國(guó)內(nèi)云計(jì)算自2009年起步，到現(xiàn)在已經(jīng)成長(zhǎng)為一個(gè)數(shù)百億元規(guī)模的市場(chǎng)，一大波創(chuàng)業(yè)者嗅到了這一商機(jī)之后，打著“云服務(wù)”旗號(hào)的企業(yè)俯拾皆是。的確云計(jì)算創(chuàng)業(yè)的門(mén)檻在降低，各種服務(wù)的落地也很順利。但雷鋒網(wǎng)也發(fā)現(xiàn)，這一野蠻式的增長(zhǎng)也帶來(lái)了一系列的問(wèn)題。

俗話說(shuō)，無(wú)規(guī)矩不成方圓。隨著云計(jì)算產(chǎn)業(yè)的規(guī)模逐漸擴(kuò)大，各家企業(yè)提供的服務(wù)也是稂莠不齊，大家都知道，在采購(gòu)云服務(wù)時(shí)稍有不慎就可能給公司造成重大的損失，如何在千千萬(wàn)萬(wàn)個(gè)云計(jì)算廠商挑出最適合自己的是個(gè)問(wèn)題，而云計(jì)算的標(biāo)準(zhǔn)化就是取勝之匙！

眾所周知，國(guó)外的云計(jì)算發(fā)展早于國(guó)內(nèi)，而且相關(guān)的標(biāo)準(zhǔn)也相對(duì)成熟，最近幾年國(guó)內(nèi)組織機(jī)構(gòu)開(kāi)始對(duì)云服務(wù)的標(biāo)準(zhǔn)化工作重視起來(lái)，中國(guó)信息通信研究院制定的可信云認(rèn)證就是其中之一。那么在各種標(biāo)準(zhǔn)紛紛襲來(lái)的時(shí)候，云服務(wù)商以及云服務(wù)采購(gòu)方又該如何接招呢？本期雷鋒網(wǎng)硬創(chuàng)公開(kāi)課將為您一一解答。

嘉賓介紹

栗蔚，中國(guó)信息通信研究院技術(shù)與標(biāo)準(zhǔn)研究所主任工程師，云計(jì)算開(kāi)源產(chǎn)業(yè)聯(lián)盟秘書(shū)長(zhǎng)，數(shù)據(jù)中心聯(lián)盟可信云工作組組長(zhǎng)。中國(guó)信息通信研究院負(fù)責(zé)可信云、云計(jì)算開(kāi)源、云保險(xiǎn)、金牌運(yùn)維等多個(gè)云計(jì)算相關(guān)工作，編寫(xiě)可信云《云計(jì)算服務(wù)協(xié)議參考框架》，《面向政務(wù)的云服務(wù)》，Y.3501 Trusted Cloud等國(guó)內(nèi)國(guó)際云計(jì)算標(biāo)準(zhǔn)20余項(xiàng)。

以下內(nèi)容整理自本期公開(kāi)課：

國(guó)外云服務(wù)比國(guó)內(nèi)走得快，標(biāo)準(zhǔn)制定也更成熟，例如云安全的評(píng)估國(guó)際上已經(jīng)有CSA-STAR這樣的權(quán)威認(rèn)證。國(guó)內(nèi)組織制定的標(biāo)準(zhǔn)和國(guó)際標(biāo)準(zhǔn)的差異是什么？

不可否認(rèn)，國(guó)外某幾個(gè)云服務(wù)商在技術(shù)穩(wěn)定性、彈性等某些方面確實(shí)比國(guó)內(nèi)走得快，現(xiàn)在國(guó)內(nèi)外的云服務(wù)發(fā)展也還沒(méi)到一個(gè)非常成熟的階段，成熟與否要看整個(gè)產(chǎn)業(yè)。產(chǎn)業(yè)總體來(lái)說(shuō)還是一個(gè)初級(jí)形態(tài)，包括運(yùn)維、安全、應(yīng)用的總體生態(tài)還遠(yuǎn)遠(yuǎn)沒(méi)有形成。根據(jù)中國(guó)信息通信研究院《2015年公有云/私有云調(diào)研報(bào)告》中國(guó)云計(jì)算產(chǎn)業(yè)規(guī)?？偣步?00億，中國(guó)的云計(jì)算每年處在30%-40%的增長(zhǎng)速度，從規(guī)模和行業(yè)客戶覆蓋度來(lái)說(shuō)也都只是初級(jí)階段。很多標(biāo)準(zhǔn)在這種情況下很多還只是關(guān)注虛擬化、信息系統(tǒng)，包括國(guó)外的一些標(biāo)準(zhǔn)，所以并沒(méi)有到一個(gè)成熟的階段。

