來源: CTI論壇
全球雲端運算服務市場近年來保持高增長。據Gartner統計,2014年全球雲端運算服務市場規模達1528億美元,增長率達17.9%,其中典型的IaaS、PaaS、SaaS服務的市場規模達425億美元。
雲端服務增速是全球IT支出的4倍,預計在全球IT支出中的佔比,將從2013年的3.6% 提高到2018年的6.6%。雲端運算服務正日益演變為新型的資訊基礎設施。各國高度重視雲端運算的發展,近年來都製訂國家策略和行動計劃,通過政府的先導示範,培育和拉動國內市場,政府採購中所形成的安全標準、服務規範、管理制度等,都將成為其他行業採用雲端服務時的重要參考。
雲端運算市場特點
要分析各國的產業政策和法律法規,首先要來看不同國家的雲端運算產業情況。
美國龐大的網路產業提供市場需求支撐,雲端應用向垂直行業擴張。目前美國90% 的初創企業,都將公共雲端服務作為IT系統建設的首選,同時「聯邦雲端運算策略」的實施,又使政府成為雲端運算的重要用戶,目前已有300多家政府機構使用公共雲服務。美國中情局計劃未來10年,將斥資6億美元使用亞馬遜雲服務。
從供方角度來說,美國雲端運算產業體系完整,巨頭企業正在不斷加強優勢地位,並且逐漸向全球市場擴張。目前在全球排名前100的雲端運算企業,美國佔84家,同時美國雲端運算巨頭企業正在全球快速擴張,鞏固其產業地位。
其中亞馬遜佔全球IaaS市場40%,托管網站數量一年增長了71%,2013年中時網站數量達到了1160萬,是中國網站總數的4倍;微軟佔全球PaaS市場佔有率的64% ;Salesforce佔SaaS市場的21% ;亞馬遜、微軟、谷歌等巨頭在全球重要地區均建有數據中心,而且仍在不斷擴張中。
歐洲和日本市場呈現與美國不同的局面。就需求方面來說,歐洲和日本市場容量巨大,而且增速逐年提升,目前已有多個國家提出雲端運算推動計劃,如英國2013年在「政府雲端運算策略」中提出,到2015年中央政府新增IT支出中50%
用於採購公共雲端服務;德國的《德國雲端運算行動計劃》鼓勵聯邦和各州政府,在電子政務中採用雲端運算技術;日本總務省發佈的「智慧雲端策略」建議促進政府部門的雲端運算應用等。
但歐日等國缺乏本國雲端運算企業的支持。2014年全球排名前100的雲端運算企業中,歐洲只有9家,日本無一企業上榜。而亞馬遜、微軟、谷歌等美國雲端運算巨頭已在歐洲、日本等地建立數據中心,提供本地化服務。正如歐盟《歐洲雲計算潛力報告(2012)》中所述,「歐洲雲端運算市場與美國存在數年的差距……歐洲大多數雲端服務企業都是美國公司」。
各國的產業政策
1. 美國意在強產業、弱監管
美國是雲端運算發展領先的國家,產業實力較強,因此政府對雲端運算行業本身沒有特殊的監管機制,與網路業務同等對待。但是在雲端運算實際應用到垂直行業時就設有較高門檻,比如政府行業使用雲端運算,需要通過Fed RAMP認證,需通過第三方認證,並經過多部門聯合委員會的審定等。
雲端服務供應商通過獲得Fed RAMP證書,即可認為安全達到政府要求。聯邦機構和雲端服務供應商,都需滿足Fed RAMP的安全控制基線,包含低、中、高三套基線控制集,為不同級別的系統,推薦了不同強度的安全控制集(包括管理、技術和運行)。
對於通過政府社區雲、公共雲和私有雲交付的服務,安全性需達到中級影響基線,對於飛地雲端交付的服務,不僅需要達到高級影響基線,還需提供額外安全控制保護機密數據。
2. 歐盟意在弱產業、強監管
