在歐洲釋放云計(jì)算潛能（六）

克服標(biāo)準(zhǔn)障礙

在ICT行業(yè)，老產(chǎn)品常常會(huì)給新產(chǎn)品或新系統(tǒng)的研發(fā)設(shè)置障礙，但這往往能提高原始產(chǎn)品的價(jià)值，并帶動(dòng)創(chuàng)新。

為了刺激發(fā)展和創(chuàng)新，創(chuàng)新家需要得到設(shè)備和應(yīng)用程序的兼容性信息，有了這些信息，才能確保產(chǎn)品的兼容性。這一信息是否公開(kāi)取決于設(shè)備和應(yīng)用程序的所有者。流程標(biāo)準(zhǔn)化常常是辦法之一。兼容性對(duì)于用戶使用多個(gè)云服務(wù)供應(yīng)商來(lái)說(shuō)也非常重要。如果達(dá)成這一結(jié)果，那市場(chǎng)將更具競(jìng)爭(zhēng)力，也能更好地服務(wù)客戶。在云計(jì)算領(lǐng)域，現(xiàn)階段在兼容性標(biāo)準(zhǔn)上還沒(méi)有形成共識(shí)，應(yīng)建立一個(gè)共同的標(biāo)準(zhǔn)。

一般來(lái)說(shuō)，每個(gè)供應(yīng)商都希望通過(guò)鎖定來(lái)掌握主導(dǎo)地位。因此，盡管出臺(tái)云標(biāo)準(zhǔn)的嘗試很多（特別是供應(yīng)商牽頭的），但有一個(gè)很大的風(fēng)險(xiǎn)：那就是云有可能會(huì)缺少兼容性和數(shù)據(jù)便攜性（取回?cái)?shù)據(jù)）而后者對(duì)競(jìng)爭(zhēng)至關(guān)重要，因?yàn)閿?shù)據(jù)可以輕松移至其他平臺(tái)。這還有助于打開(kāi)市場(chǎng)，防止出現(xiàn)供應(yīng)商的壟斷現(xiàn)象。

用戶無(wú)法評(píng)價(jià)供應(yīng)商對(duì)標(biāo)準(zhǔn)的實(shí)施情況，云服務(wù)的兼容性以及數(shù)據(jù)的可移動(dòng)性，因此，有必要進(jìn)行獨(dú)立的認(rèn)證。

信息安全可能是公司考慮使用云計(jì)算時(shí)最大的顧慮。云服務(wù)用戶應(yīng)對(duì)服務(wù)以及數(shù)據(jù)安全充滿信心，他們應(yīng)該可以隨時(shí)隨地存取數(shù)據(jù)，而未授權(quán)用戶無(wú)法存取這些數(shù)據(jù)。盡管云的安全風(fēng)險(xiǎn)和其他風(fēng)險(xiǎn)并沒(méi)有技術(shù)區(qū)別，但云的風(fēng)險(xiǎn)會(huì)迅速擴(kuò)大,并同時(shí)影響很多用戶。根據(jù)歐洲網(wǎng)絡(luò)和信息安全局ENISA）關(guān)于云安全的一項(xiàng)調(diào)查顯示，云技術(shù)的主要風(fēng)險(xiǎn)包括©:

-被鎖：云的數(shù)據(jù)格式和服務(wù)界面并非標(biāo)準(zhǔn)化。因此，如果客戶更換云服務(wù)供應(yīng)商或?qū)?shù)據(jù)轉(zhuǎn)移回公司內(nèi)部的IT環(huán)境,將無(wú)法保證服務(wù)的連貫性。

?隔離失?。涸诙嘧鈶舡h(huán)境中，區(qū)分存儲(chǔ)空間、內(nèi)存和路徑的系統(tǒng)錯(cuò)誤是一個(gè)風(fēng)險(xiǎn)。攻擊者將利用系統(tǒng)中的這些漏洞，由此進(jìn)入另一個(gè)租戶的域名。一個(gè)很小的配置錯(cuò)誤將給大量數(shù)據(jù)帶來(lái)風(fēng)險(xiǎn)。

?名譽(yù)：云計(jì)算供應(yīng)商出現(xiàn)安全問(wèn)題，對(duì)一個(gè)租戶引發(fā)的名譽(yù)損害，也有可能影響云中其他租戶的名譽(yù)。

?虛擬化：云服務(wù)的基礎(chǔ)通常是虛擬化，這意味著真正的操作平臺(tái)系統(tǒng)是隱藏起來(lái)的。虛擬化有一些潛在的風(fēng)險(xiǎn)，用戶需注意管理程序?qū)用娴墓?，這類(lèi)攻擊的目的在于破壞機(jī)器的正常運(yùn)轉(zhuǎn)。而這些只能由云服務(wù)供應(yīng)商管理。