我們可以通過(guò)以下幾個(gè)方面來(lái)評(píng)價(jià)標(biāo)準(zhǔn)：

1）是否滿足技術(shù)發(fā)展階段；

2）是否有效規(guī)范了相應(yīng)的技術(shù)；

3）是否滿足用戶需求。

目前國(guó)內(nèi)外的標(biāo)準(zhǔn)在第一點(diǎn)表現(xiàn)都不錯(cuò)，但是第二點(diǎn)和第三點(diǎn)不同。以CSA-STAR為例，其實(shí)還是以ISO27001為核心，可以稱之為ISO27001的增強(qiáng)版。我們可以看到國(guó)外的思路都是以ISO27001為核心的各種變化，比如美國(guó)的FedRAMP政務(wù)云審查也是以27001為核心。ISO27001是非常經(jīng)典的信息安全標(biāo)準(zhǔn)，可以作為云服務(wù)商初期建設(shè)云平臺(tái)規(guī)范管理的參考，但是對(duì)于當(dāng)前的云計(jì)算新特點(diǎn)約束不足。

云計(jì)算帶來(lái)最大的變化是什么？

以前用ISO的組織框架來(lái)規(guī)范自己，能保證執(zhí)行的力度。而現(xiàn)在把數(shù)據(jù)和系統(tǒng)放到云服務(wù)商手中，那約束自己就變成了考核另一方是否能有效約束自己以及有足夠的能力保障安全可信，總的來(lái)說(shuō)新增的是云服務(wù)商讓客戶信任的能力。在這種情況下，只有安全組織框架和管理流程是遠(yuǎn)遠(yuǎn)不夠的，因?yàn)橐皇遣荒苷鎸?shí)反應(yīng)對(duì)方的執(zhí)行情況，二是不能真實(shí)考核對(duì)方能達(dá)到隔離安全的程度，三是如果對(duì)方有了安全問(wèn)題沒(méi)有機(jī)制保障后果。ISO只對(duì)事前負(fù)責(zé)，并不包括事中和事后的約束。所以需要更多的標(biāo)準(zhǔn)對(duì)云服務(wù)商的事前、事中、事后的真實(shí)能力和執(zhí)行情況進(jìn)行評(píng)價(jià)。

國(guó)際上現(xiàn)有的ISO-IECJTC1-SC38_N1074框架、ISO-IECJTC1-SC38_N1072術(shù)語(yǔ)這兩個(gè)標(biāo)準(zhǔn)的核心其實(shí)都是早期美國(guó)NIST提出的云計(jì)算概念，現(xiàn)在耳熟能詳?shù)墓性?、私有云、混合云等等概念都是出自NIST，這兩個(gè)標(biāo)準(zhǔn)主要關(guān)注云計(jì)算術(shù)語(yǔ)框架等基本概念，所以在初期普及概念是可以的。

反觀國(guó)內(nèi)也有不少標(biāo)準(zhǔn)體系，比較主流的如下：1）可信云評(píng)估體系，2）云計(jì)算綜合標(biāo)準(zhǔn)化，3）等級(jí)保護(hù)云計(jì)算版，4）云計(jì)算安全國(guó)標(biāo)。

