克服標準障礙

在ICT行業(yè)，老產(chǎn)品常常會給新產(chǎn)品或新系統(tǒng)的研發(fā)設置障礙，但這往往能提高原始產(chǎn)品的價值，并帶動創(chuàng)新。

為了刺激發(fā)展和創(chuàng)新，創(chuàng)新家需要得到設備和應用程序的兼容性信息，有了這些信息，才能確保產(chǎn)品的兼容性。這一信息是否公開取決于設備和應用程序的所有者。流程標準化常常是辦法之一。兼容性對于用戶使用多個云服務供應商來說也非常重要。如果達成這一結果，那市場將更具競爭力，也能更好地服務客戶。在云計算領域，現(xiàn)階段在兼容性標準上還沒有形成共識，應建立一個共同的標準。

一般來說，每個供應商都希望通過鎖定來掌握主導地位。因此，盡管出臺云標準的嘗試很多（特別是供應商牽頭的），但有一個很大的風險：那就是云有可能會缺少兼容性和數(shù)據(jù)便攜性（取回數(shù)據(jù)）而后者對競爭至關重要，因為數(shù)據(jù)可以輕松移至其他平臺。這還有助于打開市場，防止出現(xiàn)供應商的壟斷現(xiàn)象。

用戶無法評價供應商對標準的實施情況，云服務的兼容性以及數(shù)據(jù)的可移動性，因此，有必要進行獨立的認證。

信息安全可能是公司考慮使用云計算時最大的顧慮。云服務用戶應對服務以及數(shù)據(jù)安全充滿信心，他們應該可以隨時隨地存取數(shù)據(jù)，而未授權用戶無法存取這些數(shù)據(jù)。盡管云的安全風險和其他風險并沒有技術區(qū)別，但云的風險會迅速擴大,并同時影響很多用戶。根據(jù)歐洲網(wǎng)絡和信息安全局ENISA）關于云安全的一項調查顯示，云技術的主要風險包括©:

-被鎖：云的數(shù)據(jù)格式和服務界面并非標準化。因此，如果客戶更換云服務供應商或將數(shù)據(jù)轉移回公司內(nèi)部的IT環(huán)境,將無法保證服務的連貫性。

?隔離失?。涸诙嘧鈶舡h(huán)境中，區(qū)分存儲空間、內(nèi)存和路徑的系統(tǒng)錯誤是一個風險。攻擊者將利用系統(tǒng)中的這些漏洞，由此進入另一個租戶的域名。一個很小的配置錯誤將給大量數(shù)據(jù)帶來風險。

?名譽：云計算供應商出現(xiàn)安全問題，對一個租戶引發(fā)的名譽損害，也有可能影響云中其他租戶的名譽。

?虛擬化：云服務的基礎通常是虛擬化，這意味著真正的操作平臺系統(tǒng)是隱藏起來的。虛擬化有一些潛在的風險，用戶需注意管理程序層面的攻擊，這類攻擊的目的在于破壞機器的正常運轉。而這些只能由云服務供應商管理。

?行政遵從風險:一些云用戶需遵守行業(yè)標準或行政要求,比如通過認證。這一過程有可能受到云的影響。作為一個云用戶，獲得相關認證也要求云計算供應商提供他們遵守相關規(guī)定的證明。因此，用戶獲得認證的可能性同時也取決于云計算供應商。一旦云普及，之前的認證都有可能失去價值。

©ENISA（2012），《安全采購：云合同安全服務等級監(jiān)管指南》。?管理界面妥協(xié):通過網(wǎng)絡可進入的公共云和在線活動（如瀏覽器漏洞）有著一樣的漏洞。

-不安全或不完整的數(shù)據(jù)刪除：當一個云用戶決定從云中移除一些數(shù)據(jù)時，無法確定這些數(shù)據(jù)是否真正從云中刪除。

-惡意內(nèi)部人士:云構架的管理需對技術人員的數(shù)據(jù)存取進行審批。技術人員存在高風險，因為他們在某些情況下可以進入客戶數(shù)據(jù)。嚴格控制角色分配和存取數(shù)據(jù)權利等對防止來自云服務供應商內(nèi)部的攻擊很重要。

