David Rubal 表示，許多政府部門(mén)都被委以保管機(jī)密資料，而且必須處理與判讀這些資料以服務(wù)百姓。無(wú)論這些資料是否牽涉到人民或政府人員的“個(gè)人身份資訊”（Personally Identifiable Information，PII），或是受某些法規(guī)要求的機(jī)密資訊，只要是受監(jiān)督管理的資料，都必須遵守嚴(yán)格的政策規(guī)范，以確保資訊受到足夠的安全保護(hù)。

 

　　但另一方面，政府機(jī)構(gòu)在樽節(jié)成本、系統(tǒng)整并及云端服務(wù)控管的要求下，越來(lái)越多資料面臨走進(jìn)云端的壓力。例如美國(guó)聯(lián)邦政府以“聯(lián)邦云端運(yùn)算策略”（Federal Cloud Computing Strategy）規(guī)定聯(lián)邦政府之間必需采用云端項(xiàng)目，但是每當(dāng)有處理這些資料的程序時(shí)，卻又只有少數(shù)公司具備足夠的安全技術(shù)認(rèn)證可以提供 FedRAMP 認(rèn)證的解決方案。結(jié)果是，許多政府機(jī)關(guān)發(fā)現(xiàn)，他們無(wú)法使用一些真正吸引他們的領(lǐng)導(dǎo)級(jí) SaaS 應(yīng)用，也就無(wú)法確認(rèn)這些應(yīng)用能夠?yàn)樽约簷C(jī)關(guān)所管轄的資料提供符合現(xiàn)行資料安全的法規(guī)要求。如果把資料交給提供公有云服務(wù)的第三方業(yè)者，如何處理與儲(chǔ)存資料都是一個(gè)非常艱鉅的挑戰(zhàn)，往往又會(huì)衍生出其他新的法規(guī)遵循與風(fēng)險(xiǎn)管理問(wèn)題。

 

 

　　法規(guī)遵循（Compliance）：又稱(chēng)“合規(guī)性”。有些機(jī)關(guān)所處理的資訊可能要求必需符合某些法規(guī)的要求與控制。例如，想要存取美國(guó)FBI資料的部門(mén)就必需符合“刑事司法資訊服務(wù)”（Criminal Justice Information Services，CJIS）資料安全要求。如果想要存取某些美國(guó)國(guó)防部武器系統(tǒng)的資料必需符合國(guó)務(wù)院的ITAR 及商務(wù)部的 EAR 規(guī)定。許多機(jī)關(guān)可能需要存取個(gè)人醫(yī)療資訊（Personal Healthcare Information，PHI），那么就必需要符合 HIPAA 的要求。支付卡產(chǎn)業(yè)資料安全標(biāo)準(zhǔn)（PCI DSS）：許多機(jī)構(gòu)維護(hù)支付卡及民眾個(gè)人與私人企業(yè)的詳細(xì)金融資料，如帳號(hào)、路由號(hào)碼（routing numbers）等。這些資料所存放的地方，包括云端系統(tǒng)，都必需受到保護(hù)。敏感的非機(jī)密資訊保護(hù)（SBU Protection）：一些機(jī)構(gòu)所處理的是屬于“敏感的非機(jī)密資訊”（Sensitive But Unclassified，SBU）。關(guān)于如何在類(lèi)似公有云網(wǎng)絡(luò)環(huán)境處理這些資料，美國(guó)國(guó)家標(biāo)準(zhǔn)暨技術(shù)局（National Institute of Standards and Technology，NIST）就提出具體的處理規(guī)范。排除采用云端的障礙

 

　　以聯(lián)邦政府為例，在考慮是否采用云端時(shí)所面對(duì)的問(wèn)題相當(dāng)特別。公有云 SaaS 在資料控管上的常見(jiàn)缺失，就是一個(gè)重要問(wèn)題。云端存取安全代理（Cloud Access Security Broker，CASB）解決方案讓政府機(jī)關(guān)為云端 Apps 提供資料存取的同時(shí)，還能維護(hù)及控管機(jī)密資料、監(jiān)管資訊及人民個(gè)人身份訊息。

 

 

　　完整的云端資料控制：任何資料都不得在機(jī)關(guān)單位網(wǎng)絡(luò)之外以“明碼”方式分享，資料的加密必需基于使用者定義的“符記化”（tokenization）或加密選項(xiàng)達(dá)到“欄位級(jí)”（field-level）的控管等級(jí)，讓相關(guān)的政府部門(mén)能夠確保對(duì)資料安全的符號(hào)庫(kù)（token vault）及加密金鑰有完整的管控能力。使用 FIPS 140-2 加密并保有云端功能：為了保有云端應(yīng)用的功能，F(xiàn)IPS 140-2 合規(guī)性模組以及相關(guān)的認(rèn)證演算法在加密機(jī)密資料及保有關(guān)鍵云端功能都是必要的。經(jīng)審核的第三方符記化解決方案：符記化技術(shù)對(duì)于資料的常駐（residency）及資料的管轄要求特別有用，但必須透過(guò)相關(guān)業(yè)界標(biāo)準(zhǔn)稽核與認(rèn)證?？毓芤苿?dòng)設(shè)備存取的云端資料：機(jī)密資料還在部署的機(jī)構(gòu)內(nèi)時(shí)就要欄截下來(lái)，并以隨機(jī)的符記或加密值（encrypted value）來(lái)取代，將其轉(zhuǎn)譯（render）為無(wú)意義的形式呈現(xiàn)，讓外部個(gè)人或機(jī)構(gòu)能夠在存取資料的同時(shí)，也能同步儲(chǔ)存在云端或移動(dòng)設(shè)備做程序處理。