在欧洲释放云计算潜能（六）

克服标准障碍

在ICT行业，老产品常常会给新产品或新系统的研发设置障碍，但这往往能提高原始产品的价值，并带动创新。

为了刺激发展和创新，创新家需要得到设备和应用程序的兼容性信息，有了这些信息，才能确保产品的兼容性。这一信息是否公开取决于设备和应用程序的所有者。流程标准化常常是办法之一。兼容性对于用户使用多个云服务供应商来说也非常重要。如果达成这一结果，那市场将更具竞争力，也能更好地服务客户。在云计算领域，现阶段在兼容性标准上还没有形成共识，应建立一个共同的标准。

一般来说，每个供应商都希望通过锁定来掌握主导地位。因此，尽管出台云标准的尝试很多（特别是供应商牵头的），但有一个很大的风险：那就是云有可能会缺少兼容性和数据便携性（取回数据）而后者对竞争至关重要，因为数据可以轻松移至其他平台。这还有助于打开市场，防止出现供应商的垄断现象。

用户无法评价供应商对标准的实施情况，云服务的兼容性以及数据的可移动性，因此，有必要进行独立的认证。

信息安全可能是公司考虑使用云计算时最大的顾虑。云服务用户应对服务以及数据安全充满信心，他们应该可以随时随地存取数据，而未授权用户无法存取这些数据。尽管云的安全风险和其他风险并没有技术区别，但云的风险会迅速扩大,并同时影响很多用户。根据欧洲网络和信息安全局ENISA）关于云安全的一项调查显示，云技术的主要风险包括©:

-被锁：云的数据格式和服务界面并非标准化。因此，如果客户更换云服务供应商或将数据转移回公司内部的IT环境,将无法保证服务的连贯性。

•隔离失败：在多租户环境中，区分存储空间、内存和路径的系统错误是一个风险。攻击者将利用系统中的这些漏洞，由此进入另一个租户的域名。一个很小的配置错误将给大量数据带来风险。

•名誉：云计算供应商出现安全问题，对一个租户引发的名誉损害，也有可能影响云中其他租户的名誉。

•虚拟化：云服务的基础通常是虚拟化，这意味着真正的操作平台系统是隐藏起来的。虚拟化有一些潜在的风险，用户需注意管理程序层面的攻击，这类攻击的目的在于破坏机器的正常运转。而这些只能由云服务供应商管理。

•行政遵从风险:一些云用户需遵守行业标准或行政要求,比如通过认证。这一过程有可能受到云的影响。作为一个云用户，获得相关认证也要求云计算供应商提供他们遵守相关规定的证明。因此，用户获得认证的可能性同时也取决于云计算供应商。一旦云普及，之前的认证都有可能失去价值。

©ENISA（2012），《安全采购：云合同安全服务等级监管指南》。•管理界面妥协:通过网络可进入的公共云和在线活动（如浏览器漏洞）有着一样的漏洞。

-不安全或不完整的数据删除：当一个云用户决定从云中移除一些数据时，无法确定这些数据是否真正从云中删除。

-恶意内部人士:云构架的管理需对技术人员的数据存取进行审批。技术人员存在高风险，因为他们在某些情况下可以进入客户数据。严格控制角色分配和存取数据权利等对防止来自云服务供应商内部的攻击很重要。

接下来，欧盟委员会将在安全、电子认证以及标准化的行动计划中把包含云服务的相关条款列入。《欧洲网络安全战略》将出台法律和非法律的建议，改善网络和信息系统的安全,以及普及对用户信息安全风险的管理。从云方面来看，主要问题是为运营商出台共同的网络和信息安全要求。云服务供应商需采取适当的技术和组织措施来管理系统风险。应出台行业标准、技术标准和安全设计标准，让用户能以简单的方式评价数据保护和安全水平。另外还有推动云安全和认证领域的技术规格和标准的普及等问题。

欧盟委员会已出台了关于电子签名、电子身份验证互认系统等方面的要求。尽管云领域的认证和一般认证要求并没有很大不同，但是云认证要求严格的证书确认和特性管理。

最后，欧盟标准化的监管改革(关于欧洲标准化规定的建议)①中确认欧盟委员会可以承认ICT领域的技术规格，这主要是为实现公共采购的兼容性。欧盟委员会成立了ICT标准化的多方参与平台，可在公共采购时执行ICT规格。

IT行业也在积极探讨标准问题。SAP推出了云计算黄金标准计划，该标准主要关注用户三大顾虑：信任、安全和遵守问题。黄金标准面向全欧盟，旨在巩固现有标准，并特别考虑到欧盟的隐私规定。

在电子科技领域，欧盟委员会资助的Siena项目进行了大量的路线图设计工作，以加速可兼容的计算基础设施的利用和发展气

那么，我们需要做什么呢？云领域的标准化主要议题如下:

