云计算技术在军事领域具有全面而积极的应用,美军将其列为三大关键技术之一(其它两项为人工智能和网络安全)。就在7月底,美国国防部对外正式宣布JEDI Cloud(联合企业防御基础设施云)项目开始招标,总合同额高达100亿美元,合同期10年,充分表明了美军对云计算领域的决心和信心。8月23日,美国国防部对该竞标更新了几项要求,首当其冲的就是安全性。美军明白得很,要进行云计算,安全性是根基,是重中之重,否则千里之堤毁于蚁穴。

美军对其云计算是如何提安全性要求的,遵守什么原则,对信息如何分级,如何对各类基础设施进行风险管控?本次占知智库为大家献上一份珍贵资料:《美国国防部云计算安全要求指南》。

该资料由美国国防部信息系统局首发于2015年,迭经3次修改,最新发布版为2017年3月,但是版本号依旧为第1版,这是第三个Release。全文242页。正文分为6章,6个附件。大纲如下:

1. 文件简介

2. 背景介绍

3. 信息安全目标/影响级别

4. 云服务风险评估

5. 安全要求

6. 网络空间防御和应急响应

附件A 参考文献

附件B 术语

附件C 角色与职责

附件D PA的CSP评估参数值

附件E 隐私层比较C/CE表和值

附件F 未来隐私层指南

该文件的主要内容如下:

信息安全目标

美军根据信息被非授权泄露后所造成影响的大小,将安全目标分为Confidentiality (保密性)、 Integrity(完整性)和可用性(availablility)三类。(下表列出2类)

信息影响级别

国防部在之前提出的“云安全模型”6层级别的基础上,合并简化为4级,每一级界定的依据包括:信息敏感性、安全控制、地点、远程连接性、隔离、人员要求。

第2级,包括公开发布的信息和不受控的非涉密信息;

第4级,受控非涉密信息(CUI),或非CUI;任务关键信息之外的;国家安全系统之外的;

第5级,高度敏感的受控非涉密信息;任务关键信息;国家安全系统信息;

第6级,涉密信息;国家安全系统信息。

云服务的风险评估

提供了风险评估框架(RMF),评估民用云服务/非国防部云服务;国防部的云服务和企业服务应用。如何对云服务的提供和任务执行者进行风险管理。

安全性要求

该章的内容比较多,主要包括了3种情况下的安全性要求:

  1. 要获取国防部临时授权,进入云服务名录时,对云服务方案进行评估的安全要求;

  2. 执行国防部使命任务时,对云服务提供商/云服务方案的安全要求;

  3. 对任务执行者的系统/应用的安全要求

各种要求包括:

  • 国防部与安全控制相关的政策

  • 法律相关因素

  • 进展性评估

  • 云服务商使用国防部公钥基础设施(PKI)

  • 政策、指南和操作约束

  • 数据泄露

  • 数据恢复与销毁

  • 存储介质和硬件的重用与销毁

  • 体系架构:云访问点(CAP)、内部CAP、涉密网络SIPRNet BCAP/ICAP等

  • 民用网络存储中静态数据的加密

  • 备份

  • 国防部承包商/国防部部门任务合作者使用云服务方案

  • 任务执行者在云中进行的实验与研制

  • 端口、协议、服务、管理和云系统

  • 移动代码

  • 云系统和应用的注册和互联

  • 供应链风险管理评估

  • 电子邮件协议

网络空间防御和应急响应

该章主要阐述网络空间的防御措施、角色和职责、应急报告与响应等。

网络安全防御措施包括:

  • 国防部信息网络(DODIN)网络空间防御措施

  • 边界网络空间防御措施

  • 使命网络空间防御措施

应急报告与响应包括:

  • 应急响应计划和附录

  • 信息要去、分类、时间线、格式

  • 应急报告机制

  • 云端数字取证和法律支持,犯罪调查

本文件免费下载

第一步,关注本公众号,并转发该文章;第二步,联系占知专员微信:zhanzhiceo下载

声明:本文来自占知智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。