在歐洲釋放云計算潛能（六）

克服標準障礙

在ICT行業(yè)，老產(chǎn)品常常會給新產(chǎn)品或新系統(tǒng)的研發(fā)設(shè)置障礙，但這往往能提高原始產(chǎn)品的價值，并帶動創(chuàng)新。

為了刺激發(fā)展和創(chuàng)新，創(chuàng)新家需要得到設(shè)備和應(yīng)用程序的兼容性信息，有了這些信息，才能確保產(chǎn)品的兼容性。這一信息是否公開取決于設(shè)備和應(yīng)用程序的所有者。流程標準化常常是辦法之一。兼容性對于用戶使用多個云服務(wù)供應(yīng)商來說也非常重要。如果達成這一結(jié)果，那市場將更具競爭力，也能更好地服務(wù)客戶。在云計算領(lǐng)域，現(xiàn)階段在兼容性標準上還沒有形成共識，應(yīng)建立一個共同的標準。

一般來說，每個供應(yīng)商都希望通過鎖定來掌握主導地位。因此，盡管出臺云標準的嘗試很多（特別是供應(yīng)商牽頭的），但有一個很大的風險：那就是云有可能會缺少兼容性和數(shù)據(jù)便攜性（取回數(shù)據(jù)）而后者對競爭至關(guān)重要，因為數(shù)據(jù)可以輕松移至其他平臺。這還有助于打開市場，防止出現(xiàn)供應(yīng)商的壟斷現(xiàn)象。

用戶無法評價供應(yīng)商對標準的實施情況，云服務(wù)的兼容性以及數(shù)據(jù)的可移動性，因此，有必要進行獨立的認證。

信息安全可能是公司考慮使用云計算時最大的顧慮。云服務(wù)用戶應(yīng)對服務(wù)以及數(shù)據(jù)安全充滿信心，他們應(yīng)該可以隨時隨地存取數(shù)據(jù)，而未授權(quán)用戶無法存取這些數(shù)據(jù)。盡管云的安全風險和其他風險并沒有技術(shù)區(qū)別，但云的風險會迅速擴大,并同時影響很多用戶。根據(jù)歐洲網(wǎng)絡(luò)和信息安全局ENISA）關(guān)于云安全的一項調(diào)查顯示，云技術(shù)的主要風險包括©:

-被鎖：云的數(shù)據(jù)格式和服務(wù)界面并非標準化。因此，如果客戶更換云服務(wù)供應(yīng)商或?qū)?shù)據(jù)轉(zhuǎn)移回公司內(nèi)部的IT環(huán)境,將無法保證服務(wù)的連貫性。

?隔離失?。涸诙嘧鈶舡h(huán)境中，區(qū)分存儲空間、內(nèi)存和路徑的系統(tǒng)錯誤是一個風險。攻擊者將利用系統(tǒng)中的這些漏洞，由此進入另一個租戶的域名。一個很小的配置錯誤將給大量數(shù)據(jù)帶來風險。

?名譽：云計算供應(yīng)商出現(xiàn)安全問題，對一個租戶引發(fā)的名譽損害，也有可能影響云中其他租戶的名譽。

?虛擬化：云服務(wù)的基礎(chǔ)通常是虛擬化，這意味著真正的操作平臺系統(tǒng)是隱藏起來的。虛擬化有一些潛在的風險，用戶需注意管理程序?qū)用娴墓?，這類攻擊的目的在于破壞機器的正常運轉(zhuǎn)。而這些只能由云服務(wù)供應(yīng)商管理。

?行政遵從風險:一些云用戶需遵守行業(yè)標準或行政要求,比如通過認證。這一過程有可能受到云的影響。作為一個云用戶，獲得相關(guān)認證也要求云計算供應(yīng)商提供他們遵守相關(guān)規(guī)定的證明。因此，用戶獲得認證的可能性同時也取決于云計算供應(yīng)商。一旦云普及，之前的認證都有可能失去價值。

©ENISA（2012），《安全采購：云合同安全服務(wù)等級監(jiān)管指南》。?管理界面妥協(xié):通過網(wǎng)絡(luò)可進入的公共云和在線活動（如瀏覽器漏洞）有著一樣的漏洞。

-不安全或不完整的數(shù)據(jù)刪除：當一個云用戶決定從云中移除一些數(shù)據(jù)時，無法確定這些數(shù)據(jù)是否真正從云中刪除。

-惡意內(nèi)部人士:云構(gòu)架的管理需對技術(shù)人員的數(shù)據(jù)存取進行審批。技術(shù)人員存在高風險，因為他們在某些情況下可以進入客戶數(shù)據(jù)。嚴格控制角色分配和存取數(shù)據(jù)權(quán)利等對防止來自云服務(wù)供應(yīng)商內(nèi)部的攻擊很重要。