可信云

可信云評(píng)估體系主要面向用戶，約束云服務(wù)商信任問(wèn)題，針對(duì)云計(jì)算的特有的問(wèn)題，評(píng)估指標(biāo)規(guī)范客戶信任云服務(wù)商的指標(biāo)，針對(duì)云服務(wù)的真實(shí)能力進(jìn)行評(píng)估，真實(shí)反應(yīng)事中云服務(wù)商的執(zhí)行情況，真實(shí)考核對(duì)方能達(dá)到隔離安全的程度，以及事后有安全問(wèn)題時(shí)的賠償機(jī)制。主要用于用戶選購(gòu)云計(jì)算的招標(biāo)規(guī)范，主要目的是規(guī)范云服務(wù)商SLA的指標(biāo)和能力，也是目前國(guó)內(nèi)云計(jì)算信任體系的權(quán)威標(biāo)準(zhǔn)。

可信云事前評(píng)估面向四大方向：公有云服務(wù)包括云主機(jī)、云存儲(chǔ)，企業(yè)級(jí)SaaS等等，目前已經(jīng)有73家133個(gè)云服務(wù)通過(guò)認(rèn)證；私有云開(kāi)源軟件，如OpenStack；專項(xiàng)評(píng)估包括運(yùn)維、安全、性能；云保險(xiǎn)風(fēng)險(xiǎn)評(píng)估。

可信云事中評(píng)估：云主機(jī)可用性監(jiān)測(cè)；

可信云事后規(guī)范：云保險(xiǎn)機(jī)制。

事中：云主機(jī)可用性監(jiān)測(cè)

事后：云保險(xiǎn)機(jī)制，保障風(fēng)險(xiǎn)

以下是可信云面向公有云的16項(xiàng)指標(biāo)： 

數(shù)據(jù) 控制  數(shù)據(jù)存儲(chǔ)的持久性  

數(shù)據(jù)可銷毀性  

數(shù)據(jù)可遷移性  

數(shù)據(jù)私密性  

數(shù)據(jù)知情權(quán)  

服務(wù)可審查性  

服務(wù)質(zhì)量  服務(wù)功能  

服務(wù)可用性  

服務(wù)資源調(diào)配能力  

故障恢復(fù)能力  

網(wǎng)絡(luò)接入性能  

服務(wù)計(jì)量準(zhǔn)確性  

權(quán)益保障  服務(wù)變更、終止條款  

服務(wù)賠償條款  

用戶約束條款  

服務(wù)商免責(zé)條款

企業(yè)級(jí)SaaS的指標(biāo)如下圖：

可信云的運(yùn)維和ISO不同在于主要面向運(yùn)維系統(tǒng)：

可信云安全專項(xiàng)評(píng)估

私有云的OpenStack解決方案如下圖：

國(guó)標(biāo)云計(jì)算綜合標(biāo)準(zhǔn)化

國(guó)標(biāo)云計(jì)算綜合標(biāo)準(zhǔn)化主要面向架構(gòu)，普及概念、技術(shù)架構(gòu)和模塊。

等級(jí)保護(hù)云計(jì)算版

等級(jí)保護(hù)標(biāo)準(zhǔn)面向云計(jì)算系統(tǒng)的標(biāo)準(zhǔn)，目前在試點(diǎn)。

信息化系統(tǒng)基礎(chǔ)安全

ISO27001和ISO20000、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、TC260《云計(jì)算服務(wù)安全能力要求》和《云計(jì)算服務(wù)安全指南》都屬于這一類。

制定標(biāo)準(zhǔn)對(duì)企業(yè)和技術(shù)人員起到了怎樣的規(guī)范作用？

首先，制定標(biāo)準(zhǔn)有利于普及概念和技術(shù)，比如NIST，ISO的術(shù)語(yǔ)和框架，國(guó)家云計(jì)算綜合標(biāo)準(zhǔn)化，讓大家對(duì)云計(jì)算理解更深入，更準(zhǔn)確，為產(chǎn)業(yè)范疇和更實(shí)際的標(biāo)準(zhǔn)，奠定基礎(chǔ)。

其次，制定標(biāo)準(zhǔn)也是在培育市場(chǎng)、規(guī)范市場(chǎng)，它可以滿足客戶招標(biāo)需求，比如可信云標(biāo)準(zhǔn)體系，目前政企客戶招標(biāo)云計(jì)算很多都參考可信云的指標(biāo)，服務(wù)商也是按照可信云SLA去簽合同。此外還有云計(jì)算建設(shè)指南，比如電子政務(wù)云計(jì)算綜合標(biāo)準(zhǔn)化等。

