國內云計算自2009年起步，到現在已經成長為一個數百億元規(guī)模的市場，一大波創(chuàng)業(yè)者嗅到了這一商機之后，打著“云服務”旗號的企業(yè)俯拾皆是。的確云計算創(chuàng)業(yè)的門檻在降低，各種服務的落地也很順利。但雷鋒網也發(fā)現，這一野蠻式的增長也帶來了一系列的問題。

俗話說，無規(guī)矩不成方圓。隨著云計算產業(yè)的規(guī)模逐漸擴大，各家企業(yè)提供的服務也是稂莠不齊，大家都知道，在采購云服務時稍有不慎就可能給公司造成重大的損失，如何在千千萬萬個云計算廠商挑出最適合自己的是個問題，而云計算的標準化就是取勝之匙！

眾所周知，國外的云計算發(fā)展早于國內，而且相關的標準也相對成熟，最近幾年國內組織機構開始對云服務的標準化工作重視起來，中國信息通信研究院制定的可信云認證就是其中之一。那么在各種標準紛紛襲來的時候，云服務商以及云服務采購方又該如何接招呢？本期雷鋒網硬創(chuàng)公開課將為您一一解答。

嘉賓介紹

栗蔚，中國信息通信研究院技術與標準研究所主任工程師，云計算開源產業(yè)聯盟秘書長，數據中心聯盟可信云工作組組長。中國信息通信研究院負責可信云、云計算開源、云保險、金牌運維等多個云計算相關工作，編寫可信云《云計算服務協議參考框架》，《面向政務的云服務》，Y.3501 Trusted Cloud等國內國際云計算標準20余項。

以下內容整理自本期公開課：

國外云服務比國內走得快，標準制定也更成熟，例如云安全的評估國際上已經有CSA-STAR這樣的權威認證。國內組織制定的標準和國際標準的差異是什么？

不可否認，國外某幾個云服務商在技術穩(wěn)定性、彈性等某些方面確實比國內走得快，現在國內外的云服務發(fā)展也還沒到一個非常成熟的階段，成熟與否要看整個產業(yè)。產業(yè)總體來說還是一個初級形態(tài)，包括運維、安全、應用的總體生態(tài)還遠遠沒有形成。根據中國信息通信研究院《2015年公有云/私有云調研報告》中國云計算產業(yè)規(guī)?？偣步?00億，中國的云計算每年處在30%-40%的增長速度，從規(guī)模和行業(yè)客戶覆蓋度來說也都只是初級階段。很多標準在這種情況下很多還只是關注虛擬化、信息系統，包括國外的一些標準，所以并沒有到一個成熟的階段。

我們可以通過以下幾個方面來評價標準：

1）是否滿足技術發(fā)展階段；

2）是否有效規(guī)范了相應的技術；

3）是否滿足用戶需求。

目前國內外的標準在第一點表現都不錯，但是第二點和第三點不同。以CSA-STAR為例，其實還是以ISO27001為核心，可以稱之為ISO27001的增強版。我們可以看到國外的思路都是以ISO27001為核心的各種變化，比如美國的FedRAMP政務云審查也是以27001為核心。ISO27001是非常經典的信息安全標準，可以作為云服務商初期建設云平臺規(guī)范管理的參考，但是對于當前的云計算新特點約束不足。

云計算帶來最大的變化是什么？

以前用ISO的組織框架來規(guī)范自己，能保證執(zhí)行的力度。而現在把數據和系統放到云服務商手中，那約束自己就變成了考核另一方是否能有效約束自己以及有足夠的能力保障安全可信，總的來說新增的是云服務商讓客戶信任的能力。在這種情況下，只有安全組織框架和管理流程是遠遠不夠的，因為一是不能真實反應對方的執(zhí)行情況，二是不能真實考核對方能達到隔離安全的程度，三是如果對方有了安全問題沒有機制保障后果。ISO只對事前負責，并不包括事中和事后的約束。所以需要更多的標準對云服務商的事前、事中、事后的真實能力和執(zhí)行情況進行評價。

