浅谈欧洲云计算战略——释放欧洲云计算潜力

云计算是一种基于互联网的商业计算模型，它将计算任务分布到由大量计算机构成的资源池上，从而使用户能够根据需要获取和使用计算、网络、存储资源和软件服务。

云计算因为其具有虚拟化技术广泛应用、数据所有权和管理权分离等特点，带来了新的安全挑战。随着云计算的快速发展，云安全受到了越来越多的关注。为了保证云计算健康有序的发展，为用户提供安全可靠的云计算使用环境，美国、英国、澳大利亚、新加坡等政府部门相继开展了云安全认证工作，比如，美国FedRamp、新加坡MTCS、澳大利亚IRAP。我国相关部委从2015年起也开展或支持云安全认证相关工作。2015年中央网信办组织第三方机构开展了党政部门云计算服务网络安全审查工作；2016年在工信部信软司的指导下，中国电子工业标准化技术协会信息技术分会（ITSS分会）组织中国软件评测中心等第三方机构，开展了云计算服务能力评估工作（含安全评估工作）。

中国软件评测中心为了更好地支撑主管部委开展云安全相关的认证工作，对国外的云安全认证情况、认证规范和方法进行了研究，现将部分成果形成本系列介绍文档。

2012年欧盟发布了名为“欧洲云计算战略-释放欧洲云计算潜力”的战略规划，该规划明确要建立欧洲范围内的自愿性云计算认证计划，并委托欧洲网络与信息安全局（以下简称ENISA）开展对云计算认证工作。

认证背景

欧盟委员会在2012年制定了“欧洲云计算战略-释放欧洲云计算潜力“，该战略旨在通过建立自愿性云计算认证计划，在欧洲范围内形成安全可靠的云计算环境，增强政府、企业业务系统上云的信心。

为了配合云计算认证工作的开展，欧盟委员会成立了C-SIG工作组，该小组由欧洲各国的行业专家组成，主要工作是为云计算认证进行顶层设计，制定宏观性的标准指南。

ENISA主要工作是配合CERT-SIG（C-SIG下属的小组，主要负责云计算认证的具体实施工作），制定CCSL（Cloud Certification Schemes List，云认证计划列表），该列表囊括了目前符合欧盟委员会对云计算安全要求的认证，比如ISO/IEC 27001认证、CSA OCF认证等；制定CCSM（Cloud Certification Schemes Metaframework），该框架规定了一个二维映射矩阵，其中横轴用于表示现有的5种云认证，纵轴用于表示欧盟针对云计算提出的27个安全域，通过横轴和纵轴可以表示哪种云认证实现了相关安全域。

认证原则

以用户为中心，比如认证的内容要涵盖用户关心的使用云的安全风险。

行业驱动和企业自愿。

认证成本低，比如可以让很多中小企业承担起认证成本。

基于全球认证标准、避免重复认证。

认证模式

从目前公开的资料来看，欧盟对于云计算的认证模式与美国、新西兰等国家都不相同。欧盟并未针对云计算特点制定新的认证标准，而是仅提出了云计算的安全域，利用现有的多个国际通用的认证标准去满足安全域的要求； 并未指定新的认证机构，而是希望可以形成“行业驱动、企业自愿”的自评估认证模式，进而形成具有自发性质的安全可靠的云计算发展和使用环境

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有