刑事司法信息服务 (CJIS)

美国联邦调查局 (FBI) 刑事司法信息服务 (CJIS) 部门为联邦、州、地方和部落机构提供了有关如何在使用 Google Cloud 等云服务提供商 (CSP) 时保护刑事司法信息 (CJI) 的指导。

Google Cloud 客户可以使用适用于 Google Cloud 的 Assured Workloads适用于 Google Workspace 的安全管控来确保遵守 CJIS 安全政策的第 5.9.5 版。

CJIS 简介

FBI 的 CJIS 部门负责管理全国各地刑事司法机构 (CJA) 所利用的许多国家级数据库。这些数据库中维护的大部分数据都被视为刑事司法信息 (CJI),需要受到保护,以免被未经授权的用户使用和发布。FBI CJIS 部门发布的 CJIS 安全政策(“CJISSECPOL”)列出了保护 CJI 所必须满足的最低安全要求集。

FBI 还提供了一份要求配套文档,其中重点介绍了 CJIS 安全政策的近期变更,并帮助确定访问 CJI 的实体的安全角色和责任。虽然最终由访问 CJI 的 CJA 负责确保符合 CJIS 要求,但《要求配套文档》可指导 CJA 确定哪些人员(例如,美国联邦调查局 [FBI] 的 CJIS 部门、CJA、服务提供商等)具有确保满足特定要求的技术能力。

Google Cloud Platform 和 Google Workspace 客户可以使用 Assured Workloads安全管控来确保遵守 CJIS 安全政策的第 5.9.5 版。一家独立的第三方评估组织最近对 Google Cloud 的 CJIS 安全控制措施进行了评估,发现 Google Cloud 能够实现 CJIS 合规性。我们还可以根据要求提供其他合规性信息,以证明 Google Cloud 如何满足适用于云服务提供商的 CJISSECPOL 要求。

Google Cloud 还会参加 CJIS 咨询政策委员会的会议,并审核新版的 CJIS 安全政策和《要求配套文档》,以确保我们的政策和程序符合任何变更。

在 Google Cloud Platform 上托管 CJIS 工作负载

适用于 CJIS 的 Assured Workloads 可帮助客户遵守 CJIS 安全政策。适用于 Google Cloud Platform 的 Assured Workloads 是 Google Cloud 的监管云,可实现对 CJIS、FedRAMP 高风险级别和美国国防部 IL2 / IL4 / IL5 等框架的合规性。

Assured Workloads 采用零信任、软件驱动的方法来实现法规遵从。它使客户能够满足严格的政府云合规性要求,同时提供客户在使用物理隔离的云架构时无法获得的性能、规模、服务可用性、费用和可靠性优势。

Assured Workloads 可为州、地方、部落和联邦执法机构(以及 CJI 的任何其他刑事司法或非刑事司法用户)简化安全和合规流程,具体做法如下:

  • 设置数据位置控制,将 CJIS 工作负载限制在仅限美国区域(“数据驻留”)
  • 实施人员安全和访问控制,仅限位于美国境内且已完成基于指纹的 FBI 背景调查的美国人员在无人陪同的情况下访问未加密的 CJI 工作负载
  • 启用客户管理的加密密钥 (CMEK),可在 Google Cloud 上托管,也可使用外部密钥管理器
  • 让客户能够控制和了解管理员访问权限
  • 持续监控客户环境,以防出现合规性违规问题

在 Google Workspace 上托管 CJIS 工作负

Google Workspace 安全管控可帮助组织满足组织和合规性要求,无论这些要求是涉及限制 Google 员工对客户数据的访问权限,还是确保客户数据的位置仅限于美国。

希望使用 Google Workspace 部署 CJIS 解决方案的客户可以使用安全管控设置符合 CJIS 安全政策的政策。点击此处可查看 Google Workspace 上的 CJIS 解决方案的配置指南。

常见问题解答

一家独立的第三方评估组织最近对 Google Cloud 的 CJIS 安全控制措施进行了评估,发现 Google Cloud 成功实现了 CJIS 合规性。在 CJIS 安全政策 v6.0 发布后,Google 计划更新此评估。

如果客户或州级 CJIS 系统机构 (CSA) 提出要求,Google Cloud 将执行管理协议,向客户详细说明 Google Cloud 如何实现对 CJIS 安全政策的遵从、各方的责任、涵盖的云服务,以及其他许多重要规定。您可以发送电子邮件至 cjis@google.com,申请获取一份 Google Cloud CJIS 管理协议。

Google Cloud 合规团队还可以提供详细的合规性说明,说明 Google Cloud 如何满足适用于云服务提供商的 CJISSECPOL 要求。

是。借助 Assured WorkloadsAssured Controls,Google Cloud 可让客户将 CJIS 工作负载限制在仅限美国的区域。Google 将根据我们的服务专用条款存储您的静态数据。

