美國FedRAMP對我國等級保護工作的啟示

江雷， 任衛(wèi)紅， 袁靜， 趙泰

(公安部信息安全等級保護評估中心，北京 100142)

美國FedRAMP對我國等級保護工作的啟示

江雷， 任衛(wèi)紅， 袁靜， 趙泰

(公安部信息安全等級保護評估中心，北京 100142)

FedRAMP是美國聯(lián)邦政府用于對云服務實施安全評估、授權和監(jiān)測的標準化程序。本文通過對FedRAMP的研究，從政府監(jiān)管、技術可控、產(chǎn)業(yè)化等角度出發(fā)，提出將云服務納入到我國等級保護工作范疇內，實現(xiàn)云服務的安全可控，從而在云計算環(huán)境下進一步推進我國等級保護工作的開展。

FedRAMP；云計算；等級保護

0 FedRAMP概述

云計算在提高效率、節(jié)約開銷和發(fā)展綠色計算技術的同時，也帶來了新風險和挑戰(zhàn)。聯(lián)邦風險與授權管理項目(Federal Risk and Authorization Management Program，F(xiàn)edRAMP)為政府部門采用云服務提供了一種具有成本效益的、基于風險的方法，其目的是幫助聯(lián)邦機構在云計算的技術環(huán)境下滿足FISMA的安全需求[1]。主要內容包括:

1)對在特定影響等級的信息系統(tǒng)中所使用的云服務提出統(tǒng)一的安全需求；

2)對云服務提供商(CSP)所實施的安全控制進行獨立、一致的第三方評估；

3)組建聯(lián)合授權委員會(JAB)對云服務進行授權管理；

4)為政府部門/機構在采購過程中集成FedRAMP需求提供標準化的合同范本；

5)維護可被整個聯(lián)邦政府使用的授權云服務名錄(Fe-dRAMP Repository)。

FedRAMP提供了對云服務進行安全評估、使用授權和持續(xù)監(jiān)測的標準方法。通過FedRAMP項目，聯(lián)邦機構在部署其信息系統(tǒng)時可以使用由FedRAMP授權的云服務，做到“一次授權，多次使用”，從而大大壓縮了安全評估和授權運行等流程，具有良好的時間和經(jīng)濟效益。……