美國聯(lián)邦政府注重對云計算安全管理的頂層設計。在政策法規(guī)的指導下，以安全控制基線為基本要求，以評估和授權(quán)以及監(jiān)視為管理抓手，同時提供模板、指南等協(xié)助手段，建立了云計算安全管理的立體體系（如下圖）。

　　云計算安全管理立體體系

　　政策備忘錄：OMB 于2011 年12 月8 日發(fā)布，為政府級云計算安全提供方向和高級框架。

　　安全控制基線：基于N I S T 發(fā)布的S P800-53 第三版中所描述的安全控制措施指南，補充和增強了控制措施，以應對云計算系統(tǒng)特定的安全脆弱性。FedRAMP 的安全控制基線于2012 年1 月6 號單獨發(fā)布。

　　運營概念（CONOPS）：提供對FedRAMP 的運營模型與關(guān)鍵過程的概述。

　　運營模型：FedRAMP 的運營模型基于OMB 發(fā)布的政策備忘錄，明確FedRAMP 實現(xiàn)的關(guān)鍵組織，對各個組織運營角色與職責進行抽象描述。

　　關(guān)鍵過程：指“安全評估與授權(quán)”、“第三方評估”、“正在進行的評估與授權(quán)”，它們?yōu)镕edRAMP 運營過程的三個主要功能。

　　詳細的模板與指南：云服務商與第三方評估組織在FedRAMP 整個過程中需要這些文檔模板作為文檔規(guī)范。

　　2.4 豐富已有安全措施規(guī)范，制定云計算安全基線要求

　　在《推薦的聯(lián)邦信息系統(tǒng)和組織安全措施》（s p800-53）基礎上，根據(jù)云計算特點，針對信息系統(tǒng)的不同等級（低影響級和中影響級），制定了云計算安全基線要求《FedRAMP 安全控制措施》。與傳統(tǒng)安全控制措施相比，云計算環(huán)境下需增強的安全控制措施包括：

　　1）訪問控制：要求定義非用戶帳戶（如設備帳戶）的存活期限、采用基于角色的訪問控制、供應商提供安全功能列表、確定系統(tǒng)使用通知的要素、供應商實現(xiàn)的網(wǎng)絡協(xié)議要經(jīng)過JAB 同意等。

　　2）審計和可追蹤：供應商要定義審計的事件集合、配置軟硬件的審計特性、定義審計記錄類型并經(jīng)過同意、服務商要實現(xiàn)合法的加密算法、審計記錄90 天有效等。

　　3）配置管理：要求供應商維護軟件程序列表、建立變更控制措施和通知措施、建立集中網(wǎng)絡配置中心且配置列表符合或兼容安全內(nèi)容自動化協(xié)議（SCAP）、確定屬性可追蹤信息等。

　　4）持續(xù)性規(guī)劃：要求服務商確定關(guān)鍵的持續(xù)性人員和組織要素的列表、開發(fā)業(yè)務持續(xù)性測試計劃、確定哪些要素需要備份、備份如何驗證和定期檢查、至少保留用戶級信息的3份備份等。

　　5）標識和鑒別：要求供應商確定抗重放的鑒別機制、提供特定設備列表等。

　　6）事件響應：要求每天提供演練計劃、提供事件響應人員和組織要素的列表等。

　　7）維護：要確定關(guān)鍵的安全信息系統(tǒng)要素或信息技術(shù)要素、確定獲取維護的期限等。

　　8）介質(zhì)保護：確定介質(zhì)類型和保護方式等。

　　9）物理和環(huán)境保護：要確定緊急關(guān)閉的開關(guān)位置、測量溫濕度、確定可替代的工作節(jié)點的管理、運維和技術(shù)信息系統(tǒng)安全控制措施等。

　　10）系統(tǒng)和服務獲�。簩λ�有外包的服務要記錄在案并進行風險評估、對開發(fā)的代碼提供評估報告、確定供應鏈威脅的應對措施列表等。

　　11）系統(tǒng)和通信保護：確定拒絕服務攻擊類型列表、使用可信網(wǎng)絡聯(lián)接傳輸聯(lián)邦信息、通信網(wǎng)絡流量通過經(jīng)鑒別的服務器轉(zhuǎn)發(fā)、使用隔離措施。