?行政遵從風(fēng)險(xiǎn):一些云用戶需遵守行業(yè)標(biāo)準(zhǔn)或行政要求,比如通過(guò)認(rèn)證。這一過(guò)程有可能受到云的影響。作為一個(gè)云用戶，獲得相關(guān)認(rèn)證也要求云計(jì)算供應(yīng)商提供他們遵守相關(guān)規(guī)定的證明。因此，用戶獲得認(rèn)證的可能性同時(shí)也取決于云計(jì)算供應(yīng)商。一旦云普及，之前的認(rèn)證都有可能失去價(jià)值。

©ENISA（2012），《安全采購(gòu)：云合同安全服務(wù)等級(jí)監(jiān)管指南》。?管理界面妥協(xié):通過(guò)網(wǎng)絡(luò)可進(jìn)入的公共云和在線活動(dòng)（如瀏覽器漏洞）有著一樣的漏洞。

-不安全或不完整的數(shù)據(jù)刪除：當(dāng)一個(gè)云用戶決定從云中移除一些數(shù)據(jù)時(shí)，無(wú)法確定這些數(shù)據(jù)是否真正從云中刪除。

-惡意內(nèi)部人士:云構(gòu)架的管理需對(duì)技術(shù)人員的數(shù)據(jù)存取進(jìn)行審批。技術(shù)人員存在高風(fēng)險(xiǎn)，因?yàn)樗麄冊(cè)谀承┣闆r下可以進(jìn)入客戶數(shù)據(jù)。嚴(yán)格控制角色分配和存取數(shù)據(jù)權(quán)利等對(duì)防止來(lái)自云服務(wù)供應(yīng)商內(nèi)部的攻擊很重要。

接下來(lái)，歐盟委員會(huì)將在安全、電子認(rèn)證以及標(biāo)準(zhǔn)化的行動(dòng)計(jì)劃中把包含云服務(wù)的相關(guān)條款列入?！稓W洲網(wǎng)絡(luò)安全戰(zhàn)略》將出臺(tái)法律和非法律的建議，改善網(wǎng)絡(luò)和信息系統(tǒng)的安全,以及普及對(duì)用戶信息安全風(fēng)險(xiǎn)的管理。從云方面來(lái)看，主要問(wèn)題是為運(yùn)營(yíng)商出臺(tái)共同的網(wǎng)絡(luò)和信息安全要求。云服務(wù)供應(yīng)商需采取適當(dāng)?shù)募夹g(shù)和組織措施來(lái)管理系統(tǒng)風(fēng)險(xiǎn)。應(yīng)出臺(tái)行業(yè)標(biāo)準(zhǔn)、技術(shù)標(biāo)準(zhǔn)和安全設(shè)計(jì)標(biāo)準(zhǔn)，讓用戶能以簡(jiǎn)單的方式評(píng)價(jià)數(shù)據(jù)保護(hù)和安全水平。另外還有推動(dòng)云安全和認(rèn)證領(lǐng)域的技術(shù)規(guī)格和標(biāo)準(zhǔn)的普及等問(wèn)題。

歐盟委員會(huì)已出臺(tái)了關(guān)于電子簽名、電子身份驗(yàn)證互認(rèn)系統(tǒng)等方面的要求。盡管云領(lǐng)域的認(rèn)證和一般認(rèn)證要求并沒(méi)有很大不同，但是云認(rèn)證要求嚴(yán)格的證書(shū)確認(rèn)和特性管理。

最后，歐盟標(biāo)準(zhǔn)化的監(jiān)管改革(關(guān)于歐洲標(biāo)準(zhǔn)化規(guī)定的建議)①中確認(rèn)歐盟委員會(huì)可以承認(rèn)ICT領(lǐng)域的技術(shù)規(guī)格，這主要是為實(shí)現(xiàn)公共采購(gòu)的兼容性。歐盟委員會(huì)成立了ICT標(biāo)準(zhǔn)化的多方參與平臺(tái)，可在公共采購(gòu)時(shí)執(zhí)行ICT規(guī)格。

IT行業(yè)也在積極探討標(biāo)準(zhǔn)問(wèn)題。SAP推出了云計(jì)算黃金標(biāo)準(zhǔn)計(jì)劃，該標(biāo)準(zhǔn)主要關(guān)注用戶三大顧慮：信任、安全和遵守問(wèn)題。黃金標(biāo)準(zhǔn)面向全歐盟，旨在鞏固現(xiàn)有標(biāo)準(zhǔn)，并特別考慮到歐盟的隱私規(guī)定。

