文/本刊记者 Chulong

伴随云计算的大力发展，美国、欧洲、日本等发达国家及地区均加快了各自部署云计算的步伐，这些发达国家旨在发挥固有的信息化资源优势，在云计算的技术浪潮中占领信息高地，从而在新一轮的全球竞争中占得先机。与此同时，云安全和风险问题也得到各国政府的广泛重视。

美国：适应市场需求，加强云安全规范

由于云计算在经济、敏捷和创新方面的突出特点，受到美国政府高度重视。早在2009年1月，美国行政管理和预算局(OMB)就开始关注云计算和虚拟化。3月，维维克·昆德拉被任命为联邦政府首席信息官委员会(CIOC)的首席信息官后即表示将推动政府采用云计算，启动联邦云计算倡议(FCCI)，成立了专门管理组织，并确定了联邦政府云计算及云安全的发展目标。

联邦政府首席信息官委员会首席信息官维维克·昆德拉上任时就承认，云计算可能存在隐私泄露或其它安全隐患，但表示不能因此而错过云计算的速度和效率。

美国联邦政府在大力推进云计算的同时，也大力研究和制定云安全策略。昆德拉上任时就承认云计算可能存在隐私泄露或其它安全隐患，但表示不能因此而错过云计算的速度和效率。2009 年5月召开的云计算倡议工业界峰会上，美国产业界认识到云计算在法律法规和政策以及IT安全和隐私方面的挑战，深入讨论了云计算认证认可、访问控制和身份管理、数据和应用安全、可移植性和互操作性以及服务级别协议等。5月的《远景分析》中指出了与新技术服务交付模型相关的风险，包括政策的变化、动态应用的实施以及动态环境的安全保障，要求建立一个项目管理办公室来实施工业界最佳实践和政府项目管理方面的政策。10月美国国家标准和技术研究所(NIST)在《有效安全地使用云计算范式》的研究报告中分析了云安全的众多优势和挑战。

2010年2月，美国启动了政府范围的云计算解决方案的安全认证认可过程的开发。8月CIOC发布了《联邦部门和机构使用云计算的隐私建议》，指出云环境下隐私风险跟法律法规、隐私数据存储位置、云服务商服务条款和隐私保护策略有关，并指出了9类风险，通过使用相关标准、签署隐私保护的补充合同条款、进行隐私门槛分析和隐私影响评估、充分考虑相关的隐私保护法律，可以有效加强云计算环境下的隐私保护。11月，美国政府CIO委员会发布关于政府机构采用云计算的政府文件，阐述了云计算带来的挑战以及针对云计算的安全防护，要求政府及各机构评估云计算相关的安全风险并与自己的安全需求进行比对分析。同时指出，由政府授权机构对云计算服务商进行统一的风险评估和授权认定，可加速云计算的评估和采用，并能降低风险评估的费用。12月，在《改革联邦信息技术管理的25点实施计划》中指出安全、互操作性、可移植性是云计算被接纳的主要障碍。

2011年1月，国土安全部(DHS)给出了《从安全角度看云计算：联邦IT管理者入门》读本，指出了联邦面临的16项关键安全挑战：隐私、司法、调查与电子发现、数据保留、过程验证、多租户、安全评估、共享风险、人员安全甄选、分布式数据中心、物理安全、程序编码安全、数据泄露、未来的规章制度、云计算应用、有能力的IT人员挑战，NIST发布了《公共云计算安全和隐私指南》和《完全虚拟化技术安全指南》。2月份的《联邦云计算战略》指出在管理云服务时要主动监视和定期评估，确保一个安全可信的环境，并做出了战略部署，包括推动联邦风险和授权管理项目(FedRAMP)、DHS 要每6个月或按需发布一个安全威胁TOP 列表并给出合适的安全控制措施和方法，NIST要发布一些安全技术指南。

今年9月，美国国防信息系统局(DISA)发布了新版云安全指南，旨在辅助国防部(DoD)保护本国网络免遭黑客攻击。同以往相比，该指南对云安全的概念、实现云安全的步骤均做了更加全面的诠释。此外，新指南还规定组织机构及管理者在利用商业云产品时应承担的责任。该指南的发布印证了国防部增加采用商业云产品的事实。