接下來，歐盟委員會將在安全、電子認證以及標準化的行動計劃中把包含云服務(wù)的相關(guān)條款列入?！稓W洲網(wǎng)絡(luò)安全戰(zhàn)略》將出臺法律和非法律的建議，改善網(wǎng)絡(luò)和信息系統(tǒng)的安全,以及普及對用戶信息安全風險的管理。從云方面來看，主要問題是為運營商出臺共同的網(wǎng)絡(luò)和信息安全要求。云服務(wù)供應(yīng)商需采取適當?shù)募夹g(shù)和組織措施來管理系統(tǒng)風險。應(yīng)出臺行業(yè)標準、技術(shù)標準和安全設(shè)計標準，讓用戶能以簡單的方式評價數(shù)據(jù)保護和安全水平。另外還有推動云安全和認證領(lǐng)域的技術(shù)規(guī)格和標準的普及等問題。

歐盟委員會已出臺了關(guān)于電子簽名、電子身份驗證互認系統(tǒng)等方面的要求。盡管云領(lǐng)域的認證和一般認證要求并沒有很大不同，但是云認證要求嚴格的證書確認和特性管理。

最后，歐盟標準化的監(jiān)管改革(關(guān)于歐洲標準化規(guī)定的建議)①中確認歐盟委員會可以承認ICT領(lǐng)域的技術(shù)規(guī)格，這主要是為實現(xiàn)公共采購的兼容性。歐盟委員會成立了ICT標準化的多方參與平臺，可在公共采購時執(zhí)行ICT規(guī)格。

IT行業(yè)也在積極探討標準問題。SAP推出了云計算黃金標準計劃，該標準主要關(guān)注用戶三大顧慮：信任、安全和遵守問題。黃金標準面向全歐盟，旨在鞏固現(xiàn)有標準，并特別考慮到歐盟的隱私規(guī)定。

在電子科技領(lǐng)域，歐盟委員會資助的Siena項目進行了大量的路線圖設(shè)計工作，以加速可兼容的計算基礎(chǔ)設(shè)施的利用和發(fā)展氣

那么，我們需要做什么呢？云領(lǐng)域的標準化主要議題如下:

-公共數(shù)據(jù)格式：云中創(chuàng)造的數(shù)據(jù)應(yīng)可恢復和再利用，并無信息丟失。

?標準應(yīng)支持用戶要求：例如，數(shù)據(jù)記錄需確定是否符合服務(wù)等級協(xié)議的要求。

?應(yīng)開發(fā)加強隱私管理的技術(shù)：讓用戶掌握數(shù)據(jù)的存取。這些技術(shù)應(yīng)是標準化行動的重點，以避免不兼容和被鎖問題的發(fā)生。

關(guān)于認證

云服務(wù)供應(yīng)商應(yīng)出臺認證體系，讓用戶以一個簡單的方式就能評價和比較供應(yīng)商提供的服務(wù)。認證應(yīng)適用于全行業(yè)且簡潔統(tǒng)一，主要考量的標準包括：是否符合標準、兼容性和數(shù)據(jù)便攜性。

這一認證體系應(yīng)囊括所有利益相關(guān)者，包括云供應(yīng)商、云客戶、數(shù)據(jù)保護機構(gòu)和認證機構(gòu)。認證中還應(yīng)包括供應(yīng)商實施IT安全和數(shù)據(jù)保護措施的證明。這些認證至少在歐洲范圍內(nèi)(如果不是全球范圍)有效，并納入到現(xiàn)有ICT認證和審查制度中。它們應(yīng)符合云服務(wù)的需求，且能讓用戶控制、兼容性和數(shù)據(jù)便攜性方面得到提升，防止被鎖。

認證的云供應(yīng)商比非認證供應(yīng)商更有競爭優(yōu)勢，因為他們的服務(wù)信任度和安全標準更高。

另外，認證應(yīng)得到公共行業(yè)的認可，以確保公共行業(yè)能信任云供應(yīng)商，并從規(guī)模經(jīng)濟中受益。公共行業(yè)可以在標準遵從、兼容性、數(shù)據(jù)便攜性和認證方面提要求。公共行業(yè)有可能是主導市場，而且這些要求能讓供應(yīng)商同時滿足私營和公共行業(yè)的要求。特別是公共行業(yè)可以進一步推動歐洲兼容性框架的實施(EIF),確認標準兼容性和數(shù)據(jù)便攜性要求。

