云计算服务协议参考框架

针对用户顾虑的主要项目 进行认证
用户对云计算服务的顾虑因素
0.0%
数据安全与隐私
20.0%
40.0%
60.0%
53.2% 43.9%
数据控制 业务质量 （用户体验质量）
系统可靠性与业务连续性 服务质量无法保证或验证 云安全相关技术不成熟 云计算相关政策因素 服务商倒闭后的业务迁移问题
35.3% 31.8% 24.3% 23.7% 23.1%
工业和信息化部电信研究院
公共云服务认证
栗蔚 2013年9月
工业和信息化部电信研究院
公共云服务认证
非基础设施层 公共云服务认证 （IaaS/PaaS/SaaS）
2
工业和信息化部电信研究院
公共云服务认证的必要性 国外公共云服务认证
国内公共云服务认证进展
3
工业和信息化部电信研究院
我国市场对于公共云服务认证的需求
<Information Security》与ISO27001高度一 致。
认证机制和方法：服务评估、部门采购、实时监控
认证定位：
（1）政府主导，云计算管理办公室PMO的安全工作 组于2010年提出FedRamp项目： •服务政府，一次认证，多次使用; •前身FISMA认证《联邦信息安全管理法案》； •作为政府采购评估的其中安全依据，服务质量、市场 因素等都作为采购评估依据。 （2）联邦云计算战略，提出政府机构需要将工作着 眼点转向服务质量管理，《Creating Effective Cloud Computing Contracts for the Federal Government》。
认证方法：
（PSAB）由内阁办公 室等多部门成员组成
①服务协议满足G-cloud三期和四期框架。 ②安全进行评估认证：一共4个级别，IL0是没通过认证，IL1/2是通过了 ISO27001的认证，IL3是 不仅通过了ISO27001还通过了《HMG Information Standards No. 1 & 2.》的认证。同时IL1/2/3 还应满足新增的云计算专门要求。 ③ 云服务商确认结果，并无异议。 颁发级别认证。4个等级
认证目的：促进市场，以帮助云服
务使用者选择更好的云服务提供 商，帮助欧洲企业保护用户数据免 受美国政府和企业的介入，并且在 和美国企业的较量中占有一席之 地。
认证机制：民间组织认证，德国互联网协会经欧洲云
计算协会授权，牵头开发制定云计算认证体系，该体系 将适用于整个欧洲的云计算认证。认证体系的参与方包 括德国联邦信息技术安全局、欧盟国际标准组织、欧洲 认证组织（ECO）专家、云计算服务供应商、毕马 威、财政金融交易方面的专家、自然科学研究机构等。 德 国 互 联 网 协 会
认证进展：2011.12开始，目前有7家认证通过，还有90家。Amazon的AWS刚刚获得认证。
工业和信息化部电信研究院
面向政府采购的云服务认证-英国G-Cloud认证
G-cloud （ Government Cloud Strategy ）
2012年，政府云项目开通“云市场”（Cloud Store）网 站，供政府部门选择、采购各类云计算服务。并同期开 展了对云计算服务的服务协议规范和安全审查。
2012年，国内公共云服务 市场规模约为35亿元人民 币，仅占全球公共云服务 市场的2.5%。
43.9%
35.3% 31.8% 24.3% 23.7% 23.1%
数据来源：工业和信息化部电信研究院《中国公共云服务发展调查报告（2012 年）》
认证定位：树立云服务可信任的形象，针对用户顾虑的因 素进行认证，建立用户对云服务的信心，促进市场发展。
通信部MIC（Ministry of Internal Affairs and Communicationgs）与ASPIC（ASP-SaaS-Cloud CONSORTIUM,非营利性组织）开始就云计算认证 认证项目：建立的“云服务的信息披 展开合作，根据标准主要以资料审查为主。 露认证体系”包括ASP.SaaS， IaaS.PaaS,数据中心三个认证，包括业 务质量、数据管理、财务信息、合同规 范等方面的信息披露可信度认证。
标准范围：本标准中服务协议最佳实践所应包括的指标项和条款项、每项定
义和每项的规范性描述，规范性描述规范了服务商向用户承诺每项指标项和条 款项时，应说明哪几方面的信息。