欧洲：紧跟美国，加速部署云安全

云安全为云计算保驾护航

近年来，欧洲经济受全球经济环境恶化的影响日益严重，经济的持续发展受到多种因素的制约。首先，对能源、尤其是化石能源的消耗增多，导致温室气体排放量加大；其次，自然资源匮乏且保护管理不善等问题日益凸显。经济发展持续停滞，直接导致欧洲公民的生活质量提高速度缓慢。在这样的背景下，云计算技术在节能降耗、提高公共服务效率方面的优势受到了欧洲各国的广泛认可，成为解决经济持续发展问题的首选方案。

欧盟及部分欧洲国家希望在控制赤字、节省预算前提下，借助云计算解决这些影响经济持续发展的问题。据2014年统计数据显示，欧盟范围内约五分之一的企业已使用云计算服务，其中超过一半的芬兰企业使用云计算服务，为欧盟范围内比例最高的国家，其次是意大利、瑞典和丹麦。此外，英国还制定了“G-Cloud”战略，并在境内设立G-CIoud（私人政府云计算基础设施），在云计算方面走在了欧洲各国的前列。英国政府希望能借此在2014~2015年节省8000万英镑，到2015年，至少有50%的信息技术资源通过公共云服务网络来购买。

为了持续保障云安全，早在2009年，欧盟网络与信息安全局（ENISA）就启动了相关研究工作，先后发布了《云计算：好处、风险及信息安全建议》和《ENISA云计算信息安全保障框架》，使公共部门对云服务提供商进行预评估，确定是否采购其服务。

2011年，ENISA又发布了《政府云的安全性和复原力》报告，为公共机构提供了决策指南。ENISA还调查了欧洲140多个公共机构在云服务采购方面的做法，为进一步出台详细的操作指南奠定了基础。然而，以上部署主要关注在云服务提供前期如何规避安全风险。

为了在整个合同期持续地保障云服务安全，2012年4月，ENISA制定并发布了《云计算合同安全服务水平监测指南》。《指南》重点关注公共服务领域的合同，将评估工作贯穿整个合同期。这将有助于对云服务的数据安全持续监测，为云服务采购者提供指导，推动产业进入一个全新的发展阶段。

欧洲呼吁制定全球数据保护法

2010年3月，欧洲领导人呼吁制定一个关于数据保护的全球协议以解决云计算的数据安全弱点。这个呼吁是向参加欧洲议会讨论网络犯罪法规和谐化的会议的来自许多国家的300名网络法律专家提出的。

意大利数据保护权利机构负责人Francesco Pizetti警告说，云计算对哪一种个人数据应该由公司处理的法律基础提出了挑战。没有一个为全球所有国家接受的严格的国家规则，要继续保护公民的数据是不可能的。

欧洲网络和信息安全局（ENISA）执行理事Udo Helmbrecht表示，该机构正在审查云计算，因为云计算有数据安全风险。ENISA将推动欧洲管理部门要求云计算提供商通知客户有关安全突破的事情。

云安全联盟执行理事Jim Reavis说，管理环境需要为云计算提供商澄清疑惑。一个不确定性是如何处理政府提出的访问他们拥有的数据的请求。云计算服务提供商应该让“敌对的”政府很难得到他们的数据，但是，应该支持有法律权利的政府提出这种请求。

比利时那慕尔大学（University of Namur）IT和法律研究中心主任Yves Poullet警告说，云计算正在挑战隐私的定义。外国警察可能会缴获在他们国家托管的云计算数据中心存储的数据。

欧盟建立政务云安全框架

欧盟成员国当前面临严峻的经济挑战，成员国中央或地方政府迫切需要增加ICT服务的效率及有效性，而云计算的服务模式为达到这一目标提供了可操作的捷径和契机。基于这一背景，2010年11月欧洲网络与信息安全局（ENISA）等国际公共机构提出了政务云的概念。在ENISA的“安全弹性的政务云”和“政务云安全部署操作指南”报告中指出：“云计算的服务模式具备扩展性、弹性、高性能和安全性，可以满足大部分公共管理部门的业务需求，但目前公共管理部门缺乏针对自身的基于安全与弹性的风险评估模型”。

