可信云服务认证及最佳实践

规范性 完整性 真实性
只针对云服务，不针对产品 更不针对企业：“没有企业通过认证”
18
关于可信云认证 实施主体是“数据中心联盟”和”云计算发展 与政策论坛” － 独立第三方组织 － 通过了联盟的可信云认证 完全自愿的 － 行业自律性质的 － 市场化性质的
19
关于风险警示
获得认证标记意味着该服务商的该服务通过了 可信云认证， 符合联盟公开文件要求。 代表该服务具备此能力，但不意味着商业合 同。 是对颁证日期前云服务商所申请认证云服务的 信息披露。 是针对颁证日期前云服务情况进行披露，用户 依然应留意在具体使用过程中可能发生的风险。
和数据库服务的云服务进行评估，试行评估标准和方法，并 发布评估情况
•2013年7-9月，3次工作组会议，完成《云计算服务协议参考框架》
、《可信云服务认证评估方法》和《论坛可信云服务认证操作办法》
•2013年6月，工作组第二次会议，确定可信云服务 认证的基本原则和框架
5
标准和评估方法
5项核心披露内容
35%
19个云服务 分别由15家云服务提供 包括：咨询未参评、运 营不到6个月、未有外 部用户等情况
10
各云服务商提供商获得云服务认证数量
各云服务提供商获得的云服务认证数量
获得3个云服务认证 •获得3个云服务认证 •阿里巴巴 •新浪 •世纪互联 获得2个云服务认证 获得1个云服务认证
17%
50% •获得1个云服务认证 •金山 •浪潮 •万国数据 •奇虎360 •苏州国科 •甘肃移动 11 33%
•获得2个云服务认证 •中国电信 •腾讯 •中国移动 •百度 •UCloud •京东 •蓝汛 •华为 •网宿 •上海有孚
认证过程中发现和改进的指标
评估中整改的问题：35*16*2（规范和真实）=1120项，整改210个，占19%
12
可信云服务认证评估结论
35个云服务获得可信云服务认证

企业基本信息真实；承诺完备且规范：服务协议（含SLA）达到《云计算服务协
14
可信云服务评估见证市场发展
——市场从主要向中小用户提供普通公有云服务，进阶为向政企用户和中 小用户细分市场提供专业化云服务。
15
服务协议最佳实践
评估中出现的问题
35个云服务协议的指标覆盖不全面；
服务协议中主约和附约关系不清； 不同云服务没有独立的服务协议；
服务协议最佳实践
企业基本信 息
针对云服务
不针对产品 不针对云服务商 企业基本信息、服务基本信息 承诺真实性 数据中心联盟技术文件 可信云服务评估方法 •《第1部分：云主机服务》 •《第2部分：对象存储服务》 •《第3部分：云数据库服务》 •《第4部分：块存储服务》 •《第5部分：云引擎服务》 •根据发展，进一步补充其他服务……
各国做法：认证促发展

日本： “云服务的信息披露认证体系”、韩国：云服务商认证；德 国：可信云计算认证、美国：FedRAMP认证等。
3
云无信不立
在当前云服务市场规模小且已有乱象出现的情况下，需 要公信力的手段培育用户信心、引导有序竞争，通过云 服务认证来引领发展的做法是十分必要的。 由数据中心联盟组织，云服务商自愿参加的“可信云服 务认证”，旨在建立云服务评估体系，为用户选择安全 、可信的云服务。
权 益 服务赔偿条款 保 用户约束条款 障 服务商免责条款
认证方法和流程
文档 审核
技术 测评
现场 查验
专家 评审
外部 复审
8
主要内容
一、背景介绍
二、2014可信云服务认证
三、2014可信云最佳实践
9
申请认证的情况
咨询申请和参评云服务数量共54个 分别由33个云服务商提供
通过认证 65% 其他
35个云服务通过 认证，分别由19 家云服务商提供

