26可信云服务最佳实践报告

何宝宏2014年7月可信云服务认证及最佳实践（2014）主要内容2一、背景介绍三、2014可信云最佳实践二、2014可信云服务认证为什么要做云服务认证？市场当前发展阶段：总量小、增长快2013年国内公共云服务市场整体规模约为47.6亿元人民币，比2012年增长36%。各国做法：认证促发展日本：“云服务的信息披露认证体系”、韩国：云服务商认证；德国：可信云计算认证、美国：FedRAMP认证等。33用户担心问题云服务商诉求市场初期服务不规范，水平参差不齐，如何利用有效的约束手段，保护市场健康良性的发展？云无信不立4在当前云服务市场规模小且已有乱象出现的情况下，需要公信力的手段培育用户信心、引导有序竞争，通过云服务认证来引领发展的做法是十分必要的。由数据中心联盟组织，云服务商自愿参加的“可信云服务认证”，旨在建立云服务评估体系，为用户选择安全、可信的云服务。——2013年5月，可信云服务工作组第一次会议，中国电信、中国移动通信、中国联通、阿里巴巴、腾讯、新浪、百度、盛大、世纪互联、华为、中兴、北京云基地等企业的二十余名代表以及工信部电信研究院的专家参加了会议工作历程5确定基本原则制定标准和评估方法试行标准第一批云服务完善标准评估方法•2013年7-9月，3次工作组会议，完成《云计算服务协议参考框架》、《可信云服务认证评估方法》和《论坛可信云服务认证操作办法》•2014年1月-2014年3月，根据第一批云服务评估的情况完善评估标准和方法，完善协议，补充了实际考察和监测•2013年6月，工作组第二次会议，确定可信云服务认证的基本原则和框架•2013年10月-2014年1月，云主机服务、对象存储服务和数据库服务的云服务进行评估，试行评估标准和方法，并发布评估情况第二批云服务评估第一批云服务补测•2014年3月-2014年6月，云主机服务、对象存储服务、数据库服务、云引擎服务和块存储服务35项云服务开放自愿公平公正标准和评估方法6数据中心联盟技术文件可信云服务评估方法•《第1部分：云主机服务》•《第2部分：对象存储服务》•《第3部分：云数据库服务》•《第4部分：块存储服务》•《第5部分：云引擎服务》•根据发展，进一步补充其他服务……企业基本信息、服务基本信息承诺真实性针对云服务不针对产品不针对云服务商《云计算服务协议参考框架》通信标准化协会标准：YDB144-2014承诺完整性、承诺规范性企业基本信息承诺完整性承诺真实性承诺规范性云服务基本信息5项核心披露内容关注16个核心指标从用户关心的问题入手用户关心的云计算服务问题写入服务协议数据安全数据存储的持久性数据放在云服务商会不会丢？数据可销毁性不用了，数据会不会被获取？数据可迁移性数据会不会被锁定？数据私密性数据会不会被其他人看到数据知情权数据在哪，谁会接触服务可审查性一旦出了问题，有没有办法可以追溯服务质量服务功能服务功能是否全服务可用性能否达到承诺的可用时间服务资源调配能力云服务弹性如何？故障恢复能力有故障怎么办？网络接入性能网络访问性能是否能保障？服务计量准确性按需计费是否准确？权益保障服务变更、终止条款变更终止条件等服务赔偿条款可用性没达标是否能赔付用户约束条款服务商免责条款认证方法和流程8文档审核技术测评现场查验专家评审外部复审主要内容9一、背景介绍三、2014可信云最佳实践二、2014可信云服务认证申请认证的情况1065%35%咨询申请和参评云服务数量共54个分别由33个云服务商提供通过认证其他35个云服务通过认证，分别由19家云服务商提供19个云服务分别由15家云服务提供包括：咨询未参评、运营不到6个月、未有外部用户等情况各云服务商提供商获得云服务认证数量1117%50%33%各云服务提供商获得的云服务认证数量获得3个云服务认证获得2个云服务认证获得1个云服务认证•获得3个云服务认证•阿里巴巴•新浪•世纪互联•获得1个云服务认证•金山•浪潮•万国数据•奇虎360•苏州国科•甘肃移动•获得2个云服务认证•中国电信•腾讯•中国移动•百度•UCloud•京东•蓝汛•华为•网宿•上海有孚认证过程中发现和改进的指标评估中整改的问题：35*16*2（规范和真实）=1120项，整改210个，占19%12可信云服务认证评估结论35个云服务获得可信云服务认证企业基本信息真实；承诺完备且规范：服务协议（含SLA）达到《云计算服务协议参考框架》标准要求，服务协议主约和附约关系明晰，格式规范，指标达到标准完备性和规范性的要求；真实能力与承诺相符：数据持久保存、数据隐私、控制数据迁移、数据审查、数据销毁、服务功能、服务可用性、故障恢复能力、服务资源调配能力、网络接入性能、服务计量准确性、用户服务变更、终止条款、服务赔偿条款、用户约束条款、服务商免责条款承诺真实可靠。评估过程：所有评估子项35*16*2（规范和真实）=1120项，改进项目210个。可信云服务认证结果披露：35个云服务服务协议URL和各个指标承诺的情况《可信云服务最佳实践报告》13主要内容14一、背景介绍三、2014可信云最佳实践二、2014可信云服务认证可信云服务评估见证市场发展15——市场从主要向中小用户提供普通公有云服务，进阶为向政企用户和中小用户细分市场提供专业化云服务。服务协议最佳实践16评估中出现的问题35个云服务协议的指标覆盖不全面；服务协议中主约和附约关系不清；不同云服务没有独立的服务协议；服务协议最佳实践不同的云服务要有独立的服务协议；每个服务协议分为主约和附约（SLA）；主约的首要部分要说明服务协议对应的服务范围；主约部分包括数据安全类指标和权益保障类指标：数据持久保存、数据隐私、控制数据迁移、数据审查、数据销毁、用户服务变更、终止条款、服务赔偿条款、用户约束条款、服务商免责条款承诺服务质量类指标可以写在主约或附约；服务可用性必须写在服务协议中；其他服务质量类指标可以写在附约或其他公开的说明文档中，必须有出处；所有指标描述必须按照《云计算服务协议参考框架》的规范性描述要求。更多详情参见…17《可信云服务最佳实践》(2014版)关于可信云认证18本质上是一种信息批露制度规范性完整性真实性只针对云服务，不针对产品更不针对企业：“没有企业通过认证”关于可信云认证19实施主体是“数据中心联盟”和”云计算发展与政策论坛”－独立第三方组织－通过了联盟的可信云认证完全自愿的－行业自律性质的－市场化性质的关于风险警示20获得认证标记意味着该服务商的该服务通过了可信云认证，符合联盟公开文件要求。代表该服务具备此能力，但不意味着商业合同。是对颁证日期前云服务商所申请认证云服务的信息披露。是针对颁证日期前云服务情况进行披露，用户依然应留意在具体使用过程中可能发生的风险。谢谢！