公共云服務認證進展研究

郭 豐，栗 蔚

（工業和信息化部電信研究院 北京100191）

1 全球公共云服務處于低總量高增長的發展初期

根據Gartner的統計，2013年全球云服務市場規模約為1 317億美元，年增長率為18%，據預測，未來幾年云服務市場仍將保持15%以上的增長率，2017年將達到2 442億美元。2013年全球公共云服務（包括公共IaaS、PaaS、SaaS）的市場規模為333億美元，增長率達到29.7%。根據工業和信息化部電信研究院的調查統計，2013年國內公共云服務市場整體規模約為47.6億元，比2012年增長36%。

公共云服務是云計算服務的重要形態，不僅關系著國家信息優勢，更是網絡信息安全的關鍵所在。全球范圍內，全球公共云服務處于低總量、高增長的發展初期，即市場規模較小，但發展速度較快。云計算作為新型的IT資源服務方式，很多政府和企業客戶對公共云服務的安全和質量保證仍有較大顧慮。另一方面，相關標準與規范在一段時期內處于缺失狀態，導致公共云服務市場規范程度不高。對公共云服務的評估與認證作為消除用戶顧慮、規范市場的有效手段，已在各主要國家開展了廣泛實踐。

公共云服務對于建立國家信息優勢、保障國家安全具有重要意義。一方面，公共云服務是發揮云計算優勢和規模效益的最佳服務模式，同時又因其集聚了大量經濟運行、社會服務、人民生活相關的信息和數據，從而成為國家競爭的制高點，也是國家網絡信息安全的關鍵所在。目前，一些云計算領先的國家正從戰略高度推動公共云服務發展。隨著美國“聯邦云計算戰略”的實施，美國政府部門成為云計算服務的重要用戶，美國已有300多個政府機構和約1 500家教育機構使用公共云服務。英國發布的“政府云計算戰略”宣稱，到2015年，英國中央政府新增的IT支出中有50%用于購買公共云服務。另一方面，“棱鏡門”事件使各國更加重視云計算環境下國家數據安全的保障。目前，全球100家云計算領先企業中，美國企業超過80家。亞馬遜、微軟、谷歌等網絡巨頭已在歐洲、日本等地區與國家建立數據中心，提供本地化服務，這引起各國政府對于本國數據安全的擔憂。因此，各國紛紛采取數據保護政策、第三方認證等監管手段，促進本國云服務商的發展壯大，使用戶更多選擇本國、本地區的云服務商，保證數據安全和網絡信息安全。在主管部門指導下，工業和信息化部電信研究院也開展了可信公共云服務認證的初步探索，取得了初步成果，建立起的相關標準與規范可以作為推動我國云計算發展、完善云服務監管和保障網絡信息安全的重要手段。

2 公共云服務認證促進云計算發展并提高云服務可信度

公共云服務認證是推動云計算服務發展的合理選擇。現階段，用戶對云服務的數據安全、業務質量、業務穩定性等方面仍有相當的顧慮。由于公共云服務作為一種新型IT資源共享服務模式，在市場初期，用戶難免對其數據安全與隱私、系統可靠性與業務連續性等涉及安全與業務質量的因素存有顧慮（如圖1所示）。另一方面，連續出現的亞馬遜、谷歌等服務商宕機事件以及相關的賠付問題，也凸顯了云服務發展初期服務等級、服務協議等不規范的現狀。為了使更多的用戶信任和使用云服務，促進本國云服務商的發展，目前發達國家紛紛將公共云服務認證作為培育和規范市場公信力的手段，其目的一是使用戶采購云服務時有據可依，安全和質量有保證，放心購買；二是保護正規云服務商，促進本國云服務商的發展。

從全球云計算市場來看（Gartner統計），美國一直占據50%以上的市場份額，西歐（23.5%）、日本（4.5%）、中國（4%）和韓國（3%）及其他新興經濟體份額逐步上升，預計全球市場份額狀況在未來幾年不會有顛覆性變化。根據市場發展階段的不同，各國開展了面向市場或面向政府采購的云服務認證。

