据统计,2013年我国云计算服务市场规模快速增长,公共云服务市场规模达47.6亿,增速达到了30%以上。
这样的担忧并非缺乏依据。来自云计算安全服务提供商Alert Logic的调查显示,2013年全球44%的云计算供应商遭受了攻击。这无疑是悬在云计算服务上的达摩克利斯之剑。
面对这样的云计算安全态势,7月15日至16日,由工业和信息化部指导,工信部电信研究院、中国通信标准化协会主办,数据中心联盟和云计算发展与政策论坛承办的“2014可信云服务大会”在京召开。
大会上正式发布了第一批通过“可信云服务认证”的云服务名单并颁发证书,这不仅将为用户选择云服务提供切实可信的依据,同时也为建立可信的云计算生态系统奠定了基础。
安全威胁成为最大挑战
但需要认清的是,我国处于发展初期的云计算产业还面临着很多挑战。
数据中心联盟秘书长孙明俊认为,云计算的发展,已经跨越了基础发展的高峰期,正在进入光明期。在全球云计算平稳的发展过程中,隐藏着地区间的差异。
“中国云计算的起步相对较晚,2012年算是中国云计算发展的起步阶段。虽然我国云计算产业的发展速度非常惊人,但从全球云服务市场的地区分布来看,美国、欧洲、日本和加拿大等发达地区的市场份额目前较为稳定。”孙明俊表示,“我国的云计算市场,虽然很"热闹",但份额仍然较低,仅占4%,未来几年将逐渐上升。”
除了市场份额较低之外,处于发展初期的我国云计算产业,还存在着很多制约瓶颈。“市场环境不完善,是制约我国云计算产业发展的重要因素。”张峰表示。
安全威胁是云计算发展的最大隐患。据法治周末记者向一位云安全服务从业者了解,云计算的安全威胁分为外部威胁和内部威胁:外部威胁主要包括由于云服务系统漏洞引发的数据泄漏、DDoS(分布式拒绝服务)攻击等,这是最主要的安全威胁来源;而内部威胁主要是指通过内部分享非法文件、病毒攻击测试等引发的安全问题。
除了饱受安全威胁之苦外,云计算服务水平参差不齐、业界竞争态势激烈以致走向价格战、相关法律政策与行业标准的不明确、内容存储与分享涉嫌盗版和侵权等,都是我国云计算产业良性发展道路上的“拦路虎”。
个人信息保护立法成为重点
云计算产业如何才能突破瓶颈?来自政府的支持无疑至关重要。
近些年来,我国出台了不少扶植云计算产业创新与发展的重要政策:2010年,工信部和发改委便联合发布了关于做好云计算服务创新试点工作的通知;2011年,财政部发布了政府采购工作要点,其中提出了探索云计算新型服务的采购工作;2013年,工信部发布了关于数据中心建设布局的指导意见;2014年,发改委、财政部、工信部、科技部等实施云计算重大工程。
“数据安全管理主要有两个方面:一方面是加强对跨境数据流动的管理;另一方面是加强个人信息保护。”李海英总结道。
“在跨境数据流动的管理方面,各国对不同数据的跨境流动,采用了不同的监管模式。比如对一些政府数据,或者重要、敏感的数据,会要求禁止流动。对于政府部门中涉及国家安全的云服务,要求不能存储在离岸服务器中。”李海英说道。
而在加强对个人信息的保护方面,立法高潮已经到来:据统计到2013年中期,与个人信息保护、数据保护等内容进行立法的国家将近100个。
而我国在个人信息保护立法方面也在不断努力跟进时代潮流。据李海英介绍,2012年全国人大常委会通过关于加强网络信息保护的决定,对于信息搜集环节、信息使用环境等,确定了需要遵循的原则;工信部于2013年出台的电信和互联网用户个人信息保护规定,细化了个人信息范围,规范主体、服务商责任、监管机构职责等内容。
但是李海英也强调,虽然我国越来越重视个人信息保护的相关立法,但目前的法律法规中仍然存在一些问题没有解决,比如对个人信息如何界定等,相关法律政策还需进一步明确和不断完善。
“可信云服务认证”构建安全标准
除了法律政策上对于云计算发展的支持与保护,面对云计算发展过程中存在的问题,美、德、英、日、韩等国相继建立了以技术标准、合同范本为主的制度体系,并引入第三方进行评估认证,监督云服务的质量安全。
“云计算产业,从无到有是一个量变的过程;从有到细,是一个质变的过程。在质变的过程中,标准将发挥非常重要的作用。这里的标准,不仅是技术上的规范,更重要是角色之间的行为准则。”中国通信标准化协会秘书长杨泽民表示。
工业和信息化部总工程师张峰认为,建立可信云服务评估认证机制,是推动我国云计算健康发展的有效途径。我国要破解当前国内云服务发展面临的问题,也需要借鉴其他国家的经验,尽快建立适合我国国情的云服务评估认证体系。
本次大会上展示的“可信云服务认证”,是建立我国云服务信任体系方面的积极进展。数据中心联盟理事长、工业和信息化部通信发展司副司长陈家春介绍了“可信云服务认证”的基本情况。
陈家春表示,“可信云服务认证”是我国目前唯一针对云服务的权威认证体系,由数据中心联盟和云计算发展与政策论坛联合组织。认证过程根据中国通信标准化协会所制定的相关标准,以及《云计算服务协议参考框架》标准、“可信云服务系列评估方法”和“可信云服务认证操作办法”开展的。
陈家春介绍,“可信云服务认证”评估,通过企业申请、文档审核、技术测评、现场查验、技术专家评审和复审等多项环节,对云主机服务、对象存储服务、云数据库服务、云引擎服务、块存储服务等五大类服务的三个方面—数据安全、服务质量、权益保障进行认证。
“值得一提的是,可信云服务认证并不是一次性的评估,还将对参与认证的云服务进行有效期为1年的动态监测。”陈家春说。
张峰希望,数据中心联盟和云计算发展与政策论坛能够进一步完善可信云标准和评估体系的构建,扩大覆盖的深度和广度,与云服务企业一道不断提升服务水平,为完善我国云计算市场的安全,繁荣云计算产业建言献策。
