郭 丰，栗 蔚

（工业和信息化部电信研究院 北京100191）

1 全球公共云服务处于低总量高增长的发展初期

根据Gartner的统计，2013年全球云服务市场规模约为1 317亿美元，年增长率为18%，据预测，未来几年云服务市场仍将保持15%以上的增长率，2017年将达到2 442亿美元。2013年全球公共云服务（包括公共IaaS、PaaS、SaaS）的市场规模为333亿美元，增长率达到29.7%。根据工业和信息化部电信研究院的调查统计，2013年国内公共云服务市场整体规模约为47.6亿元，比2012年增长36%。

公共云服务是云计算服务的重要形态，不仅关系着国家信息优势，更是网络信息安全的关键所在。全球范围内，全球公共云服务处于低总量、高增长的发展初期，即市场规模较小，但发展速度较快。云计算作为新型的IT资源服务方式，很多政府和企业客户对公共云服务的安全和质量保证仍有较大顾虑。另一方面，相关标准与规范在一段时期内处于缺失状态，导致公共云服务市场规范程度不高。对公共云服务的评估与认证作为消除用户顾虑、规范市场的有效手段，已在各主要国家开展了广泛实践。

公共云服务对于建立国家信息优势、保障国家安全具有重要意义。一方面，公共云服务是发挥云计算优势和规模效益的最佳服务模式，同时又因其集聚了大量经济运行、社会服务、人民生活相关的信息和数据，从而成为国家竞争的制高点，也是国家网络信息安全的关键所在。目前，一些云计算领先的国家正从战略高度推动公共云服务发展。随着美国“联邦云计算战略”的实施，美国政府部门成为云计算服务的重要用户，美国已有300多个政府机构和约1 500家教育机构使用公共云服务。英国发布的“政府云计算战略”宣称，到2015年，英国中央政府新增的IT支出中有50%用于购买公共云服务。另一方面，“棱镜门”事件使各国更加重视云计算环境下国家数据安全的保障。目前，全球100家云计算领先企业中，美国企业超过80家。亚马逊、微软、谷歌等网络巨头已在欧洲、日本等地区与国家建立数据中心，提供本地化服务，这引起各国政府对于本国数据安全的担忧。因此，各国纷纷采取数据保护政策、第三方认证等监管手段，促进本国云服务商的发展壮大，使用户更多选择本国、本地区的云服务商，保证数据安全和网络信息安全。在主管部门指导下，工业和信息化部电信研究院也开展了可信公共云服务认证的初步探索，取得了初步成果，建立起的相关标准与规范可以作为推动我国云计算发展、完善云服务监管和保障网络信息安全的重要手段。

2 公共云服务认证促进云计算发展并提高云服务可信度

公共云服务认证是推动云计算服务发展的合理选择。现阶段，用户对云服务的数据安全、业务质量、业务稳定性等方面仍有相当的顾虑。由于公共云服务作为一种新型IT资源共享服务模式，在市场初期，用户难免对其数据安全与隐私、系统可靠性与业务连续性等涉及安全与业务质量的因素存有顾虑（如图1所示）。另一方面，连续出现的亚马逊、谷歌等服务商宕机事件以及相关的赔付问题，也凸显了云服务发展初期服务等级、服务协议等不规范的现状。为了使更多的用户信任和使用云服务，促进本国云服务商的发展，目前发达国家纷纷将公共云服务认证作为培育和规范市场公信力的手段，其目的一是使用户采购云服务时有据可依，安全和质量有保证，放心购买；二是保护正规云服务商，促进本国云服务商的发展。

从全球云计算市场来看（Gartner统计），美国一直占据50%以上的市场份额，西欧（23.5%）、日本（4.5%）、中国（4%）和韩国（3%）及其他新兴经济体份额逐步上升，预计全球市场份额状况在未来几年不会有颠覆性变化。根据市场发展阶段的不同，各国开展了面向市场或面向政府采购的云服务认证。

2.1 以培育市场为目的云服务认证

日本、韩国和德国开展了以引领市场发展为目的的云服务认证。3个国家的云服务市场潜在需求较大，但本国云服务提供商尚未成长起来，面对来自美国企业的巨大竞争压力，它们将开展云服务认证，把进一步培育和规范云服务市场作为构建云服务生态系统的重要举措，积极营造促进本国产业发展的市场环境。

日本依托多媒体基金会开展“云服务的信息披露认证”，以培育市场，并帮助用户选择更好的云服务提供商。该认证在日本内务和通信部 （Ministry of Internal Affairs and Communications，MIC）的支持下，向用户披露参评云服务的业务质量、数据管理、财务信息、合同规范等方面的信息。从2008年开始，日本开展了3类云服务的认证：ASP.SaaS、IaaS.PaaS和数据中心，至今已经认证了300多个云服务。ASP.SaaS认证标准为《ASP.SaaS安全性和可靠性信息披露指南》，于2008年执行；IaaS.PaaS认证标准为《IaaS.PaaS安全性和可靠性信息披露指南》，于2010年12月执行；数据中心的认证标准为《数据中心安全性和可靠性信息披露指南》，于2012年9月执行。

韩国云服务协会开展可信云服务商的认证，以培育市场和规范市场为主要目的，运作主体为韩国云服务协会（Korea Cloud Service Association，KCSA）。该认证受韩国通信委员会（Korea Communication Commission，KCC）的支持，对服务商的业务质量、数据安全、基础设施能力进行评估，公共云服务需通过70%的认证项目。据了解，已经完成对6家云服务商的认证。