歐盟雲端運算相對美國較為滯後,為了發展本土雲端運算產業,歐盟對雲端運算採用強監管機制。2013年6月,歐盟議會通過了關鍵信息基礎設施(CIIP)——針對全球網路安全的決議,其中將雲端運算納入了關鍵資訊基礎設施(CIIP)範疇,也就意味著加大對雲端運算的監管力度。
英國政府機構和公共部門採購雲端服務主要通過英國政府雲端服務項目(G-Cloud)的在線雲端服務商店(CloudStore)進行。G-Cloud提供了詳細的應用清單,採購機構只需明確計劃支付的採購費用,和所需的雲端服務應用要求,並在Cloud-Store上選擇即可。
進入Cloud Store的雲端服務商需要認證評估:一是必須滿足G-Cloud雲端服務合約框架,二是需要通過G-Cloud認證。根據ISO27001和英國政府資訊標準(HMG Information
Standards No。1&2),G-Cloud認證共對四類雲端服務進行認證,包括基礎設施即服務(IaaS)、平台即服務(PaaS)、軟件即服務(SaaS)和專家雲服務(Specialist
Cloud Services,SCS,提供雲端運算專家咨詢服務)。英國完全禁止政府資訊儲存在境外,並且提出網路連接方面的技術要求,使得境外的雲端平台事實上不可能通過審查,以達到保障安全和遏制國外雲服務商的目的。
3. 韓國也突出監管重要性
韓國《雲端運算發展與用戶保護法》將雲端運算納入增值服務進行管理,政府部門委託韓國雲端服務協會(KCSA)對雲端服務進行認證。同時要求在韓國提供雲端運算服務的企業必須向政府提交一份報告,以作為提供服務的條件之一。
全球雲端運算相關法律情況
雲端運算帶來的數據隱私和跨境數據流動等問題,已經引起了全球的共同關注。一是雲端運算業務採用的數據托管和資源租用的服務模式,帶來了數據和用戶隱私保護、濫用雲端運算服務等方面的問題。
二是雲端運算系統中數據的大規模聚集和跨境流動,帶來了法律法規的適用性、數據的外洩和主控權等問題。尤其是在「稜鏡門」之後,雲端運算這種大量數據,通過網路存在雲端服務提供商中的業務形式,再加上美國在雲端運算領域的主導地位,使各國更加重視對雲端運算的跨境流動監管。
由於各國的在立法上,對數據保護的水平參差不齊,跨境數據轉移中的個人數據保護成為跨境數據流動的主要障礙之一。意識到數據保護的國際性、涉及政治、經濟、科技等諸多因素,各個國際組織和歐盟、美國等先進國家從不同的角度,積極地介入跨境數據轉移的保護規則制定,力求融合和統一各國的立法,盡量消除和減少數據保護給跨境數據流動造成的障礙,促進經濟全球化。
歐盟製訂了對歐盟以外國家的個人數據保護評估標準,若成員國依據標準認定第三國不具備一定的水平,原則上禁止向這些第三國或地區,轉移個人數據和資料。
2000年美國和歐盟簽訂了安全港協議,此外,美國還單獨與瑞士發展出了「美國- 瑞士安全港」框架。獲得安全港認證機構,將可使用官方「安全港認證」標識,可置於機構網站、媒體等,並可享受數據保護方面的「安全港利益」。
台灣對主要針對非政府部門個人資料的跨境傳輸做出規定 :凡涉及國家重大利益,國際條約或協議有特別規定,接受國家對於個人數據之保護未有完善的法規,非政府部門以迂迴方法向第三國(地區),傳輸個人數據規避資料法規定的,中央目的事業機關,都可以對其跨境傳輸做出限制。
韓國《個人信息保護法》規定:政府應製訂促進國際環境下,個人資訊保護的必要政策措施,並應當製訂相關政策措施,保障跨境個人資訊傳輸不侵犯資訊主體的權利。
沒有留言:
張貼留言