ENISA在报告中建议各成员国政府应鼓励在所有云部署模型中嵌入基本的安全要求。该报告还以此为基础提出了一个通用的政务云安全框架。此安全框架的参考依据包括现有的云安全文献、相关的优秀实践和欧洲政务云案例。该安全框架总结为四个阶段、九个安全操作流程和十四个步骤详尽的安全框架模型,可作为成员国定义和实践安全政务云的指南。本框架已经过爱沙尼亚、希腊、西班牙和英国四个国家政务云案例的实践验证，并在验证过程中形成操作指南，此操作指南可用于指导欧盟成员国建设安全的政务云。

比利时那慕尔大学IT和法律研究中心主任Yves Poullet警告说，云计算正在挑战隐私的定义。外国警察可能会缴获在他们国家托管的云计算数据中心存储的数据。

“棱镜门”事件加速欧洲云安全增长

美国国家安全局监视公众隐私的“棱镜门”事件曝光之后，欧洲开始力推自主的云计算。据报道，美国国家安全局秘密监控美国9大互联网企业的活动，引发欧洲各界的不安，担心保存在美国服务器的资料安全，欧洲云计算市场正引来加速发展的契机。

2012年，法国政府已经投入1.5亿欧元资助当地的云服务提供商Cloudwatt和Numergy，让法国能够不经美国企业之手独立处理网络资讯。

德国更是打造“云端服务：德国制造”项目，向当地企业提供服务。有欧洲当地律师表示，通常资料传到美国会经由美国企业的云端设施处理，对此用户不免心生疑虑，担心美国当局秘密取得资料。

2013年，美国新出台的立法规定，美国情报部门能够在无搜查证的情况下，监视存储在美国境内计算机系统里的一切信息。这意味着，其他国家电脑用户上传到云存储服务端，例如苹果的iCloud和谷歌的云端硬盘等服务器的私人信息能够被美国政府无条件获得。

欧盟司法委员雷丁致信美国司法部长霍尔德，要求美国就其秘密情报监视项目向欧盟作出解释，并担忧美国当局可能大范围监听欧洲公民的私人信息。

有消息指出，欧盟委员会正在推出一项数据保护法令，包括加强对第三国公司数据保护的监管。该法令已辩论了一年半，各成员国政府的支持意愿并不强，“棱镜门”事件或有助于该法令获得更多支持。

英国广播公司认为，美国国家安全局通过互联网获得个人信息，首先得归功于云计算时代。如今大量用户数据不再存放于个人电脑中，而是在云服务提供商手中。

当下，各国对于云计算技术的应用持续升温，虽然欧洲云计算的基础设施发展比北美市场滞后一些，但增长趋势强劲。

有分析人士表示，“棱镜门”事件反而将成为推动欧洲云计算市场发展的助推器，各国也将加强网络数据安全保护，特别是“云安全”市场将出现爆发式增长。

日本：学习欧美，快速搭建云安全平台

2009年，日本总务省推出《数字日本创新计划》，旨在建立新型信息技术市场，助力日本经济发展。由日本内务和通信监管部负责建立的大数据、云计算基础设施“霞关云”工程是该计划的一个重要组成部分。工程主要包括四方面内容：一是共建创新性的电子政府;二是建立国家数字存档系统;三是创建绿色云数据中心;四是开发政府潜能，建立霞关云。2010年，日本经济产业省推出《云计算与日本竞争力研究》报告，制定了在2020年前培育出超过40万亿元新市场的目标。2015年，“霞关云”将建设完成，日本政府所有的电子政务将集中到统一的云计算基础设施之上，以提高运营效率、降低成本。

由于云计算的快速发展，日本对于云安全的重视程度也在增加。日本总务省每年都会召开“智能手机与云安全研讨会”并发布中期报告，探讨智能手机、云服务应用和其他新技术进步带来的信息安全问题及相应的解决方案。日本政府也启动了官民合作项目，组织信息技术企业与有关部门对于云计算的实际应用开展计算安全性测试，以提高日本使用云计算的安全水平，向中小企业普及云计算，并确保企业和个人数据的安全性。

因此，随着云计算技术及理念的深入应用，云计算的安全越来越成为业界关注的重点，一方面云计算应用的无边界性、流动性等特点引发了很多新的安全问题；另一方面云计算技术及理念也对传统安全技术及应用产生了深远的影响。欧美和日本对云计算安全体系的研究和规范也说明云安全需求越来越受到各国政府的重视。