云计算技术在军事领域具有全面而积极的应用,美军将其列为三大关键技术之一(其它两项为人工智能和网络安全)。就在7月底,美国国防部对外正式宣布JEDI Cloud(联合企业防御基础设施云)项目开始招标,总合同额高达100亿美元,合同期10年,充分表明了美军对云计算领域的决心和信心。8月23日,美国国防部对该竞标更新了几项要求,首当其冲的就是安全性。美军明白得很,要进行云计算,安全性是根基,是重中之重,否则千里之堤毁于蚁穴。
美军对其云计算是如何提安全性要求的,遵守什么原则,对信息如何分级,如何对各类基础设施进行风险管控?本次占知智库为大家献上一份珍贵资料:《美国国防部云计算安全要求指南》。
该资料由美国国防部信息系统局首发于2015年,迭经3次修改,最新发布版为2017年3月,但是版本号依旧为第1版,这是第三个Release。全文242页。正文分为6章,6个附件。大纲如下:
1. 文件简介
2. 背景介绍
3. 信息安全目标/影响级别
4. 云服务风险评估
5. 安全要求
6. 网络空间防御和应急响应
附件A 参考文献
附件B 术语
附件C 角色与职责
附件D PA的CSP评估参数值
附件E 隐私层比较C/CE表和值
附件F 未来隐私层指南
该文件的主要内容如下:
信息安全目标
美军根据信息被非授权泄露后所造成影响的大小,将安全目标分为Confidentiality (保密性)、 Integrity(完整性)和可用性(availablility)三类。(下表列出2类)
信息影响级别
国防部在之前提出的“云安全模型”6层级别的基础上,合并简化为4级,每一级界定的依据包括:信息敏感性、安全控制、地点、远程连接性、隔离、人员要求。
第2级,包括公开发布的信息和不受控的非涉密信息;
第4级,受控非涉密信息(CUI),或非CUI;任务关键信息之外的;国家安全系统之外的;
第5级,高度敏感的受控非涉密信息;任务关键信息;国家安全系统信息;
第6级,涉密信息;国家安全系统信息。
云服务的风险评估
提供了风险评估框架(RMF),评估民用云服务/非国防部云服务;国防部的云服务和企业服务应用。如何对云服务的提供和任务执行者进行风险管理。
安全性要求
该章的内容比较多,主要包括了3种情况下的安全性要求:
- 要获取国防部临时授权,进入云服务名录时,对云服务方案进行评估的安全要求;
- 执行国防部使命任务时,对云服务提供商/云服务方案的安全要求;
- 对任务执行者的系统/应用的安全要求
各种要求包括:
- 国防部与安全控制相关的政策
- 法律相关因素
- 进展性评估
- 云服务商使用国防部公钥基础设施(PKI)
- 政策、指南和操作约束
- 数据泄露
- 数据恢复与销毁
- 存储介质和硬件的重用与销毁
- 体系架构:云访问点(CAP)、内部CAP、涉密网络SIPRNet BCAP/ICAP等
- 民用网络存储中静态数据的加密
- 备份
- 国防部承包商/国防部部门任务合作者使用云服务方案
- 任务执行者在云中进行的实验与研制
- 端口、协议、服务、管理和云系统
- 移动代码
- 云系统和应用的注册和互联
- 供应链风险管理评估
- 电子邮件协议
网络空间防御和应急响应
该章主要阐述网络空间的防御措施、角色和职责、应急报告与响应等。
网络安全防御措施包括:
- 国防部信息网络(DODIN)网络空间防御措施
- 边界网络空间防御措施
- 使命网络空间防御措施
应急报告与响应包括:
- 应急响应计划和附录
- 信息要去、分类、时间线、格式
- 应急报告机制
- 云端数字取证和法律支持,犯罪调查
本文件免费下载
第一步,关注本公众号,并转发该文章;第二步,联系占知专员微信:zhanzhiceo下载
声明:本文来自占知智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
