公共云服務(wù)認(rèn)證進(jìn)展研究

郭 豐，栗 蔚

（工業(yè)和信息化部電信研究院 北京100191）

1 全球公共云服務(wù)處于低總量高增長(zhǎng)的發(fā)展初期

根據(jù)Gartner的統(tǒng)計(jì)，2013年全球云服務(wù)市場(chǎng)規(guī)模約為1 317億美元，年增長(zhǎng)率為18%，據(jù)預(yù)測(cè)，未來(lái)幾年云服務(wù)市場(chǎng)仍將保持15%以上的增長(zhǎng)率，2017年將達(dá)到2 442億美元。2013年全球公共云服務(wù)（包括公共IaaS、PaaS、SaaS）的市場(chǎng)規(guī)模為333億美元，增長(zhǎng)率達(dá)到29.7%。根據(jù)工業(yè)和信息化部電信研究院的調(diào)查統(tǒng)計(jì)，2013年國(guó)內(nèi)公共云服務(wù)市場(chǎng)整體規(guī)模約為47.6億元，比2012年增長(zhǎng)36%。

公共云服務(wù)是云計(jì)算服務(wù)的重要形態(tài)，不僅關(guān)系著國(guó)家信息優(yōu)勢(shì)，更是網(wǎng)絡(luò)信息安全的關(guān)鍵所在。全球范圍內(nèi)，全球公共云服務(wù)處于低總量、高增長(zhǎng)的發(fā)展初期，即市場(chǎng)規(guī)模較小，但發(fā)展速度較快。云計(jì)算作為新型的IT資源服務(wù)方式，很多政府和企業(yè)客戶對(duì)公共云服務(wù)的安全和質(zhì)量保證仍有較大顧慮。另一方面，相關(guān)標(biāo)準(zhǔn)與規(guī)范在一段時(shí)期內(nèi)處于缺失狀態(tài)，導(dǎo)致公共云服務(wù)市場(chǎng)規(guī)范程度不高。對(duì)公共云服務(wù)的評(píng)估與認(rèn)證作為消除用戶顧慮、規(guī)范市場(chǎng)的有效手段，已在各主要國(guó)家開展了廣泛實(shí)踐。

公共云服務(wù)對(duì)于建立國(guó)家信息優(yōu)勢(shì)、保障國(guó)家安全具有重要意義。一方面，公共云服務(wù)是發(fā)揮云計(jì)算優(yōu)勢(shì)和規(guī)模效益的最佳服務(wù)模式，同時(shí)又因其集聚了大量經(jīng)濟(jì)運(yùn)行、社會(huì)服務(wù)、人民生活相關(guān)的信息和數(shù)據(jù)，從而成為國(guó)家競(jìng)爭(zhēng)的制高點(diǎn)，也是國(guó)家網(wǎng)絡(luò)信息安全的關(guān)鍵所在。目前，一些云計(jì)算領(lǐng)先的國(guó)家正從戰(zhàn)略高度推動(dòng)公共云服務(wù)發(fā)展。隨著美國(guó)“聯(lián)邦云計(jì)算戰(zhàn)略”的實(shí)施，美國(guó)政府部門成為云計(jì)算服務(wù)的重要用戶，美國(guó)已有300多個(gè)政府機(jī)構(gòu)和約1 500家教育機(jī)構(gòu)使用公共云服務(wù)。英國(guó)發(fā)布的“政府云計(jì)算戰(zhàn)略”宣稱，到2015年，英國(guó)中央政府新增的IT支出中有50%用于購(gòu)買公共云服務(wù)。另一方面，“棱鏡門”事件使各國(guó)更加重視云計(jì)算環(huán)境下國(guó)家數(shù)據(jù)安全的保障。目前，全球100家云計(jì)算領(lǐng)先企業(yè)中，美國(guó)企業(yè)超過(guò)80家。亞馬遜、微軟、谷歌等網(wǎng)絡(luò)巨頭已在歐洲、日本等地區(qū)與國(guó)家建立數(shù)據(jù)中心，提供本地化服務(wù)，這引起各國(guó)政府對(duì)于本國(guó)數(shù)據(jù)安全的擔(dān)憂。因此，各國(guó)紛紛采取數(shù)據(jù)保護(hù)政策、第三方認(rèn)證等監(jiān)管手段，促進(jìn)本國(guó)云服務(wù)商的發(fā)展壯大，使用戶更多選擇本國(guó)、本地區(qū)的云服務(wù)商，保證數(shù)據(jù)安全和網(wǎng)絡(luò)信息安全。在主管部門指導(dǎo)下，工業(yè)和信息化部電信研究院也開展了可信公共云服務(wù)認(rèn)證的初步探索，取得了初步成果，建立起的相關(guān)標(biāo)準(zhǔn)與規(guī)范可以作為推動(dòng)我國(guó)云計(jì)算發(fā)展、完善云服務(wù)監(jiān)管和保障網(wǎng)絡(luò)信息安全的重要手段。