在電子科技領(lǐng)域，歐盟委員會(huì)資助的Siena項(xiàng)目進(jìn)行了大量的路線圖設(shè)計(jì)工作，以加速可兼容的計(jì)算基礎(chǔ)設(shè)施的利用和發(fā)展氣

那么，我們需要做什么呢？云領(lǐng)域的標(biāo)準(zhǔn)化主要議題如下:

-公共數(shù)據(jù)格式：云中創(chuàng)造的數(shù)據(jù)應(yīng)可恢復(fù)和再利用，并無(wú)信息丟失。

?標(biāo)準(zhǔn)應(yīng)支持用戶要求：例如，數(shù)據(jù)記錄需確定是否符合服務(wù)等級(jí)協(xié)議的要求。

?應(yīng)開(kāi)發(fā)加強(qiáng)隱私管理的技術(shù)：讓用戶掌握數(shù)據(jù)的存取。這些技術(shù)應(yīng)是標(biāo)準(zhǔn)化行動(dòng)的重點(diǎn)，以避免不兼容和被鎖問(wèn)題的發(fā)生。

關(guān)于認(rèn)證

云服務(wù)供應(yīng)商應(yīng)出臺(tái)認(rèn)證體系，讓用戶以一個(gè)簡(jiǎn)單的方式就能評(píng)價(jià)和比較供應(yīng)商提供的服務(wù)。認(rèn)證應(yīng)適用于全行業(yè)且簡(jiǎn)潔統(tǒng)一，主要考量的標(biāo)準(zhǔn)包括：是否符合標(biāo)準(zhǔn)、兼容性和數(shù)據(jù)便攜性。

這一認(rèn)證體系應(yīng)囊括所有利益相關(guān)者，包括云供應(yīng)商、云客戶、數(shù)據(jù)保護(hù)機(jī)構(gòu)和認(rèn)證機(jī)構(gòu)。認(rèn)證中還應(yīng)包括供應(yīng)商實(shí)施IT安全和數(shù)據(jù)保護(hù)措施的證明。這些認(rèn)證至少在歐洲范圍內(nèi)(如果不是全球范圍)有效，并納入到現(xiàn)有ICT認(rèn)證和審查制度中。它們應(yīng)符合云服務(wù)的需求，且能讓用戶控制、兼容性和數(shù)據(jù)便攜性方面得到提升，防止被鎖。

認(rèn)證的云供應(yīng)商比非認(rèn)證供應(yīng)商更有競(jìng)爭(zhēng)優(yōu)勢(shì)，因?yàn)樗麄兊姆?wù)信任度和安全標(biāo)準(zhǔn)更高。

另外，認(rèn)證應(yīng)得到公共行業(yè)的認(rèn)可，以確保公共行業(yè)能信任云供應(yīng)商，并從規(guī)模經(jīng)濟(jì)中受益。公共行業(yè)可以在標(biāo)準(zhǔn)遵從、兼容性、數(shù)據(jù)便攜性和認(rèn)證方面提要求。公共行業(yè)有可能是主導(dǎo)市場(chǎng)，而且這些要求能讓供應(yīng)商同時(shí)滿足私營(yíng)和公共行業(yè)的要求。特別是公共行業(yè)可以進(jìn)一步推動(dòng)歐洲兼容性框架的實(shí)施(EIF),確認(rèn)標(biāo)準(zhǔn)兼容性和數(shù)據(jù)便攜性要求。

安全公正的合同條款

(1)開(kāi)發(fā)服務(wù)等級(jí)協(xié)議的模板合同

傳統(tǒng)的IT外包協(xié)議常常是可以協(xié)商的，而且只關(guān)系到小范圍內(nèi)的數(shù)據(jù)儲(chǔ)存和處理設(shè)備及服務(wù)。但云計(jì)算根據(jù)用戶需求的變化，能提供規(guī)?；挽`活的IT能力。和傳統(tǒng)的外包合同相比，云計(jì)算服務(wù)的靈活性較大，但同時(shí)法律不確定性也較強(qiáng)。

這些服務(wù)條款中有可能暗藏了潛在的開(kāi)支和風(fēng)險(xiǎn)。“無(wú)修改”標(biāo)準(zhǔn)合同的運(yùn)用可能對(duì)供應(yīng)商來(lái)說(shuō)是最好的解決辦法,但從消費(fèi)者的角度看，這并非最佳選擇。服務(wù)等級(jí)協(xié)議(SLA)常常無(wú)法解決云服務(wù)中的運(yùn)營(yíng)和法律風(fēng)險(xiǎn)。