服务质量类指标可以写在主约或附约； 服务可用性必须写在服务协议中； 其他服务质量类指标可以写在附约或其他公开的说明文档中，必须有出处； 所有指标描述必须按照《云计算服务协议参考框架》的规范性描述要求。
16
更多详情参见…
《可信云服务最佳实践》 (2014版)
17
关于可信云认证 本质上是一种信息批露制度
——2013年5月，可信云服务工作组第一次会议，中国电信、中 国移动通信、中国联通、阿里巴巴、腾讯、新浪、百度、盛大、 世纪互联、华为、中兴、北京云基地等企业的二十余名代表以 及工信部电信研究院的专家参加了会议
源自文库
4
工作历程
开放 自愿 公平
第二批云服务评估 第一批云服务补测
公正
•2014年3月-2014年6月，云主机

不同的云服务要有独立的服务协议； 每个服务协议分为主约和附约（SLA）； 主约的首要部分要说明服务协议对应的服务范围； 主约部分包括数据安全类指标和权益保障类指标：数据持久保存、数据隐私、控制数据迁移、数据审 查、数据销毁、用户服务变更、终止条款、服务赔偿条款、用户约束条款、服务商免责条款承诺
20
www.dca.org.cn www.3cpp.org
谢谢！
评估过程：所有评估子项35*16*2（规范和真实）=1120项，改进项目210个。 可信云服务认证结果披露：35个云服务服务协议URL和各个指标承诺的情况


www.dca.org.cn;
《可信云服务最佳实践报告》
13
主要内容
一、背景介绍
二、2014可信云服务认证
三、2014可信云最佳实践
可信云服务认证 及最佳实践（2014）
何宝宏 2014年7月
主要内容
一、背景介绍
二、2014可信云服务认证
三、2014可信云最佳实践
2
为什么要做云服务认证？
市场当前发展阶段：总量小、增长快

2013年国内公共云服务市场整体规模约为47.6亿元人民币，比2012年增长36%。
用户担心问题
云服务商诉求 市场初期服务不规范，水平 参差不齐，如何利用有效的 约束手段，保护市场健康良 性的发展？
议参考框架》标准要求，服务协议主约和附约关系明晰，格式规范，指标达到标准完 备性和规范性的要求；真实能力与承诺相符：数据持久保存、数据隐私、控制数据
迁移、数据审查、数据销毁、服务功能、服务可用性、故障恢复能力、服务资源调配
能力、网络接入性能、服务计量准确性、用户服务变更、终止条款、服务赔偿条款、 用户约束条款、服务商免责条款承诺真实可靠。
承诺真实性
云服务基本 信息
承诺规范性
承诺完整性
承诺完整性、承诺规范性
《云计算服务协议参考框架》 通信标准化协会标准：YDB144-2014
6
关注16个核心指标
用户关心的云计算服务问题写入服务协议 从 用 户 关 心 的 问 题 入 手
数 据 安 全
服 务 质 量 数据存储的持久性 数据可销毁性 数据可迁移性 数据私密性 数据知情权 服务可审查性 服务功能 服务可用性 服务资源调配能力 故障恢复能力 网络接入性能 服务计量准确性 服务变更、终止条款 数据放在云服务商会不会丢？ 不用了，数据会不会被获取？ 数据会不会被锁定？ 数据会不会被其他人看到 数据在哪，谁会接触 一旦出了问题，有没有办法可以追溯 服务功能是否全 能否达到承诺的可用时间 云服务弹性如何？ 有故障怎么办？ 网络访问性能是否能保障？ 按需计费是否准确？ 变更终止条件等 可用性没达标是否能赔付
服务、对象存储服务、数据库服务、 云引擎服务和块存储服务35项云服务
完善标准 评估方法
•2014年1月-2014年3月，根据第一批云服务评
估的情况完善评估标准和方法，完善协议，补充了 实际考察和监测
试行标准 第一批云服务
制定标准和 评估方法 确定基本原则
•2013年10月-2014年1月，云主机服务、对象存储服务