欧盟出台《云计算合同安全服务水平监测指南》 八项指标体系反映SLA
DOIT云计算 12年06月12日 12:17 【转载】 作者:中国电子报 责任编辑:唐蓉
导读:欧盟网络与信息安全局于2012年4月正式出台《云计算合同安全服务水平监测指南》(简称《指南》),提供了一套持续监测云计算服务提供商服务级别协议运行情况的操作体系,将监测行动科学地引入到全合同周期之中,以达到实时核查用户数据安全性的目的。
随着云计算应用的日益深入,云计算服务正在成为政府采购越来越多的一项内容。如何保证政府和企业使用云计算服务的安全性,如何建立采购云计算服务的安全标准,如何加强云计算服务的安全监测,已经引起政府主管部门的高度关注。为保证成员国政府云计算服务采购的安全,欧盟网络与信息安全局于2012年4月正式出台《云计算合同安全服务水平监测指南》(简称《指南》),提供了一套持续监测云计算服务提供商服务级别协议运行情况的操作体系,将监测行动科学地引入到全合同周期之中,以达到实时核查用户数据安全性的目的。
加强安全监测成为云计算服务发展重要前提
随着云计算应用的广泛和深入,云服务安全隐患问题愈发凸显,加强安全监测,是发展云服务的重要前提。
由于云计算可以大幅降低成本并提高效率,目前各国在公共服务领域采购云计算服务的金额和比重都呈现快速上升趋势。据IDC预测,2013年云服务利润将达442亿美元,而欧洲云服务市场也将超过60亿欧元。虽然云服务的好处不胜枚举,但也因其多用户、共享资源等特点,带来很多风险和不确定性。特别是随着云计算应用的日益广泛和深入,云服务涉及的数据安全隐患问题愈发凸显。总的来说,云计算环境的风险主要有3个方面:一是政策和组织风险,如丧失一定的管理权、被迫锁定于某一个或某几个云服务提供商(CSP)等;二是技术风险,如用户间的数据隔离失效、数据删除不完全、内部人员恶意操作等;三是法律风险,如数据保护风险等。可见,加强安全监测和防范风险,无疑是发展云服务的重要前提。这不仅有利于发挥规模效应,还会使CSP具有差异化竞争优势和更及时有效的更新能力。
出台《指南》是欧盟云服务安全部署关键环节
为了持续保障云服务安全,欧盟出台了《云计算合同安全服务水平监测指南》,将评估工作贯穿整个合同期。
早在2009年,欧盟网络与信息安全局(ENISA)就启动了相关研究工作,先后发布了《云计算:好处、风险及信息安全建议》和《ENISA云计算信息安全保障框架》,使公共部门对云服务提供商进行预评估,确定是否采购其服务。2011年,ENISA又发布了《政府云的安全性和复原力》报告,为公共机构提供了决策指南。ENISA还调查了欧洲140多个公共机构在云服务采购方面的做法,为进一步出台详细的操作指南奠定了基础。然而,以上部署主要关注在云服务提供前期如何规避安全风险。为了在整个合同期持续地保障云服务安全,2012年4月,ENISA制定并发布了《云计算合同安全服务水平监测指南》。《指南》重点关注公共服务领域的合同,将评估工作贯穿整个合同期。这将有助于对云服务的数据安全持续监测,为云服务采购者提供指导,推动产业进入一个全新的发展阶段。