美国政府提议对云计算进行评估与授权

最新推荐文章于 2024-07-07 20:19:58 发布
最新推荐文章于 2024-07-07 20:19:58 发布
阅读量175 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cpongo9/article/details/89014171
版权

两周前,美国信息管理部办公室发表了一篇90页的提案:提议对美国政府云计算进行安全评估与授权。这篇提案是NIST, GSA, ISIMC与CIO 理事会协同工作了18个月而得到的,期间的工作包括对美国云计算进行安全管理,多种评估与授权模式的评估。这代表了CIO办公室为美国联邦政府提供云计算服务的第一步,同时为创建目前世界上最大私有云服务提供了可靠的榜样。

\u0026#xD;\n

这个未来的评估和授权模式是由三部分组成,讲述了创建评估和授权框架的想法。美国政府为云计算定义了三种服务模型:软件形式的服务模型(SaaS), 平台形式的服务模式 PaaS 和基础设施形式的服务模式(IaaS). 美国联邦政府的这个标准是由联邦信息安全管理法案 FISMA 和国家标准与技术协会(NIST)共同要求发表的。这个标准的主要指导方针是:基于“评估一次,使用多次”的方法来鼓励对云计算系统进行更快速和更高效的获取,以此方式来提供安全授权和保证政府的透明度和开放度。

\u0026#xD;\n

云计算安全需求基准

\u0026#xD;\n

这份安全管理是基于NIST特殊发表刊物 800-53 Revision 3, 联邦信息系统和组织的安全管理建议

\u0026#xD;\n
  1. 权限控制\u0026#xD;\n
  2. 认知与培训\u0026#xD;\n
  3. 审计与义务\u0026#xD;\n
  4. 评估与授权\u0026#xD;\n
  5. 配置管理\u0026#xD;\n
  6. 偶发事件的计划\u0026#xD;\n
  7. 确认与鉴定\u0026#xD;\n
  8. 事故的反应\u0026#xD;\n
  9. 维护\u0026#xD;\n
  10. 媒体的保护\u0026#xD;\n
  11. 机器与环境的保护\u0026#xD;\n
  12. 个人安全\u0026#xD;\n
  13. 风险评估\u0026#xD;\n
  14. 系统与服务的获取\u0026#xD;\n
  15. 系统与信息交互的保护\u0026#xD;\n
  16. 系统与信息的完整度\u0026#xD;\n

持续监控

\u0026#xD;\n

这个想法是在系统开发生命周期中引入一种动态的,持续的监控程序,由此来判断安全管理的持续有效性。这个流程包括为云计算环境提供一种修改监听程序的能力。在这种机制下,云服务提供商是松散定义的和开放式管理的,所以联邦政府或许可以公开的给公有云服务商提供支持,其中包括: Amazon, Microsoft和Salesforce.com. 这里看来,文章的开始篇幅是重点介绍了私有云的示例,并且在接下来的篇幅中继续说明。

\u0026#xD;\n

以下列表是针对所有云服务提供商所要求提供的报告和文件

\u0026#xD;\n
  • 补丁管理 – 每月\u0026#xD;\n
  • FDCC验证 – 每季度\u0026#xD;\n
  • 事故反应计划 – 每年\u0026#xD;\n
  • POAM纠正 – 每季度\u0026#xD;\n
  • 管理权限改变流程 – 每年\u0026#xD;\n
  • 入侵测试 – 没年\u0026#xD;\n
  • 合作商的管理 – 每半年\u0026#xD;\n
  • 证明系统边界的扫描 – 每季度\u0026#xD;\n
  • 系统配置管理 – 每季度\u0026#xD;\n
  • FISMA报告 – 每季度\u0026#xD;\n
  • 更新文档 – 没季度\u0026#xD;\n
  • 偶发事件计划与测试报告 – 每年\u0026#xD;\n
  • 责任矩阵的区分 – 每年\u0026#xD;\n
  • 信息安全认证和培训 – 每年\u0026#xD;\n

潜在的评估和授权方式

\u0026#xD;\n

CIO办公室把云计算视为消除联邦政府部门之间信息壁垒的一次机会,并且它可以为共享的系统创建一种统一的安全底线。不过,这个想法的实现难度可能很大,因为政府的预算往往会分配给指定的政府机构或者主动权的拥有者,显而易见的,他们往往不支持这样一个共享的成本结构。如果CIO办公室可以消除此类障碍,对于美国纳税人而言,云计算是一个主张高效与节约的政府环境的突破口。所以这就是创建FedRAMP的原因,她的目标是:

