网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　3)配置管理：要求供应商维护软件程序列表、建立变更控制措施和通知措施、建立集中网络配置中心且配置列表符合或兼容安全内容自动化协议(SCAP)、确定属性可追踪信息等。

　　4)持续性规划：要求服务商确定关键的持续性人员和组织要素的列表、开发业务持续性测试计划、确定哪些要素需要备份、备份如何验证和定期检查、至少保留用户级信息的3份备份等。

　　5)标识和鉴别：要求供应商确定抗重放的鉴别机制、提供特定设备列表等。

　　6)事件响应：要求每天提供演练计划、提供事件响应人员和组织要素的列表等。

　　7)维护：要确定关键的安全信息系统要素或信息技术要素、确定获取维护的期限等。

　　8)介质保护：确定介质类型和保护方式等。

　　9)物理和环境保护：要确定紧急关闭的开关位置、测量温湿度、确定可替代的工作节点的管理、运维和技术信息系统安全控制措施等。

　　10)系统和服务获取：对所有外包的服务要记录在案并进行风险评估、对开发的代码提供评估报告、确定供应链威胁的应对措施列表等。

　　11)系统和通信保护：确定拒绝服务攻击类型列表、使用可信网络联接传输联邦信息、通信网络流量通过经鉴别的服务器转发、使用隔离措施。

　　12)系统和信息完整性：在信息系统监视时要确定额外的指示系统遭到攻击的指标。其他方面如意识和培训、评估和授权、规划、人员安全、风险评估则与传统差别不大。

　　2.5 主抓评估和授权，加强安全监视

　　安全授权越来越变为一种高时间消耗的过程，其成本也不断增加。政府级的风险和授权项目通过“一次授权，多次应用”的方式加速政府部门采用云服务的过程，节约云服务采用费用，实现在政府部门内管理目标的开放和透明。

　　1)以第三方评估机构作支撑，对云服务进行安全评估

　　CSP 向FedRAMP PMO 提出安全评估请求，并经已获得授权的3PAO 检查与验证后，向FedRAMP PMO 提交评估材料，由FedRAMP PMO 组织专家组对其进行评审。当专家组通过评估后，由FedRAMP PMO 向CSP 颁发初始授权。云计算应用部门不应该把部门的安全责任转嫁给CSP，政府部门以该初始授权为基础，颁发部门的云服务运营授权(ATO)。

　　2)通过初始安全授权，加强双层授权机制

　　FedRAMP PMO 维护一个初始授权以及相关安全评估材料的信息库，政府部门可以基于这些初始授权和评估材料颁发部门的服务运营授权，政府部门也可以添加另外的安全控制。

　　3)对云服务商持续监视，保证云服务运营安全

　　对已获得初始授权的CSP，FedRAMP PMO 应与3PAO 一同开展对其系统和服务的连续监视活动。连续监视需要判断安全控制是否持续有效。

　　2.6 提供SLA、合同等指导，为云服务安全采购提供指南

　　政府部门在采用云服务、特别在采用公有云服务时，将会面临诸多严重安全风险，如多租户引入的安全问题、信息安全与隐私泄露、业务连续性、厂商锁定等诸多安全问题。在云服务采购合同中包含有效的SLA 内容将会为云服务采购及其使用过程提供充分的安全保障。

　　2010 年9 月MITRE 给出的《政府客户云计算SL A 考虑》中，对政府部门与云服务商之间的SLA 设计给出了具体的指南，指出SLA 设计要考虑如下11 方面的内容，每个方面的内容又划分为具体的细项给予了具体的指导：S L A 背景、服务描述、测量与关键性能指标、连续性或业务中断、安全管理、角色与责任、支付与赔偿及奖励、术语与条件、报告指南与需求、服务管理、定义/ 术语表。

　　另外，在合同方面，2012 年2 月发布的《联邦政府制定有效的云计算合同——获取IT 即服务的最佳实践》，给出了采购云服务的合同需求和建议，包括服务协议条款、保密协议、服务级别协议等，并分析安全、隐私、电子发现、信息自由访问、联邦记录保留等方面的需求并给出了具体建议。

　　3 结束语

　　本文从政府部门如何安全管理云计算的角度，重点分析了美国联邦政府的云计算安全保障策略。这些策略可以为中国政府部门实施基于云服务的信息安全保障提供参考。