文/本刊記者 Chulong

伴隨云計算的大力發(fā)展，美國、歐洲、日本等發(fā)達(dá)國家及地區(qū)均加快了各自部署云計算的步伐，這些發(fā)達(dá)國家旨在發(fā)揮固有的信息化資源優(yōu)勢，在云計算的技術(shù)浪潮中占領(lǐng)信息高地，從而在新一輪的全球競爭中占得先機(jī)。與此同時，云安全和風(fēng)險問題也得到各國政府的廣泛重視。

美國：適應(yīng)市場需求，加強(qiáng)云安全規(guī)范

由于云計算在經(jīng)濟(jì)、敏捷和創(chuàng)新方面的突出特點(diǎn)，受到美國政府高度重視。早在2009年1月，美國行政管理和預(yù)算局(OMB)就開始關(guān)注云計算和虛擬化。3月，維維克·昆德拉被任命為聯(lián)邦政府首席信息官委員會(CIOC)的首席信息官后即表示將推動政府采用云計算，啟動聯(lián)邦云計算倡議(FCCI)，成立了專門管理組織，并確定了聯(lián)邦政府云計算及云安全的發(fā)展目標(biāo)。

聯(lián)邦政府首席信息官委員會首席信息官維維克·昆德拉上任時就承認(rèn)，云計算可能存在隱私泄露或其它安全隱患，但表示不能因此而錯過云計算的速度和效率。

美國聯(lián)邦政府在大力推進(jìn)云計算的同時，也大力研究和制定云安全策略。昆德拉上任時就承認(rèn)云計算可能存在隱私泄露或其它安全隱患，但表示不能因此而錯過云計算的速度和效率。2009 年5月召開的云計算倡議工業(yè)界峰會上，美國產(chǎn)業(yè)界認(rèn)識到云計算在法律法規(guī)和政策以及IT安全和隱私方面的挑戰(zhàn)，深入討論了云計算認(rèn)證認(rèn)可、訪問控制和身份管理、數(shù)據(jù)和應(yīng)用安全、可移植性和互操作性以及服務(wù)級別協(xié)議等。5月的《遠(yuǎn)景分析》中指出了與新技術(shù)服務(wù)交付模型相關(guān)的風(fēng)險，包括政策的變化、動態(tài)應(yīng)用的實(shí)施以及動態(tài)環(huán)境的安全保障，要求建立一個項(xiàng)目管理辦公室來實(shí)施工業(yè)界最佳實(shí)踐和政府項(xiàng)目管理方面的政策。10月美國國家標(biāo)準(zhǔn)和技術(shù)研究所(NIST)在《有效安全地使用云計算范式》的研究報告中分析了云安全的眾多優(yōu)勢和挑戰(zhàn)。

2010年2月，美國啟動了政府范圍的云計算解決方案的安全認(rèn)證認(rèn)可過程的開發(fā)。8月CIOC發(fā)布了《聯(lián)邦部門和機(jī)構(gòu)使用云計算的隱私建議》，指出云環(huán)境下隱私風(fēng)險跟法律法規(guī)、隱私數(shù)據(jù)存儲位置、云服務(wù)商服務(wù)條款和隱私保護(hù)策略有關(guān)，并指出了9類風(fēng)險，通過使用相關(guān)標(biāo)準(zhǔn)、簽署隱私保護(hù)的補(bǔ)充合同條款、進(jìn)行隱私門檻分析和隱私影響評估、充分考慮相關(guān)的隱私保護(hù)法律，可以有效加強(qiáng)云計算環(huán)境下的隱私保護(hù)。11月，美國政府CIO委員會發(fā)布關(guān)于政府機(jī)構(gòu)采用云計算的政府文件，闡述了云計算帶來的挑戰(zhàn)以及針對云計算的安全防護(hù)，要求政府及各機(jī)構(gòu)評估云計算相關(guān)的安全風(fēng)險并與自己的安全需求進(jìn)行比對分析。同時指出，由政府授權(quán)機(jī)構(gòu)對云計算服務(wù)商進(jìn)行統(tǒng)一的風(fēng)險評估和授權(quán)認(rèn)定，可加速云計算的評估和采用，并能降低風(fēng)險評估的費(fèi)用。12月，在《改革聯(lián)邦信息技術(shù)管理的25點(diǎn)實(shí)施計劃》中指出安全、互操作性、可移植性是云計算被接納的主要障礙。