國際上現有的ISO-IECJTC1-SC38_N1074框架、ISO-IECJTC1-SC38_N1072術語這兩個標準的核心其實都是早期美國NIST提出的云計算概念，現在耳熟能詳的公有云、私有云、混合云等等概念都是出自NIST，這兩個標準主要關注云計算術語框架等基本概念，所以在初期普及概念是可以的。

反觀國內也有不少標準體系，比較主流的如下：1）可信云評估體系，2）云計算綜合標準化，3）等級保護云計算版，4）云計算安全國標。

可信云

可信云評估體系主要面向用戶，約束云服務商信任問題，針對云計算的特有的問題，評估指標規(guī)范客戶信任云服務商的指標，針對云服務的真實能力進行評估，真實反應事中云服務商的執(zhí)行情況，真實考核對方能達到隔離安全的程度，以及事后有安全問題時的賠償機制。主要用于用戶選購云計算的招標規(guī)范，主要目的是規(guī)范云服務商SLA的指標和能力，也是目前國內云計算信任體系的權威標準。

可信云事前評估面向四大方向：公有云服務包括云主機、云存儲，企業(yè)級SaaS等等，目前已經有73家133個云服務通過認證；私有云開源軟件，如OpenStack；專項評估包括運維、安全、性能；云保險風險評估。

可信云事中評估：云主機可用性監(jiān)測；

可信云事后規(guī)范：云保險機制。

事中：云主機可用性監(jiān)測

事后：云保險機制，保障風險

以下是可信云面向公有云的16項指標： 

數據 控制  數據存儲的持久性  

數據可銷毀性  

數據可遷移性  

數據私密性  

數據知情權  

服務可審查性  

服務質量  服務功能  

服務可用性  

服務資源調配能力  

故障恢復能力  

網絡接入性能  

服務計量準確性  

權益保障  服務變更、終止條款  

服務賠償條款  

用戶約束條款  

服務商免責條款

企業(yè)級SaaS的指標如下圖：

可信云的運維和ISO不同在于主要面向運維系統：

可信云安全專項評估

私有云的OpenStack解決方案如下圖：

國標云計算綜合標準化

國標云計算綜合標準化主要面向架構，普及概念、技術架構和模塊。

等級保護云計算版

等級保護標準面向云計算系統的標準，目前在試點。

信息化系統基礎安全

ISO27001和ISO20000、《信息系統安全等級保護基本要求》、TC260《云計算服務安全能力要求》和《云計算服務安全指南》都屬于這一類。

制定標準對企業(yè)和技術人員起到了怎樣的規(guī)范作用？

首先，制定標準有利于普及概念和技術，比如NIST，ISO的術語和框架，國家云計算綜合標準化，讓大家對云計算理解更深入，更準確，為產業(yè)范疇和更實際的標準，奠定基礎。

其次，制定標準也是在培育市場、規(guī)范市場，它可以滿足客戶招標需求，比如可信云標準體系，目前政企客戶招標云計算很多都參考可信云的指標，服務商也是按照可信云SLA去簽合同。此外還有云計算建設指南，比如電子政務云計算綜合標準化等。

哪些項目需要標準化？ 評估的過程和機制是怎樣的？

如果按行業(yè)分的話，有些關鍵行業(yè)使用云計算需要安全和可信等標準化的，如金融、政務行業(yè)采購云計算時需要考慮這些問題；如果是私有云，私有云的解決方案需要在質量需要一些標準化，以保證私有云不被鎖定。

評估的過程和機制，以可信云為例，事前包括文檔審核、技術評測、現場查驗、專家評審以及外部評議；事中包括云主機可用性和性能監(jiān)測、PaaS平臺可用性和性能監(jiān)測。

可信云的不同就在于有技術測試和事中的監(jiān)測，其他的評估基本上都是文檔審查和現場查驗。

另外，不同的行業(yè)云各自的需求也是不一樣的，例如金融云注重安全、合規(guī)、災備；政務云注重不同等級的系統采購不同等級的云服務、服務商的運維能力；醫(yī)療云注重影像數據、視頻和圖片存儲等能力。

