隨著云計算應(yīng)用的日益深入，云計算服務(wù)正在成為政府采購越來越多的一項內(nèi)容。如何保證政府和企業(yè)使用云計算服務(wù)的安全性，如何建立采購云計算服務(wù)的安全標(biāo)準(zhǔn)，如何加強(qiáng)云計算服務(wù)的安全監(jiān)測，已經(jīng)引起政府主管部門的高度關(guān)注。為保證成員國政府云計算服務(wù)采購的安全，歐盟網(wǎng)絡(luò)與信息安全局于2012年4月正式出臺《云計算合同安全服務(wù)水平監(jiān)測指南》（簡稱《指南》），提供了一套持續(xù)監(jiān)測云計算服務(wù)提供商服務(wù)級別協(xié)議運(yùn)行情況的操作體系，將監(jiān)測行動科學(xué)地引入到全合同周期之中，以達(dá)到實時核查用戶數(shù)據(jù)安全性的目的。

加強(qiáng)安全監(jiān)測成為云計算服務(wù)發(fā)展重要前提

隨著云計算應(yīng)用的廣泛和深入，云服務(wù)安全隱患問題愈發(fā)凸顯，加強(qiáng)安全監(jiān)測，是發(fā)展云服務(wù)的重要前提。

由于云計算可以大幅降低成本并提高效率，目前各國在公共服務(wù)領(lǐng)域采購云計算服務(wù)的金額和比重都呈現(xiàn)快速上升趨勢。據(jù)IDC預(yù)測，2013年云服務(wù)利潤將達(dá)442億美元，而歐洲云服務(wù)市場也將超過60億歐元。雖然云服務(wù)的好處不勝枚舉，但也因其多用戶、共享資源等特點，帶來很多風(fēng)險和不確定性。特別是隨著云計算應(yīng)用的日益廣泛和深入，云服務(wù)涉及的數(shù)據(jù)安全隱患問題愈發(fā)凸顯。總的來說，云計算環(huán)境的風(fēng)險主要有3個方面：一是政策和組織風(fēng)險，如喪失一定的管理權(quán)、被迫鎖定于某一個或某幾個云服務(wù)提供商（CSP）等；二是技術(shù)風(fēng)險，如用戶間的數(shù)據(jù)隔離失效、數(shù)據(jù)刪除不完全、內(nèi)部人員惡意操作等；三是法律風(fēng)險，如數(shù)據(jù)保護(hù)風(fēng)險等。可見，加強(qiáng)安全監(jiān)測和防范風(fēng)險，無疑是發(fā)展云服務(wù)的重要前提。這不僅有利于發(fā)揮規(guī)模效應(yīng)，還會使CSP具有差異化競爭優(yōu)勢和更及時有效的更新能力。

出臺《指南》是歐盟云服務(wù)安全部署關(guān)鍵環(huán)節(jié)

為了持續(xù)保障云服務(wù)安全，歐盟出臺了《云計算合同安全服務(wù)水平監(jiān)測指南》，將評估工作貫穿整個合同期。

早在2009年，歐盟網(wǎng)絡(luò)與信息安全局（ENISA）就啟動了相關(guān)研究工作，先后發(fā)布了《云計算：好處、風(fēng)險及信息安全建議》和《ENISA云計算信息安全保障框架》，使公共部門對云服務(wù)提供商進(jìn)行預(yù)評估，確定是否采購其服務(wù)。2011年，ENISA又發(fā)布了《政府云的安全性和復(fù)原力》報告，為公共機(jī)構(gòu)提供了決策指南。ENISA還調(diào)查了歐洲140多個公共機(jī)構(gòu)在云服務(wù)采購方面的做法，為進(jìn)一步出臺詳細(xì)的操作指南奠定了基礎(chǔ)。然而，以上部署主要關(guān)注在云服務(wù)提供前期如何規(guī)避安全風(fēng)險。為了在整個合同期持續(xù)地保障云服務(wù)安全，2012年4月，ENISA制定并發(fā)布了《云計算合同安全服務(wù)水平監(jiān)測指南》�！吨改稀分攸c關(guān)注公共服務(wù)領(lǐng)域的合同，將評估工作貫穿整個合同期。這將有助于對云服務(wù)的數(shù)據(jù)安全持續(xù)監(jiān)測，為云服務(wù)采購者提供指導(dǎo)，推動產(chǎn)業(yè)進(jìn)入一個全新的發(fā)展階段。

