返回
美国云计算安全策略分析

美国云计算安全策略分析

ID:44434133

大小:39.00 KB

页数:3页

时间:2019-10-22

美国云计算安全策略分析_第1页
美国云计算安全策略分析_第2页
美国云计算安全策略分析_第3页
资源描述:

《美国云计算安全策略分析》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、美国云计算安全策略分析美国联邦政府云计算安全发展过程昆德拉上任时就承认云计算可能存在隐私泄露或英它安全隐患,但表示不能因此而错过云计算的速度和效率[3]。2009年5月召开的云计算侶议工业界峰会[2,7]上,美国产业界认识到云计算在法律法规和政策以及IT安全和隐私方面的挑战,深入讨论了云计算认证认可、访问控制和身份管理、数据和应用安全、可移植性和互操作性以及服务级别协议(SLA等。5月份的《远景分析》中指mr-u新技术服务交付模型相关的风险,包括政策的变化、动态应用的实施以及动态环境的安全保障,要求建立一个项目管理办公室來实施工业界最佳实践

2、和政府项目管理方面的政策。10月份国家标准和技术研究所(NIST在《有效安全地使用云计算范式》⑻的研究报告屮分析了云计算安全的众多优势和挑战。2010年2月美国启动了政府范围的云计算解决方案的安全认证认可过程的开发[9]。8刀C1OC发布了《联邦部门和机构使用云计算的隐私建议》[10],指出云环境下隐私风险跟法律法规、隐私数据存储位置、云服务商服务条款和隐私保护策略冇关,并指出了9类风险,通过使用相关标准、签署隐私保护的补充合同条款、进行隐私门槛分析和隐私影响评估、充分考虑相关的隐私保护法律,可以有效加强云计算环境下的隐私保护。9月非盈利组

3、织M1TRE给出了《政府客八云计算SLA考虑》[lllo11刀份,NIST.GSA、CI0C以及信息安全及身份管理委员会(ISIMC等组成的团队历时18个月提出了《美国政府云计算安全评估和授权建议方案》[12],该方案由云计算安全要求基线、持续监视、评估和授权三部分组成。12月,在《改革联邦信息技术管理的25点实施计划》中指出安全、互操作性、对移植性是云计算被接纳的主耍障碍。2011年1刀国土安全部(DHS)给出了《从安全角度看云计算:联邦IT管理者入门》[13]读木,指出了联邦面临的16项关键安全挑战:隐私、司法、调查与电了发现、数据保留

4、、过程验证、多租户、安全评估、共享风险、人员安全甄选、分布式数据中心、物理安全、程序编码安全、数据泄露、未來的规章制度、云计算应用、有能力的IT人员挑战,NIST发布了《公共云计算安全和隐私指南》[14]和《完全虚拟化技术安全指南》[15]o2月份的《联邦云计算战略》指出在管理云服务时要主动监视和定期评估,确保一个安全可信的环境,并做出了战略部署,包插推动联邦风险和授权管理项目(FcdRAMP、DHS要每6个月或按需发布一个安全威胁TOP列表并给出合适的安全控制措施和方法,NIST要发布一些安全技术指南。2011年12月OMB发布了一项关于

5、“云计算环境下信息系统安全授权”的首席信息官备忘录[16],正式设立FedRAMP项目。2012年2月成立了FedRAMP项口联合授权委员会(JAB[17]并发布了《FedRMP概念框架(CONOPS》[⑻、《FedRAMP安全控制措施》[19]。美国联邦政府云计算安全策略分析美国联邦政府在推动云计算一开始就认识到云计算安全和隐私、可移植性和互操作性是云计算被接纳的主要障碍,并给予了高度重视。美国联邦政府认为,対于云服务要实施基于风险的安全管理,在控制风险的基础上,充分利用云计算高效、快捷、利于革新等重要优势,并启动了联邦风险和授权管理项目

6、(FedRAMP。首先,切确了云计算安全管理的政府部门角色及其职责:1联合授权委员会(JAB:成立了由国防部(DOD、DHS、GSA三方组成的联合授权委员会JAB,主要负责制定更新安全基线要求、批准第三方评估机构认可标准、设立优先顺序并评审云服务授权包、对云服务供应进行初始授权等;2FedRAMP项目管理办公索(FedRAMPPMO:设立于GSA,负责管理评估、授权、持续监视过程等,并与NIST合作实丿施对第三方评估纟R织的符合性评估;3国土安全部:主要负责监视、响应、报告安全事件,为可信互联网联接提供指南等;4各执行部门或机构:按照DHS

7、、JAB等要求评估、授权、使用和监视云服务等,并每年4月向CIOC提供由本部门CIO和CFO签发的认证;5首席信息官委员会:负责出版和分发來自FedRAMPPMO和JAB的信息。其次,明确了FedRAMP项冃相关方的角色和职责(如图1。这些角色中除了DHS、JAB、FedRAMPPMO、各执行部门或机构、CIOC外,还包括云服务商(CSP和第三方评估组织(3PA0o云服务商实现安全控制扭施;创建满足FedRAMP需求的安全评估包;与第三方评估机构联系,执行初始的系统评估,以及运行屮所需的评估与授权;维护连续监视项目;遵从有关变更管理和安全事

8、件报告的联邦需求。笫三方评估组织保持满足FedRAMP所需的独立性和技术优势;对CSP系统执行独立评估,并创建满足FedRAMP需求的安全评估包清单。美国联邦政府注重对云计算安全

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。