标准主要内容：本标准确定了云计算服务协议的最佳实践应包括16个指标
项或条款项，包括数据安全类（数据存储的持久性、数据可销毁性、数据可迁 移性、数据保密性、数据知情权、数据可审查性）、业务质量类（业务功能、 业务可用性、业务弹性、故障恢复能力、网络接入性能、服务计量准确性）和 权益保障类（服务变更、终止条款、服务赔偿条款、用户约束条款和服务商免 责条款）。 18
•以上三个文档达成一致意 见 •启动第一轮内测
7月16日
•讨论《政府采购云服务 云主机指标 要求》
•完成《政府采购云服务 云主机指标 要求》 8月27日 •建立整体标准体系框架
14
工业和信息化部电信研究院
可信云服务认证
15
工业和信息化部电信研究院
可信云服务认证总体思路
•认证以促进市场，建立用户信息为导向。 •借鉴日韩德经验，针对云服务的特性，即用户关心的项目（业务质量、数据管理等）展 开认证，认证本身验证了云服务商需要回答用户的90%的问题。 •认证机制以民间组织为主，易于快速开展部署。
+
具体指标评估方法
工业和信息化部电信研究院
可信云服务认证－ 《云计算服务协议参考框架》
标准定位：此标准为云计算服务协议的参考框架，适合所有的云计算业务 和不同类型的用户，用来指导云服务商制定最佳服务协议。 共性的指标项和条款项， 并依据云计算服务的特点，提炼出服务商应向用户承诺的关键指标项和条 款项，作为服务协议的最佳实践。 有助于用户和服务商从统一标准化的角度理解服务协议的指标或条款。
工业和信息化部电信研究院
云计算发展与政策论坛
围绕公共云服务认证，开展相关标准和评测工作，助力公共云服务市场发展。
可信云服务认证工作组
政府采购云服务工作组
面向大众市场认证评估 制定标准和评估方法 开展测试评估
推动政府采购云服务；
制定政府采购云服务认证评估 标准体系
13
工业和信息化部电信研究院
可信云服务认证和政府采购云服务认证－工作进展总体介绍
司法部 政府办公室
认证标准： 服务协议： G-Cloud框架
G- Cloud委员会
安全：ISO27001和《HMG Information Standards 执行部门 云服务组 商业工作组 No. 1 & 2.》，以ISO27001为最佳实践分级。并制 安全审查工作组 定云计算专门要求：多租户隔离、网络连接、数据 技术支持 位置、数据传输、数据彻底删除、人员审查和现场 最终审查 公共部门认可委员会 英国通信电子安全 审查等项目。
工业和信息化部电信研究院
《云计算服务协议参考框架》举例－可用性
本指标定义为云服务商应承诺用户业务可用性为合同期内每月用户云服务业务 可用时间的概率，即每月实际可用时间/每月(实际可用时间+宕机时间)。其中宕 机时间的定义为从用户无法使用云服务、或是订阅的云服务无法正常运行算起， 到云服务恢复至正常水平结束的时间如果超过 x分钟则计入宕机时间，x数值和和 具体的云业务有关。 云服务商在承诺业务可用性具体值时，应包括以下信息： • 可用性概率数值； • 以自然月为统计周期，不满一个月按月计； • 以分钟为单位； • 根据宕机时间定义，描述具体的宕机时间数值和统计的业务单元： 根据不同业务具体定宕机时间数值认定：比如x分钟起算一次宕机，或业 务下降多少算业务不可用即宕机时间； 明确统计的业务单元，是整体业务，还是按单台云主机算。
认证标准：
和日本类似《云服务认证指标指南》 IaaS：105个小条目，39个必检； SaaS：85个小条目，33个必检。 至少通过所有评估小条目的70%，才 能予以通过，颁发证书。
认证进展：
已经有6个云服务申请了认证，颁 发了两个证书，其他的正在进行。
工业和信息化部电信研究院
面向大众市场的认证-德国可信云计算认证
权益保障
在不同云计算服务商之间迁移…
数据来源：工业和信息化部电信研究院《中国公共云服务发展调查报告（2012 年）》
工业和信息化部电信研究院
可信云服务认证标准和评估方法
《云计算服务协议参考框架》 首先通过制定《云计算服务协议参考框架》标准对云服务商的服务协议进行规 范，包括需要向用户承诺的关键指标和条款以及指标和条款的规范性描述。 《可信云服务认证评估方法》 然后在《云计算服务协议参考框架》标准的基础上，制定《可信云服务认证评估 方法》，主要规定服务协议中指标和条款的测试方法，评估云服务商的真实情况 是否和承诺相符。 《论坛可信云服务评估操作办法》 最后是制定《云计算政策与发展论坛可信云服务认证操作办法》从认证机制上 完善整个认证申请和评估的操作流程。 《可信云服务认证评估方法》 《云计算服务协议参考框架》