\u0026#xD;\n
  • 保证政府层面使用的信息系统和服务有足够的安全性\u0026#xD;\n
  • 避免重复的工作和减少风险管理成本\u0026#xD;\n
  • 针对联邦政府部的信息系统/服务,启动快速的和成本效益为导向的采购\u0026#xD;\n

总结

\u0026#xD;\n

总而言之,这篇文章提出了一种为实现和管理云计算而创造彻底安全与管控的计划。在这个计划中,云计算的信息管理的各个方面都被定义和表达出来了,主要目标就是通过私有机构和全球化商业 机构 来提供云计算的完美框架。针对云计算概念被政府广泛的采纳与认同,这是全新的和坚实的第一步。

\u0026#xD;\n

这份提议可以公开评论,您可以通过FedRAMP在2010年12月2日凌晨前提交您的评论。

\u0026#xD;\n

查看英文原文:US Government: Proposed Assessment and Authorization for Cloud Computing

cpongo9
关注
云计算的利与弊
心翼的专栏
08-20 5254
     最近,云计算这个炙手可热的技术再次点燃竞争的火花。各大IT巨头纷纷推出自己的云技术,并在全世界修建推广自己的云计算中心....例如:IBM将投资三亿美元新建13个数据中心,这样世界各地的客户可以利用这种基于云技术的存储模式存储其数据,即使遇到天灾人祸也不用担心数据丢失,可以轻易恢复数据。Google将向美国康瑟尔布拉夫斯在建的一座数据中心投资6亿美元,并且到明年正式投入运行。现在微软公司
第9章. 模型校准:评估性能
weixin_44259522的博客
12-08 1313
地下水模型的建立将会非常直接,如果我们能够完美地表征自然界。然后,边界和参数的分配将涵盖所有相关的空间和时间信息,并且模型将完全模拟真实的地下水系统。然而,地下水系统从来都不是完全已知的,我们必须将这个系统映射到一个模型空间中,而不是反映环境系统本身(Beven, 2009, p. 11)。这里使用模型空间来定义对于一个现场而言可能适用的合理模型和模型输入的范围。在进行这种映射的过程中,由概念模型表示的自然界的简化视图已经被进一步简化,以便数值模型能够进行计算。
推荐项目:FedRAMP自动化——简化联邦云安全授权
gitblog_00072的博客
06-22 239
推荐项目:FedRAMP自动化——简化联邦云安全授权 项目地址:https://gitcode.com/GSA/fedramp-automation 项目介绍 在云端安全性日益受到重视的今天,联邦风险与授权管理计划(FedRAMP)推出了其自动化工具。这是一个旨在促进联邦机构云计算服务安全评估授权的开源项目。FedRAMP通过采用NIST的OSCAL(Open Security Control...
ServiceNow获得FedRAMP高基准授权
美国商业资讯的博客
09-20 660
它使所有联邦机构能够更好地访问ServiceNow为IT、客户和员工工作流程提供的一流数字体验 加州圣塔克拉拉--(美国商业资讯)--让工作更好地适应人的领先数字工作流程公司ServiceNow (NYSE: NOW)今天宣布,ServiceNow GovCommunityCloud已获得联合授权委员会授予的联邦风险和授权管理程序(FedRAMP)高基准临时操作授权(P-ATO)。Service...
fedramp
cnbird's blog
06-13 901
fedramp  nist sp 53
生成式 AI 与 LangCHain(三)
龙哥盟
04-30 1038
原文:zh.annas-archive.org/md5/2e3ab9ce96c35c507253e57a41b1a6f1。
数据跨境法案:美国篇上
鲁班模锤
07-07 664
近年来,随着全球数字化的加速发展,数据已成为国家竞争力的重要基石。在这样的背景下,中国软件和技术出海的场景日益丰富。本系列邀请到在跨境数据方面的研究人员针对海外的数据跨境政策进行解读。
浅谈云计算数据中心对布线系统的影响
weixin_34050389的博客
02-27 211
浅谈云计算数据中心对布线系统的影响 罗森伯格亚太电子有限公司:孙慧永 在谈云计算数据中心之前,我们要先了解一下,什么是云计算云计算是指IT基础设施的交付和使用模式,指通过网络以按需、易扩展的方式获得所需的资源。 提供资源的网络被称为“云”。 “云”是IT的资源池,可以随时获取,按需使用,随时扩展,按使用付费。这种特性经常被称为像水电一样使用IT基础设施。云计算数据中...
