中国IDC圈11月13日报道,昨日,2013中国云计算用户大会在北京国家会议中心盛大开幕。本次大会以用户大会及高端沙龙为主体,围绕可信云服务标准、公共云服务发展、企业私有云PAAS平台建设实践等议题,通过主题演讲、技术演示等形式进行。大会积极推动了针对云计算产业战略、政策、规划、标准、监管和法律法规等方向的研究工作,促进政府主管部门与产业界的沟通与交流。工信部电信研究院标准所互联网中心主任何宝宏出席大会并发表“构建大环境下的可信云认证体系”的演讲。

工信部电信研究院标准所互联网中心主任何宝宏

以下为何宝宏演讲实录:

何宝宏:大家上午好,很高兴来跟大家分享构建大环境下的可信云认证体系。

刚才余总也提到,为什么我们使用云服务?我们担心它的安全、隐私、可靠性等等。汇总起来可以用一句话:信任。因为信任不仅仅是安全问题,但是除了安全问题我们还有其他的问题。比如说服务、可靠性如何,合同是怎么签的,会不会讹着我。所以我们将用户使用云服务的所有问题归结为两个字:信任。

改编名人的一句话:公众的信任不能随便的托付,除非云服务商可以证明自己所提供的服务。在这些业务发展初期、产业发展初期,云如何赢得用户的信任?如果用户不信任,这些活都白干了。尤其是公共服务的时候,包括水、电、自来水进入中国也是遇到了一个很大的信任问题。因为用户根本就不相信自来水是可以喝的,因为这是加了洋人一些东西的水。同样,我们早期把钱存在家里,后来才存入银行,显然我们对银行现在是高度信任的。后来我们又把财富保存在金匠铺里面,这是银行的初期,后来我们发现金匠铺也不可信。我们要获得好的信任,无外乎外管和内控,外部要求和内部要求,外部中国银行有中国人民银行法,对监管机构有相应的法律依据,还有商业银行法,运营,商业银行有明确的法律依据。我们还定一些行业标准和法律规则。比如说巴塞尔协议对存款的要求。国外还有一些存款的保险制度。万一这些钱没有了呢?所以,如果我们的云服务要获得信任,我们还有很多事情要做。我们没有云服务的保险业务,没有云服务很多的相应的信任机制,我们还有很多的事情需要做。银行业因为汇聚了货币,而产生了新的体系,不仅仅是银行扩展了金融业。我们可以看到云服务也正在汇聚,越来越多的数据,形成一个新的大数据产业。我们可以认为云服务对应的是银行,其他的金融衍生品对应的是大数据的应用,只有汇聚了海量的数据、海量的货币,我们才能创造出新的服务来。我们把货币存入银行,需要信任银行,我们银行把货币带出的时候,需要信任客户,针对这个我们需要建立相应的信任机制。当然银行也不是很可信的,金融业的衍生品如何创造大数据的应用?有时候A股市场和基金也是不可信的。所以信任是一个不断发展、不断延伸的过程。

全球为了应对这个问题,各国都发现用户不是很相信公共云服务,国际上做了很多的工作:日本开展面向公众市场云服务的市场认证,认证目的主要是为了培育市场,以帮助云服务的使用者能够更好的选择云服务的提供商。认证要求云服务商回答用户经常问到的90%以上的问题,我帮助用户来问你这些问题,因为我比较专业。目前的SaaS、IaaS和PaaS服务,数据管理、财务信息、合同管理信息的披露,这主要是民间组织开展,这是他们的政府机构授权的民间组织开展。

同样,我们的近邻韩国也在做云服务市场认证,认证目的同样是为了培育市场。如果用户自己要一个一个核实,那很困难,项目包括可用新、可扩展性等等。IaaS包括105个小项,39个必须要通过,SaaS包括85个项目,33个必须要通过。

德国政府出于这方面考虑,也建立了他的可信云服务的体系,认证的目的同样是为了培育市场、促进用户对服务商的信任。当然也是为了帮助欧洲的企业保护用户数据免受美国政府和企业的介入。在德国有大量的云服务商是来自美国的企业,所以他们担心他们的数据泄露到美国的企业。认证项目包括平台认证、基础设施认证等五个五星级的认证。认证标准主要是ISO27001和ISO9000的审计。

