隨著云計(jì)算應(yīng)用的日益深入，云計(jì)算服務(wù)正在成為政府采購越來越多的一項(xiàng)內(nèi)容。如何保證政府和企業(yè)使用云計(jì)算服務(wù)的安全性，如何建立采購云計(jì)算服務(wù)的安全標(biāo)準(zhǔn)，如何加強(qiáng)云計(jì)算服務(wù)的安全監(jiān)測，已經(jīng)引起政府主管部門的高度關(guān)注。為保證成員國政府云計(jì)算服務(wù)采購的安全，歐盟網(wǎng)絡(luò)與信息安全局于2012年4月正式出臺(tái)《云計(jì)算合同安全服務(wù)水平監(jiān)測指南》（簡稱《指南》），提供了一套持續(xù)監(jiān)測云計(jì)算服務(wù)提供商服務(wù)級(jí)別協(xié)議運(yùn)行情況的操作體系，將監(jiān)測行動(dòng)科學(xué)地引入到全合同周期之中，以達(dá)到實(shí)時(shí)核查用戶數(shù)據(jù)安全性的目的。

加強(qiáng)安全監(jiān)測成為云計(jì)算服務(wù)發(fā)展重要前提

隨著云計(jì)算應(yīng)用的廣泛和深入，云服務(wù)安全隱患問題愈發(fā)凸顯，加強(qiáng)安全監(jiān)測，是發(fā)展云服務(wù)的重要前提。

由于云計(jì)算可以大幅降低成本并提高效率，目前各國在公共服務(wù)領(lǐng)域采購云計(jì)算服務(wù)的金額和比重都呈現(xiàn)快速上升趨勢。據(jù)IDC預(yù)測，2013年云服務(wù)利潤將達(dá)442億美元，而歐洲云服務(wù)市場也將超過60億歐元。雖然云服務(wù)的好處不勝枚舉，但也因其多用戶、共享資源等特點(diǎn)，帶來很多風(fēng)險(xiǎn)和不確定性。特別是隨著云計(jì)算應(yīng)用的日益廣泛和深入，云服務(wù)涉及的數(shù)據(jù)安全隱患問題愈發(fā)凸顯�？偟膩碚f，云計(jì)算環(huán)境的風(fēng)險(xiǎn)主要有3個(gè)方面：一是政策和組織風(fēng)險(xiǎn)，如喪失一定的管理權(quán)、被迫鎖定于某一個(gè)或某幾個(gè)云服務(wù)提供商（CSP）等；二是技術(shù)風(fēng)險(xiǎn)，如用戶間的數(shù)據(jù)隔離失效、數(shù)據(jù)刪除不完全、內(nèi)部人員惡意操作等；三是法律風(fēng)險(xiǎn)，如數(shù)據(jù)保護(hù)風(fēng)險(xiǎn)等。可見，加強(qiáng)安全監(jiān)測和防范風(fēng)險(xiǎn)，無疑是發(fā)展云服務(wù)的重要前提。這不僅有利于發(fā)揮規(guī)模效應(yīng)，還會(huì)使CSP具有差異化競爭優(yōu)勢和更及時(shí)有效的更新能力。

出臺(tái)《指南》是歐盟云服務(wù)安全部署關(guān)鍵環(huán)節(jié)

為了持續(xù)保障云服務(wù)安全，歐盟出臺(tái)了《云計(jì)算合同安全服務(wù)水平監(jiān)測指南》，將評(píng)估工作貫穿整個(gè)合同期。

早在2009年，歐盟網(wǎng)絡(luò)與信息安全局（ENISA）就啟動(dòng)了相關(guān)研究工作，先后發(fā)布了《云計(jì)算：好處、風(fēng)險(xiǎn)及信息安全建議》和《ENISA云計(jì)算信息安全保障框架》，使公共部門對(duì)云服務(wù)提供商進(jìn)行預(yù)評(píng)估，確定是否采購其服務(wù)。2011年，ENISA又發(fā)布了《政府云的安全性和復(fù)原力》報(bào)告，為公共機(jī)構(gòu)提供了決策指南。ENISA還調(diào)查了歐洲140多個(gè)公共機(jī)構(gòu)在云服務(wù)采購方面的做法，為進(jìn)一步出臺(tái)詳細(xì)的操作指南奠定了基礎(chǔ)。然而，以上部署主要關(guān)注在云服務(wù)提供前期如何規(guī)避安全風(fēng)險(xiǎn)。為了在整個(gè)合同期持續(xù)地保障云服務(wù)安全，2012年4月，ENISA制定并發(fā)布了《云計(jì)算合同安全服務(wù)水平監(jiān)測指南》�！吨改稀分攸c(diǎn)關(guān)注公共服務(wù)領(lǐng)域的合同，將評(píng)估工作貫穿整個(gè)合同期。這將有助于對(duì)云服務(wù)的數(shù)據(jù)安全持續(xù)監(jiān)測，為云服務(wù)采購者提供指導(dǎo)，推動(dòng)產(chǎn)業(yè)進(jìn)入一個(gè)全新的發(fā)展階段。

《指南》八項(xiàng)指標(biāo)體系反映SLA運(yùn)行情況

《指南》從SLA角度出發(fā)，為客戶提出了包括服務(wù)可用性、事故響應(yīng)、數(shù)據(jù)生命周期管理等8個(gè)指標(biāo)體系。

