2.2 云计算标准概述

2.2.1 国际云计算标准

自2008年以来,云计算在国际上已成为标准化工作热点之一。国际上共有33个标准化组织和协会从各个角度在开展云计算标准化工作。这33个标准化组织和协会既有知名的标准化组织,如ISO/IECJTC1SC27、DMTF,也有新兴的标准化组织,如ISO/IECJTC1 SC38、CSA;既有国际标准化组织,如ISO/IECJTC1SC38、ITU-T SG13,也有区域性标准化组织,如美洲的NIST;既有基于现有工作开展云标准研制的,如DMTF、SNIA,也有专门开展云计算标准研制的,如CSA、CSCC。

目前,依据NIST在2013年发布的第二版“云计算标准路线图”(NISTCloud Computing Standards Roadmap),国际云计算标准主要集中在以下五个方面:应用场景和案例分析、通用和基础标准、互操作和可移植标准、服务标准、安全标准。

1.应用场景和案例分析

ISO/IEC JTC1 SC38、ITU-T FGCC(云计算焦点组,后转换成SG13)、Cloud Use Case等多个组织纷纷开展云计算应用场景和案例分析,将已有的案例和场景从IaaS、PaaS等角度进行了分类和总结,主要集中在云运营者以及提供商和消费者之间的交互。随着云服务的逐步应用推广,正在进行相应的用户案例和应用场景的补充与完善工作。

2.通用和基础标准

云计算通用和基础标准旨在对云计算一些基础、共性的标准进行制定,包括云计算术语、云计算基本参考模型、云计算标准化指南等。ISO/IECJTC1SC38和ITU-TSG13通过成立联合工作组(CT)的方式开展云计算术语和云计算参考架构两项标准的研制。其中,云计算术语主要包括云计算涉及的基本术语,用于在云计算领域规范交流用语、明晰概念。云计算基本参考架构主要描述云计算的利益相关者群体,明确基本的云计算活动和组件,描述云计算活动和组件之间以及它们与环境之间的关系,为定义云计算标准提供一个技术中立的参考点。

3.互操作和可移植标准

互操作和可移植标准主要针对云计算中用户最为关心的资源按需供给、数据锁定和供应商锁定、分布式海量数据存储和管理等问题,以构建互连互通、高效稳定的云计算环境为目标,对基础架构层、平台层和应用层的核心技术与产品进行规范。

4.服务标准

服务标准主要针对云服务生命周期管理的各个阶段,覆盖服务交付、服务水平协议(SLA)、服务计量、服务质量、服务运维、服务管理、服务采购,包括云服务通用要求、云服务级别协议规范、云服务质量评价指南、云运维服务规范、云服务采购规范等。比较常见的服务标准认证有ISO20000IT服务管理体系认证、ISO22301业务连续性管理体系认证等。

5.安全标准

安全标准方面主要关注数据的存储安全和传输安全、跨云的身份鉴别、访问控制、安全审计等方面。比较常见的安全标准认证有ISO27001信息安全管理体系认证、ISO27017云服务信息安全控制认证、ISO27018云中个人数据保护安全认证、CSA-STAR云安全认证、CSACS-CMMI云安全能力等级认证等。

2.2.2 国内云计算标准

依据中国电子技术标准化研究院2014年发布的《云计算标准化白皮书》,全国信息技术标准化技术委员会(简称信标委)云计算标准工作组作为我国专门从事云计算领域标准化工作的技术组织,负责云计算领域相关国家标准的制定/修订工作。目前我国云计算标准体系建设主要从“基础”“网络”“整机装备”“软件”“服务”“安全”6个部分展开。

1.基础标准

基础标准用于统一云计算及相关概念,为其他各部分标准的制定提供支撑;主要包括云计算术语、参考架构、指南、能效管理等方面的标准。具体输出物有《云计算术语》《云计算参考架构》和《云计算数据中心参考架构》。

2.网络标准

网络标准用于规范网络连接、网络管理和网络服务;主要包括云内、云间、用户到云等方面的标准。

3.整机装备标准

整机装备标准用于规范适用于云计算的计算设备、存储设备、终端设备的生产和使用管理;主要包括整机装备的功能、性能、设备互联和管理等方面的标准,有《基于通用互联的存储区域网络(IP-SAN)应用规范》《分布式异构存储管理规范》《模块化存储系统通用规范》《集装箱式数据中心通用规范》等标准。

4.软件标准

软件标准用于规范云计算相关软件的研发和应用,指导实现不同云计算系统间的互联、互通和互操作;主要包括虚拟化、计算资源管理、数据存储和管理、平台软件等方面的标准。

软件标准中,《开放虚拟化格式规范》和《弹性计算应用接口》主要从虚拟资源管理的角度出发,实现虚拟资源的互操作。“云数据存储和管理接口总则”“基于对象的云存储应用接口”“分布式文件系统应用接口”“基于Key-Value的云数据管理应用接口”主要从海量分布式数据存储和数据管理的角度出发,实现数据级的互操作。其中,“开放虚拟化格式规范”和“基于Key-Value的云数据管理应用接口”已经成为ISO/IEC国际标准。另外,“PaaS平台参考架构”在于提供一个PaaS平台的概念蓝图,它是从架构的角度抽象概括组成一个完整的PaaS计算环境的基本组成元素及其之间的关联,以及治理其演变的架构性原则,使得在多个PaaS平台和应用的开发与交付项目之间能够确保一致性,从而更好地指导客户企业、SaaS应用开发商和运营商、PaaS技术和产品提供商搭建PaaS计算环境、高质量地交付云服务。

5.服务标准

服务标准用于规范云服务设计、部署、交付、运营和采购,以及云平台间的数据迁移;从各类服务的设计与部署、交付和运营整个生命周期过程来制定,主要包括云服务分类、云服务设计与部署、云服务交付、云服务运营、云服务质量管理等方面的标准。

基于此标准,工信部依托ITSS分会(中国电子工业标准化技术协会信息技术服务分会)面向云计算服务企业或单位推出了云计算服务能力评估认证。

6.安全标准

安全标准用于指导实现云计算环境下的网络安全、系统安全、服务安全和信息安全,主要包括云计算环境下的网络和信息安全标准。

相关面向云服务提供商的安全认证有:

1)DJCP等级保护认证

公安机关依据国家信息安全保护条例及相关制度规定,按照管理规范和技术标准,对各机构的信息系统安全等级保护状况进行认可及评定。国家等级保护认证(DJCP等级保护认证)是中国最权威的信息产品安全等级资格认证。公安部安全等级保护共五级,非银机构的最高级认证就是第三级认证,属于“监管级别”,其重要性仅次于银行系统。

2)可信云服务认证

可信云服务认证(TRUCS)是在工信部指导下,由数据中心联盟组织、中国信息通信研究院(工信部电信研究院)测试评估的面向云计算服务的评估认证,目标是建立云服务商的评估体系,为用户选择安全、可信的云服务商提供支撑。可信云服务认证评估旨在建立云计算服务的信任体系。

3)C-STAR云安全认证

C-STAR认证依据CSA(Cloud Security Alliance)最新发布的云安全控制矩阵CCM V3.0,结合国内相关法律法规和标准要求,形成C-STAR云安全控制矩阵,对云计算服务进行全方位的安全评价。