2 公共云服務(wù)認(rèn)證促進(jìn)云計(jì)算發(fā)展并提高云服務(wù)可信度

公共云服務(wù)認(rèn)證是推動(dòng)云計(jì)算服務(wù)發(fā)展的合理選擇?，F(xiàn)階段，用戶對(duì)云服務(wù)的數(shù)據(jù)安全、業(yè)務(wù)質(zhì)量、業(yè)務(wù)穩(wěn)定性等方面仍有相當(dāng)?shù)念檻]。由于公共云服務(wù)作為一種新型IT資源共享服務(wù)模式，在市場(chǎng)初期，用戶難免對(duì)其數(shù)據(jù)安全與隱私、系統(tǒng)可靠性與業(yè)務(wù)連續(xù)性等涉及安全與業(yè)務(wù)質(zhì)量的因素存有顧慮（如圖1所示）。另一方面，連續(xù)出現(xiàn)的亞馬遜、谷歌等服務(wù)商宕機(jī)事件以及相關(guān)的賠付問(wèn)題，也凸顯了云服務(wù)發(fā)展初期服務(wù)等級(jí)、服務(wù)協(xié)議等不規(guī)范的現(xiàn)狀。為了使更多的用戶信任和使用云服務(wù)，促進(jìn)本國(guó)云服務(wù)商的發(fā)展，目前發(fā)達(dá)國(guó)家紛紛將公共云服務(wù)認(rèn)證作為培育和規(guī)范市場(chǎng)公信力的手段，其目的一是使用戶采購(gòu)云服務(wù)時(shí)有據(jù)可依，安全和質(zhì)量有保證，放心購(gòu)買；二是保護(hù)正規(guī)云服務(wù)商，促進(jìn)本國(guó)云服務(wù)商的發(fā)展。

從全球云計(jì)算市場(chǎng)來(lái)看（Gartner統(tǒng)計(jì)），美國(guó)一直占據(jù)50%以上的市場(chǎng)份額，西歐（23.5%）、日本（4.5%）、中國(guó)（4%）和韓國(guó)（3%）及其他新興經(jīng)濟(jì)體份額逐步上升，預(yù)計(jì)全球市場(chǎng)份額狀況在未來(lái)幾年不會(huì)有顛覆性變化。根據(jù)市場(chǎng)發(fā)展階段的不同，各國(guó)開展了面向市場(chǎng)或面向政府采購(gòu)的云服務(wù)認(rèn)證。

2.1 以培育市場(chǎng)為目的云服務(wù)認(rèn)證

日本、韓國(guó)和德國(guó)開展了以引領(lǐng)市場(chǎng)發(fā)展為目的的云服務(wù)認(rèn)證。3個(gè)國(guó)家的云服務(wù)市場(chǎng)潛在需求較大，但本國(guó)云服務(wù)提供商尚未成長(zhǎng)起來(lái)，面對(duì)來(lái)自美國(guó)企業(yè)的巨大競(jìng)爭(zhēng)壓力，它們將開展云服務(wù)認(rèn)證，把進(jìn)一步培育和規(guī)范云服務(wù)市場(chǎng)作為構(gòu)建云服務(wù)生態(tài)系統(tǒng)的重要舉措，積極營(yíng)造促進(jìn)本國(guó)產(chǎn)業(yè)發(fā)展的市場(chǎng)環(huán)境。

