下载掌阅APP,畅读海量书库
立即打开
从2010年起,日本、美国、英国等很多国家都开始制定云计算发展战略,在电子政务中率先引入公有云服务,促进社会和企业对云服务的了解和认同,并通过技术和经济的溢出效应推动ICT产业的整体发展。美国通过“联邦政府云战略”,每年将联邦政府原有IT支出中的四分之一(约200亿美元)采购第三方公有云服务,从2013年的统计来看,美国联邦政府的IT支出较2010年减少了57亿美元,其中云计算贡献显著。英国的“政府云计算战略”(G-Cloud)提出,计划到2015年,中央政府新增IT支出中50%用于采购公有云服务,预计可节省开支3.4亿英镑。2013年5月,澳大利亚发布“澳大利亚云计算战略”,提出使政府成为云服务使用方面的领先者。另外,韩国、德国、俄罗斯等在2010—2013年期间也提出了各自国家的云计算发展战略或行动计划。
各国通过建立制定标准、规范合同、采购管控、评估认证等制度进一步提高云计算服务的安全水平和服务质量,保障政务应用的安全性和可靠性,也为其他国家提供了十分有益的参考。美国、日本、欧盟等发达国家和地区在数据隐私保护法的基础上,通过政府云计算战略、信息安全管理法规等文件对政府采购云服务的相关规则做出了规定。
政府采购云服务的制度体系包括建立标准、规范合同、评估认证、采购管控和管理制度等多个环节。
建立标准:美国NIST编制了标准《800-53REV3,Information Security》,英国编制了标准《HMG Information Standards No.1&2.》,以上标准对云服务的安全和服务质量等方面提出了具体要求。
规范合同:英国建议在与服务提供商的合同中包括服务器地点等与云计算环境安全相关的条款;日本规定应将云服务的安全特性、服务水平等方面的要求写入协议书。
评估认证:美国FISMA法案规定为政府提供云服务的提供商必须通过测试认证,美国医疗行业要求第三方机构对云服务提供商进行监督审查。
采购管控:英国建立政府云服务采购机制,所有的公共ICT服务的采购和续用都必须经过G-Cloud委员会的审查;日本规定云设备采购要通过信息安全委员会的安全审查。
管理制度:美国建立了较完善的政府采购云管理制度,包括开展周期性评估、SLA监控和服务质量的管理等。
在各国为政府采购云服务所建立的制度体系中,第三方评估和认证成为保障云服务质量和安全性的必要手段。目前,美国、德国、日本、韩国等多个国家的第三方组织已开展了云计算评测活动。
2010年美国云计算管理办公室PMO的安全工作组提出FedRAMP(Federal Risk and Authorization Management Program)认证项目,进入政府采购清单目录的云服务商必须经过FedRAMP的认证。
FedRAMP认证基于NIST SP 800-53REV3标准,由美国标准研究所(NIST)负责标准的维护。目前,IaaS通过认证进入采购清单的有12家,EaaS有22家。
2012年,英国政府开通“云市场”(CloudStore)网站,启动G-Cloud认证工作,供政府部门选择、采购各类云计算服务。G-Cloud认证标准基于ISO 27001和《HMG Information Standards No.1&2.》。截至2014年年初,“云市场”上已有1200家提供商的13 000多项云服务通过了认证,可供英国的政府部门选择使用
。
从2008年开始,在日本信息通信部的支持下,FMMC(Foundation for Multi-Media Communications,多媒体通信基金会)开展了名为“云服务的信息披露认证体系”的公有云服务认证,ASPIC(ASP-SaaS-Cloud Consortium)作为协作单位,负责具体认证标准的制定,目前包括ASP/SaaS、IaaS/PaaS和数据中心三类认证。
ASP/SaaS认证于2008年开始启动,已认证174项服务;IaaS/PaaS认证于2010 年12月开始启动,已认证169项云服务;数据中心认证于2012年9月启动。
欧盟委员会在2012年9月发布了名为“释放欧洲云计算潜力”的报告,其中提出建立涵盖标准符合性、互操作性、数据可迁移性等内容的云服务认证体系。根据这个报告,欧盟成立了“欧洲云合作指导委员会”(The Steering Board of the European Cloud Partnership)推动相关工作。另外,ETSI和ENISA正在制定云服务数据、安全、服务等方面的标准,并于2013年开始实施“可信赖云服务供应商”认证。