认证机制也是民间组织的,由德国互联网协会经欧洲云计算协会授权。有一些服务商,还有毕马威等财务机构。它的认证方法是要求申请人回答220个问题,回答完以后进行评估,这是可信还是不可信。

后面还有美国政府的认证,他是采用政府采购的方式,因为云服务起源于美国,主要针对安全风险方面的评估,认证定位主要用于政府主导,因为这主要是政府采购的,其前提是FedRamp项目。目前有7家通过认证,还有90家正在认证。最近还有包括IBM等公司也刚刚获得了这方面评估的通过。这主要是面向政府采购的。我们也正在做政府采购方面认证的体系。估计到明年初会向全社会公布一下。主要是工信部和国务院机关事务管理局方面做的采购认证。

这是英国的G—Cloud认证,这主要跟美国一样。英国又前进了一步,专门在ISO27001基础上增加了一些新的要求,比如说增加了多租户的隔离、网络的连接、服务情况、数据的位置、数据的传输、当然是跨国的数据传输,数据删除的彻底性、云服务的人员背景的调查,以及现场审查等方面的项目。认证方法包括G—cloud三四期的框架。这是由英国司法部和安全办公室联合进行的。

各国公共云服务认证小结:面向市场,日本、韩国、德国,政府采购是美国、英国。促进市场发展,欧盟、CSA等等。我这里主要讲的是面向市场的认证。而不是讲的面向政府的认证。这是面向公众的。介绍一下我们在这方面进展的情况。

主要目标,跟德国、日本、韩国差不多。我们主要是为了培育市场,鼓励服务的创新。从用户最关心的问题入手,希望能够协助用户弄清楚一些非常专业性的云服务问题。云服务运营商也可以减轻不必要的重复。因为每个用户问到的问题几乎都是一样的。无论是对云服务的用户还是云服务商都是有好的。涉及到三个方面的问题:第一,企业基本信息,大概有14项,第二,云服务承诺方面的完整性。当你向你的用户提供云服务的时候,做出的承诺。这个承诺是不是完备的、是不是必须要承诺的项目。经过讨论,有16个问题是必须要回答的。第三,云服务承诺的真实性。你承诺了16个要求,你的承诺是不是真实的、可信的。企业是否是可信的,承诺是否是完整的、是否是真实的。云服务商必须披露企业的基本信息和云服务业务的信息。还有16个关键指标,也是方便用户能够自主的选择合适的云服务商。适用范围是针对所有的云服务业务,这是通用的云服务的认证。因为这是市场共性的针对特定的云服务的应用、针对特定用户的认证。如果是特定的用户,可能需求不一样。你是面对政府的,政府采购有他的认证,面向金融机构的,他会有新的认证。当然关于金融机构的,我们最近密切的跟金融机构相关的组织、主管部门沟通,希望能够跟金融行业形成一个统一的基础性的云服务认证体系。

可信是对云服务商真实能力的认证。我去证明云服务商是有能力、有意愿提供云服务,他的能力很高,但是并不意味着你会去买它的云服务,因为能力高意味着成本高。你符合你公开的承诺就可以了,不做门槛。结果的披露是:云服务商自愿参加云服务的调查,论坛会出一个内部的报告,给所有企业承诺的相关信息是不公开的。除非企业自己愿意公开。凡是通过相应认证的,颁发相应的云服务认证的证书。通过的颁发,不通过的就不说了。在无论可在其官网相应的云服务赋以认证标识。我们会详细披露每一个条款。推荐云服务商在与用户签合同时,注明论坛公示结果和相应的网站。

评估截止到目前是由云计算发展与政策论坛主办。依据《云计算发展与政策论坛可信云服务认证操作试行办法(2013版)》。流程在网站上有一个公示。有一个材料提交阶段、有一个技术专家评审阶段。技术专家评审报告两部分:资料的审核:现场的测试。最后,根据相应的结果进行评审专家审核,论坛发布相应的证书。这估计在明年4月份,我们论坛也会请相应的主观机构颁发相应的结果。出示相应的报告。

