隨著云計(jì)算應(yīng)用的日益深入，云計(jì)算服務(wù)正在成為政府采購(gòu)越來(lái)越多的一項(xiàng)內(nèi)容。如何保證政府和企業(yè)使用云計(jì)算服務(wù)的安全性，如何建立采購(gòu)云計(jì)算服務(wù)的安全標(biāo)準(zhǔn)，如何加強(qiáng)云計(jì)算服務(wù)的安全監(jiān)測(cè)，已經(jīng)引起政府主管部門(mén)的高度關(guān)注。為保證成員國(guó)政府云計(jì)算服務(wù)采購(gòu)的安全，歐盟網(wǎng)絡(luò)與信息安全局于2012年4月正式出臺(tái)《云計(jì)算合同安全服務(wù)水平監(jiān)測(cè)指南》（簡(jiǎn)稱(chēng)《指南》），提供了一套持續(xù)監(jiān)測(cè)云計(jì)算服務(wù)提供商服務(wù)級(jí)別協(xié)議運(yùn)行情況的操作體系，將監(jiān)測(cè)行動(dòng)科學(xué)地引入到全合同周期之中，以達(dá)到實(shí)時(shí)核查用戶(hù)數(shù)據(jù)安全性的目的。

加強(qiáng)安全監(jiān)測(cè)成為云計(jì)算服務(wù)發(fā)展重要前提隨著云計(jì)算應(yīng)用的廣泛和深入，云服務(wù)安全隱患問(wèn)題愈發(fā)凸顯，加強(qiáng)安全監(jiān)測(cè)，是發(fā)展云服務(wù)的重要前提。

由于云計(jì)算可以大幅降低成本并提高效率，目前各國(guó)在公共服務(wù)領(lǐng)域采購(gòu)云計(jì)算服務(wù)的金額和比重都呈現(xiàn)快速上升趨勢(shì)。據(jù)IDC預(yù)測(cè)，2013年云服務(wù)利潤(rùn)將達(dá)442億美元，而歐洲云服務(wù)市場(chǎng)也將超過(guò)60億歐元。雖然云服務(wù)的好處不勝枚舉，但也因其多用戶(hù)、共享資源等特點(diǎn)，帶來(lái)很多風(fēng)險(xiǎn)和不確定性。特別是隨著云計(jì)算應(yīng)用的日益廣泛和深入，云服務(wù)涉及的數(shù)據(jù)安全隱患問(wèn)題愈發(fā)凸顯。總的來(lái)說(shuō)，云計(jì)算環(huán)境的風(fēng)險(xiǎn)主要有3個(gè)方面：一是政策和組織風(fēng)險(xiǎn)，如喪失一定的管理權(quán)、被迫鎖定于某一個(gè)或某幾個(gè)云服務(wù)提供商（CSP）等；二是技術(shù)風(fēng)險(xiǎn)，如用戶(hù)間的數(shù)據(jù)隔離失效、數(shù)據(jù)刪除不完全、內(nèi)部人員惡意操作等；三是法律風(fēng)險(xiǎn)，如數(shù)據(jù)保護(hù)風(fēng)險(xiǎn)等?？梢?jiàn)，加強(qiáng)安全監(jiān)測(cè)和防范風(fēng)險(xiǎn)，無(wú)疑是發(fā)展云服務(wù)的重要前提。這不僅有利于發(fā)揮規(guī)模效應(yīng)，還會(huì)使CSP具有差異化競(jìng)爭(zhēng)優(yōu)勢(shì)和更及時(shí)有效的更新能力。

出臺(tái)《指南》是歐盟云服務(wù)安全部署關(guān)鍵環(huán)節(jié)為了持續(xù)保障云服務(wù)安全，歐盟出臺(tái)了《云計(jì)算合同安全服務(wù)水平監(jiān)測(cè)指南》，將評(píng)估工作貫穿整個(gè)合同期。

早在2009年，歐盟網(wǎng)絡(luò)與信息安全局（ENISA）就啟動(dòng)了相關(guān)研究工作，先后發(fā)布了《云計(jì)算：好處、風(fēng)險(xiǎn)及信息安全建議》和《ENISA云計(jì)算信息安全保障框架》，使公共部門(mén)對(duì)云服務(wù)提供商進(jìn)行預(yù)評(píng)估，確定是否采購(gòu)其服務(wù)。2011年，ENISA又發(fā)布了《政府云的安全性和復(fù)原力》報(bào)告，為公共機(jī)構(gòu)提供了決策指南。ENISA還調(diào)查了歐洲140多個(gè)公共機(jī)構(gòu)在云服務(wù)采購(gòu)方面的做法，為進(jìn)一步出臺(tái)詳細(xì)的操作指南奠定了基礎(chǔ)。然而，以上部署主要關(guān)注在云服務(wù)提供前期如何規(guī)避安全風(fēng)險(xiǎn)。為了在整個(gè)合同期持續(xù)地保障云服務(wù)安全，2012年4月，ENISA制定并發(fā)布了《云計(jì)算合同安全服務(wù)水平監(jiān)測(cè)指南》?！吨改稀分攸c(diǎn)關(guān)注公共服務(wù)領(lǐng)域的合同，將評(píng)估工作貫穿整個(gè)合同期。這將有助于對(duì)云服務(wù)的數(shù)據(jù)安全持續(xù)監(jiān)測(cè)，為云服務(wù)采購(gòu)者提供指導(dǎo)，推動(dòng)產(chǎn)業(yè)進(jìn)入一個(gè)全新的發(fā)展階段。