2.1 以培育市場為目的云服務認證

日本、韓國和德國開展了以引領市場發展為目的的云服務認證。3個國家的云服務市場潛在需求較大，但本國云服務提供商尚未成長起來，面對來自美國企業的巨大競爭壓力，它們將開展云服務認證，把進一步培育和規范云服務市場作為構建云服務生態系統的重要舉措，積極營造促進本國產業發展的市場環境。

日本依托多媒體基金會開展“云服務的信息披露認證”，以培育市場，并幫助用戶選擇更好的云服務提供商。該認證在日本內務和通信部 （Ministry of Internal Affairs and Communications，MIC）的支持下，向用戶披露參評云服務的業務質量、數據管理、財務信息、合同規范等方面的信息。從2008年開始，日本開展了3類云服務的認證：ASP.SaaS、IaaS.PaaS和數據中心，至今已經認證了300多個云服務。ASP.SaaS認證標準為《ASP.SaaS安全性和可靠性信息披露指南》，于2008年執行；IaaS.PaaS認證標準為《IaaS.PaaS安全性和可靠性信息披露指南》，于2010年12月執行；數據中心的認證標準為《數據中心安全性和可靠性信息披露指南》，于2012年9月執行。

韓國云服務協會開展可信云服務商的認證，以培育市場和規范市場為主要目的，運作主體為韓國云服務協會（Korea Cloud Service Association，KCSA）。該認證受韓國通信委員會（Korea Communication Commission，KCC）的支持，對服務商的業務質量、數據安全、基礎設施能力進行評估，公共云服務需通過70%的認證項目。據了解，已經完成對6家云服務商的認證。

德國互聯網協會開展了“可信云計算”的認證活動。經歐洲云計算協會授權，德國互聯網協會主導開發并制定云計算認證體系。認證中的安全與服務質量要求主要依據ISO27001和ISO9000標準設計了220個問題，根據回收的答案開展綜合評價。認證體系的參與方包括歐盟國際標準組織、歐洲認證組織、德國聯邦信息技術安全局、云服務商、會計事務所（畢馬威）、金融交易專業機構、科學研究機構等。德國還推出了云計算平臺認證、基礎設施認證的5星級認證體系，用1星級至5星級表示質量等級由低至高。

2.2 服務政府采購的云服務認證

美國的云服務消費者市場較為繁榮，美國政府當前階段主要開展了滿足政府更高要求的云服務認證。2010年，美國預算管理辦公室（Office of Management and Budget，OMB）的安全工作組啟動了聯邦風險與授權管理項目（Federal Risk and Authorization Management Program，FedRamp）。該認證項目用一套標準化的安全需求和控制方法，對采購清單中云服務的安全和業務質量進行評估、授權和持續監視，從而達到一次認證、多場景有效的目的。2012年6月，此項目開始面向云服務提供商開放認證評估，目前通過認證并進入采購清單的IaaS提供商有12家，SaaS提供商有22家。

英國在美國安全認證的基礎上還提出了服務協議框架認證，要求所有云服務都必須滿足規范的合同框架，從而達到規范服務等級協議的目的。

3 國內公共云服務認證的實踐與相關建議

根據工業和信息化部電信研究院對國內云計算市場的調查，半數以上的用戶對云服務的安全性、可靠性、服務質量等方面存在疑慮，這在很大程度上影響了云計算應用的進一步推廣和深化。從調查來看，目前云服務的提供商和使用方均希望建立一定的信用制度，并通過開展服務商自律活動來引領公共云服務市場的健康快速發展。因此，工業和信息化部電信研究院成立的“云計算發展與政策論壇”設立了“可信云認證工作組”，在參考全球各國云服務認證經驗的基礎上，研究并提出了一套與我國市場發展狀況相適應的云服務信用體系，并以此為基礎開展了可信云服務認證。

