很高兴能够介绍一下可信云服务的最佳实践。我介绍大概分为三个方面的内容:一个是背景的介绍,第二是整个的情况,最后统计一下19个云服务商目前的实践情况。
为什么要做云服务的认证,我国的公有云服务市场47.6亿的人民币规模,规模不大,但是增长非常快,根据研究院的调查,目前大家担心的问题,主要是涉及到用户的安全性、隐私可靠性,这种担心超过了50%。目前主要是市场初期服务不规范,水平参差不齐,需要引导大家。
如何解决这个问题,很多国家有类似的做法,日本就有关于云服务的信息披露的认证体系,韩国有一个云服务商的,德国有一个可信云服务的认证体系,也包括了一些技术和产品的。美国的还有针对安全方面的。
目前在这个情况下,我们需要一些手段来引导,目的是为了建立云服务的评估体系,为用户提供指导。去年5月份我们召开第一次会议,大家一致认为我们需要引导行业的规范,因为即使在规模不大的情况,也出现了很多混乱的情况。
这是一个工作的基本过程,去年6月份的时候,我们确定了可信云服务认证的基本的框架和基本的思路。尤其是可信云与其他的行业云,比如说金融、政府采购的关系。在去年7月份和9月份,连续召开了三次会议,完成了相关的云服务协议的参考框架,可信云服务的认证的评估方法,可信云操作方法三个文件。从去年10月份到今天,这个时间很长。
今年1月份到今年的3月份,第一批云服务评估的情况,完善了评估的标准和方法,完善了相应的协议,并且补充了实际考察和检测方面的要求。今年3月份到现在,对云主机服务,云数据库服务等35项进行了评估。这种完全是平等、自愿开放的原则。
评估的方法包括五个方面,第一个是披露企业的基本信息,披露云服务的基本信息,云服务的承诺要完整,承诺要规范,承诺的真实,这里面有一个商业的规范,要参考这个标准。
我们的服务呢不针对产品,不针对企业,不针对企业,只是针对特定的云的服务,这需要特别的强调。不能说某个云服务商通过了认证。
我们关心16个核心的指标,数据的私密性,我们想回答会不会被别人看到,数据的知情权是数据在哪里,谁会接触这些数据。在服务质量方面,它的功能是否完整?资源的调配能力弹性如何,故障的恢复能力这个好理解。计量的准确性,这个很清楚了。
如何做到可信?我们自身如何做到可信?五招:第一个是做文档的审查,技术的测评,对多项的指标进行技术的测评,现场的查验,专家组的评审,外部的复审。还有一个持续的检测。
申请的服务商是33个服务商,涉及到54种云服务参与评选,这次我们有19个云服务商,36个云服务推动了这一次的评估,还有一些没有通过的,主要原因是我们规定你必须有超过6个月以上的运行的记录,有的没有做到。还有一些我们强度web的服务。
这是我们统计的一个结果,36种云服务,涉及到了1112项指标的审核和测试,有问题的指标有210项。经过评估和整改,占整个的指标项19个。问题主要是集中在业务的可用性,网络的接入性能,集中显现在这几个方面。数据存储性、可销毁性、私密性。这几个方面的问题比较多。
经过我们的评测,目前35个云服务,获得的认证,企业基本信息是真实的,承诺是完备的,达到了我们的要求。格式是规范的,指标达到了标准要求,真实的能力与承诺是相符的。具体的结果我们可以在我们的官方网站上,有一些信息的披露。
我们还总结了一个可信云服务最佳的实践,披露一下目前为止国内在哪些方面。现在我们活动的开展,从去年到现在,已经10个月的时间,可信云的评估,已经见证了国内云服务市场发展的变化。1月份评估的结果,和今年的7月份已经发生了变化。由面向中小型提供服务,发展到政企用户提供专业化的服务方向,这是非常明显的变化。
我们在1月份的时候有多家服务商的云服务还处于公测阶段,这一次的评估,已经进入到了商业的正式运营的阶段。另外,我们看到左下角,在一月份的评测的时候,我们看到以中小用户为主的服务比例高达60左右。这次我们面向政企大客户,明显的有变化。
另外我们在1月份的时候,普通公有云服务,大概是50%到60%。这一次评估已经更多的面向了政企和行业的市场,面向了更多的行业领域。
我们在评估中,曾经出过什么问题呢?35个云服务的指标,当时都是不完备的。在我们的服务协议中,主约和副约的关系不清,没有区分主副约,没有明确的云服务协议。我们目前看到服务协议的签署,应该是这样的一个要求,目前我们看到的情况,最好是不同的云服务,要有独立的服务协议,每个服务协议,应该区分主约和副约。主约的部分,要说明服务协议的范围,主约部分包括数据安全、权益保障,包括数据的持久性、隐私等。服务质量的指标,可以写在主约中,也可以写在副约中的。所有描述的指标,都需要规范,这是我们看到大家写协议要注意的几个事情。