在 Google 员工可能未经陪同即可访问未加密的 CJI 的州,Google 会与 CSA(或当地机构)合作,确保可能未经陪同即可访问某州未加密的 CJI 的人员都已接受基于指纹的 FBI 背景调查。符合条件的 Google 员工将向各 CSA 提交 FD-258 指纹卡以及所有必要的文件。

此流程可确保获得授权的人员只有在完成背景调查和 CJIS 安全意识培训后,才会获得无陪同访问权限。

Google 在我们的服务和运营核心中实现了零信任,我们的基础架构不假定其上运行的服务之间存在信任。换句话说,系统会对每个资源访问请求进行检查、身份验证和核实,就好像这些请求来自不受信任的网络一样。

Google Cloud 中的客户环境在逻辑上也是隔离的,以防止用户和客户访问未分配给他们的资源。客户数据(包括 CJI)在逻辑上按网域分隔,以便为单个租户生成数据。Google Cloud 能够以这种方式保护客户数据,同时还能加快功能开发速度并为客户带来成本效益,因此是政府客户的理想之选。

最后,对于所有客户,我们默认会对所有客户数据在传输过程中进行加密,并对数据进行静态加密。这可确保多租户云架构具有多层防御机制,并为所有客户提供强大的隔离功能。

不需要。由于 Google 提供客户管理的加密密钥和用于限制 CJI 访问权限的人员数据访问权限控制,因此 Google Cloud 上的 CJIS 不需要机密计算。但是,除了 Google 为 CJIS 客户提供的安全和受限环境之外,客户仍然可以将机密计算用作补充的安全控制措施。

是 - Google Cloud 在生产环境中采用通过 FIPS 140-3 验证的加密模块 BoringCrypto(第 4735 号证书)。这意味着,传输中的数据(传输给客户的数据以及数据中心之间传输的数据)和静态数据默认使用经 FIPS 140-3 验证的加密方法进行加密。

这样,客户可以在从各种 Cloud Key Management 产品(例如 Google 管理的密钥、客户管理的加密密钥、外部密钥管理)进行选择时保持 FIPS 合规性。由于 Google Cloud 默认对静态数据和传输中的数据使用此级别的加密,因此客户可以继承 FIPS 140-3 加密,并且无需在 FIPS 模式下运行产品和服务。

CJIS 安全政策并未要求使用政府云 (“GovCloud”),并且没有关于 GovCloud 构成的通用定义或标准。Google Cloud 可帮助 CJIS 实现 CJIS 安全政策的合规性,并且我们已向独立的第三方评估组织和众多州 CSA 证明了我们的合规性。 

Google 投资于其公有云基础设施的分层安全方法,提供加密和强大的人员数据访问权限控制等功能。这与上述零信任实现相结合,为满足 CJIS 安全政策的严格要求提供了强大的安全状况,同时也使客户能够利用公有云的持续产品创新。

Google 上述控制措施(以及许多其他控制措施)的实施符合 FedRAMP 中风险级别和 FedRAMP 高风险级别要求,并已获得联合授权委员会 (JAB) 的认可。

管理和预算办公室 (OMB) 备忘录 M-24-15(《联邦风险和授权管理计划 (FedRAMP) 现代化改造》) 验证了我们的方法,该备忘录建议联邦机构摆脱孤立的 GovCloud 架构:

“FedRAMP 不应鼓励或要求商业云服务提供商为联邦政府创建单独的专用产品或服务,无论是通过应用联邦安全框架还是其他计划运营,商业云服务提供商为了在市场上取得成功,会对其核心产品进行投资、安全维护和快速功能开发,而联邦政府则从中受益。同样,商业提供商也有动力将通过与 FedRAMP 合作而获得的改进型安全实践集成到其核心服务中,从而使所有客户受益。”

在 Google Cloud,我们认为信任源自透明。保护和管理您的云端数据是我们共同的责任,我们希望您能够透明地了解我们在这方面所做出的承诺以及您在这方面可以有哪些预期。

当您使用 Google Workspace 或 Google Cloud 时:

  1. 您的数据属于您,而不是 Google
  2. Google 不会向第三方出售客户数据
  3. Google Cloud 不会出于广告目的使用客户数据
  4. 所有客户数据默认会加密
  5. 我们会采取保护措施,防止内部人员访问您的数据
  6. 我们绝不会让任何政府实体“走后门”访问您的数据
  7. 我们的隐私权规范按照国际标准进行审核

如需详细了解我们的数据处理承诺,请参阅云端数据处理附录 (CDPA)。

更进一步

获享 $300 赠金以及 20 多种提供“始终免费”用量的产品,开始在 Google Cloud 上构建项目。