哪些項(xiàng)目需要標(biāo)準(zhǔn)化？ 評(píng)估的過(guò)程和機(jī)制是怎樣的？

如果按行業(yè)分的話，有些關(guān)鍵行業(yè)使用云計(jì)算需要安全和可信等標(biāo)準(zhǔn)化的，如金融、政務(wù)行業(yè)采購(gòu)云計(jì)算時(shí)需要考慮這些問(wèn)題；如果是私有云，私有云的解決方案需要在質(zhì)量需要一些標(biāo)準(zhǔn)化，以保證私有云不被鎖定。

評(píng)估的過(guò)程和機(jī)制，以可信云為例，事前包括文檔審核、技術(shù)評(píng)測(cè)、現(xiàn)場(chǎng)查驗(yàn)、專家評(píng)審以及外部評(píng)議；事中包括云主機(jī)可用性和性能監(jiān)測(cè)、PaaS平臺(tái)可用性和性能監(jiān)測(cè)。

可信云的不同就在于有技術(shù)測(cè)試和事中的監(jiān)測(cè)，其他的評(píng)估基本上都是文檔審查和現(xiàn)場(chǎng)查驗(yàn)。

另外，不同的行業(yè)云各自的需求也是不一樣的，例如金融云注重安全、合規(guī)、災(zāi)備；政務(wù)云注重不同等級(jí)的系統(tǒng)采購(gòu)不同等級(jí)的云服務(wù)、服務(wù)商的運(yùn)維能力；醫(yī)療云注重影像數(shù)據(jù)、視頻和圖片存儲(chǔ)等能力。

評(píng)估通過(guò)與否分別意味著什么？通過(guò)是否代表技術(shù)或者服務(wù)更好？

這要看標(biāo)準(zhǔn)是什么類型的。

如果是技術(shù)普及標(biāo)準(zhǔn)，通過(guò)是一種符合性評(píng)估，基本標(biāo)準(zhǔn)通過(guò)說(shuō)明滿足基本云計(jì)算要求，比如國(guó)標(biāo)云計(jì)算綜合標(biāo)準(zhǔn)化；如果是客戶選購(gòu)指標(biāo)，通過(guò)說(shuō)明安全可信，云服務(wù)比較規(guī)范，比如可信云；如果是能力評(píng)估，例如可信云金牌運(yùn)維、性能評(píng)估，通過(guò)的話可以說(shuō)明技術(shù)更好。

國(guó)內(nèi)云服務(wù)商還存在什么問(wèn)題？評(píng)估結(jié)果對(duì)云服務(wù)采購(gòu)方來(lái)說(shuō)有什么樣的參考作用？

這個(gè)問(wèn)題要在大背景下看，中國(guó)的云服務(wù)有本國(guó)特色，和國(guó)外亞馬遜AWS等這種扁平化的不一樣，在中國(guó)托管云很火，因?yàn)橹袊?guó)有三級(jí)結(jié)構(gòu)，省、地市、縣，信息化發(fā)展不平衡，很難扁平化。所以有些國(guó)外看起來(lái)很牛的技術(shù)，在國(guó)內(nèi)基本上很少用武之地，國(guó)內(nèi)主要還是看穩(wěn)定性。

公有云方面，我們看到國(guó)內(nèi)云服務(wù)商還是會(huì)超賣，風(fēng)險(xiǎn)管控機(jī)制也不完善，運(yùn)維人員的監(jiān)控等；還有賠償機(jī)制不完善，服務(wù)不可用，數(shù)據(jù)丟失，數(shù)據(jù)泄露等問(wèn)題出現(xiàn)后沒(méi)有規(guī)范的賠償機(jī)制，目前只是賠償時(shí)間。