接下來，歐盟委員會將在安全、電子認證以及標準化的行動計劃中把包含云服務的相關條款列入?！稓W洲網(wǎng)絡安全戰(zhàn)略》將出臺法律和非法律的建議，改善網(wǎng)絡和信息系統(tǒng)的安全,以及普及對用戶信息安全風險的管理。從云方面來看，主要問題是為運營商出臺共同的網(wǎng)絡和信息安全要求。云服務供應商需采取適當?shù)募夹g和組織措施來管理系統(tǒng)風險。應出臺行業(yè)標準、技術標準和安全設計標準，讓用戶能以簡單的方式評價數(shù)據(jù)保護和安全水平。另外還有推動云安全和認證領域的技術規(guī)格和標準的普及等問題。

歐盟委員會已出臺了關于電子簽名、電子身份驗證互認系統(tǒng)等方面的要求。盡管云領域的認證和一般認證要求并沒有很大不同，但是云認證要求嚴格的證書確認和特性管理。

最后，歐盟標準化的監(jiān)管改革(關于歐洲標準化規(guī)定的建議)①中確認歐盟委員會可以承認ICT領域的技術規(guī)格，這主要是為實現(xiàn)公共采購的兼容性。歐盟委員會成立了ICT標準化的多方參與平臺，可在公共采購時執(zhí)行ICT規(guī)格。

IT行業(yè)也在積極探討標準問題。SAP推出了云計算黃金標準計劃，該標準主要關注用戶三大顧慮：信任、安全和遵守問題。黃金標準面向全歐盟，旨在鞏固現(xiàn)有標準，并特別考慮到歐盟的隱私規(guī)定。

在電子科技領域，歐盟委員會資助的Siena項目進行了大量的路線圖設計工作，以加速可兼容的計算基礎設施的利用和發(fā)展氣

那么，我們需要做什么呢？云領域的標準化主要議題如下:

-公共數(shù)據(jù)格式：云中創(chuàng)造的數(shù)據(jù)應可恢復和再利用，并無信息丟失。

?標準應支持用戶要求：例如，數(shù)據(jù)記錄需確定是否符合服務等級協(xié)議的要求。

?應開發(fā)加強隱私管理的技術：讓用戶掌握數(shù)據(jù)的存取。這些技術應是標準化行動的重點，以避免不兼容和被鎖問題的發(fā)生。

關于認證

云服務供應商應出臺認證體系，讓用戶以一個簡單的方式就能評價和比較供應商提供的服務。認證應適用于全行業(yè)且簡潔統(tǒng)一，主要考量的標準包括：是否符合標準、兼容性和數(shù)據(jù)便攜性。

這一認證體系應囊括所有利益相關者，包括云供應商、云客戶、數(shù)據(jù)保護機構和認證機構。認證中還應包括供應商實施IT安全和數(shù)據(jù)保護措施的證明。這些認證至少在歐洲范圍內(nèi)(如果不是全球范圍)有效，并納入到現(xiàn)有ICT認證和審查制度中。它們應符合云服務的需求，且能讓用戶控制、兼容性和數(shù)據(jù)便攜性方面得到提升，防止被鎖。

認證的云供應商比非認證供應商更有競爭優(yōu)勢，因為他們的服務信任度和安全標準更高。

另外，認證應得到公共行業(yè)的認可，以確保公共行業(yè)能信任云供應商，并從規(guī)模經(jīng)濟中受益。公共行業(yè)可以在標準遵從、兼容性、數(shù)據(jù)便攜性和認證方面提要求。公共行業(yè)有可能是主導市場，而且這些要求能讓供應商同時滿足私營和公共行業(yè)的要求。特別是公共行業(yè)可以進一步推動歐洲兼容性框架的實施(EIF),確認標準兼容性和數(shù)據(jù)便攜性要求。

