美國聯(lián)邦政府云計算的環(huán)境建設及風險管理
在政府部門有選擇地將部門服務搬向云的過程中,美國聯(lián)邦政府在應用配置和轉移風險方面仍有許多工作要做。
1.促進云計算加速器
在云計算市場的發(fā)展過程中,僅有推動力是不夠的,美國政府還致力于促進“云計算加速器”的建立。目前,國土安全部、國家標準與技術研究院以及政府認證和認可部門(C&A)這三個部門很好地起到了加速器的作用。尤其是國家標準和技術研究院在制定標準、規(guī)避風險方面更是作用巨大。
2.確保安全、可信的云計算環(huán)境建設
美國政府清楚地認識到,一旦聯(lián)邦政府向云計算大規(guī)模轉移,就要確保政府相關信息的安全和正確的管理模式,以確保市民的隱私以及國家安全。在整個系統(tǒng)周期中,更要很好地調節(jié)安全和隱私控制以及收益之間的平衡并過多地控制會影響效率和有效性,掣肘太多反而效率低下。因此,聯(lián)邦政府各個參與部門在掌控平衡并建立安全、可信的云計算環(huán)境中起著至關重要的作用。
3.建立風險管理框架
相對透明的安全環(huán)境需要良好的風險管理框架做支撐。2010年,美國政府出臺《聯(lián)邦風險和授權管理方案》(FedRAMP)。NIST隨后出臺云計算技術安全指南山,聚焦在持續(xù)監(jiān)控云計算解決方案,并與風險管理框架的6步驟相一致。評估風險的部門既要充分考慮到云計算的潛在安全收益,也要考慮到潛在的漏洞。只有這樣,才能不斷提高在云計算服務應用中的風險控制。
4.簡化流程
目前,聯(lián)邦政府的采購多以零散的非集中式為主。為了提高進人云計算的準備程度,美聯(lián)邦政府擬采用“一次批準多次應用”的方式,簡化云計算服務提供商的批準流程。隨著為政府部門提供云計算的服務商增多,GSA擬建立—套對比系統(tǒng),使得各個部門根據(jù)各自獨特需求陜速有效地選擇最適合的服務商。
同時,GSA將為整個政府部門建立共同的合同媒介,提供最普遍的IT服務,并且成立工作組,支持商品服務流通,研發(fā)通用技術需求,以減輕單個政府部門的技術負擔。