私有云方面解決方案的互操作性、規(guī)模部署能力和穩(wěn)定性有待提高。

可信云的評(píng)估結(jié)果都是公開(kāi)的，甚至每個(gè)指標(biāo)，包括事中可用性監(jiān)測(cè)，企業(yè)都可以自己查看。對(duì)云服務(wù)采購(gòu)方來(lái)說(shuō)，評(píng)估指標(biāo)就是招標(biāo)指標(biāo)和合同指標(biāo)，幫助篩選規(guī)范優(yōu)秀的云服務(wù)商。

如何看待標(biāo)準(zhǔn)之爭(zhēng)？

標(biāo)準(zhǔn)的出臺(tái)肯定是有很多廠商參與一起寫(xiě)的。在我做標(biāo)準(zhǔn)的過(guò)程中，每個(gè)廠商都有自己的利益和側(cè)重點(diǎn)，對(duì)于一個(gè)指標(biāo)有沒(méi)有，或者門(mén)限等都有自己的聲音，這就需要像我們這樣的第三方，從專業(yè)、公平、公正的角度，給出最權(quán)威的定義，從產(chǎn)業(yè)發(fā)展的角度制定規(guī)則，所以我們要比廠商更理解專業(yè)和產(chǎn)業(yè)。

標(biāo)準(zhǔn)和標(biāo)準(zhǔn)之間，就像上文提到的各有側(cè)重。每個(gè)標(biāo)準(zhǔn)能有市場(chǎng)，就有他的價(jià)值，都是為了產(chǎn)業(yè)發(fā)展更好。我覺(jué)得不存在之爭(zhēng)這一說(shuō)。我們要站在國(guó)家、產(chǎn)業(yè)更高的層面去看待這個(gè)問(wèn)題。至于選擇什么樣的標(biāo)準(zhǔn)，廠商要根據(jù)自己目前的發(fā)展定位來(lái)看。

問(wèn)答精選

Q：老師您好！對(duì)于大多數(shù)企業(yè)來(lái)講，未來(lái)方向可能主要是請(qǐng)“云服務(wù)”提供商，通過(guò)搜集廣大客戶端的數(shù)據(jù)，來(lái)進(jìn)行企業(yè)自身的數(shù)據(jù)分析和為自己的客戶提供“定制化”服務(wù)。對(duì)比，您認(rèn)為我們?nèi)绾蝸?lái)學(xué)習(xí)標(biāo)準(zhǔn)的應(yīng)用以及安全風(fēng)險(xiǎn)的界定？

栗蔚：如果是IaaS云服務(wù)商，看不到客戶的應(yīng)用，也采集不到客戶的數(shù)據(jù)，除非黑客或違規(guī)行為。

Q：剛才老師講解了“評(píng)估”，我想請(qǐng)老師再解進(jìn)一步介紹一下怎樣看結(jié)果。我們目前，用App在普通用戶家里了解家庭空氣質(zhì)量。但是，我們遇到“云”服務(wù)的不穩(wěn)定，同時(shí)也擔(dān)憂客戶家庭數(shù)據(jù)的安全。

栗蔚：那其實(shí)是你搜集客戶端數(shù)據(jù)，底層的云只是提供資源。如果要把APP部署在云上，上文提到的16個(gè)指標(biāo)，比如數(shù)據(jù)私密性，你要看他能不能做到有效隔離。

Q：類似單張 3.6g的tif空間數(shù)據(jù)有什么好的處理方式？

栗蔚：圖像、視頻等一般用對(duì)象存儲(chǔ)服務(wù)。

Q：目前科技企業(yè)自身的云已經(jīng)和自己的產(chǎn)品形成了一個(gè)生態(tài)網(wǎng)，但是涉及到云的數(shù)據(jù)，會(huì)不會(huì)受到巨頭的壓縮，小企業(yè)如何發(fā)展自己的云？

栗蔚：如果是小企業(yè)的公有云平臺(tái)沒(méi)有行業(yè)特色或者開(kāi)發(fā)者應(yīng)用特色的話，很難有生存空間；如果是面向某一類的行業(yè)開(kāi)發(fā)者，還有一定的機(jī)會(huì)。(雷鋒網(wǎng))

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。