NIST执行的FISMA认 证 FedRAMP 的云服务第 三方认证 目前IaaS有12家、 EaaS有21家通过
建立标准
采购管控 执行机构：GSA
管理制度
一揽子采购计划 发布入围服务商列表 发布最高服务价格
9
工业和信息化部电信研究院
面向政府采购的云服务认证-美国FedRAMP
FedRAMP （Federal Risk and Authorization Management Program） 认证目的：政府采购 认证项目：安全风险评估 认证标准：NIST 800-53 REV3，
认证流程：
a)申请人回答220个问题，在10-20天之内回 答完毕并提供相关企业证明材料； b)独立审计员对材料进行分类审查，之后再 做现场审查； c)编制一个审查报告； d)客户可以决定是否到此结束。
工业和信息化部电信研究院
面向政府采购的公共云服务认证
执行机构：NIST
采购前
采购后
执行机构：NIST、 FedRAMP
认证项目：云计算平台认证、基础
设施认证的5星级认证，包括业务质 量、安全等方面。
德国联邦信息 技术安全局
自然科学 研究机构 云计算服 务提供商
认证标准：ISO27001、 ISO9000，
欧盟国际 SAS70等，根据标准1）如果认证是2星之下的， 标准组织
表示没有合格，只能用于测试，不能接入SAP （企业管理解决方案）系统；2）从3星开始，表 明以基本满足各方面的要求；3）4星表明操作运 营过程作的比较好，也采取了质量保证措施；4） 5星，在4星基础上，表明在基础设施上有很高的 安全性。
工业和信息化部电信研究院
公共云服务认证的必要性 国外公共云服务认证
国内公共云服务认证进展
5
工业和信息化部电信研究院
面向大众市场的认证-日本云服务信息披露认证
认证目的：培育市场，以帮助云服
务使用者选择更好的云服务提供 商。认证本身验证了云服务商需要 回答用户的90%的问题。
认证机制：民间组织认证，2007.4.27，日本信息
小组（CESG）：英 国国家级信息安全 技术权威测试部门
认证进展： 2011年11月开始，G-cloud的第一批cloudstore目录，13家公司61项服
务服务通过认证，其中14项为IL3,47项为IL2.
工业和信息化部电信研究院
公共云服务认证的必要性 国外公共云服务认证
国内公共云服务认证进展
12
NIST制定的安全性标准和 指南： 1、 FIPS 199 《联邦信息 和信息系统安全分类标 准》 SP 800-60《将信息和信 息系统映射到安全类别的 指南》 FIPS 200 《联邦信息系 统最小安全控制》 NIST 800-37《将风险管 理框架应用于联邦信息系 统的指南》……
Fra Baidu bibliotek评估认证
可信云服务认证工作组
•通信发展司发文，研讨公共云 5月29日 服务认证体系 •会议决定成立可信云服务认 证工作组 •可信云服务认证达成基本原则
政府采购云服务工作组
6月27日
•工信部领导和国采中心领导莅临 ，启动政府采购云服务评估相关 研究工作。
•讨论《云计算服务协议参考框 架》、《可信云服务认证评估 方法》和《论坛可信云服务认 证操作办法》。
市场发展初期缺少公信力的手段消除用户对云服务的顾虑
用户对云计算服务的顾虑
0.0% 20.0% 40.0% 60.0% 53.2%
我国公共云服务市场规模仍较小
数据安全与隐私
系统可靠性与业务连续性 服务质量无法保证或验证 云安全相关技术不成熟 云计算相关政策因素 服务商倒闭后的业务迁移问题 在不同云计算服务商之间迁移服务时遇到 的数据标准性问题
工业和信息化部电信研究院
面向大众市场的认证-韩国可信服务商认证
认证机制：民间组织认证，韩国政府开展的云服务
认证目的：培育市场，以帮助云服
务使用者选择更好的云服务提供 商。 认证主要依托第三方中立机构，韩国云服务协会 （ KCSA ），受韩国广播通信委员会KCC的支持和 委托。
认证项目：
业务质量：可用性、性能、可扩展性等 数据 安全：数据管理、安全防护等 基础设施：一致性，支持等