中国IDC圈7月17日报道::7月15日至7月16日,由工业和信息化部指导,工信部电信研究院、中国通信标准化协会主办,数据中心联盟和云计算发展与政策论坛承办的"2014可信云服务大会"在北京国际会议中心盛大召开。本次会议以"可信中国云 未来新生态"为主题,积极推动了国内可信云服务认证体系的建立,促进云计算产业良性发展。工信部总工程师张峰、财政部政府采购管理办公室主任王瑛、中央国家机关政府采购中心主任王力达、工信部电信研究院院长曹淑敏、中国通信标准化协会秘书长杨泽民、工信部通信发展司副司长陈家春等重量级嘉宾均出席了会议。其中USITO总裁饶猛志也应邀出席了大会并发表精彩演讲"美国政府采购云服务进展"。
以下为饶猛志演讲实录:
饶猛志:女士们、先生们,各位领导,各位专家,下午好。很荣幸参加今天的论坛,非常高兴能有机会与各位专家共聚一堂,讨论今天的议题。首先要感谢工信部、中国电信研究院,中国通信标准化协会,给我这个机会。
我今天要讲的议题是美国云服务政府采购的情况,刚才我吃饭前,李海英主任说,她讲的题目是帮助大家加大胃口,我这个题目可能起到催眠的作用。昨天,秘书长的致辞,提到了两个概念,我非常的认同。
第一云服务的健康发展,取决于全球性的生态体系。单独一个产业,单独一个国家,都做不到云计算,需要我们各个领域的努力和贡献。从信息技术各个环节,到政府机构全世界密切的合作,才能够有一个促进云服务健康发展的体系。
第二我们大家面临最大的挑战,就是现在云服务的发展,云服务的普及,最大的障碍是大家对技术和服务不信任。在座的专家介绍了自己的企业产品,企业的服务,大大的增加了对云服务的信任。大部分老百姓,购买信息技术的决策者,包括监管的政府部门的很复杂的图表,要创造一个云服务的大环境,确实需要各个产业的合作。这是我们产业机构一个核心的宗旨。
我不是代表美国政府,我们这个机构是由美国商务部,美国的三大行业协会组建的。如今我们所代表的从半导体,到通信、电信、硬件、软件、互联网各个领域的企业都会有,我们也代表美国的四家行业协会。
我们的美国信息产业机构,有一个共同的观点,我们大家有一个共同的未来,今天就共同的未来,探讨一些想法,交流一些意见,意义重大。今天要演讲的主要的内容,就是三个部分。第一部分是介绍美国的政府,对于初建云计算,政府采购的一些举措。第二是介绍最新的进展,还有面临的挑战和问题。最后我会从产业界的角度做一些评价和总结。
首先介绍美国政府的初衷,信息与通信技术是一种超级资本。信息与通信技术,是当今经济所有产业里,最强的驱动生产力创新的所谓的通用技术。通用技术这个概念,是指应用广泛,展现快速更新,价格快速的下降,能用于新产品研发的技术。信息技术确实是一种超级资本,对劳动生产力的贡献,远远超过其他任何形式的资产的投入。
世界银行的一份研究报告,宽带覆盖率10%,促进人均GDP1.38%的增长。手机的覆盖率增长10%,促进人均GDP0.81%的增长。信息通过技术不断的创新,确实是为我们经济上,各个领域做出了特别大的一个贡献。
而这个云服务是信息通讯技术的核心,美国政府的促进项目,他的考虑,与许多其他的国家政府一样,联邦政府资源有限任务很重,任务越来越复杂。能够通过信息技术提高效率,降低成本,加大力度,毫无疑问是一件好事。从更远的来看,如果可以做一个榜样,帮助信息技术在经济上蔓延,更是有利的事。
美国的政府早在2010年就开始形成一个所谓的云优先的政策,在这一政策下,美国的联邦机构,在存在安全可靠和经济的云方案的时候,都应该选择云服务方案,来满足信息技术的要求。主要有三个目标,一个是提高政府机构的效率,把信息技术资源的利用率大大的提高。尽量的共享资源,共享数据中心,减少能耗,减少硬件设备的投资。第二个是提高政府机构的灵活性,从购买资源这种心态,转化成一个购买服务的心态。尽量的共享技术服务,必须安全风险监控,资源管理。
第三个目标是提高政府机构的创新能力,尽量采纳企业级的技术,服务创新方面,像公民提供更多的信息和自我管理的工具。美国政府为了实现这一目标,出台了一系列的政策。包括信息技术管理改革实施细则25点,这明确了云优先政策,为减少联邦政府的数据库,改良信息技术,采纳云服务,提供了基本的路线。联邦政府云计算战略,这是2011年2月份出台的,为了采纳云服务提出的框架,采纳云服务的工具和案例,以便政府部门把核心的精力,放在核心的业务上,而不是信息技术的管理上。
2011年还有一个美国国家技术与标准研究院的云计算定义框架。
2012年5月联邦政府共享服务战略,主要是为政府提供为提高资源利用率,消除重复浪费,提高效率的战略指导。
在这之前,有一个联邦信息安全管理法案,这个是要求美国国家技术标准研究院,制定相关的信息安全风险管理标准,而且它要求联邦政府首选推荐性的国际标准,这是法律。
