网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　美国联邦政府在推动云计算一开始就认识到云计算安全和隐私、可移植性和互操作性是云计算被接纳的主要障碍，并给予了高度重视。美国联邦政府认为，对于云服务要实施基于风险的安全管理，在控制风险的基础上，充分利用云计算高效、快捷、利于革新等重要优势，并启动了联邦风险和授权管理项目(FedRAMP)。

　　2.2 加强云计算安全管理，明确安全管理相关方及其职责

　　首先，明确了云计算安全管理的政府部门角色及其职责：

　　1) 联合授权委员会(JAB)：成立了由国防部(DOD)、DHS、GSA 三方组成的联合授权委员会JAB，主要负责制定更新安全基线要求、批准第三方评估机构认可标准、设立优先顺序并评审云服务授权包、对云服务供应进行初始授权等;2)FedRAMP 项目管理办公室(FedRAMPPMO)：设立于GSA，负责管理评估、授权、持续监视过程等, 并与NIST 合作实施对第三方评估组织的符合性评估;3)国土安全部：主要负责监视、响应、报告安全事件，为可信互联网联接提供指南等;4)各执行部门或机构：按照DHS、JAB 等要求评估、授权、使用和监视云服务等，并每年4 月向CIOC 提供由本部门CIO 和CFO 签发的认证;5)首席信息官委员会：负责出版和分发来自FedRAMP PMO 和JAB 的信息。

　　其次，明确了FedRAMP 项目相关方的角色和职责(如图1)。这些角色中除了DHS、JAB、FedRAMPPMO、各执行部门或机构、CIOC 外，还包括云服务商(CSP)和第三方评估组织(3PAO)。云服务商实现安全控制措施;创建满足FedRAMP 需求的安全评估包;与第三方评估机构联系，执行初始的系统评估，以及运行中所需的评估与授权;维护连续监视项目;遵从有关变更管理和安全事件报告的联邦需求。

　　第三方评估组织保持满足FedRAMP 所需的独立性和技术优势;对CSP 系统执行独立评估，并创建满足FedRAMP 需求的安全评估包清单。

　　FedRAMP 项目相关方的角色和职责

　　2.3 注重云计算安全管理的顶层设计

　　美国联邦政府注重对云计算安全管理的顶层设计。在政策法规的指导下，以安全控制基线为基本要求，以评估和授权以及监视为管理抓手，同时提供模板、指南等协助手段，建立了云计算安全管理的立体体系(如图2)。

　　云计算安全管理立体体系

　　政策备忘录：OMB 于2011 年12 月8 日发布，为政府级云计算安全提供方向和高级框架。

　　安全控制基线：基于N I S T 发布的S P800-53 第三版中所描述的安全控制措施指南，补充和增强了控制措施，以应对云计算系统特定的安全脆弱性。FedRAMP 的安全控制基线于2012 年1 月6 号单独发布。

　　运营概念(CONOPS)：提供对FedRAMP 的运营模型与关键过程的概述。

　　运营模型：FedRAMP 的运营模型基于OMB 发布的政策备忘录，明确FedRAMP 实现的关键组织，对各个组织运营角色与职责进行抽象描述。

　　关键过程：指“安全评估与授权”、“第三方评估”、“正在进行的评估与授权”，它们为FedRAMP 运营过程的三个主要功能。

　　详细的模板与指南：云服务商与第三方评估组织在FedRAMP 整个过程中需要这些文档模板作为文档规范。

　　2.4 丰富已有安全措施规范，制定云计算安全基线要求

　　在《推荐的联邦信息系统和组织安全措施》(s p800-53)基础上，根据云计算特点，针对信息系统的不同等级(低影响级和中影响级)，制定了云计算安全基线要求《FedRAMP 安全控制措施》。与传统安全控制措施相比，云计算环境下需增强的安全控制措施包括：

　　1)访问控制：要求定义非用户帐户(如设备帐户)的存活期限、采用基于角色的访问控制、供应商提供安全功能列表、确定系统使用通知的要素、供应商实现的网络协议要经过JAB 同意等。

　　2)审计和可追踪：供应商要定义审计的事件集合、配置软硬件的审计特性、定义审计记录类型并经过同意、服务商要实现合法的加密算法、审计记录90 天有效等。