德国互联网协会开展了“可信云计算”的认证活动。经欧洲云计算协会授权，德国互联网协会主导开发并制定云计算认证体系。认证中的安全与服务质量要求主要依据ISO27001和ISO9000标准设计了220个问题，根据回收的答案开展综合评价。认证体系的参与方包括欧盟国际标准组织、欧洲认证组织、德国联邦信息技术安全局、云服务商、会计事务所（毕马威）、金融交易专业机构、科学研究机构等。德国还推出了云计算平台认证、基础设施认证的5星级认证体系，用1星级至5星级表示质量等级由低至高。

2.2 服务政府采购的云服务认证

美国的云服务消费者市场较为繁荣，美国政府当前阶段主要开展了满足政府更高要求的云服务认证。2010年，美国预算管理办公室（Office of Management and Budget，OMB）的安全工作组启动了联邦风险与授权管理项目（Federal Risk and Authorization Management Program，FedRamp）。该认证项目用一套标准化的安全需求和控制方法，对采购清单中云服务的安全和业务质量进行评估、授权和持续监视，从而达到一次认证、多场景有效的目的。2012年6月，此项目开始面向云服务提供商开放认证评估，目前通过认证并进入采购清单的IaaS提供商有12家，SaaS提供商有22家。

英国在美国安全认证的基础上还提出了服务协议框架认证，要求所有云服务都必须满足规范的合同框架，从而达到规范服务等级协议的目的。

3 国内公共云服务认证的实践与相关建议

根据工业和信息化部电信研究院对国内云计算市场的调查，半数以上的用户对云服务的安全性、可靠性、服务质量等方面存在疑虑，这在很大程度上影响了云计算应用的进一步推广和深化。从调查来看，目前云服务的提供商和使用方均希望建立一定的信用制度，并通过开展服务商自律活动来引领公共云服务市场的健康快速发展。因此，工业和信息化部电信研究院成立的“云计算发展与政策论坛”设立了“可信云认证工作组”，在参考全球各国云服务认证经验的基础上，研究并提出了一套与我国市场发展状况相适应的云服务信用体系，并以此为基础开展了可信云服务认证。

可信云服务认证以培育市场、鼓励创新为目的，以云服务为评估对象。评估内容包括3个方面：企业信息披露；云服务承诺的完备性和规范性；云服务承诺的真实性。其中云服务需要承诺的有三大类共16个指标，具体如下。

·数据管理类：数据存储的持久性、数据可销毁性及可迁移性、数据私密性、数据知情权、业务可审查性。

·业务质量类：业务可用性、业务功能、业务弹性、网络接入性能、故障恢复能力、服务计量准确性。

·权益保障类：服务变更和终止条款、服务赔偿条款、用户约束条款和服务商免责条款。

评估与认证的对象合理分类是关键问题。在实践过程中发现，按照IaaS、PaaS、SaaS的分类方式在操作上存在较大难度，于是结合实际提出了按照云服务产品线进行认证的分类方法，将认证对象分为云主机、对象存储、云数据库、块存储、云引擎、云分发等，并陆续制定评估认证方法。此外，云计算发展与政策论坛和数据中心联盟已经完成了《云计算服务协议参考框架》的起草工作。

可信云服务认证已经根据第一版本的标准完成了对20个云服务的评估，目前正在根据新细化的标准，进行补测工作。这20个云服务覆盖云主机、对象存储和云数据库三大类，涵盖了10家典型企业，包括中国电信、中国移动、阿里巴巴、百度、腾讯、新浪、京东、蓝汛、世纪互联和UCloud。从业界反映来看，认证评测工作既实现了增强用户信心、培育市场的初衷，又提升和规范了云服务商的服务能力和承诺，社会反响良好。

由于可信云服务认证已初步显现了积极效果，建议将其作为推进我国云计算发展、完善公共云服务监管和保障网络信息安全的重要基础性手段，加快探索和推进。

·完善相关标准，拓展在不同行业的适用范围。开展针对云服务可用性等持续性指标的监测工作，研究模拟用户持续监测的技术方案与工具；根据云服务市场成熟度，逐步增加云服务认证种类，预研分级的评估方案；面向政府、金融等行业的特定需求，研究政府采购的特定认证指标与评测方法。

·探索将可信云服务认证应用于云服务事中监管。目前新版电信业务分类目录尚未公布，对云服务界定处于空白状态，云计算服务的管理面临服务质量、竞争秩序以及外资开放等问题。利用“可信云服务认证”中的业务可审查性和可监测等要求，探索政府指导下的第三方可信云服务认证，作为行业主管部门开展事中监管的有效手段，同时也可在有关外资云服务的进入中作为一种技术门槛。

·依据可信云服务评估标准，帮助企业进一步完善服务管理流程和云服务能力。通过“可信云服务认证”，推动云服务商实现服务协议格式、故障报告和数据销毁等服务管理流程的规范化。同时，通过可信云服务认证总结国内云服务最佳实践，为国内云服务商提供交流学习平台，推动云服务企业完善服务管理流程和云服务能力。

1 胡水晶,李伟.政府公共云服务中的数据主权及其保障策略探讨.情报杂志,2013(9)

2 李凌.云计算服务中数据安全的若干问题研究.中国科学技术大学博士学位论文，2013

3 何宝宏,栗蔚.公共云服务认证研究.邮电设计技术,2013(9)

4 刘婷婷.面向云计算的数据安全保护关键技术研究.解放军信息工程大学博士学位论文，2013

5 乔宏明,姚文胜.基于策略提升公共云存储信息安全水平的方案研究.移动通信,2013(21)

6 刘素清.云时代的信息安全问题.电信快报，2013(9)

7 张逢喆.公共云计算环境下用户数据的隐私性与安全性保护.复旦大学博士学位论文，2010

8 房晶,吴昊,白松林.云计算安全研究综述.电信科学,2011，27(4)：37～42