聯邦CISO們擔心他們不能有效保證雲計算的安全

聯邦CISO（首席資訊安全官）進行的一年一度調查顯示：許多雲計算計畫都被延後，因為他們現在並不確定在雲計算環境中能提供和實體環境一樣的安全性以及防止資料洩密的能力。 (ISC)2是一家管理CISSP認證的知名認證機構，它對36家代理機構和局級（bureau-level）的CISO們進行了問卷調查，並將這次調查作為聯邦CISO年度匿名調查的一部分。 在這些調查中，72%的人表示他們還沒有使用雲計算，因為存在一些不確定的因素，如雲計算是否能有效地保證安全，是否能應用目前的IT安全性原則，或是否能有效的防護資料洩密」。 Lynn McNulty是(ISC)2的一個顧問，他在美國國家標準與技術研究所、國務院和聯邦航空管理局中擁有很高的安全職務。 他解釋說，「很明顯，政府正在試圖壓縮IT經費，併發現‘雲計算’正好可以實現這一目標。 但是作為一個群體，聯邦CISO們是不情願看到這種情況的。 」同時，他也說道：「他們支援對不敏感的應用程式或者資料使用雲計算處理，因為這不會涉及任何敏感資訊。 」使用雲計算服務的CISO們現正在應用基於角色的存取控制，並通過對體系結構進行改進來説明減輕一些風險。 McNulty說，早期的採用者可以給那些仍不情願部署雲計算的人提供一個實踐方案。 網路安全運營公司Lumeta的首席執行官Michael Markulec曾參與了多個聯邦政府的專案。 他表示，政府已經開始構建獨立的雲計算服務了。 美國國防資訊系統局（DISA）使用的是基於雲的架構，稱為快速訪問計算環境（RACE），它能為多個不同的機構提供服務。 Markulec在最近的一次採訪中說，「這些基礎設施服務和舊的框架轉送網路真的很相似，在該網路中多個使用者使用同一網路，所以這也帶來了許多相同的挑戰。 你需要理解你所擁有的機制，並確保你的存取控制清單和防火牆得到了正確的設置。 」聯邦CISO也使用社交媒體，62%的人表示他們使用社交媒體工具，比如P2P、博客和論壇，來支援機構的工作。 McNulty說道：聯邦CISO們關注的首要威脅中，軟體漏洞占了27%，其後是內部威脅（24%），接著是來自外國的威脅（21%）。 McNulty說，「CISO們用了一年的時間來研究潛在的威脅，並對他們所面對的情況持一種不偏不倚的觀點。 」他還補充道，2009年的調查發現聯邦CISO們對來自外部的威脅比較擔憂，「那些擁有授權的入侵者和其他一些因素也被認為是威脅。 」McNulty說，網站的漏洞和攻擊長期困擾著聯邦政府的安全專家們。 軟體安全性是聯邦政府經常關注的話題。 美國國土安全部已經實施了軟體保證計畫，強調軟體採購人員必須注意軟體編碼中的錯誤。 聯邦CISO們報告了Einstein計畫的進展，同時指出還需要支援調查發現，政府的網路安全還有待進一步提高滿意度。 然而，這些調查表明必須簡化招聘程式、避免官僚作風，因為這些都會阻礙技術安全專家的聘用。 McNulty說，「聘用程式啟動之後，它可能需要長達一年的時間才能雇到一個人，但是到那時候，技術和進度又發生了改變。 我認為，政府必須有競爭意識，必須縮短這一過程，這樣才能更好的與私人安全公司進行競爭。 」只有10％的受訪者對人力資源和採購業務感到滿意，有關專家表示這是一個長期存在的問題，導致許多職位空缺。 McNulty說，許多政府機構正在審查承包人的職責，使其中一些政府部門的工作與聯邦承包商有所區別。 該調查發現，承包商的轉換和私營部門新的雇用會占到他們雇用的30％。 其餘的將來自獎學金計畫（Scholarship for Service program），這樣不少大學生畢業後會進入聯邦安全部門。 McNulty說到，「將他們轉換為政府雇員是一件順理成章的事情，尤其是當實際承建商已成為機構和部門的一部分時。 由於目前的經濟情況不景氣，對承包商的影響尤其明顯，退休福利、醫療保險和其他因素使政府職位成為不錯的工作選擇。 」Einstein計畫涉及了入侵防禦系統的跨機構部署，在2009年的調查中，該計畫讓人沮喪，因為它太注重外部的防禦了。 但在2010年的調查中出現了轉機，有近75%的被調查者表示比較滿意或非常滿意這個計畫。 美國政府問責局（Government Accountability Office）審查發現，Einstein計畫的實施緩慢，它的第三階段正在一個試點方案中測試。 「我認為人們最初並不認為Einstein計畫適合自己機構的需求，」McNulty說，「今年人們對它表示滿意，主要是因為它清楚的回應了奧巴馬政府的網路安全倡議」在2010年RSA大會上，白宮網路安全協調員Howard Schmidt宣佈了國家網路安全綜合計畫（CNCI），該計畫能夠讓公眾查看價值400億美元的機密網路安全計畫總結。 McNulty 說，透明度的增加、跨機構的溝通，説明人們減少了在安全方面的失望情緒。