与培训
  3. 审计与义务
  4. 评估与授权
  5. 配置管理
  6. 偶发事件的计划
  7. 确认与鉴定
  8. 事故的反应
  9. 维护
  10. 媒体的保护
  11. 机器与环境的保护
  12. 个人安全
  13. 风险评估
  14. 系统与服务的获取
  15. 系统与信息交互的保护
  16. 系统与信息的完整度

持续监控

这个想法是在系统开发生命周期中引入一种动态的,持续的监控程序,由此来判断安全管理的持续有效性。这个流程包括为云计算环境提供一种修改监听程序的能力。在这种机制下,云服务提供商是松散定义的和开放式管理的,所以联邦政府或许可以公开的给公有云服务商提供支持,其中包括: Amazon, Microsoft 和 Salesforce.com. 这里看来,文章的开始篇幅是重点介绍了私有云的示例,并且在接下来的篇幅中继续说明。

以下列表是针对所有云服务提供商所要求提供的报告和文件

  • 补丁管理 – 每月
  • FDCC 验证 – 每季度
  • 事故反应计划 – 每年
  • POAM 纠正 – 每季度
  • 管理权限改变流程 – 每年
  • 入侵测试 – 没年
  • 合作商的管理 – 每半年
  • 证明系统边界的扫描 – 每季度
  • 系统配置管理 – 每季度
  • FISMA 报告 – 每季度
  • 更新文档 – 没季度
  • 偶发事件计划与测试报告 – 每年
  • 责任矩阵的区分 – 每年
  • 信息安全认证和培训 – 每年

潜在的评估和授权方式

CIO 办公室把云计算视为消除联邦政府部门之间信息壁垒的一次机会,并且它可以为共享的系统创建一种统一的安全底线。不过,这个想法的实现难度可能很大,因为政府的预算往往会分配给指定的政府机构或者主动权的拥有者,显而易见的,他们往往不支持这样一个共享的成本结构。如果 CIO 办公室可以消除此类障碍,对于美国纳税人而言,云计算是一个主张高效与节约的政府环境的突破口。所以这就是创建 FedRAMP 的原因,她的目标是:

  • 保证政府层面使用的信息系统和服务有足够的安全性
  • 避免重复的工作和减少风险管理成本
  • 针对联邦政府部的信息系统 / 服务,启动快速的和成本效益为导向的采购

总结

总而言之,这篇文章提出了一种为实现和管理云计算而创造彻底安全与管控的计划。在这个计划中,云计算的信息管理的各个方面都被定义和表达出来了,主要目标就是通过私有机构和全球化商业 机构 来提供云计算的完美框架。针对云计算概念被政府广泛的采纳与认同,这是全新的和坚实的第一步。

这份提议可以公开评论,您可以通过 FedRAMP 在 2010 年 12 月 2 日凌晨前提交您的评论。

查看英文原文: US Government: Proposed Assessment and Authorization for Cloud Computing

2010-12-16 20:151658

评论

发布
暂无评论
发现更多内容

18M 超轻量系统开源

百度开发者中心

Python教程:抽象类与归一化,Python多线程断点续传

程序媛可鸥

Python 程序员 面试

AI+生物计算:用计算机视觉技术理解细胞生命

百度开发者中心

Python 开发编码规范,阿里面试100%会问到的JVM

程序媛可鸥

Python 程序员 面试

Python“鉴黄”小程序,我离职后面试收割小米等大厂offer

程序媛可鸥

Python 程序员 面试

从硬件到软件,教你从零搭建智慧农业大脑

华为云开发者联盟

物联网 智慧农业 华为云IoT 小熊开发板 STM32L431芯片

Python 实现二叉树前序,中序,后序,零基础也能看得懂

程序媛可鸥

Python 程序员 面试

Python所有方向的学习路线,你们要的知识体系在这,千万别做了无用功

程序媛可鸥

Python 程序员 面试

python DataFrame数据合并 merge()、concat()方法,拿下我人生中第7个Offer

程序媛可鸥

Python 程序员 面试

阿里巴巴副总裁陈丽娟:我对阿里云产品生态的思考 | 云原生加速器观点

阿里巴巴云原生

Python爬取知乎上搞笑视频,一顿爆笑送给大家,程序员面试题精选100题

程序媛可鸥

Python 程序员 面试

python中把列表中的字符串转成整型的3种方法,收割快手,字节,百度,美团的Offer之旅

程序媛可鸥

Python 程序员 面试

python回调函数之获取jenkins构建结果,Python编程零基础

程序媛可鸥

Python 程序员 面试

Python中用tuple作为key,写的太详细了

程序媛可鸥

Python 程序员 面试

python 同时迭代多个序列,还没吃透内存缓存LruCache实现原理的看这篇文章

程序媛可鸥

Python 程序员 面试

浅谈NIO和Epoll实现原理

Linux服务器开发

网络编程 epoll Linux服务器开发 Linux后台开发 网络io

fastposter v2.6.1 发布 程序员专属海报生成器

物有本末

海报 fastposter 海报生成器 电商海报

Tapdata 在“疫”线:携手张家港市卫健委争分夺秒实时抗疫

tapdata

数据库 实时数据

Python实现自动发送B站直播弹幕软件,Python开发环境

程序媛可鸥

Python 程序员 面试

云原生周报 | Prometheus 采用率处于领先地位;Linkerd 发布 K8s自动故障转移特性

百度开发者中心

python3的变量作用域规则和nonlocal关键字,Python面试及答案

程序媛可鸥

Python 程序员 面试

Python代码报错看不懂?记住这些报错提示单词轻松解决bug,2021年Python开发陷入饱和,

程序媛可鸥

Python 程序员 面试

Python GUI编程:关于 tkinter 怎么才能写出更好看的界面,华为架构师深入讲解Python开发

程序媛可鸥

程序员

python基础教程:元组和集合,踩坑了

程序媛可鸥

python函数练习题,万字长文

程序媛可鸥

Python 程序员 面试

Python中return和yield的区别,2021年Python笔试题总结

程序媛可鸥

Python 程序员 面试

WorkPlus移动平台 | 如何建设“智慧校园”新样态?

WorkPlus

Python基础教程:print输出带颜色的方法详解,Python开发基础面试题

程序媛可鸥

Python 程序员 面试

python实现读取并显示图片的两种方法,15分钟的字节跳动视频面试

程序媛可鸥

Python 程序员 面试

nginx5种负载策略的设置方法,看完直接怼产品经理

程序媛可鸥

Python 程序员 面试

python3 基础小练习: 判断闰年,2021最新Python算法相关面试大

程序媛可鸥

Python 程序员 面试

美国政府提议对云计算进行评估与授权_治理_James Vastbinder_InfoQ精选文章