《云計(jì)算征集公共意見(jiàn)報(bào)告》③以及《云計(jì)算服務(wù)在歐洲需求的定量預(yù)測(cè)以及推廣障礙》④的調(diào)查結(jié)果中強(qiáng)調(diào)，歐洲層面對(duì)服務(wù)等級(jí)協(xié)議的模板合同需求是一個(gè)共識(shí)。

在云計(jì)算的征求公共意見(jiàn)階段，很多人強(qiáng)調(diào)模板合同有助于定義云服務(wù)所有參與者的權(quán)利和責(zé)任。

根據(jù)《歐洲云計(jì)算戰(zhàn)略發(fā)展方向行業(yè)建議》①，標(biāo)準(zhǔn)服務(wù)等級(jí)協(xié)議的開(kāi)發(fā)應(yīng)有助于提高云服務(wù)公共采購(gòu)的透明度和降低交易成本。

（2）消費(fèi)者和小公司的歐洲模板合同

根據(jù)歐盟法律規(guī)定，服務(wù)條款需向消費(fèi)者解釋清楚，并應(yīng)充分尊重消費(fèi)者的法律權(quán)利。云供應(yīng)商應(yīng)提供透明、安全且可靠的服務(wù)。另外，云供應(yīng)商提出的安全政策也應(yīng)該明確直接地寫(xiě)明在服務(wù)條款里。

然而，當(dāng)前個(gè)人消費(fèi)者在使用云計(jì)算時(shí)協(xié)商的力量很薄弱，所簽署的合同也無(wú)法保證數(shù)據(jù)的完整性；有些合同無(wú)法保證內(nèi)容的機(jī)密性和服務(wù)的連貫性；有些合同可以提供適用法律的選擇權(quán)②，或在服務(wù)到期后很難進(jìn)行數(shù)據(jù)恢復(fù)。

確保合同條款連貫性，增加消費(fèi)者信任的解決方案也是大規(guī)模推廣云計(jì)算的辦法之一。

參與調(diào)查的人還表示，連貫且客戶友好的條款將成為競(jìng)爭(zhēng)優(yōu)勢(shì)，而市場(chǎng)壓力也將轉(zhuǎn)移，讓該產(chǎn)業(yè)迅速向消費(fèi)者合理預(yù)期靠攏。

現(xiàn)有歐盟法律在一定程度上能保護(hù)使用云計(jì)算和其他數(shù)字產(chǎn)品的消費(fèi)者，但是消費(fèi)者通常意識(shí)不到這些權(quán)利，包括如何向法院申訴，哪個(gè)法律適用于爭(zhēng)議的解決等都不甚了解。

（3）綁定的公司規(guī)定

關(guān)于《數(shù)據(jù)保護(hù)規(guī)定》的建議有助于數(shù)據(jù)傳輸?shù)綒W盟以外地區(qū)，同時(shí)還確保傳輸?shù)綒W盟外個(gè)人數(shù)據(jù)保護(hù)工作的連貫性。根據(jù)規(guī)定建議的第41條:“歐盟委員會(huì)可決定讓第三國(guó)或國(guó)際組織確保進(jìn)行一定級(jí)別的保護(hù)?！币?guī)定建議還綁定了一些公司條例，允許他們向處理商進(jìn)行申請(qǐng)，并將申請(qǐng)程序簡(jiǎn)化。

（4）行為規(guī)范

《數(shù)據(jù)保護(hù)指令》第27條提出了出臺(tái)行為規(guī)范的可能性,以便讓成員國(guó)在考慮各行業(yè)特點(diǎn)的基礎(chǔ)上，更好地在各國(guó)落實(shí)指令的相關(guān)規(guī)定。

雖然文章中指出“草擬歐盟的行為規(guī)范，并對(duì)已有行為規(guī)范進(jìn)行修訂和擴(kuò)充，遞交給第29號(hào)工作組”，然而，鑒于各國(guó)都有不同的數(shù)據(jù)保護(hù)規(guī)定，這一行為規(guī)范還需得到各國(guó)監(jiān)管機(jī)構(gòu)的批準(zhǔn)。這也是為什么迄今為止，出臺(tái)的行為規(guī)范還寥寥無(wú)幾的原因。

在這種情況下，歐盟委員會(huì)還將支持云計(jì)算行業(yè)的行為規(guī)范，同時(shí)提交給各國(guó)監(jiān)管機(jī)構(gòu)征求意見(jiàn)。另外，規(guī)定第38條還強(qiáng)調(diào)，歐盟委員會(huì)有權(quán)決定行為規(guī)范在歐盟范圍內(nèi)的一般合法性。

20211020_617036054e7e1__在歐洲釋放云計(jì)算潛能