2011年1月，國土安全部(DHS)給出了《從安全角度看云計算：聯(lián)邦I(lǐng)T管理者入門》讀本，指出了聯(lián)邦面臨的16項(xiàng)關(guān)鍵安全挑戰(zhàn)：隱私、司法、調(diào)查與電子發(fā)現(xiàn)、數(shù)據(jù)保留、過程驗(yàn)證、多租戶、安全評估、共享風(fēng)險、人員安全甄選、分布式數(shù)據(jù)中心、物理安全、程序編碼安全、數(shù)據(jù)泄露、未來的規(guī)章制度、云計算應(yīng)用、有能力的IT人員挑戰(zhàn)，NIST發(fā)布了《公共云計算安全和隱私指南》和《完全虛擬化技術(shù)安全指南》。2月份的《聯(lián)邦云計算戰(zhàn)略》指出在管理云服務(wù)時要主動監(jiān)視和定期評估，確保一個安全可信的環(huán)境，并做出了戰(zhàn)略部署，包括推動聯(lián)邦風(fēng)險和授權(quán)管理項(xiàng)目(FedRAMP)、DHS 要每6個月或按需發(fā)布一個安全威脅TOP 列表并給出合適的安全控制措施和方法，NIST要發(fā)布一些安全技術(shù)指南。

今年9月，美國國防信息系統(tǒng)局(DISA)發(fā)布了新版云安全指南，旨在輔助國防部(DoD)保護(hù)本國網(wǎng)絡(luò)免遭黑客攻擊。同以往相比，該指南對云安全的概念、實(shí)現(xiàn)云安全的步驟均做了更加全面的詮釋。此外，新指南還規(guī)定組織機(jī)構(gòu)及管理者在利用商業(yè)云產(chǎn)品時應(yīng)承擔(dān)的責(zé)任。該指南的發(fā)布印證了國防部增加采用商業(yè)云產(chǎn)品的事實(shí)。

歐洲：緊跟美國，加速部署云安全

云安全為云計算保駕護(hù)航

近年來，歐洲經(jīng)濟(jì)受全球經(jīng)濟(jì)環(huán)境惡化的影響日益嚴(yán)重，經(jīng)濟(jì)的持續(xù)發(fā)展受到多種因素的制約。首先，對能源、尤其是化石能源的消耗增多，導(dǎo)致溫室氣體排放量加大；其次，自然資源匱乏且保護(hù)管理不善等問題日益凸顯。經(jīng)濟(jì)發(fā)展持續(xù)停滯，直接導(dǎo)致歐洲公民的生活質(zhì)量提高速度緩慢。在這樣的背景下，云計算技術(shù)在節(jié)能降耗、提高公共服務(wù)效率方面的優(yōu)勢受到了歐洲各國的廣泛認(rèn)可，成為解決經(jīng)濟(jì)持續(xù)發(fā)展問題的首選方案。

歐盟及部分歐洲國家希望在控制赤字、節(jié)省預(yù)算前提下，借助云計算解決這些影響經(jīng)濟(jì)持續(xù)發(fā)展的問題。據(jù)2014年統(tǒng)計數(shù)據(jù)顯示，歐盟范圍內(nèi)約五分之一的企業(yè)已使用云計算服務(wù)，其中超過一半的芬蘭企業(yè)使用云計算服務(wù)，為歐盟范圍內(nèi)比例最高的國家，其次是意大利、瑞典和丹麥。此外，英國還制定了“G-Cloud”戰(zhàn)略，并在境內(nèi)設(shè)立G-CIoud（私人政府云計算基礎(chǔ)設(shè)施），在云計算方面走在了歐洲各國的前列。英國政府希望能借此在2014~2015年節(jié)省8000萬英鎊，到2015年，至少有50%的信息技術(shù)資源通過公共云服務(wù)網(wǎng)絡(luò)來購買。

為了持續(xù)保障云安全，早在2009年，歐盟網(wǎng)絡(luò)與信息安全局（ENISA）就啟動了相關(guān)研究工作，先后發(fā)布了《云計算：好處、風(fēng)險及信息安全建議》和《ENISA云計算信息安全保障框架》，使公共部門對云服務(wù)提供商進(jìn)行預(yù)評估，確定是否采購其服務(wù)。

2011年，ENISA又發(fā)布了《政府云的安全性和復(fù)原力》報告，為公共機(jī)構(gòu)提供了決策指南。ENISA還調(diào)查了歐洲140多個公共機(jī)構(gòu)在云服務(wù)采購方面的做法，為進(jìn)一步出臺詳細(xì)的操作指南奠定了基礎(chǔ)。然而，以上部署主要關(guān)注在云服務(wù)提供前期如何規(guī)避安全風(fēng)險。

為了在整個合同期持續(xù)地保障云服務(wù)安全，2012年4月，ENISA制定并發(fā)布了《云計算合同安全服務(wù)水平監(jiān)測指南》。《指南》重點(diǎn)關(guān)注公共服務(wù)領(lǐng)域的合同，將評估工作貫穿整個合同期。這將有助于對云服務(wù)的數(shù)據(jù)安全持續(xù)監(jiān)測，為云服務(wù)采購者提供指導(dǎo)，推動產(chǎn)業(yè)進(jìn)入一個全新的發(fā)展階段。

