聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

澳大利亚国家情报社区 (NIC) 希望构建一个高度安全的非公开社区云服务，以保护最高为 “绝密” 级别的数据。

澳大利亚顶级情报机构国家情报办公室 (ONI) 正在牵头该项目，并在上周五号召相关机构提交意向书。ONI 写道，“NIC 旨在加速从复杂数据源更改并提取相关数据的能力。NIC 在寻求能够过滤并控制数据的常用工具集，作为提取相关有用信息的力量倍增器。NIC 旨在通过共享的常用服务、常用基础设施和标准寻求更大的互用性，服务中心化以及创建协作环境的能力。”

最终使用该云的 NIC 机构有10个：ONI、澳大利亚信号局 (ASD)、澳大利地理空间情报组织、澳大利亚秘密情报局、澳大利亚安全情报组织 (ASIO)、国防情报组织、澳大利亚刑事情报委员会以及澳大利亚联邦警察局、澳大利亚交易报告和分析中心 (Austrac) 以及澳大利亚内政部。该平台同时允许“受信任的第三方” 在非公开社区云中运营软件即服务 (SaaS) 服务。

ONI 的项目领导层以及项目本身源自2017年发布的独立情报审计报告提出的建议。报告指出，“我们建议将数据分析和 ICT 连接（包括建立情报社区计算环境，其中协同的技术障碍被最小化）当作实现技术变更和联合能力资助的更加结构化方式的最高优先级之一。”

该项目并不涉及收集任何新数据的机构，也并未扩展其控制范围。现有的法规规定仍然适用。NIC 希望该社区云将改进其分析数据和检测威胁的能力，以及提高协作能力和数据共享能力。

“绝密“是澳大利亚在安全策略保护框架中提出的最高秘密级别，它代表着如”绝密“材料被发布，会造成”灾难性商业影响“或”对国家利益、组织机构或个体造成尤为严重的损害。‘

如今，处理绝密数据的唯一主要云厂商（至少达到美国政府等效标准）是亚马逊 AWS。2017年，AWS 上线了专门针对美国情报社区的 AWS “秘密区域 (Secret Region)”产品，该社区包括CIA 以及和机密级别数据集打交道的其它政府机构。

在澳大利亚，AWS 被认证为“受保护”级别，比绝密的认证级别低两级。“受保护”认证由 ASD 的认证云服务列表 (CCSL) 确定，但在今年6月份关闭，因此通过 CCSL 流程获得的认证失效。

在 ISM 框架下，AWS 的92种服务被评估为“受保护”级别。2019年，AWS 谈判获得全澳大利亚政府云业务。

虽然 CCSL 不复存在，但信息安全注册评估师计划（IRAP）有望支持政府维护保证和风险管理活动。

本周，微软发布 Azure 政府绝密云产品，处理各个级别的机密数据，包括美国政府客户的绝密数据。然而，微软仍然还在和政府合作，获得官方认证。

根据 CCSL 规定，微软还能够存储最高为“受保护‘级别的政府信息。和之前的认证不同，微软的认证是临时的且带有 ASD 所谓的“消费者指南”。

ASIO 还在2019年发布意向书，使用微软 Azure 作为内部存储“受保护”、“秘密”和“绝密”数据。

英国私营公司 UKCloud 在2018年发布其潜在的绝密服务 UKCLOUDX。UKCloud 已和英国政府采购机构 Crown Commercial Services 签署合同，称为英国政府 G-Cloud 的云服务提供商。

ONI 也在探索市场，在交付安全云环境方面有经验的供应商可进行申请，即使他们尚未获得绝密认证。然而，云必须托管在物理位置位于澳大利亚和分散在其它地方的基础设施上。ONI 写道，“这是ONI 将要判断的多阶段采购流程的第一个阶段，如果存在，则会邀请受访者参与采购流程的下一个阶段。”

意向书将在2021年2月8日关闭。

推荐阅读

百分之六的谷歌云存储桶因配置错误而遭任意访问

犯罪分子正在将合法的云监控工具用作后门

这家云提供商虽挫败勒索攻击，但仍需支付赎金

原文链接

https://www.zdnet.com/article/australian-intelligence-community-seeking-to-build-a-top-secret-cloud/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~