"沙特国王大学学报:云计算中的信任模型与模糊逻辑评估
沙特国王大学学报云计算Abhishek Kesarwani,Pabitra Mohan Khilar印度Rourkela国家技术学院计算机科学与工程系阿提奇莱因福奥文章历史记录:收到2019年2019年10月10日修订2019年11月3日接受在线发售2019年保留字:...
电子政务中的云计算模型
可在www.sciencedirect.com在线获取ScienceDirectFutureComputing and Informatics Journal 3(2018)286e295http://www.journals.elsevier.com/future-computing-and-informatics-journal/在电子政务中采用云计算的...
云计算中数据库资源的优化配置》—开罗大学《埃及信息学杂志》原创文章—2014年
接受日期:2014年1月14日2014年2月14日在线提供摘要云计算是基于虚拟化技术的新一代计算。 云上的一个重要应用是数据库管理系统(DBMS)。本文的工作是围绕虚拟设计顾问(VDA)展开的。VDA被认为是一种解决方案用于...
机器学习回归优化超大规模云计算数据中心
沙特国王大学学报机器学习回归提高超大规模云计算数据中心放大图片作者:José A.Troyanoa,Agnieszka Jakóbikb,Alejandro Fernán-Montesaa塞维利亚大学计算机语言和系统系,Avda。Reina Mercedes s/n.,41012...
微软和亚马逊的政府云双双获FedRAMP认证最高级别
weixin_34021089的博客
07-03 240
微软和亚马逊双双于6月23日宣布旗下的政府云服务获得FedRAMP最高认证,时间上先后只差几分钟。 Azure政府云和亚马逊的AWS GovCloud获得联邦风险和授权管理程序(FedRAMP)高基线属下的授权委员会的临时操作授权(P-ATO),另外还有些云产品也获得该临时操作授权。此为FedRAMP认证的最高级别,意味着这些云符合美国政府最严格的安全要...
JSP学生学籍管理系统设计与实现(源代码+论文+开题报告+外文翻译+答辩PPT).zip
09-21
1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间与您进行沟通; 3、本项目比较适合计算机领域相关的毕业设计课题、课程作业等使用,尤其对于人工智能、计算机科学与技术等相关专业,更为适合; 4、下载使用后,可先查看README.md或论文文件(如有),本项目仅用作交流学习参考,请切勿用于商业用途。 5、资源来自互联网采集,如有侵权,私聊博主删除。 6、可私信博主看论文后选择购买源代码。 1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间与您进行沟通; 3、本项目比较适合计算机领域相关的毕业设计课题、课程作业等使用,尤其对于人工智能、计算机科学与技术等相关专业,更为适合; 4、下载使用后,可先查看README.md或论文文件(如有),本项目仅用作交流学习参考,请切勿用于商业用途。 5、资源来自互联网采集,如有侵权,私聊博主删除。 6、可私信博主看论文后选择购买源代码。 1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间与您进行沟通; 3、本项目比较适合计算机领域相关的毕业设计课题、课程作业等使用,尤其对于人工智能、计算机科学与技术等相关专业,更为适合; 4、下载使用后,可先查看README.md或论文文件(如有),本项目仅用作交流学习参考,请切勿用于商业用途。 5、资源来自互联网采集,如有侵权,私聊博主删除。 6、可私信博主看论文后选择购买源代码。
省市区数据,完成三级联动,选择地区
09-21
省市区数据,完成三级联动,选择地区
机械原理课程设计网球自动捡球机.doc
最新发布
09-21
机械原理课程设计网球自动捡球机.doc
美国TeraGrid与云计算:技术概述与现状
"美国TeraGrid-云计算系列教程1,由刘鹏主讲,介绍了云计算的概念、发展现状以及典型的技术方案。课程中提及了TeraGrid作为早期的大型网格计算项目,展示了云计算从网格计算的演进过程。" 在本教程中,"美国...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值