日本依托多媒體基金會(huì)開展“云服務(wù)的信息披露認(rèn)證”，以培育市場(chǎng)，并幫助用戶選擇更好的云服務(wù)提供商。該認(rèn)證在日本內(nèi)務(wù)和通信部 （Ministry of Internal Affairs and Communications，MIC）的支持下，向用戶披露參評(píng)云服務(wù)的業(yè)務(wù)質(zhì)量、數(shù)據(jù)管理、財(cái)務(wù)信息、合同規(guī)范等方面的信息。從2008年開始，日本開展了3類云服務(wù)的認(rèn)證：ASP.SaaS、IaaS.PaaS和數(shù)據(jù)中心，至今已經(jīng)認(rèn)證了300多個(gè)云服務(wù)。ASP.SaaS認(rèn)證標(biāo)準(zhǔn)為《ASP.SaaS安全性和可靠性信息披露指南》，于2008年執(zhí)行；IaaS.PaaS認(rèn)證標(biāo)準(zhǔn)為《IaaS.PaaS安全性和可靠性信息披露指南》，于2010年12月執(zhí)行；數(shù)據(jù)中心的認(rèn)證標(biāo)準(zhǔn)為《數(shù)據(jù)中心安全性和可靠性信息披露指南》，于2012年9月執(zhí)行。

韓國(guó)云服務(wù)協(xié)會(huì)開展可信云服務(wù)商的認(rèn)證，以培育市場(chǎng)和規(guī)范市場(chǎng)為主要目的，運(yùn)作主體為韓國(guó)云服務(wù)協(xié)會(huì)（Korea Cloud Service Association，KCSA）。該認(rèn)證受韓國(guó)通信委員會(huì)（Korea Communication Commission，KCC）的支持，對(duì)服務(wù)商的業(yè)務(wù)質(zhì)量、數(shù)據(jù)安全、基礎(chǔ)設(shè)施能力進(jìn)行評(píng)估，公共云服務(wù)需通過(guò)70%的認(rèn)證項(xiàng)目。據(jù)了解，已經(jīng)完成對(duì)6家云服務(wù)商的認(rèn)證。

德國(guó)互聯(lián)網(wǎng)協(xié)會(huì)開展了“可信云計(jì)算”的認(rèn)證活動(dòng)。經(jīng)歐洲云計(jì)算協(xié)會(huì)授權(quán)，德國(guó)互聯(lián)網(wǎng)協(xié)會(huì)主導(dǎo)開發(fā)并制定云計(jì)算認(rèn)證體系。認(rèn)證中的安全與服務(wù)質(zhì)量要求主要依據(jù)ISO27001和ISO9000標(biāo)準(zhǔn)設(shè)計(jì)了220個(gè)問(wèn)題，根據(jù)回收的答案開展綜合評(píng)價(jià)。認(rèn)證體系的參與方包括歐盟國(guó)際標(biāo)準(zhǔn)組織、歐洲認(rèn)證組織、德國(guó)聯(lián)邦信息技術(shù)安全局、云服務(wù)商、會(huì)計(jì)事務(wù)所（畢馬威）、金融交易專業(yè)機(jī)構(gòu)、科學(xué)研究機(jī)構(gòu)等。德國(guó)還推出了云計(jì)算平臺(tái)認(rèn)證、基礎(chǔ)設(shè)施認(rèn)證的5星級(jí)認(rèn)證體系，用1星級(jí)至5星級(jí)表示質(zhì)量等級(jí)由低至高。

2.2 服務(wù)政府采購(gòu)的云服務(wù)認(rèn)證

美國(guó)的云服務(wù)消費(fèi)者市場(chǎng)較為繁榮，美國(guó)政府當(dāng)前階段主要開展了滿足政府更高要求的云服務(wù)認(rèn)證。2010年，美國(guó)預(yù)算管理辦公室（Office of Management and Budget，OMB）的安全工作組啟動(dòng)了聯(lián)邦風(fēng)險(xiǎn)與授權(quán)管理項(xiàng)目（Federal Risk and Authorization Management Program，F(xiàn)edRamp）。該認(rèn)證項(xiàng)目用一套標(biāo)準(zhǔn)化的安全需求和控制方法，對(duì)采購(gòu)清單中云服務(wù)的安全和業(yè)務(wù)質(zhì)量進(jìn)行評(píng)估、授權(quán)和持續(xù)監(jiān)視，從而達(dá)到一次認(rèn)證、多場(chǎng)景有效的目的。2012年6月，此項(xiàng)目開始面向云服務(wù)提供商開放認(rèn)證評(píng)估，目前通過(guò)認(rèn)證并進(jìn)入采購(gòu)清單的IaaS提供商有12家，SaaS提供商有22家。