安全公正的合同條款

(1)開發(fā)服務等級協(xié)議的模板合同

傳統(tǒng)的IT外包協(xié)議常常是可以協(xié)商的，而且只關系到小范圍內(nèi)的數(shù)據(jù)儲存和處理設備及服務。但云計算根據(jù)用戶需求的變化，能提供規(guī)模化和靈活的IT能力。和傳統(tǒng)的外包合同相比，云計算服務的靈活性較大，但同時法律不確定性也較強。

這些服務條款中有可能暗藏了潛在的開支和風險?！盁o修改”標準合同的運用可能對供應商來說是最好的解決辦法,但從消費者的角度看，這并非最佳選擇。服務等級協(xié)議(SLA)常常無法解決云服務中的運營和法律風險。

《云計算征集公共意見報告》③以及《云計算服務在歐洲需求的定量預測以及推廣障礙》④的調查結果中強調，歐洲層面對服務等級協(xié)議的模板合同需求是一個共識。

在云計算的征求公共意見階段，很多人強調模板合同有助于定義云服務所有參與者的權利和責任。

根據(jù)《歐洲云計算戰(zhàn)略發(fā)展方向行業(yè)建議》①，標準服務等級協(xié)議的開發(fā)應有助于提高云服務公共采購的透明度和降低交易成本。

（2）消費者和小公司的歐洲模板合同

根據(jù)歐盟法律規(guī)定，服務條款需向消費者解釋清楚，并應充分尊重消費者的法律權利。云供應商應提供透明、安全且可靠的服務。另外，云供應商提出的安全政策也應該明確直接地寫明在服務條款里。

然而，當前個人消費者在使用云計算時協(xié)商的力量很薄弱，所簽署的合同也無法保證數(shù)據(jù)的完整性；有些合同無法保證內(nèi)容的機密性和服務的連貫性；有些合同可以提供適用法律的選擇權②，或在服務到期后很難進行數(shù)據(jù)恢復。

確保合同條款連貫性，增加消費者信任的解決方案也是大規(guī)模推廣云計算的辦法之一。

參與調查的人還表示，連貫且客戶友好的條款將成為競爭優(yōu)勢，而市場壓力也將轉移，讓該產(chǎn)業(yè)迅速向消費者合理預期靠攏。

現(xiàn)有歐盟法律在一定程度上能保護使用云計算和其他數(shù)字產(chǎn)品的消費者，但是消費者通常意識不到這些權利，包括如何向法院申訴，哪個法律適用于爭議的解決等都不甚了解。

（3）綁定的公司規(guī)定

關于《數(shù)據(jù)保護規(guī)定》的建議有助于數(shù)據(jù)傳輸?shù)綒W盟以外地區(qū)，同時還確保傳輸?shù)綒W盟外個人數(shù)據(jù)保護工作的連貫性。根據(jù)規(guī)定建議的第41條:“歐盟委員會可決定讓第三國或國際組織確保進行一定級別的保護。”規(guī)定建議還綁定了一些公司條例，允許他們向處理商進行申請，并將申請程序簡化。

（4）行為規(guī)范

《數(shù)據(jù)保護指令》第27條提出了出臺行為規(guī)范的可能性,以便讓成員國在考慮各行業(yè)特點的基礎上，更好地在各國落實指令的相關規(guī)定。

雖然文章中指出“草擬歐盟的行為規(guī)范，并對已有行為規(guī)范進行修訂和擴充，遞交給第29號工作組”，然而，鑒于各國都有不同的數(shù)據(jù)保護規(guī)定，這一行為規(guī)范還需得到各國監(jiān)管機構的批準。這也是為什么迄今為止，出臺的行為規(guī)范還寥寥無幾的原因。

在這種情況下，歐盟委員會還將支持云計算行業(yè)的行為規(guī)范，同時提交給各國監(jiān)管機構征求意見。另外，規(guī)定第38條還強調，歐盟委員會有權決定行為規(guī)范在歐盟范圍內(nèi)的一般合法性。

20211020_617036054e7e1__在歐洲釋放云計算潛能