可信云服务认证

　　可信云服务认证是由数据中心联盟和云计算发展与政策论坛（以下简称联盟和论坛）联合组织的，我国唯一针对云服务可信性的权威认证体系。

　　2013年10月，可信云服务认证正式启动，这标志着我国也拥有了自己的云服务质量评估体系。可信云服务认证是在工信部通信发展司的指导下，由云计算发展与政策论坛成立的“可信云服务工作组”组织开展，认证的核心目标是建立云服务商的评估体系，为用户选择安全、可信的云服务商提供支撑，并最终促进我国云计算市场健康、有序发展。

　　“可信云服务工作组”的主要成员包括工信部电信研究院、三家电信运营商、主要互联网企业和设备提供商。基于科学性的原则，可信云服务认证充分借鉴了日本、韩国和德国的先进经验，并针对我国云服务市场的特征，结合用户关心的核心问题开展相关认证。在认证过程中，可信云服务认证分为标准编写、服务测评、专家评议三个阶段。

　　为了充分体现云服务商的技术指标和水平，可信云服务认证的具体测评内容包括三大类共16项，分别是：数据管理类（数据存储的持久性、数据可销毁性、数据可迁移性、数据保密性、数据知情权、数据可审查性）、业务质量类（业务功能、业务可用性、业务弹性、故障恢复能力、网络接入性能、服务计量准确性）和权益保障类（服务变更、终止条款、服务赔偿条款、用户约束条款和服务商免责条款），基本涵盖了云服务商需要向用户承诺或告知（基于服务SLA）的90%的问题。可信云服务认证将系统评估云服务商对这16个指标的实现程度，为用户选择云服务商提供基本依据。

　　1.评估目的和对象

　　(1)可信云服务认证的目的

　　●一是帮助云用户弄清专业性问题，对用户关心的90％的共性问题进行评估鉴定，并且减轻云服务商的负担，减少云服务商同用户沟通的成本，从而培育市场。

　　●二是规范云服务服务行为和运营管理流程，统一指标的解释，使云服务评估的指标解释统一，可比性更强，从而规范市场。

　　(2)可信云服务认证的对象

　　由于当前云服务的形态较多，且没有统一的业务分类标准，不同云服务商不同产品的发展水平不一。因此，从严谨性出发，评估对象为单个的云服务，避免以偏概全为整个云服务商。

　　2.评估方法

　　“可信云服务”的可信，即评估方法的维度有以下3个方面：

　　(1)企业信息真实性披露，即参评企业基本信息和业务基本信息是否可信。

　　(2)云服务指标的完备性和规范性，即参评云计算服务协议是否就用户关心的关键问题都做了承诺或告知，承诺或告知的描述是否规范。

　　(3)云服务指标的真实性，即承诺或告知的指标的真实能力。

　　●第一个维度的评估方法

　　主要采用材料审查的方式，对参评企业基本信息和业务基本信息的真实性进行验证。企业基本信息包括经营资质、规模、人员等，业务基本信息包括业务名称、起始时间、支付方式等。通过的准则是参评云业务提交的基本信息材料必须真实，所有必选项必须通过。

　　●第二个维度的评估方法

　　本维度考察云服务商是否就用户关心的所有指标和条款进行了承诺或说明，承诺或说明的出处为云计算服务协议(含SLA)和其他说明文档，如白皮书等。需承诺或说明的指标和条款为《云计算服务协议参考框架》中推荐的所有指标项和条款项，其中云服务需要承诺的有l6个指标，具体包括以下几类：

　　——数据管理类：数据存储的持久性、数据可销毁性、可迁移性、数据私密性、数据知情权、数据可审查性。

　　——业务质量类：业务功能、业务可用性、业务弹性、故障恢复能力、网络接人性能、服务计量准确性。——权益保障类：服务变更、终止条款、服务赔偿条款、用户约束条款和服务商免责条款。

　　《云计算服务协议参考框架》为云计算服务协议的参考框架，适合所有的云计算业务和不同类型的用户，用来指导云服务商制定最佳服务协议，有助于用户和服务商从统一标准化的角度理解服务协议的指标或条款。本标准中，服务协议最佳实践所应包括的指标项和条款项、每项定义和每项的规范性描述，规范性描述规范了服务商向用户承诺每项指标项和条款项时，应说明哪几方面的信息。并未规定具体指标数值和内容。

　　●第三个维度的评估方法

　　根据不同的云服务同一指标的评估方法稍有不同。

　　——目前已经完成并实践的：《可信云服务认证评估方法第1部分：云主机》、《可信云服务认证评估方法第2部分：对象存储》和《可信云服务认证评估方法第3部分：云数据库》。

　　——计划制定的：《可信云服务认证评估方法第4部分：块存储》、《可信云服务认证评估方法第5部分：云引擎》和《可信云服务认证评估方法第6部分：云分发》。

　　评估方法对服务协议中的每个指标和条款承诺的真实性进行评估。总体通过的准则是服务协议中的所有指标项和条款项都必须按照评估方法通过验证。以云主机为例，16个指标都为必选评估项，其中所有的指标都要有材料审查，包括28项材料审查、迁移性等6个指标需要技术测试、业务可审查性等3个指标需要实际考察。

　　3.评估机制

　　《云计算政策与发展论坛可信云服务认证操作办法》对评估操作流程进行规范。整个评估过程包括6个环节，即材料形式审查、技术测试、实际考察、技术专家组评审、技术专家组复审和评审委员会评议。

　　——工业和信息化部电信研究院进行材料形式审查、技术测试和实际考察。材料形式审查：审查材料是否齐全和真实。技术测试：利用虚拟化平台等多种技术手段对指标进行测试，出具完整测试报告。实际考察：对云服务的相关系统进行实际考察验证。材料齐全、技术测试和实际考察都通过的云服务才可进入下一阶段，未通过要进行整改。

　　——技术专家组评审和复审：根据《云计算服务协议参考框架》和《可信云服务认证评估方法》系列标准，对提供的材料和测试报告判定16个指标完备性、规范性和真实性，评审采取同行评议，企业答辩，独立打分，本单位回避等机制。对前阶段评审有问题的企业根据专家意见整改，再次复审，判定整改结果。

　　——评审委员会评议：组织工信部、财政部、发改委、中咨、北邮、赛迪等多方领导和专家鉴定评估过程的合理性及技术专家组评定结果的客观公正性。

　　4.评估进展

　　可信云服务认证首轮云服务评估情况。目前，可信云服务认证已经根据第一版本的标准完成了20个云服务的评估，并正在根据新细化的标准，进行补测工作。20个云服务覆盖云主机、对象存储和云数据库3大类，分属1O家企业，包括中国电信、中国移动、阿里巴巴、百度、腾讯、新浪、京东、蓝汛、世纪互联和UCloud。