中国日报网6月17日电（信莲） 工业和信息化部电子科学技术情报研究所总工程师尹丽波日前在接受专访时指出，美国联邦政府对云计算服务的应用推广和安全管理很值得我国借鉴和参考。

　　尹丽波介绍说，云计算因其节约成本、维护方便、配置灵活已经成为各国政府优先推进发展的一项服务。美、英、澳大利亚等国家纷纷出台了相关发展政策，有计划的促进了政府部门信息系统向云计算平台的迁移。但是也应该看到，政府部门采用云计算服务也给其敏感数据和重要业务的安全带来了安全挑战。美国作为云计算服务应用的倡导者，一方面推出“云优先战略”，要求大量联邦政府信息系统迁移到“云端”，另一方面为确保安全，要求为联邦政府提供的云计算服务必须通过安全审查。

　　尹丽波表示，美国联邦政府对云计算服务的应用推广和安全管理经历了四个过程和阶段。

　　首先，从“花钱建系统”到“花钱买服务”，以云计算战略为先导，推进联邦政府云计算安全应用。

　　2009年，奥巴马政府提出《联邦云计算动议》，在联邦政府首席信息官委员会下设执行促进委员会和云计算顾问委员会，在总务署设立云计算项目管理办公室，确立了联邦政府云计算发展目标和工作职责，开始推广云计算应用。2010年，联邦预算管理局发布《改革联邦信息技术管理的25点实施计划》，实施“云优先”策略，要求将业务系统逐步迁移到云计算平台中，截至2015年要消减800个联邦数据中心。2011年，美国发布《联邦云计算战略》,明确联邦政府向云计算迁移的具体规划，创造安全的云计算应用环境。同年，国土安全部制定《从安全角度看云计算：联邦信息技术管理者入门》，指出了联邦政府面临的16项关键安全挑战。国家标准与技术研究院发布了《公共云计算安全和隐私指南》和《完全虚拟化技术安全指南》两项标准，为联邦政府下一步建立云计算服务安全审查制度做好了政策铺垫。

　　第二，从“谁审查，谁使用”到“统一审查，多方使用”，以风险管理和审查授权为核心，建立云计算服务审查制度。

　　2011年，联邦预算管理局发布首席信息官备忘录《云计算环境信息系统安全授权》，正式启动了云计算的《联邦风险及授权管理计划》（FedRAMP）。根据《联邦信息安全管理法案》，联邦政府的信息系统在联邦信息系统安全管理框架下，根据相关标准采取了安全措施后，都要进行安全评估。而对于各联邦政府部门采购云计算服务，FedRAMP采取了由第三方评估机构根据相关标准对云计算服务进行安全风险评估，FedRAMP根据评估结果进行审查，对通过审查的云计算服务给予初始授权。各联邦政府部门均可在初始授权名单里根据自身需求选择云计算服务，做到了统一审查，多方使用的高效管理，各联邦政府部门可共享安全评估与审查结果，避免了重复评估和审查。

　　第三，成立专门的审查机构，引入第三方评估机制，建立云计算安全管理保障机制。

　　FedRAMP建立了完善的云计算服务安全审查机制，明确了云计算安全管理的政府角色及职责。一是成立领导决策机构——联合授权委员会，由国防部、国土安全部、总务署三方组成，负责制定联邦政府云计算服务安全控制基线要求、批准第三方机构认定标准、对云计算服务进行初始授权等;二是设立隶属于总务署的FedRAMP项目管理办公室，负责日常管理安全评估、授权、持续监督等,并与国家标准与技术研究院合作对第三方机构进行能力认定和日常管理;三是明确云计算服务监督职责，由国土安全部负责监视、响应、报告安全事件;四是引入第三方评估机制，第三方机构必须满足FedRAMP所需的独立性和技术要求，对云计算服务执行独立的安全评估。