　　12）系統(tǒng)和信息完整性：在信息系統(tǒng)監(jiān)視時要確定額外的指示系統(tǒng)遭到攻擊的指標。其他方面如意識和培訓、評估和授權(quán)、規(guī)劃、人員安全、風險評估則與傳統(tǒng)差別不大。

　　2.5 主抓評估和授權(quán)，加強安全監(jiān)視

　　安全授權(quán)越來越變?yōu)橐环N高時間消耗的過程，其成本也不斷增加。政府級的風險和授權(quán)項目通過“一次授權(quán)，多次應用”的方式加速政府部門采用云服務的過程，節(jié)約云服務采用費用，實現(xiàn)在政府部門內(nèi)管理目標的開放和透明。

　　1）以第三方評估機構(gòu)作支撐，對云服務進行安全評估

　　CSP 向FedRAMP PMO 提出安全評估請求，并經(jīng)已獲得授權(quán)的3PAO 檢查與驗證后，向FedRAMP PMO 提交評估材料，由FedRAMP PMO 組織專家組對其進行評審。當專家組通過評估后，由FedRAMP PMO 向CSP 頒發(fā)初始授權(quán)。云計算應用部門不應該把部門的安全責任轉(zhuǎn)嫁給CSP，政府部門以該初始授權(quán)為基礎，頒發(fā)部門的云服務運營授權(quán)（ATO）。

　　2）通過初始安全授權(quán)，加強雙層授權(quán)機制

　　FedRAMP PMO 維護一個初始授權(quán)以及相關(guān)安全評估材料的信息庫，政府部門可以基于這些初始授權(quán)和評估材料頒發(fā)部門的服務運營授權(quán)，政府部門也可以添加另外的安全控制。

　　3）對云服務商持續(xù)監(jiān)視，保證云服務運營安全

　　對已獲得初始授權(quán)的CSP，F(xiàn)edRAMP PMO 應與3PAO 一同開展對其系統(tǒng)和服務的連續(xù)監(jiān)視活動。連續(xù)監(jiān)視需要判斷安全控制是否持續(xù)有效。

　　2.6 提供SLA、合同等指導，為云服務安全采購提供指南

　　政府部門在采用云服務、特別在采用公有云服務時，將會面臨諸多嚴重安全風險，如多租戶引入的安全問題、信息安全與隱私泄露、業(yè)務連續(xù)性、廠商鎖定等諸多安全問題。在云服務采購合同中包含有效的SLA 內(nèi)容將會為云服務采購及其使用過程提供充分的安全保障。

　　2010 年9 月MITRE 給出的《政府客戶云計算SL A 考慮》中，對政府部門與云服務商之間的SLA 設計給出了具體的指南，指出SLA 設計要考慮如下11 方面的內(nèi)容，每個方面的內(nèi)容又劃分為具體的細項給予了具體的指導：S L A 背景、服務描述、測量與關(guān)鍵性能指標、連續(xù)性或業(yè)務中斷、安全管理、角色與責任、支付與賠償及獎勵、術(shù)語與條件、報告指南與需求、服務管理、定義/ 術(shù)語表。

　　另外，在合同方面，2012 年2 月發(fā)布的《聯(lián)邦政府制定有效的云計算合同——獲取IT 即服務的最佳實踐》，給出了采購云服務的合同需求和建議，包括服務協(xié)議條款、保密協(xié)議、服務級別協(xié)議等，并分析安全、隱私、電子發(fā)現(xiàn)、信息自由訪問、聯(lián)邦記錄保留等方面的需求并給出了具體建議。

　　3 結(jié)束語

　　本文從政府部門如何安全管理云計算的角度，重點分析了美國聯(lián)邦政府的云計算安全保障策略。這些策略可以為中國政府部門實施基于云服務的信息安全保障提供參考。