由于云服務(wù)的安全性主要由云服務(wù)提供商掌控，而客戶與提供商的互通主要是通過服務(wù)級(jí)別協(xié)議（SLA）。因此，本《指南》主要從SLA角度出發(fā)，為客戶提出了包括服務(wù)可用性、事故響應(yīng)、服務(wù)彈性、數(shù)據(jù)生命周期管理等8個(gè)方面的一整套持續(xù)監(jiān)測其服務(wù)提供商SLA運(yùn)行情況的指標(biāo)體系，旨在通過對(duì)這8項(xiàng)反映SLA運(yùn)行情況的關(guān)鍵指標(biāo)的持續(xù)監(jiān)測和預(yù)警，幫助客戶達(dá)到核查其數(shù)據(jù)安全性的目的。

服務(wù)的可用性：可用性是指在一定的時(shí)間內(nèi)，服務(wù)請(qǐng)求和服務(wù)時(shí)間得到滿足的占比。在服務(wù)協(xié)議中，必須明確給出關(guān)于服務(wù)可用性狀態(tài)的描述。目前，已經(jīng)出現(xiàn)了很多用于監(jiān)測網(wǎng)絡(luò)連接狀態(tài)的服務(wù)和產(chǎn)品，以及依靠云服務(wù)提供商的監(jiān)測工具。

事故響應(yīng)：事故是指服務(wù)非正常提供的狀態(tài)，以及引起或可能引起服務(wù)中斷或服務(wù)質(zhì)量下降的事件。根據(jù)信息技術(shù)基礎(chǔ)架構(gòu)庫（ITIL）模型，對(duì)事故的監(jiān)測和響應(yīng)等級(jí)通常由兩個(gè)因素決定：一是嚴(yán)重性，根據(jù)事故的嚴(yán)重性分級(jí)進(jìn)行確定。二是響應(yīng)時(shí)間，是指進(jìn)行補(bǔ)救的時(shí)間

服務(wù)彈性與負(fù)載公差：彈性可以在數(shù)量上描述為在一個(gè)執(zhí)行期內(nèi)失敗資源配置占全部配置要求的比例。一些CSP提供冗余能力服務(wù)，這不但可在其他用戶使用時(shí)保證一定的彈性，而且更重要的是，對(duì)災(zāi)害恢復(fù)時(shí)期意義重大。

數(shù)據(jù)生命周期管理：主要用于測量提供商數(shù)據(jù)處理的效率和效益，包括服務(wù)的備份或數(shù)據(jù)復(fù)制系統(tǒng)、導(dǎo)出數(shù)據(jù)的能力和數(shù)據(jù)丟失防護(hù)系統(tǒng)。

技術(shù)合規(guī)性和漏洞管理：用于衡量云服務(wù)是否符合技術(shù)安全政策，包括控制的準(zhǔn)確性和漏洞處理能力。監(jiān)測技術(shù)的合規(guī)性和漏洞管理，往往要根據(jù)偏離基準(zhǔn)線安全政策的程度進(jìn)行。

變更管理：用于對(duì)與系統(tǒng)安全屬性和配置有關(guān)的重要變更進(jìn)行監(jiān)測和管理。在簽署合同時(shí)需要制定一個(gè)清單明細(xì)，如果清單上的項(xiàng)目發(fā)生變更，應(yīng)向用戶發(fā)出通知。

數(shù)據(jù)隔離：是一種功能性的要求，必須實(shí)時(shí)進(jìn)行。數(shù)據(jù)隔離可確保不同的客戶數(shù)據(jù)和服務(wù)的保密性、完整性和可用性，并保護(hù)數(shù)據(jù)免受未授權(quán)第三方用戶的訪問。

日志管理與取證：包括獲取用戶使用云資源的歷史信息。按照其內(nèi)部控制、合規(guī)、審計(jì)、法律和監(jiān)管要求，客戶可能需要獲取以下信息：哪些用戶在何時(shí)、何處、對(duì)哪些數(shù)據(jù)進(jìn)行怎樣的處理。

相關(guān)鏈接

美國率先對(duì)云服務(wù)安全監(jiān)測進(jìn)行部署

在世界各國紛紛著手研究云服務(wù)相關(guān)安全監(jiān)管政策之時(shí)，美國已率先進(jìn)行了云服務(wù)安全監(jiān)測部署。美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）發(fā)布了一系列云計(jì)算白皮書，NIST的《云計(jì)算定義》也被廣泛引用和采納。近期，NIST還發(fā)布了《聯(lián)邦信息系統(tǒng)和機(jī)構(gòu)的信息安全持續(xù)監(jiān)測（ISCM）》報(bào)告，為籌劃內(nèi)部云服務(wù)安全流程提供指導(dǎo)，通過持續(xù)監(jiān)測，保持其對(duì)信息安全、漏洞和威脅的警覺。

《聯(lián)邦風(fēng)險(xiǎn)和授權(quán)管理計(jì)劃（FedRAMP）》是美國聯(lián)邦政府機(jī)構(gòu)在采購云服務(wù)時(shí)須遵守的操作指南。該計(jì)劃不僅制定了安全要求，同時(shí)也監(jiān)測安全措施的執(zhí)行情況，例如每季度定期發(fā)布漏洞掃描報(bào)告。FedRAMP很可能成為美國云服務(wù)公共合同監(jiān)測的參考基準(zhǔn)。