兩周前，美國信息管理部辦公室發(fā)表了一篇90頁的提案：提議對美國政府云計算進行安全評估與授權(quán)。這篇提案是NIST,GSA,ISIMC與CIO理事會協(xié)同工作了18個月而得到的，期間的工作包括對美國云計算進行安全管理，多種評估與授權(quán)模式的評估。這代表了CIO辦公室為美國聯(lián)邦政府提供云計算服務(wù)的第一步，同時為創(chuàng)建目前世界上最大私有云服務(wù)提供了可靠的榜樣。

　　這個未來的評估和授權(quán)模式是由三部分組成，講述了創(chuàng)建評估和授權(quán)框架的想法。美國政府為云計算定義了三種服務(wù)模型：軟件形式的服務(wù)模型(SaaS),平臺形式的服務(wù)模式PaaS和基礎(chǔ)設(shè)施形式的服務(wù)模式(IaaS)。美國聯(lián)邦政府的這個標準是由聯(lián)邦信息安全管理法案FISMA和國家標準與技術(shù)協(xié)會(NIST)共同要求發(fā)表的。這個標準的主要指導方針是：基于“評估一次，使用多次”的方法來鼓勵對云計算系統(tǒng)進行更快速和更高效的獲取，以此方式來提供安全授權(quán)和保證政府的透明度和開放度。

云計算安全需求基準

　　這份安全管理是基于NIST特殊發(fā)表刊物《800-53Revision3》，聯(lián)邦信息系統(tǒng)和組織的安全管理建議：

　　權(quán)限控制
　　認知與培訓
　　審計與義務(wù)
　　評估與授權(quán)
　　配置管理
　　偶發(fā)事件的計劃
　　確認與鑒定
　　事故的反應(yīng)
　　維護
　　媒體的保護
　　機器與環(huán)境的保護
　　個人安全
　　風險評估
　　系統(tǒng)與服務(wù)的獲取
　　系統(tǒng)與信息交互的保護
　　系統(tǒng)與信息的完整度

持續(xù)監(jiān)控

　　這個想法是在系統(tǒng)開發(fā)生命周期中引入一種動態(tài)的，持續(xù)的監(jiān)控程序，由此來判斷安全管理的持續(xù)有效性。這個流程包括為云計算環(huán)境提供一種修改監(jiān)聽程序的能力。在這種機制下，云服務(wù)提供商是松散定義的和開放式管理的，所以聯(lián)邦政府或許可以公開的給公有云服務(wù)商提供支持，其中包括:Amazon,Microsoft和Salesforce.com.這里看來，文章的開始篇幅是重點介紹了私有云的示例，并且在接下來的篇幅中繼續(xù)說明。

以下列表是針對所有云服務(wù)提供商所要求提供的報告和文件：

　　補丁管理–每月
　　FDCC驗證–每季度
　　事故反應(yīng)計劃–每年
　　POAM糾正–每季度
　　管理權(quán)限改變流程–每年
　　入侵測試–沒年
　　合作商的管理–每半年
　　證明系統(tǒng)邊界的掃描–每季度
　　系統(tǒng)配置管理–每季度
　　FISMA報告–每季度
　　更新文檔–每季度
　　偶發(fā)事件計劃與測試報告–每年
　　責任矩陣的區(qū)分–每年
　　信息安全認證和培訓–每年

潛在的評估和授權(quán)方式

　　CIO辦公室把云計算視為消除聯(lián)邦政府部門之間信息壁壘的一次機會，并且它可以為共享的系統(tǒng)創(chuàng)建一種統(tǒng)一的安全底線。不過，這個想法的實現(xiàn)難度可能很大，因為政府的預算往往會分配給指定的政府機構(gòu)或者主動權(quán)的擁有者，顯而易見的，他們往往不支持這樣一個共享的成本結(jié)構(gòu)。如果CIO辦公室可以消除此類障礙，對于美國納稅人而言，云計算是一個主張高效與節(jié)約的政府環(huán)境的突破口。所以這就是創(chuàng)建FedRAMP的原因，她的目標是：

　　保證政府層面使用的信息系統(tǒng)和服務(wù)有足夠的安全性
避免重復的工作和減少風險管理成本
針對聯(lián)邦政府部的信息系統(tǒng)/服務(wù)，啟動快速的和成本效益為導向的采購

總結(jié)

　　總而言之，這篇文章提出了一種為實現(xiàn)和管理云計算而創(chuàng)造徹底安全與管控的計劃。在這個計劃中，云計算的信息管理的各個方面都被定義和表達出來了，主要目標就是通過私有機構(gòu)和全球化商業(yè)機構(gòu)來提供云計算的完美框架。針對云計算概念被政府廣泛的采納與認同，這是全新的和堅實的第一步。