《指南》八項指標(biāo)體系反映SLA運(yùn)行情況

《指南》從SLA角度出發(fā)，為客戶提出了包括服務(wù)可用性、事故響應(yīng)、數(shù)據(jù)生命周期管理等8個指標(biāo)體系。

由于云服務(wù)的安全性主要由云服務(wù)提供商掌控，而客戶與提供商的互通主要是通過服務(wù)級別協(xié)議（SLA）。因此，本《指南》主要從SLA角度出發(fā)，為客戶提出了包括服務(wù)可用性、事故響應(yīng)、服務(wù)彈性、數(shù)據(jù)生命周期管理等8個方面的一整套持續(xù)監(jiān)測其服務(wù)提供商SLA運(yùn)行情況的指標(biāo)體系，旨在通過對這8項反映SLA運(yùn)行情況的關(guān)鍵指標(biāo)的持續(xù)監(jiān)測和預(yù)警，幫助客戶達(dá)到核查其數(shù)據(jù)安全性的目的。

服務(wù)的可用性：可用性是指在一定的時間內(nèi)，服務(wù)請求和服務(wù)時間得到滿足的占比。在服務(wù)協(xié)議中，必須明確給出關(guān)于服務(wù)可用性狀態(tài)的描述。目前，已經(jīng)出現(xiàn)了很多用于監(jiān)測網(wǎng)絡(luò)連接狀態(tài)的服務(wù)和產(chǎn)品，以及依靠云服務(wù)提供商的監(jiān)測工具。

事故響應(yīng)：事故是指服務(wù)非正常提供的狀態(tài)，以及引起或可能引起服務(wù)中斷或服務(wù)質(zhì)量下降的事件。根據(jù)信息技術(shù)基礎(chǔ)架構(gòu)庫（ITIL）模型，對事故的監(jiān)測和響應(yīng)等級通常由兩個因素決定：一是嚴(yán)重性，根據(jù)事故的嚴(yán)重性分級進(jìn)行確定。二是響應(yīng)時間，是指進(jìn)行補(bǔ)救的時間

服務(wù)彈性與負(fù)載公差：彈性可以在數(shù)量上描述為在一個執(zhí)行期內(nèi)失敗資源配置占全部配置要求的比例。一些CSP提供冗余能力服務(wù)，這不但可在其他用戶使用時保證一定的彈性，而且更重要的是，對災(zāi)害恢復(fù)時期意義重大。

數(shù)據(jù)生命周期管理：主要用于測量提供商數(shù)據(jù)處理的效率和效益，包括服務(wù)的備份或數(shù)據(jù)復(fù)制系統(tǒng)、導(dǎo)出數(shù)據(jù)的能力和數(shù)據(jù)丟失防護(hù)系統(tǒng)。

技術(shù)合規(guī)性和漏洞管理：用于衡量云服務(wù)是否符合技術(shù)安全政策，包括控制的準(zhǔn)確性和漏洞處理能力。監(jiān)測技術(shù)的合規(guī)性和漏洞管理，往往要根據(jù)偏離基準(zhǔn)線安全政策的程度進(jìn)行。

變更管理：用于對與系統(tǒng)安全屬性和配置有關(guān)的重要變更進(jìn)行監(jiān)測和管理。在簽署合同時需要制定一個清單明細(xì)，如果清單上的項目發(fā)生變更，應(yīng)向用戶發(fā)出通知。

數(shù)據(jù)隔離：是一種功能性的要求，必須實時進(jìn)行。數(shù)據(jù)隔離可確保不同的客戶數(shù)據(jù)和服務(wù)的保密性、完整性和可用性，并保護(hù)數(shù)據(jù)免受未授權(quán)第三方用戶的訪問。

日志管理與取證：包括獲取用戶使用云資源的歷史信息。按照其內(nèi)部控制、合規(guī)、審計、法律和監(jiān)管要求，客戶可能需要獲取以下信息：哪些用戶在何時、何處、對哪些數(shù)據(jù)進(jìn)行怎樣的處理。

相關(guān)鏈接

美國率先對云服務(wù)安全監(jiān)測進(jìn)行部署

在世界各國紛紛著手研究云服務(wù)相關(guān)安全監(jiān)管政策之時，美國已率先進(jìn)行了云服務(wù)安全監(jiān)測部署。美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）發(fā)布了一系列云計算白皮書，NIST的《云計算定義》也被廣泛引用和采納。近期，NIST還發(fā)布了《聯(lián)邦信息系統(tǒng)和機(jī)構(gòu)的信息安全持續(xù)監(jiān)測（ISCM）》報告，為籌劃內(nèi)部云服務(wù)安全流程提供指導(dǎo)，通過持續(xù)監(jiān)測，保持其對信息安全、漏洞和威脅的警覺。

《聯(lián)邦風(fēng)險和授權(quán)管理計劃（FedRAMP）》是美國聯(lián)邦政府機(jī)構(gòu)在采購云服務(wù)時須遵守的操作指南。該計劃不僅制定了安全要求，同時也監(jiān)測安全措施的執(zhí)行情況，例如每季度定期發(fā)布漏洞掃描報告。FedRAMP很可能成為美國云服務(wù)公共合同監(jiān)測的參考基準(zhǔn)。