-公共数据格式：云中创造的数据应可恢复和再利用，并无信息丢失。

•标准应支持用户要求：例如，数据记录需确定是否符合服务等级协议的要求。

•应开发加强隐私管理的技术：让用户掌握数据的存取。这些技术应是标准化行动的重点，以避免不兼容和被锁问题的发生。

关于认证

云服务供应商应出台认证体系，让用户以一个简单的方式就能评价和比较供应商提供的服务。认证应适用于全行业且简洁统一，主要考量的标准包括：是否符合标准、兼容性和数据便携性。

这一认证体系应囊括所有利益相关者，包括云供应商、云客户、数据保护机构和认证机构。认证中还应包括供应商实施IT安全和数据保护措施的证明。这些认证至少在欧洲范围内(如果不是全球范围)有效，并纳入到现有ICT认证和审查制度中。它们应符合云服务的需求，且能让用户控制、兼容性和数据便携性方面得到提升，防止被锁。

认证的云供应商比非认证供应商更有竞争优势，因为他们的服务信任度和安全标准更高。

另外，认证应得到公共行业的认可，以确保公共行业能信任云供应商，并从规模经济中受益。公共行业可以在标准遵从、兼容性、数据便携性和认证方面提要求。公共行业有可能是主导市场，而且这些要求能让供应商同时满足私营和公共行业的要求。特别是公共行业可以进一步推动欧洲兼容性框架的实施(EIF),确认标准兼容性和数据便携性要求。

安全公正的合同条款

(1)开发服务等级协议的模板合同

传统的IT外包协议常常是可以协商的，而且只关系到小范围内的数据储存和处理设备及服务。但云计算根据用户需求的变化，能提供规模化和灵活的IT能力。和传统的外包合同相比，云计算服务的灵活性较大，但同时法律不确定性也较强。

这些服务条款中有可能暗藏了潜在的开支和风险。“无修改”标准合同的运用可能对供应商来说是最好的解决办法,但从消费者的角度看，这并非最佳选择。服务等级协议(SLA)常常无法解决云服务中的运营和法律风险。

《云计算征集公共意见报告》③以及《云计算服务在欧洲需求的定量预测以及推广障碍》④的调查结果中强调，欧洲层面对服务等级协议的模板合同需求是一个共识。

在云计算的征求公共意见阶段，很多人强调模板合同有助于定义云服务所有参与者的权利和责任。

根据《欧洲云计算战略发展方向行业建议》①，标准服务等级协议的开发应有助于提高云服务公共采购的透明度和降低交易成本。

（2）消费者和小公司的欧洲模板合同

根据欧盟法律规定，服务条款需向消费者解释清楚，并应充分尊重消费者的法律权利。云供应商应提供透明、安全且可靠的服务。另外，云供应商提出的安全政策也应该明确直接地写明在服务条款里。

然而，当前个人消费者在使用云计算时协商的力量很薄弱，所签署的合同也无法保证数据的完整性；有些合同无法保证内容的机密性和服务的连贯性；有些合同可以提供适用法律的选择权②，或在服务到期后很难进行数据恢复。

确保合同条款连贯性，增加消费者信任的解决方案也是大规模推广云计算的办法之一。

参与调查的人还表示，连贯且客户友好的条款将成为竞争优势，而市场压力也将转移，让该产业迅速向消费者合理预期靠拢。

现有欧盟法律在一定程度上能保护使用云计算和其他数字产品的消费者，但是消费者通常意识不到这些权利，包括如何向法院申诉，哪个法律适用于争议的解决等都不甚了解。

（3）绑定的公司规定

关于《数据保护规定》的建议有助于数据传输到欧盟以外地区，同时还确保传输到欧盟外个人数据保护工作的连贯性。根据规定建议的第41条:“欧盟委员会可决定让第三国或国际组织确保进行一定级别的保护。”规定建议还绑定了一些公司条例，允许他们向处理商进行申请，并将申请程序简化。

（4）行为规范

《数据保护指令》第27条提出了出台行为规范的可能性,以便让成员国在考虑各行业特点的基础上，更好地在各国落实指令的相关规定。

虽然文章中指出“草拟欧盟的行为规范，并对已有行为规范进行修订和扩充，递交给第29号工作组”，然而，鉴于各国都有不同的数据保护规定，这一行为规范还需得到各国监管机构的批准。这也是为什么迄今为止，出台的行为规范还寥寥无几的原因。

在这种情况下，欧盟委员会还将支持云计算行业的行为规范，同时提交给各国监管机构征求意见。另外，规定第38条还强调，欧盟委员会有权决定行为规范在欧盟范围内的一般合法性。

20211020_617036054e7e1__在欧洲释放云计算潜能