評估通過與否分別意味著什么？通過是否代表技術或者服務更好？

這要看標準是什么類型的。

如果是技術普及標準，通過是一種符合性評估，基本標準通過說明滿足基本云計算要求，比如國標云計算綜合標準化；如果是客戶選購指標，通過說明安全可信，云服務比較規(guī)范，比如可信云；如果是能力評估，例如可信云金牌運維、性能評估，通過的話可以說明技術更好。

國內云服務商還存在什么問題？評估結果對云服務采購方來說有什么樣的參考作用？

這個問題要在大背景下看，中國的云服務有本國特色，和國外亞馬遜AWS等這種扁平化的不一樣，在中國托管云很火，因為中國有三級結構，省、地市、縣，信息化發(fā)展不平衡，很難扁平化。所以有些國外看起來很牛的技術，在國內基本上很少用武之地，國內主要還是看穩(wěn)定性。

公有云方面，我們看到國內云服務商還是會超賣，風險管控機制也不完善，運維人員的監(jiān)控等；還有賠償機制不完善，服務不可用，數據丟失，數據泄露等問題出現后沒有規(guī)范的賠償機制，目前只是賠償時間。

私有云方面解決方案的互操作性、規(guī)模部署能力和穩(wěn)定性有待提高。

可信云的評估結果都是公開的，甚至每個指標，包括事中可用性監(jiān)測，企業(yè)都可以自己查看。對云服務采購方來說，評估指標就是招標指標和合同指標，幫助篩選規(guī)范優(yōu)秀的云服務商。

如何看待標準之爭？

標準的出臺肯定是有很多廠商參與一起寫的。在我做標準的過程中，每個廠商都有自己的利益和側重點，對于一個指標有沒有，或者門限等都有自己的聲音，這就需要像我們這樣的第三方，從專業(yè)、公平、公正的角度，給出最權威的定義，從產業(yè)發(fā)展的角度制定規(guī)則，所以我們要比廠商更理解專業(yè)和產業(yè)。

標準和標準之間，就像上文提到的各有側重。每個標準能有市場，就有他的價值，都是為了產業(yè)發(fā)展更好。我覺得不存在之爭這一說。我們要站在國家、產業(yè)更高的層面去看待這個問題。至于選擇什么樣的標準，廠商要根據自己目前的發(fā)展定位來看。

問答精選

Q：老師您好！對于大多數企業(yè)來講，未來方向可能主要是請“云服務”提供商，通過搜集廣大客戶端的數據，來進行企業(yè)自身的數據分析和為自己的客戶提供“定制化”服務。對比，您認為我們如何來學習標準的應用以及安全風險的界定？

栗蔚：如果是IaaS云服務商，看不到客戶的應用，也采集不到客戶的數據，除非黑客或違規(guī)行為。

Q：剛才老師講解了“評估”，我想請老師再解進一步介紹一下怎樣看結果。我們目前，用App在普通用戶家里了解家庭空氣質量。但是，我們遇到“云”服務的不穩(wěn)定，同時也擔憂客戶家庭數據的安全。

栗蔚：那其實是你搜集客戶端數據，底層的云只是提供資源。如果要把APP部署在云上，上文提到的16個指標，比如數據私密性，你要看他能不能做到有效隔離。

Q：類似單張 3.6g的tif空間數據有什么好的處理方式？

栗蔚：圖像、視頻等一般用對象存儲服務。

Q：目前科技企業(yè)自身的云已經和自己的產品形成了一個生態(tài)網，但是涉及到云的數據，會不會受到巨頭的壓縮，小企業(yè)如何發(fā)展自己的云？

栗蔚：如果是小企業(yè)的公有云平臺沒有行業(yè)特色或者開發(fā)者應用特色的話，很難有生存空間；如果是面向某一類的行業(yè)開發(fā)者，還有一定的機會。(雷鋒網)

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。