英國(guó)在美國(guó)安全認(rèn)證的基礎(chǔ)上還提出了服務(wù)協(xié)議框架認(rèn)證，要求所有云服務(wù)都必須滿足規(guī)范的合同框架，從而達(dá)到規(guī)范服務(wù)等級(jí)協(xié)議的目的。

3 國(guó)內(nèi)公共云服務(wù)認(rèn)證的實(shí)踐與相關(guān)建議

根據(jù)工業(yè)和信息化部電信研究院對(duì)國(guó)內(nèi)云計(jì)算市場(chǎng)的調(diào)查，半數(shù)以上的用戶對(duì)云服務(wù)的安全性、可靠性、服務(wù)質(zhì)量等方面存在疑慮，這在很大程度上影響了云計(jì)算應(yīng)用的進(jìn)一步推廣和深化。從調(diào)查來(lái)看，目前云服務(wù)的提供商和使用方均希望建立一定的信用制度，并通過(guò)開展服務(wù)商自律活動(dòng)來(lái)引領(lǐng)公共云服務(wù)市場(chǎng)的健康快速發(fā)展。因此，工業(yè)和信息化部電信研究院成立的“云計(jì)算發(fā)展與政策論壇”設(shè)立了“可信云認(rèn)證工作組”，在參考全球各國(guó)云服務(wù)認(rèn)證經(jīng)驗(yàn)的基礎(chǔ)上，研究并提出了一套與我國(guó)市場(chǎng)發(fā)展?fàn)顩r相適應(yīng)的云服務(wù)信用體系，并以此為基礎(chǔ)開展了可信云服務(wù)認(rèn)證。

可信云服務(wù)認(rèn)證以培育市場(chǎng)、鼓勵(lì)創(chuàng)新為目的，以云服務(wù)為評(píng)估對(duì)象。評(píng)估內(nèi)容包括3個(gè)方面：企業(yè)信息披露；云服務(wù)承諾的完備性和規(guī)范性；云服務(wù)承諾的真實(shí)性。其中云服務(wù)需要承諾的有三大類共16個(gè)指標(biāo)，具體如下。

·數(shù)據(jù)管理類：數(shù)據(jù)存儲(chǔ)的持久性、數(shù)據(jù)可銷毀性及可遷移性、數(shù)據(jù)私密性、數(shù)據(jù)知情權(quán)、業(yè)務(wù)可審查性。

·業(yè)務(wù)質(zhì)量類：業(yè)務(wù)可用性、業(yè)務(wù)功能、業(yè)務(wù)彈性、網(wǎng)絡(luò)接入性能、故障恢復(fù)能力、服務(wù)計(jì)量準(zhǔn)確性。

·權(quán)益保障類：服務(wù)變更和終止條款、服務(wù)賠償條款、用戶約束條款和服務(wù)商免責(zé)條款。

評(píng)估與認(rèn)證的對(duì)象合理分類是關(guān)鍵問(wèn)題。在實(shí)踐過(guò)程中發(fā)現(xiàn)，按照IaaS、PaaS、SaaS的分類方式在操作上存在較大難度，于是結(jié)合實(shí)際提出了按照云服務(wù)產(chǎn)品線進(jìn)行認(rèn)證的分類方法，將認(rèn)證對(duì)象分為云主機(jī)、對(duì)象存儲(chǔ)、云數(shù)據(jù)庫(kù)、塊存儲(chǔ)、云引擎、云分發(fā)等，并陸續(xù)制定評(píng)估認(rèn)證方法。此外，云計(jì)算發(fā)展與政策論壇和數(shù)據(jù)中心聯(lián)盟已經(jīng)完成了《云計(jì)算服務(wù)協(xié)議參考框架》的起草工作。

可信云服務(wù)認(rèn)證已經(jīng)根據(jù)第一版本的標(biāo)準(zhǔn)完成了對(duì)20個(gè)云服務(wù)的評(píng)估，目前正在根據(jù)新細(xì)化的標(biāo)準(zhǔn)，進(jìn)行補(bǔ)測(cè)工作。這20個(gè)云服務(wù)覆蓋云主機(jī)、對(duì)象存儲(chǔ)和云數(shù)據(jù)庫(kù)三大類，涵蓋了10家典型企業(yè)，包括中國(guó)電信、中國(guó)移動(dòng)、阿里巴巴、百度、騰訊、新浪、京東、藍(lán)汛、世紀(jì)互聯(lián)和UCloud。從業(yè)界反映來(lái)看，認(rèn)證評(píng)測(cè)工作既實(shí)現(xiàn)了增強(qiáng)用戶信心、培育市場(chǎng)的初衷，又提升和規(guī)范了云服務(wù)商的服務(wù)能力和承諾，社會(huì)反響良好。