《指南》八項(xiàng)指標(biāo)體系反映SLA運(yùn)行情況《指南》從SLA角度出發(fā)，為客戶(hù)提出了包括服務(wù)可用性、事故響應(yīng)、數(shù)據(jù)生命周期管理等8個(gè)指標(biāo)體系。

由于云服務(wù)的安全性主要由云服務(wù)提供商掌控，而客戶(hù)與提供商的互通主要是通過(guò)服務(wù)級(jí)別協(xié)議（SLA）。因此，本《指南》主要從SLA角度出發(fā)，為客戶(hù)提出了包括服務(wù)可用性、事故響應(yīng)、服務(wù)彈性、數(shù)據(jù)生命周期管理等8個(gè)方面的一整套持續(xù)監(jiān)測(cè)其服務(wù)提供商SLA運(yùn)行情況的指標(biāo)體系，旨在通過(guò)對(duì)這8項(xiàng)反映SLA運(yùn)行情況的關(guān)鍵指標(biāo)的持續(xù)監(jiān)測(cè)和預(yù)警，幫助客戶(hù)達(dá)到核查其數(shù)據(jù)安全性的目的。

服務(wù)的可用性：可用性是指在一定的時(shí)間內(nèi)，服務(wù)請(qǐng)求和服務(wù)時(shí)間得到滿(mǎn)足的占比。在服務(wù)協(xié)議中，必須明確給出關(guān)于服務(wù)可用性狀態(tài)的描述。目前，已經(jīng)出現(xiàn)了很多用于監(jiān)測(cè)網(wǎng)絡(luò)連接狀態(tài)的服務(wù)和產(chǎn)品，以及依靠云服務(wù)提供商的監(jiān)測(cè)工具。

事故響應(yīng)：事故是指服務(wù)非正常提供的狀態(tài)，以及引起或可能引起服務(wù)中斷或服務(wù)質(zhì)量下降的事件。根據(jù)信息技術(shù)基礎(chǔ)架構(gòu)庫(kù)（ITIL）模型，對(duì)事故的監(jiān)測(cè)和響應(yīng)等級(jí)通常由兩個(gè)因素決定：一是嚴(yán)重性，根據(jù)事故的嚴(yán)重性分級(jí)進(jìn)行確定。二是響應(yīng)時(shí)間，是指進(jìn)行補(bǔ)救的時(shí)間服務(wù)彈性與負(fù)載公差：彈性可以在數(shù)量上描述為在一個(gè)執(zhí)行期內(nèi)失敗資源配置占全部配置要求的比例。一些CSP提供冗余能力服務(wù)，這不但可在其他用戶(hù)使用時(shí)保證一定的彈性，而且更重要的是，對(duì)災(zāi)害恢復(fù)時(shí)期意義重大。

數(shù)據(jù)生命周期管理：主要用于測(cè)量提供商數(shù)據(jù)處理的效率和效益，包括服務(wù)的備份或數(shù)據(jù)復(fù)制系統(tǒng)、導(dǎo)出數(shù)據(jù)的能力和數(shù)據(jù)丟失防護(hù)系統(tǒng)。

技術(shù)合規(guī)性和漏洞管理：用于衡量云服務(wù)是否符合技術(shù)安全政策，包括控制的準(zhǔn)確性和漏洞處理能力。監(jiān)測(cè)技術(shù)的合規(guī)性和漏洞管理，往往要根據(jù)偏離基準(zhǔn)線(xiàn)安全政策的程度進(jìn)行。

變更管理：用于對(duì)與系統(tǒng)安全屬性和配置有關(guān)的重要變更進(jìn)行監(jiān)測(cè)和管理。在簽署合同時(shí)需要制定一個(gè)清單明細(xì)，如果清單上的項(xiàng)目發(fā)生變更，應(yīng)向用戶(hù)發(fā)出通知。

數(shù)據(jù)隔離：是一種功能性的要求，必須實(shí)時(shí)進(jìn)行。數(shù)據(jù)隔離可確保不同的客戶(hù)數(shù)據(jù)和服務(wù)的保密性、完整性和可用性，并保護(hù)數(shù)據(jù)免受未授權(quán)第三方用戶(hù)的訪(fǎng)問(wèn)。

日志管理與取證：包括獲取用戶(hù)使用云資源的歷史信息。按照其內(nèi)部控制、合規(guī)、審計(jì)、法律和監(jiān)管要求，客戶(hù)可能需要獲取以下信息：哪些用戶(hù)在何時(shí)、何處、對(duì)哪些數(shù)據(jù)進(jìn)行怎樣的處理。

《聯(lián)邦風(fēng)險(xiǎn)和授權(quán)管理計(jì)劃（FedRAMP）》是美國(guó)聯(lián)邦政府機(jī)構(gòu)在采購(gòu)云服務(wù)時(shí)須遵守的操作指南。該計(jì)劃不僅制定了安全要求，同時(shí)也監(jiān)測(cè)安全措施的執(zhí)行情況，例如每季度定期發(fā)布漏洞掃描報(bào)告。FedRAMP很可能成為美國(guó)云服務(wù)公共合同監(jiān)測(cè)的參考基準(zhǔn)。