刑事司法信息服务 (CJIS)

美国联邦调查局 (FBI) 刑事司法信息服务 (CJIS) 部门为联邦、州和地方机构提供了有关如何在使用 Google Cloud 等云服务提供商 (CSP) 时保护刑事司法信息 (CJI) 的指导。

Google Cloud 通过适用于 Google Cloud 的 Assured Workloads 和适用于 Google Workspace 的安全管控提供安全控制措施，保护和存储 CJI。执法机构可为适用范围内的 Google Cloud 服务实施这些控制措施，以符合 CJIS 安全政策。

Google 的 CJIS 合规性

FBI CJIS 计划办公室发布了大量资料来为保护 CJI 提供指导。主要文件 FBI CJIS 安全政策详细说明了保护 CJI 所必须满足的一系列最低安全要求。FBI 还提供了 CJIS 要求与 NIST SP 800-53 中规定的安全控制措施的对应表。

Google Cloud Platform 和 Google Workspace 客户可以使用 Assured Workloads 和安全管控来确保遵守 CJIS 安全政策。请通过我们的联系表单与 Google Cloud 销售团队联系，详细了解 Google 的 CJIS 合规性。

在 Google Cloud 上托管 CJIS 工作负载

Google Cloud 对于默认保障安全的基础设施的投资可确保内置和预配置安全控制措施，使客户能够实现各种合规级别，而无需传统的隔离式政府云架构。

希望使用 Google Cloud 部署 CJIS 解决方案的客户可以使用 Assured Workloads 来满足 CJIS 安全政策的要求。借助 Assured Workloads，客户可以使用 Google Cloud 服务放心地保护和配置敏感工作负载，以满足合规性和安全要求。它不依赖独立于其公有云数据中心的物理基础设施，而是提供一个软件定义的社区云，在费用、速度和创新方面具有优势。

借助 Assured Workloads，您还可以通过 Assured Workloads Monitoring 了解 CJIS 工作负载的合规状态。此工具可帮助您发现并解决违规问题，并向合规性状态审核人员提供控制证明。

除了 Google Cloud 基础设施满足的控制措施之外，州、地方和联邦执法和刑事司法机构（及其承包商）还可以使用 Assured Workloads 实现以下目的：

设置保护措施，仅允许将 CJIS 工作负载存储在美国境内，
实施人员安全和访问控制，仅限位于美国境内且已完成所在州基于指纹的 FBI 背景调查和犯罪背景调查的美国人员访问 CJI 工作负载，
强制执行 FIPS-140-2 静态加密和传输加密，
使用客户管理的加密密钥 (CMEK)
实施逻辑控制，以根据范围内的敏感数据划分网络和用户，等等。

在 Workspace 上托管 CJIS 工作负载

Google Workspace 安全管控可帮助组织满足组织和合规性要求，无论这些要求是涉及限制 Google 员工对客户数据的访问权限，还是规定客户数据的静态存储位置。

希望使用 Google Workspace 部署 CJIS 解决方案的客户可以使用安全管控设置符合 CJIS 安全政策的政策。点击此处可查看 Google Workspace 上的 CJIS 解决方案的配置指南。

除了 Google Workspace 基础设施满足的控制措施外，州、地方和联邦执法和刑事司法机构（及其承包商）还可以使用安全管控实现以下目的：

设置保护措施，仅允许将 CJIS 工作负载存储在美国境内，
实施人员安全和访问控制，仅限位于美国境内且已完成所在州基于指纹的 FBI 背景调查和犯罪背景调查的美国人员访问 CJI 工作负载，
强制执行 FIPS-140-2 静态加密和传输加密。

符合 CJIS 要求的 Google Cloud 服务

Google Cloud Platform

Google Workspace

常见问题解答

我如何在自己的州中启动 CJIS 安全附录流程？

处理 CJI 的实体（例如 Google Cloud）必须在希望使用实体服务来保护 CJI 的州执行 CJIS 安全附录。该附录是美国司法部长批准的模板协议，旨在向客户详细说明 Google Cloud 如何满足 CJIS 安全政策、各方的责任、涵盖的云服务，以及其他许多重要规定。

请通过我们的联系表单与您所在州的 Google Cloud Platform 销售团队联系，以启动该流程并获取 Google Cloud CJIS 安全附录的访问权限。

Google 如何展示自己的云服务能满足我所在州的要求？

Google 与州 CJIS 系统代理机构 (CSA) 或 CJIS 安全官 (CSO) 签署了 CJIS 安全附录；您可以向 Google 或您所在州的 CSA 或 CSO 索取副本。

此外，Google 还为 CJIS 客户提供全面的控制说明文件，说明 Google Cloud 如何帮助客户实现 CJIS 合规所需的 FBI 对照技术控制措施。

请联系 cjis@google.com，获取 Google 的 CJIS 对照表。

Google 如何确保只有获得授权的人员才能支持 CJI？

在某些州，Google 员工可以在无陪同的情况下访问未加密的 CJI。在这些地方，Google 会与州主管部门合作，确保可以在无陪同的情况下访问该州未加密 CJI 的人员在该州接受 CJIS 背景调查（此外，该员工应已通过 FBI 的国家犯罪记录背景调查）。符合条件的 Google 员工将向各主管部门提交 FD-258 指纹卡以及所有必要的文件。

此流程可确保获得授权的人员只有在完成背景调查和 CJIS 安全意识培训后，才会获得无陪同访问权限。

CJIS 是否需要机密计算？

不需要。由于 Google 提供客户管理的加密密钥和用于限制 CJI 访问权限的人员数据访问权限控制，因此 Google Cloud 上的 CJIS 不需要机密计算。

但是，除了 Google 为 CJIS 客户提供的安全和受限环境之外，客户仍然可以将机密计算用作补充的安全控制措施。

Google Cloud Platform 能否在美国存储数据？

符合。客户可以针对我们的关键服务在美国配置资源，Google 将只根据我们的服务特定条款将您的静态数据存储在选定的区域。

Google 是否使用 FIPS 140-2 验证加密？

Google Cloud 在我们的生产环境中使用名为 BoringCrypto（证书 3678）的经过 FIPS 140-2（请参阅 FIPS 140-2 合规性页面）验证的加密模块。这意味着，传输中的数据（传输给客户的数据以及数据中心之间传输的数据）和静态数据默认使用经 FIPS 140-2 验证的加密方法进行加密。

通过 FIPS 140-2 验证的这个模块属于我们的 BoringSSL 库。这样，客户可以在从各种 Cloud Key Management 产品（例如 Google 管理的密钥、客户管理的加密密钥、外部密钥管理）进行选择时保持 FIPS 合规性。由于 Google Cloud 默认对静态数据和传输中的数据使用此级别的加密，因此客户可以继承 FIPS 140-2 加密，并且无需在 FIPS 模式下运行产品和服务。