由于可信云服務(wù)認(rèn)證已初步顯現(xiàn)了積極效果，建議將其作為推進(jìn)我國(guó)云計(jì)算發(fā)展、完善公共云服務(wù)監(jiān)管和保障網(wǎng)絡(luò)信息安全的重要基礎(chǔ)性手段，加快探索和推進(jìn)。

·完善相關(guān)標(biāo)準(zhǔn)，拓展在不同行業(yè)的適用范圍。開展針對(duì)云服務(wù)可用性等持續(xù)性指標(biāo)的監(jiān)測(cè)工作，研究模擬用戶持續(xù)監(jiān)測(cè)的技術(shù)方案與工具；根據(jù)云服務(wù)市場(chǎng)成熟度，逐步增加云服務(wù)認(rèn)證種類，預(yù)研分級(jí)的評(píng)估方案；面向政府、金融等行業(yè)的特定需求，研究政府采購(gòu)的特定認(rèn)證指標(biāo)與評(píng)測(cè)方法。

·探索將可信云服務(wù)認(rèn)證應(yīng)用于云服務(wù)事中監(jiān)管。目前新版電信業(yè)務(wù)分類目錄尚未公布，對(duì)云服務(wù)界定處于空白狀態(tài)，云計(jì)算服務(wù)的管理面臨服務(wù)質(zhì)量、競(jìng)爭(zhēng)秩序以及外資開放等問(wèn)題。利用“可信云服務(wù)認(rèn)證”中的業(yè)務(wù)可審查性和可監(jiān)測(cè)等要求，探索政府指導(dǎo)下的第三方可信云服務(wù)認(rèn)證，作為行業(yè)主管部門開展事中監(jiān)管的有效手段，同時(shí)也可在有關(guān)外資云服務(wù)的進(jìn)入中作為一種技術(shù)門檻。

·依據(jù)可信云服務(wù)評(píng)估標(biāo)準(zhǔn)，幫助企業(yè)進(jìn)一步完善服務(wù)管理流程和云服務(wù)能力。通過(guò)“可信云服務(wù)認(rèn)證”，推動(dòng)云服務(wù)商實(shí)現(xiàn)服務(wù)協(xié)議格式、故障報(bào)告和數(shù)據(jù)銷毀等服務(wù)管理流程的規(guī)范化。同時(shí)，通過(guò)可信云服務(wù)認(rèn)證總結(jié)國(guó)內(nèi)云服務(wù)最佳實(shí)踐，為國(guó)內(nèi)云服務(wù)商提供交流學(xué)習(xí)平臺(tái)，推動(dòng)云服務(wù)企業(yè)完善服務(wù)管理流程和云服務(wù)能力。

1 胡水晶,李偉.政府公共云服務(wù)中的數(shù)據(jù)主權(quán)及其保障策略探討.情報(bào)雜志,2013(9)

2 李凌.云計(jì)算服務(wù)中數(shù)據(jù)安全的若干問(wèn)題研究.中國(guó)科學(xué)技術(shù)大學(xué)博士學(xué)位論文，2013

3 何寶宏,栗蔚.公共云服務(wù)認(rèn)證研究.郵電設(shè)計(jì)技術(shù),2013(9)

4 劉婷婷.面向云計(jì)算的數(shù)據(jù)安全保護(hù)關(guān)鍵技術(shù)研究.解放軍信息工程大學(xué)博士學(xué)位論文，2013

5 喬宏明,姚文勝.基于策略提升公共云存儲(chǔ)信息安全水平的方案研究.移動(dòng)通信,2013(21)

6 劉素清.云時(shí)代的信息安全問(wèn)題.電信快報(bào)，2013(9)

7 張逢喆.公共云計(jì)算環(huán)境下用戶數(shù)據(jù)的隱私性與安全性保護(hù).復(fù)旦大學(xué)博士學(xué)位論文，2010

8 房晶,吳昊,白松林.云計(jì)算安全研究綜述.電信科學(xué),2011，27(4)：37～42