什么是 IL5 认证？

美国国防部 (DoD) 颁发的一项认证，授权云服务提供商 (CSP) 存储和处理国防部的部分最敏感数据。IL5 认证表明，CSP 具备相应级别的控制措施、协议和技术，能够安全处理被视为关键任务的受控未分类信息 (CUI)。IL5 认证所需的安全控制措施是云服务 行业中最严格的控制措施之一。

美国国防部依靠云基础架构和服务来共享信息、运行国防应用程序，并在各种军事行动中提供战斗支援。由于云环境持续面临威胁，美国国防部要求任何处理其数据的 CSP 都必须符合一系列安全要求，并落实特定控制措施与保障机制。

DoD 使用“影响级别”系统，根据信息的敏感程度以及数据丢失、泄露、被盗或遭到破坏时可能造成的危害程度，对数据进行分类。

除了对数据进行分类之外，影响级别还使美国国防部能够评估 CSP 中特定云服务产品 (CSO) 的安全态势。影响级别认证提供了简略的信息，可帮助您了解哪些 CSP 和 CSO 可满足不同的数据安全需求。

影响级别 5 (IL5) 是一种针对未分类但高度敏感、重要的信息的分类。（IL-6 是最高级别的分类，专用于被列为机密的信息系统和数据。）IL5 认证使供应商能够存储和处理受控未分类信息 (CUI)、任务关键型信息和国家安全系统信息。这包括可能导致人员伤亡、严重损害美国国防部开展行动的能力或对国家安全造成灾难性损害的数据。

目前有四个 DoD 影响级别，代表不同的数据敏感度。

• 影响级别 2 (IL2) 适用于已获准公开发布的美国国防部信息
• 影响级别 4 (IL4) 适用于美国国防部受控未分类信息 (CUI)
• 影响级别 5 (IL5) 适用于美国国防部 CUI 和国家安全系统 (NSS)
• 影响级别 6 (IL6) 适用于 DoD 最高至机密 (SECRET) 级别的分类信息

国防信息系统局 (DISA) 隶属于美国国防部，负责制定和维护美国国防部云计算安全要求指南 (CC SRG)。本文档定义了评估 CSO 安全态势时的基准安全要求，并支持授予临时授权 (PA) 以允许 CSP 托管美国国防部任务的决策流程。

联邦风险与授权管理计划 (FedRAMP) 是一项政府级计划，负责制定并管理标准化方法，用于评估、授权及持续监控来自云服务提供商 (CSP) 的产品与服务。FedRAMP 负责监督评估和授权流程（包括“低”、“中”和“高”临时授权），以认证 CSP，支持其与各种联邦机构合作，并存储和处理不同级别的敏感信息。想要与联邦政府及其机构合作的 CSP 必须取得 FedRAMP 认证。需要 IL5 认证的企业必须采取额外措施，并采取更强大的安全控制措施。

CSP 必须获得 IL5 认证才能处理以下数据：

• 需要比 DoD IL4 更高级别的安全保护的 CUI。这包括涵盖多个类别的信息，如关键基础设施、国防、出口管制、情报、执法、金融、核能、隐私及其他领域的信息。
• 国家安全系统 (NSS) 中的信息。这包括属于情报活动的信息、与国家安全相关的密码活动信息、用于指挥和控制军队的信息、作为武器系统组成部分的设备信息，以及对于直接完成军事或情报任务至关重要的功能数据。

IL5 认证需要严格的安全评估，并采用一些最严格的物理、逻辑和加密隔离控制措施。这些措施包括实现 FedRAMP“高”级别授权所需的控制措施，以及保护国家安全系统并为 CUI 提供最高级别安全性所需的若干额外要求。

IL5 认证需要多个类别的各种控制措施。

• 基础架构设计和安全架构：CSP 可能需要实施网络分段、入侵检测系统、强大的防火墙配置和加密通信通道。
• 身份和访问管理控制措施：多重身份验证 (MFA)、基于角色的访问控制和特权访问管理有助于防止未经授权的用户访问关键数据和系统。
• 数据加密：为确保任何暴露的信息保持不可读状态，强大的加密技术机制对于静态数据、传输中数据及使用中数据都至关重要。
• 持续监控：利用入侵检测、安全信息和事件管理 (SIEM) 系统进行持续监控，有助于快速发现和抵御威胁。
• 安全 DevOps 实践：CSP 可以采用安全编码实践和方法，执行定期和自动化安全测试，以识别并解决漏洞，从而防止开发过程中的安全漏洞。
• 更新和补丁管理：定期应用安全补丁并更新系统至关重要。渗透测试和漏洞评估有助于发现攻击者可能会利用的漏洞。
• 文档和报告：CSP 必须提供有关其安全控制措施和合规工作的全面文档，包括有关策略、程序和审计的详细记录。
• 第三方风险管理：第三方风险评估对于识别安全漏洞、防范企业供应链中可能出现的威胁至关重要。