歐洲呼吁制定全球數(shù)據(jù)保護(hù)法

2010年3月，歐洲領(lǐng)導(dǎo)人呼吁制定一個關(guān)于數(shù)據(jù)保護(hù)的全球協(xié)議以解決云計算的數(shù)據(jù)安全弱點(diǎn)。這個呼吁是向參加歐洲議會討論網(wǎng)絡(luò)犯罪法規(guī)和諧化的會議的來自許多國家的300名網(wǎng)絡(luò)法律專家提出的。

意大利數(shù)據(jù)保護(hù)權(quán)利機(jī)構(gòu)負(fù)責(zé)人Francesco Pizetti警告說，云計算對哪一種個人數(shù)據(jù)應(yīng)該由公司處理的法律基礎(chǔ)提出了挑戰(zhàn)。沒有一個為全球所有國家接受的嚴(yán)格的國家規(guī)則，要繼續(xù)保護(hù)公民的數(shù)據(jù)是不可能的。

歐洲網(wǎng)絡(luò)和信息安全局（ENISA）執(zhí)行理事Udo Helmbrecht表示，該機(jī)構(gòu)正在審查云計算，因?yàn)樵朴嬎阌袛?shù)據(jù)安全風(fēng)險。ENISA將推動歐洲管理部門要求云計算提供商通知客戶有關(guān)安全突破的事情。

云安全聯(lián)盟執(zhí)行理事Jim Reavis說，管理環(huán)境需要為云計算提供商澄清疑惑。一個不確定性是如何處理政府提出的訪問他們擁有的數(shù)據(jù)的請求。云計算服務(wù)提供商應(yīng)該讓“敵對的”政府很難得到他們的數(shù)據(jù)，但是，應(yīng)該支持有法律權(quán)利的政府提出這種請求。

比利時那慕爾大學(xué)（University of Namur）IT和法律研究中心主任Yves Poullet警告說，云計算正在挑戰(zhàn)隱私的定義。外國警察可能會繳獲在他們國家托管的云計算數(shù)據(jù)中心存儲的數(shù)據(jù)。

歐盟建立政務(wù)云安全框架

歐盟成員國當(dāng)前面臨嚴(yán)峻的經(jīng)濟(jì)挑戰(zhàn)，成員國中央或地方政府迫切需要增加ICT服務(wù)的效率及有效性，而云計算的服務(wù)模式為達(dá)到這一目標(biāo)提供了可操作的捷徑和契機(jī)?；谶@一背景，2010年11月歐洲網(wǎng)絡(luò)與信息安全局（ENISA）等國際公共機(jī)構(gòu)提出了政務(wù)云的概念。在ENISA的“安全彈性的政務(wù)云”和“政務(wù)云安全部署操作指南”報告中指出：“云計算的服務(wù)模式具備擴(kuò)展性、彈性、高性能和安全性，可以滿足大部分公共管理部門的業(yè)務(wù)需求，但目前公共管理部門缺乏針對自身的基于安全與彈性的風(fēng)險評估模型”。

ENISA在報告中建議各成員國政府應(yīng)鼓勵在所有云部署模型中嵌入基本的安全要求。該報告還以此為基礎(chǔ)提出了一個通用的政務(wù)云安全框架。此安全框架的參考依據(jù)包括現(xiàn)有的云安全文獻(xiàn)、相關(guān)的優(yōu)秀實(shí)踐和歐洲政務(wù)云案例。該安全框架總結(jié)為四個階段、九個安全操作流程和十四個步驟詳盡的安全框架模型,可作為成員國定義和實(shí)踐安全政務(wù)云的指南。本框架已經(jīng)過愛沙尼亞、希臘、西班牙和英國四個國家政務(wù)云案例的實(shí)踐驗(yàn)證，并在驗(yàn)證過程中形成操作指南，此操作指南可用于指導(dǎo)歐盟成員國建設(shè)安全的政務(wù)云。

比利時那慕爾大學(xué)IT和法律研究中心主任Yves Poullet警告說，云計算正在挑戰(zhàn)隱私的定義。外國警察可能會繳獲在他們國家托管的云計算數(shù)據(jù)中心存儲的數(shù)據(jù)。

“棱鏡門”事件加速歐洲云安全增長

美國國家安全局監(jiān)視公眾隱私的“棱鏡門”事件曝光之后，歐洲開始力推自主的云計算。據(jù)報道，美國國家安全局秘密監(jiān)控美國9大互聯(lián)網(wǎng)企業(yè)的活動，引發(fā)歐洲各界的不安，擔(dān)心保存在美國服務(wù)器的資料安全，歐洲云計算市場正引來加速發(fā)展的契機(jī)。