联邦风险和授权管理项目,是促用云优先方案的一个主要的工具,一直以来美国联邦政府各个机构,负责各自的安全风险管理,对其使用所有的信息技术系统进行安全的评估和授权。其他的机构,已经采用了同样的技术,同样的评估和授权。
美国总务管理局下属的公共云服务办公室,监督制度的实施,其目的是提供一个统一的政府机构风险管理的框架,解决与政府机关采购云服务相关的问题。
简单的介绍联邦风险和授权管理,美国的州政府、与地区政府、以及私营企业,都可以自愿的选择使用fedRAMP.但是美国政府不强制他们采纳,就是fedRAMP是美国联邦政府采购之外的,并不强制。
fedRAMP会选择安全影响级别低、级别为中级的云计算系统。这个是制定的联邦信息系统安全控制措施,目前fedRAMP并不关注这些系统,它包含哪些技术的产品呢?fedRAMP没有要求云服务提供商,必须使用哪些技术,或者是产品。他只要求必须达到安全等级,服务商能够自行选定采购的技术和差别,来达到安全的级别。
最大的fedRAMP的目的很简单,美国政府努力把20%的联邦IT预算转移到云方案上,需要一个快速选择和重复使用的标准风险评估框架,以取代之前各个联邦 机构的 人工重复的流程。
fedRAMP安全评估的程序,是专注与安全影响级级比较低,或者是中级的系统。规定了一套安全的措施。下面这个图是一个简单的,对于整个的fedRAMP运作的一个介绍。它分三个部分,第一个是安全的评估,就是说先提出申请。对要使用云服务,进行评估。
第二块一旦接受了评估之后,是充分的利用这个授权,批准了这个fedRAMP人事授权的相关需要,根据联邦机构审查的安全评估机构,都保留起来,其他的机关都可以采纳。
第三块是对于一个持续的安全的评估,就是集中安全的评估。fedRAMP有许多政府的机构 .第三方的评估机构,还有对第三方评估机构进行认证的机构,都是第三方企业,都是政府。
上个月edRAMP刚公布的一个报告,它现在已经批准了周期,做了一些缩短。现在对于云服务供应商的审核周期,是四到六个月以上。对此也有人不满意,说对于快速发展的信息技术传统,半年以上的信息批准周期太长了。制定这个项目的过程是透明公开的。这个图是制定fedRAMP的时间表,从2010年公布fedRAMP制定计划以来,没有各个政府机构,行业相关方,花了一年半的时间,有明确的合作,共同的确定了fedRAMP的架构。计划使用云服务的联邦机构,fedRAMP项目管理机构,和授权委员会,行业利益相关方,美国国家标准技术研究院、政府机构咨询机构,都参与标准的商讨。
fedRAMP是2011年正式发布的,从2012年的6开始,美国联邦机构,采用了所有的新的云服务的产品,都必须满足fedRAMP的规定,从上个月开始,fedRAMP的强制性的验证,已经扩展到了市场上所有的云服务。说的仅仅是联邦政府的云服务的采购。
现在的情况它一直在增加云服务供应商对第三方评估机构,上个月为止,将项目已经有12家合格的fedRAMP云服务 供应商。据上月初fedRAMP的报告,这个项目能为美国的联邦政府节约四千万。
美国的政府大力的支持fedRAMP,产业界对fedRAMP的认证仍然有一些争论,由于允许不同的机构,添加其特定的背景要求,可能导致不一致。而且fedRAMP理应是美国联邦政府快速获得云服务的一个途径。在其启动以后,去遭遇了很多的新的云服务公司的认证,让产业界感到,与fedRAMP提高效率的目标相违背。
fedRAMP评审的过程是很漫长的。有的时候会超过八个月,事实上总管fedRAMP的发展历程,许多的业内人士说这个流程,政府部门缺乏资源来实施fedRAMP,而且需求还在不断的增长。
有一项调查,调查的结果有58%认为联邦政府促进云服务采购的措施,为云安全确实起到了提高的作用,比起2012年的调查,也有一些进展。说信息技术服务外包给云服务商,已经超过了三分之一,这个数超了两番。
但是只有28%的说fedRAMP安全标准的制定,对于他们采用云服务起到了促进的作用。第二年仅仅是11%,一定会上升的。
尽管有挑战,美国联邦政府对政府采购云服务的措施有几点很突出,云计算作为信息服务是不需要有任何的运营成本。fedRAMP安全认证,仅限联邦政府,而且是非常小范围的政府采购。这个项目的优点。一个是提供一个标准的安全授权框架。所以可能将来还是会有核心的目标,是一个很好的和公司合作的案例。最后联邦政府始终秉持充分利用国际标准这个原则,这个从信息安全、加强信任、普及云服务各方面都是很重要。
给大家留一些相关的链接,我们美国信息产业机构,非常愿意与大家共同交流,希望今天讲的内容,给大家有借鉴的作用,希望共同促进信息与通信技术的发展。感谢大家。