本质新闻

美国联邦网络安全评估人员长期对微软的政府社区云高安全级别（GCC High）服务存有严重担忧，称其缺乏详细安全文档，无法评估系统整体安全状况。尽管内部报告称该产品“是一堆垃圾”，但联邦风险与授权管理计划（FedRAMP）仍于2024年底批准其使用，因该服务已在政府系统中深度嵌入。此举引发对政府云安全审查机制失效的质疑，尤其是在微软产品曾涉及两起重大网络攻击事件的背景下。调查发现，审查流程在多个环节出现漏洞，且存在对微软的过度让步。

美国联邦政府网络安全评估机构FedRAMP在2024年底授权微软政府云服务GCC High，尽管内部评估报告指出其缺乏详细安全文档，导致评估人员“无法评估系统整体安全状况”，并有评估员直言“这堆东西就是一堆垃圾”。尽管该产品曾涉及多起重大网络攻击事件，且多年未能提供完整加密数据流图，FedRAMP仍因产品已在政府广泛使用而授予认证。该决定引发对联邦云安全审查机制有效性的质疑，前NSA科学家称此为“安全表演”。微软虽回应称已提供全面文档并持续改进，但FedRAMP团队人手严重不足，预算仅1000万美元，被指沦为行业“橡皮图章”。同时，微软被曝曾使用中国籍工程师维护敏感系统，引发国家安全担忧...