安全公正的合同條款

(1)開發(fā)服務(wù)等級協(xié)議的模板合同

傳統(tǒng)的IT外包協(xié)議常常是可以協(xié)商的，而且只關(guān)系到小范圍內(nèi)的數(shù)據(jù)儲存和處理設(shè)備及服務(wù)。但云計算根據(jù)用戶需求的變化，能提供規(guī)?；挽`活的IT能力。和傳統(tǒng)的外包合同相比，云計算服務(wù)的靈活性較大，但同時法律不確定性也較強。

這些服務(wù)條款中有可能暗藏了潛在的開支和風險?！盁o修改”標準合同的運用可能對供應(yīng)商來說是最好的解決辦法,但從消費者的角度看，這并非最佳選擇。服務(wù)等級協(xié)議(SLA)常常無法解決云服務(wù)中的運營和法律風險。

《云計算征集公共意見報告》③以及《云計算服務(wù)在歐洲需求的定量預測以及推廣障礙》④的調(diào)查結(jié)果中強調(diào)，歐洲層面對服務(wù)等級協(xié)議的模板合同需求是一個共識。

在云計算的征求公共意見階段，很多人強調(diào)模板合同有助于定義云服務(wù)所有參與者的權(quán)利和責任。

根據(jù)《歐洲云計算戰(zhàn)略發(fā)展方向行業(yè)建議》①，標準服務(wù)等級協(xié)議的開發(fā)應(yīng)有助于提高云服務(wù)公共采購的透明度和降低交易成本。

（2）消費者和小公司的歐洲模板合同

根據(jù)歐盟法律規(guī)定，服務(wù)條款需向消費者解釋清楚，并應(yīng)充分尊重消費者的法律權(quán)利。云供應(yīng)商應(yīng)提供透明、安全且可靠的服務(wù)。另外，云供應(yīng)商提出的安全政策也應(yīng)該明確直接地寫明在服務(wù)條款里。

然而，當前個人消費者在使用云計算時協(xié)商的力量很薄弱，所簽署的合同也無法保證數(shù)據(jù)的完整性；有些合同無法保證內(nèi)容的機密性和服務(wù)的連貫性；有些合同可以提供適用法律的選擇權(quán)②，或在服務(wù)到期后很難進行數(shù)據(jù)恢復。

確保合同條款連貫性，增加消費者信任的解決方案也是大規(guī)模推廣云計算的辦法之一。

參與調(diào)查的人還表示，連貫且客戶友好的條款將成為競爭優(yōu)勢，而市場壓力也將轉(zhuǎn)移，讓該產(chǎn)業(yè)迅速向消費者合理預期靠攏。

現(xiàn)有歐盟法律在一定程度上能保護使用云計算和其他數(shù)字產(chǎn)品的消費者，但是消費者通常意識不到這些權(quán)利，包括如何向法院申訴，哪個法律適用于爭議的解決等都不甚了解。

（3）綁定的公司規(guī)定

關(guān)于《數(shù)據(jù)保護規(guī)定》的建議有助于數(shù)據(jù)傳輸?shù)綒W盟以外地區(qū)，同時還確保傳輸?shù)綒W盟外個人數(shù)據(jù)保護工作的連貫性。根據(jù)規(guī)定建議的第41條:“歐盟委員會可決定讓第三國或國際組織確保進行一定級別的保護。”規(guī)定建議還綁定了一些公司條例，允許他們向處理商進行申請，并將申請程序簡化。

（4）行為規(guī)范

《數(shù)據(jù)保護指令》第27條提出了出臺行為規(guī)范的可能性,以便讓成員國在考慮各行業(yè)特點的基礎(chǔ)上，更好地在各國落實指令的相關(guān)規(guī)定。

雖然文章中指出“草擬歐盟的行為規(guī)范，并對已有行為規(guī)范進行修訂和擴充，遞交給第29號工作組”，然而，鑒于各國都有不同的數(shù)據(jù)保護規(guī)定，這一行為規(guī)范還需得到各國監(jiān)管機構(gòu)的批準。這也是為什么迄今為止，出臺的行為規(guī)范還寥寥無幾的原因。

在這種情況下，歐盟委員會還將支持云計算行業(yè)的行為規(guī)范，同時提交給各國監(jiān)管機構(gòu)征求意見。另外，規(guī)定第38條還強調(diào)，歐盟委員會有權(quán)決定行為規(guī)范在歐盟范圍內(nèi)的一般合法性。

20211020_617036054e7e1__在歐洲釋放云計算潛能