我要参展
我要演讲
我要参观
我要听会
您的位置: 网站首页 >> 行业资讯 >> 正文

在欧洲释放云计算潜能(十)

http://www.ccpitecc.com  2012-10-30  工信部电子贸促会  点击(155)

  译自:2012年9月27日【欧盟】欧盟委员会
  编译:中国贸促会电子信息行业分会 陈芸芸

  (1)《数据保护规定》的建议

  在给欧盟提《数据保护规定》建议时,充分考虑了云运营商和用户的顾虑。

  在此基础上,《规定》在欧盟层面出台了一系列条款以及“一站式执行”的流程。这就意味着,无论云服务供应商身处何处,整个欧盟范围内只有这一个规定适用。该规定为未来云计算的发展打下了坚实的基础。

  关于数据控制者和处理者的责任分配问题,《规定》把它留给了运营商,让他们自行决定相互关系和责任分配。云计算复杂的服务供应链条中不仅包括云供应商,还包括基础设施和通信的供应商,在规定框架下,用量身定做的解决方案把这一链条变为一个稳定的系统,确保全欧盟执行一个综合的法律。

  该《规定》能确保个人数据在欧盟以及欧洲经济区以外地区传输时的安全,欧盟委员会有权承认第三国提供的数据保护。这一新的法律框架为云行为准则和标准的采纳创造了必要的条件,而利益相关者则认为还有必要出台认证体系,以确保云供应商实施了适当的IT安全标准和数据保护措施。

  4、克服标准障碍

  在ICT行业,老产品常常会给新产品或新系统的研发设置障碍。但这往往能提高原始产品的价值,并带动创新。

  为了刺激发展和创新,创新家需要得到设备和应用程序的兼容性信息,有了这些信息,他才能确保产品的兼容性。这一信息是否公开取决于设备和应用程序的所有者。流程标准化常常是办法之一。兼容性对于用户使用多个云服务供应商来说也非常重要。如果达成这一结果,那市场将更具竞争力,也能更好地服务客户。在云计算领域,现阶段在兼容性标准上还没有形成共识,应建立一个共同的标准。

  一般来说,每个供应商都希望通过锁定来掌握主导地位。因此,尽管出台云标准的尝试很多(特别是供应商牵头的),但有一个很大的风险:云有可能会缺少兼容性和数据便携性(取回数据)。而后者对竞争至关重要,因为数据可以轻松移至其他平台。这还有助于打开市场,防止出现供应商的垄断现象。

  用户无法评价供应商对标准的实施情况,云服务的兼容性以及数据的可移动性,因此,有必要进行独立的认证。

  信息安全可能是公司考虑使用云计算时最大的顾虑。云服务用户应对服务以及数据安全充满信心,他们应该可以随时随地存取数据,而未授权用户无法存取这些数据。尽管云的安全风险和其他风险并没有技术区别,但云的风险会迅速扩大化,并同时影响很多用户。根据欧洲网络和信息安全局(ENISA)关于云安全的一项调查显示,云技术的主要风险包括:

  ·被锁:云的数据格式和服务界面并非标准化。因此,如果客户更换云服务供应商或将数据转移回公司内部的IT环境,将无法保证服务的连贯性。

  ·隔离失败:在多租户环境中,区分存储空间、内存和路径的系统错误是一个风险。攻击者将利用系统中的这些漏洞,由此进入另一个租户的域名。一个很小的配置错误将给大量数据带来风险。

  ·名誉:云计算供应商出现安全问题,对一个租户引发的名誉损害,也有可能影响云中其他租户的名誉。

  ·虚拟化:云服务的基础通常是虚拟化,这意味着真正的操作平台系统是隐藏起来的。虚拟化有一些潜在的风险,用户需注意管理程序层面的攻击,这类攻击的目的在于破坏机器的正常运转。而这些只能由云服务供应商管理。

  ·行政遵从风险:一些云用户需遵守行业标准或行政要求,比如通过认证。这一过程有可能受到云的影响。作为一个云用户,获得相关认证也要求云计算供应商提供他们遵守相关规定的证明。因此,用户获得认证的可能性同时也取决于云计算供应商。一旦云普及,之前的认证都有可能失去价值。

  ·管理界面妥协:通过网络可进入的公共云和在线活动(如浏览器漏洞)有着一样的漏洞。

  ·不安全或不完整的数据删除:当一个云用户决定从云中移除一些数据时,无法确定这些数据是否真正从云中删除。

  ·恶意内部人士:云构架的管理需对技术人员的数据存取进行审批。技术人员存在高风险,因为他们在某些情况下可以进入客户数据。严格控制角色分配和存取数据权利等对防止来自云服务供应商内部的攻击很重要。

  接下来,欧盟委员会将在安全、电子认证以及标准化的行动计划中把包含云服务的相关条款列入。《欧洲网络安全战略》将出台法律和非法律的建议,改善网络和信息系统的安全,以及普及对用户信息安全风险的管理。从云方面来看,主要问题包括:

  ·为运营商出台共同的网络和信息安全要求。云服务供应商需采取适当的技术和组织措施来管理系统风险。应出台行业标准、技术标准和安全设计标准,让用户能以简单的方式评价数据保护和安全水平。

  ·推动云安全和认证领域的技术规格和标准的普及。

  欧盟委员会已出台了关于电子签名、电子身份验证互认系统等方面的要求。尽管云领域的认证和一般认证要求并没有很大不同,但是云认证要求严格的证书确认和特性管理。

  最后,欧盟标准化的监管改革(关于欧洲标准化规定的建议)中确认欧盟委员会可以承认ICT领域的技术规格,这主要是为实现公共采购的兼容性。欧盟委员会成立了ICT标准化的多方参与平台,可在公共采购时执行ICT规格。

  IT行业也在积极探讨标准问题。SAP推出了云计算黄金标准计划,该标准主要关注用户三大顾虑:信任、安全和遵守问题。黄金标准面向全欧盟,旨在巩固现有标准,并特别考虑到欧盟的隐私规定。

  在电子科技领域,欧盟委员会资助的Siena项目进行了大量的路线图设计工作,加速可兼容的计算基础设施的利用和发展。

  我们需要做什么呢?云领域的标准化主要议题如下:

  ·公共数据格式:云中创造的数据应可恢复和再利用,并无信息丢失。

  ·标准应支持用户要求:例如,数据记录需确定是否符合服务等级协议的要求。

  ·应开发加强隐私管理的技术:让用户掌握数据的存取。这些技术应是标准化行动的重点,以避免不兼容和被锁问题的发生。

  (未完待续)

·联系方式