可信云服務認證以培育市場、鼓勵創新為目的，以云服務為評估對象。評估內容包括3個方面：企業信息披露；云服務承諾的完備性和規范性；云服務承諾的真實性。其中云服務需要承諾的有三大類共16個指標，具體如下。

·數據管理類：數據存儲的持久性、數據可銷毀性及可遷移性、數據私密性、數據知情權、業務可審查性。

·業務質量類：業務可用性、業務功能、業務彈性、網絡接入性能、故障恢復能力、服務計量準確性。

·權益保障類：服務變更和終止條款、服務賠償條款、用戶約束條款和服務商免責條款。

評估與認證的對象合理分類是關鍵問題。在實踐過程中發現，按照IaaS、PaaS、SaaS的分類方式在操作上存在較大難度，于是結合實際提出了按照云服務產品線進行認證的分類方法，將認證對象分為云主機、對象存儲、云數據庫、塊存儲、云引擎、云分發等，并陸續制定評估認證方法。此外，云計算發展與政策論壇和數據中心聯盟已經完成了《云計算服務協議參考框架》的起草工作。

可信云服務認證已經根據第一版本的標準完成了對20個云服務的評估，目前正在根據新細化的標準，進行補測工作。這20個云服務覆蓋云主機、對象存儲和云數據庫三大類，涵蓋了10家典型企業，包括中國電信、中國移動、阿里巴巴、百度、騰訊、新浪、京東、藍汛、世紀互聯和UCloud。從業界反映來看，認證評測工作既實現了增強用戶信心、培育市場的初衷，又提升和規范了云服務商的服務能力和承諾，社會反響良好。

由于可信云服務認證已初步顯現了積極效果，建議將其作為推進我國云計算發展、完善公共云服務監管和保障網絡信息安全的重要基礎性手段，加快探索和推進。

·完善相關標準，拓展在不同行業的適用范圍。開展針對云服務可用性等持續性指標的監測工作，研究模擬用戶持續監測的技術方案與工具；根據云服務市場成熟度，逐步增加云服務認證種類，預研分級的評估方案；面向政府、金融等行業的特定需求，研究政府采購的特定認證指標與評測方法。

·探索將可信云服務認證應用于云服務事中監管。目前新版電信業務分類目錄尚未公布，對云服務界定處于空白狀態，云計算服務的管理面臨服務質量、競爭秩序以及外資開放等問題。利用“可信云服務認證”中的業務可審查性和可監測等要求，探索政府指導下的第三方可信云服務認證，作為行業主管部門開展事中監管的有效手段，同時也可在有關外資云服務的進入中作為一種技術門檻。

·依據可信云服務評估標準，幫助企業進一步完善服務管理流程和云服務能力。通過“可信云服務認證”，推動云服務商實現服務協議格式、故障報告和數據銷毀等服務管理流程的規范化。同時，通過可信云服務認證總結國內云服務最佳實踐，為國內云服務商提供交流學習平臺，推動云服務企業完善服務管理流程和云服務能力。

1 胡水晶,李偉.政府公共云服務中的數據主權及其保障策略探討.情報雜志,2013(9)

2 李凌.云計算服務中數據安全的若干問題研究.中國科學技術大學博士學位論文，2013

3 何寶宏,栗蔚.公共云服務認證研究.郵電設計技術,2013(9)

4 劉婷婷.面向云計算的數據安全保護關鍵技術研究.解放軍信息工程大學博士學位論文，2013

5 喬宏明,姚文勝.基于策略提升公共云存儲信息安全水平的方案研究.移動通信,2013(21)

6 劉素清.云時代的信息安全問題.電信快報，2013(9)

7 張逢喆.公共云計算環境下用戶數據的隱私性與安全性保護.復旦大學博士學位論文，2010

8 房晶,吳昊,白松林.云計算安全研究綜述.電信科學,2011，27(4)：37～42