企业的基本信息和业务基本信息14项,有一个对应的评估标准,已经完成。16个指标的完备性一会儿会详细介绍。这主要是依据行业规范。我估计明年工信部会发布相应的行业规范,还有16个指标的真实性。第一步认证包括企业的基本信息和业务的基本信息,企业的基本信息,一个是IDC的牌照,无论是自建还是租用的数据中心,都需要有牌照。经营的,还要资金、企业规模的需求,还有组织结构的。后面还有一些可选。是不是企业获得过ICP、ISP.是否已经通过了其他的认证,比如说ISO9000、ISO27001.纳税证明、股权结构都是可选的。我们是针对具体业务的,不是某个企业的云服务是可信的,而是某个企业的某个云服务是可信的。针对是业务型。提供某项业务的时候,必须提供业务的名称、业务运营的起始时间、业务功能的描述,使用你的业务的支付方式,我用什么方式付款。业务采用的软件和硬件的技术、解决方案,这也是必须要提供的。但是最后一条,业务采用的技术方案、软硬件采购等等,是专家内部公开,不向外部公开。第二部分,服务指标的完备性,16项三个方面,大概在数据的控制方面、业务质量方面、权益的保障方面。第一个就是信息安全、财产安全,别我把钱送给银行了,取不回来了。或者你拿我的钱干别的投资去了,赚钱还可以,亏了就完了。我对我的东西交给你的时候,一定要获得我的控制权。所以我们称之为数据的控制权。一个是数据的存储性、可销毁性、可迁移性、私密性、知情权和可审查性。第二,服务质量的问题,业务功能如何,业务的可用性如何,可用性后面会单独处理这个问题,业务资源的配置能力,故障的恢复能力,网络接入性能,其中云主机是必须要有的,云存储和运输局库是可选的。云服务剂量的准确性。第三方面,用户权益保障。服务合同的变更、终止条款是毕玄的。服务赔偿的条款,对用户的约束条款,即使是你的用户,也不能在你的服务商上面为所欲为,不能给我放木马。服务商的免责条款。这三个方面的16项,基本上是文档审查和现场测试结合的过程。前面两项主要是审核的规范性的描述,后面是与相应的行业标准的对应。

为什么是这三个方面呢?第一张PPT里面,数据安全、隐私保护等等,可以分为数据控制、业务安全、权益保障。依据的主要是正在制订的关于《云计算服务协议的参考框架》。这是一个正式的行业规范。这是所有通用的要求,也是适应用户的不同要求。包括一些共性的指标,还有一些条款。包括一些要求,但是很明确,标准不规定具体的指标和内容。因为这是属于不同用户的选择权的问题。所以,标准里面只有相应的条款,没有具体的指标项和具体内容。

针对这16项如何真实性的验证。16个大问题涉及到很多小问题。数据存储的持久性,第一,理论值的问题,要提供存储机制等材料证明服务协议中承诺的概率是如何推算出来的,专家组超过半数人认可材料和推算方法是合理的,即认为通过。第二,实际值,需要提供近6个月的运行报告证明云业务世纪之星中持久性的情况。

对于数据销毁性是这样认证的,服务商提供与承诺相符的数据销毁的材料,包括云服务系统数据删除、销毁的设计说明文档。存储介质报废前人工销毁的实验方法。

数据的可迁移性:有材料审查和实际测量两个方面,材料审查方面,云服务商应该提供与承诺相符的数据迁入、迁出的手册、支持迁移的工具、你所使用的迁移的文档。至少要公开数据的格式,或者必须通过相应的工具转化成其他能够认识的开放的数据格式。这是强制性的要求。你可以是私有的,但是必须转化成我可认识的形式。对于数据私密性,提供与承诺相符的其实现用户数据互相隔离、不可互访的机制说明文档,或是数据加密功能的文档、截图等材料。

