这张图是2011年美国政府CIO昆德拉在RSA20111的报告。这个曲线非常的明显，上升的曲线是美国政府数据中心在过去的几年里收集的数据，他认为私营企业的IT是先进的，是更加高效率的。由此得出一个结论，政府IT需要大规模的改进，云计算就是一个机遇。

刚刚过去的美国政府2011个财年总结里归结为叫划时代。经济危机之后，政府IT的预算逐年下降。奥巴马2009年上台以后，正式推出了开发信息服务化的项目。我有了驱动力以后，在比较早的时候，2009年稍候没有多长时间，先是在工作总层面征求总意见。要求各个部委制定详细的计划，OMB/GSA/GSO，国土安全部列了三个数据中心的服务，还有员工的认证服务。美国联邦信息安全管理法案里规定我给你一定的时间，把框架的映射做出来。还有财务目标。

NIST做了细分，分成几个大框。中间一个大框识别了五个利益相关方，这是一个游戏。其中包括Cloud Provider，现在既做集成又做服务。一类是Cloud Auditor。他识别了某种角色以后，规定了比较详细的游戏规则，五个玩家各自承担着一个责任，每一家都想从更大的几率当中获取自己的利益，这是正当的。怎么去促成这些大事，于是他推出了FedRAMP的计划，全称是联邦风险和授权管理项目。用这个计划提纲挈领，第一要回答联邦政府所谓云用户的诉求，你的安全要求是什么。作为用户他是有责任的，他有什么要求要讲出来。同时云计算的公司把他能解决什么也要提出来。让大家的数据和指标体系是一致的，这样可以更好的降低成本，云用户应该把他的需求讲出来，定义一些流程，怎么样讲清楚，怎么样去配备，最终怎么样去授权。作为用户一方他很清楚他的要求是什么等级，提供的一方能够提供什么等级，双方的责任得到合理的分摊。

在研制机制下面，在对比层有立法，还有落地的，所有的自动化，比如说桌面、安全配置自动化，在自动化上面还有量化的指标。比如说2010年桌面自动化是58，2011年推进到80，在基础管理、安全管理方面的成熟度更好。在这之上建立了FedRAMP的游戏规则，创造了一个小的生态环境，用户在这里跟政府IT部门有这样的诉求，但又有安全风险，这时提供商想要抢占云计算蓝海的商机，但他怎么能让人相信他是安全的，并且人家用了他的云服务出了问题不至于进监狱。所以他有一大帮安全从业人员也等着参与这个游戏，怎么去参与?包括他拥有的这些专业的资源。还有一方是民间的非盈利组织帮助建立这样的标准，能够形成中立客观的标准，使各方资源能够得到公平的配置。围绕着这个得到了一个比较好的小的生态，继续往前推进。

最终我们要想让云计算在云安全中怎么落地，我们还要清楚我们面临的危险是什么，面临的攻击方是什么，我们想要得到的安全是什么。这就需要用户自己去仔细的梳理，有了这些以后，我们就可以跟云计算提供商，因为那一方同样也有高中低分门别类的经过了审计或者是清理。经过大致的游戏规则，安全提供商、用户、政府的审计机构大家能够各得其利，云计算就可以非常好的进展下去了。希望可以给大家提供思考，谢谢!