2012年，法國政府已經(jīng)投入1.5億歐元資助當(dāng)?shù)氐脑品?wù)提供商Cloudwatt和Numergy，讓法國能夠不經(jīng)美國企業(yè)之手獨(dú)立處理網(wǎng)絡(luò)資訊。

德國更是打造“云端服務(wù)：德國制造”項(xiàng)目，向當(dāng)?shù)仄髽I(yè)提供服務(wù)。有歐洲當(dāng)?shù)芈蓭煴硎?，通常資料傳到美國會經(jīng)由美國企業(yè)的云端設(shè)施處理，對此用戶不免心生疑慮，擔(dān)心美國當(dāng)局秘密取得資料。

2013年，美國新出臺的立法規(guī)定，美國情報部門能夠在無搜查證的情況下，監(jiān)視存儲在美國境內(nèi)計算機(jī)系統(tǒng)里的一切信息。這意味著，其他國家電腦用戶上傳到云存儲服務(wù)端，例如蘋果的iCloud和谷歌的云端硬盤等服務(wù)器的私人信息能夠被美國政府無條件獲得。

歐盟司法委員雷丁致信美國司法部長霍爾德，要求美國就其秘密情報監(jiān)視項(xiàng)目向歐盟作出解釋，并擔(dān)憂美國當(dāng)局可能大范圍監(jiān)聽歐洲公民的私人信息。

有消息指出，歐盟委員會正在推出一項(xiàng)數(shù)據(jù)保護(hù)法令，包括加強(qiáng)對第三國公司數(shù)據(jù)保護(hù)的監(jiān)管。該法令已辯論了一年半，各成員國政府的支持意愿并不強(qiáng)，“棱鏡門”事件或有助于該法令獲得更多支持。

英國廣播公司認(rèn)為，美國國家安全局通過互聯(lián)網(wǎng)獲得個人信息，首先得歸功于云計算時代。如今大量用戶數(shù)據(jù)不再存放于個人電腦中，而是在云服務(wù)提供商手中。

當(dāng)下，各國對于云計算技術(shù)的應(yīng)用持續(xù)升溫，雖然歐洲云計算的基礎(chǔ)設(shè)施發(fā)展比北美市場滯后一些，但增長趨勢強(qiáng)勁。

有分析人士表示，“棱鏡門”事件反而將成為推動歐洲云計算市場發(fā)展的助推器，各國也將加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)，特別是“云安全”市場將出現(xiàn)爆發(fā)式增長。

日本：學(xué)習(xí)歐美，快速搭建云安全平臺

2009年，日本總務(wù)省推出《數(shù)字日本創(chuàng)新計劃》，旨在建立新型信息技術(shù)市場，助力日本經(jīng)濟(jì)發(fā)展。由日本內(nèi)務(wù)和通信監(jiān)管部負(fù)責(zé)建立的大數(shù)據(jù)、云計算基礎(chǔ)設(shè)施“霞關(guān)云”工程是該計劃的一個重要組成部分。工程主要包括四方面內(nèi)容：一是共建創(chuàng)新性的電子政府;二是建立國家數(shù)字存檔系統(tǒng);三是創(chuàng)建綠色云數(shù)據(jù)中心;四是開發(fā)政府潛能，建立霞關(guān)云。2010年，日本經(jīng)濟(jì)產(chǎn)業(yè)省推出《云計算與日本競爭力研究》報告，制定了在2020年前培育出超過40萬億元新市場的目標(biāo)。2015年，“霞關(guān)云”將建設(shè)完成，日本政府所有的電子政務(wù)將集中到統(tǒng)一的云計算基礎(chǔ)設(shè)施之上，以提高運(yùn)營效率、降低成本。

由于云計算的快速發(fā)展，日本對于云安全的重視程度也在增加。日本總務(wù)省每年都會召開“智能手機(jī)與云安全研討會”并發(fā)布中期報告，探討智能手機(jī)、云服務(wù)應(yīng)用和其他新技術(shù)進(jìn)步帶來的信息安全問題及相應(yīng)的解決方案。日本政府也啟動了官民合作項(xiàng)目，組織信息技術(shù)企業(yè)與有關(guān)部門對于云計算的實(shí)際應(yīng)用開展計算安全性測試，以提高日本使用云計算的安全水平，向中小企業(yè)普及云計算，并確保企業(yè)和個人數(shù)據(jù)的安全性。

因此，隨著云計算技術(shù)及理念的深入應(yīng)用，云計算的安全越來越成為業(yè)界關(guān)注的重點(diǎn)，一方面云計算應(yīng)用的無邊界性、流動性等特點(diǎn)引發(fā)了很多新的安全問題；另一方面云計算技術(shù)及理念也對傳統(tǒng)安全技術(shù)及應(yīng)用產(chǎn)生了深遠(yuǎn)的影響。歐美和日本對云計算安全體系的研究和規(guī)范也說明云安全需求越來越受到各國政府的重視。