对用户的知情权,需要公示数据存储在哪些数据中心,数据存储所在数据中心的地理位置,应该细化到数据中心的具体名称上。有几份备份,是否有  冷备份,备份存储在数据中心的位置。第三,位置是不是可选的,用户是不是有权选择自己存放数据的位置。国家的法律规定是一致的。但是各地有一些细微的差异。用户数据的使用人和使用数据的类型。承诺有无跨境的数据流动,是否用于国外的业务的服务,哪些数据类型有跨境流动的情况,有无数据分析及其用途。用户数据是不是用了大数据的分析。如果有对数据用户进行机器分析的行为,必须告知用户分析的目的和用途。数据的可审查性是指提供与承诺相符的可审查性材料,包括云服务商应该提供云服务系统三个月内的运行日志,运行人员操作记录。在业务功能方面,提供相应材料就可以了。

业务可用性理论上需要提供业务科用性以证明服务协议中承诺的概率是如何推算出来的。现实中有一些特别小的云服务商的计算公式都是不太靠谱的。实际值也需要提供6个月的运行报告等材料,证明云业务实际执行重客用性的情况。即每个月有多少用户可以达到承诺的可用性数值。

业务资源调配能力,提供与承诺相符的业务资源调配能力的材料。这也需要进行实际测试的核验。

故障恢复能力,要求提供与承诺相符的业务恢复能力的材料,处理办法、处理时间、故障管控方式和设计方案。

网络接入性能,提供与承诺相符的网络接入性能的材料。包括提供链接的运营商的普遍的丢包率,带宽的阈值的材料。

服务变更、终止条款、这需要材料进行相应的核验。

目前我们大概的情况是这样的,目前有十余家企业共同讨论制订了这个规则。大概的进展速度非常快。今年5月份工作组第一次会议召集了关于云服务商认证的研讨会。6月份确定了云服务商认证的基本原则。7到9月份连续开了三次的会议。完成评估相关的三个文稿。目前正在参与评估的企业工作已经开始了。十家企业分别是阿里巴巴集团的阿里云、中国天翼的天翼云、新浪的新浪云、中国移动的移动云、腾讯的腾讯云、百度的百度云,世纪互联的云,蓝汛云分发业务、优刻得公司的云分发业务,京东商城的京东云。目前十家企业各拿出两个云服务业务参与测评,所以是十家企业的二云服务业务参与测评。考虑到成熟度、工作量,参评业务是三类:云主机、云存储、云数据库。11月10日前完成参评云服务各项指标的材料搜集工作。11月30号左右完成各参评云服务的功能例实际测试。12月初,组织专家对各参评云服务集中评审。12月将专家评审结果交评委会委员会审查。明年1月份颁发证书,开发部会。

我的介绍就到这里。谢谢大家!

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2019-07-02 19:52:05
云技术 获可信云技术创新奖,华为云混合云HCS Online厉害在哪?
7月2日,由中国信通院主办的“2019可信云大会”在北京国际会议中心盛大召开,会议通过云计算技术创新奖奖项评选活动,评选出2019年度技术创新明星产品与方案 <详情>
2019-07-02 17:48:00
云资讯 2019可信云大会在京召开 发布云计算系列研究成果
7月2日,由中国信息通信研究院主办的“2019可信云大会”在北京国际会议中心召开。工业和信息化部党组成员、总工程师张峰,中国通信标准化协会理事长奚国华出席会议并致辞。 <详情>
2019-07-02 14:36:10
云资讯 2019可信云大会 | 董恩然:金融领域云计算应用现状和标准进展
非常高兴借此机会和大家汇报、分享我们在金融云应用方面的一些研究进展,主要分为这样几个部分:首先是我国金融云的发展现状:2018年我国云计算市场达到900多亿元,增速39. <详情>
2019-07-02 14:09:34
云资讯 2019可信云大会|十佳政务云评选结果隆重揭晓
2019年7月2-3日,由中国信息通信研究院(以下简称“中国信通院”)主办的“2019可信云大会”在北京国际会议中心召开。 <详情>
2019-07-02 14:07:45
云资讯 2019可信云大会|可信云技术奖及可信云服务奖名单公布
作为中国云计算领域的行业盛会,由中国信息通信研究院(以下简称“中国信通院”)主办的“2019可信云大会”于2019年7月2日在北京国际会议中心召开。 <详情>