信息技術(shù)服務(wù) 云計算服務(wù) 運(yùn)營通用要求
Information technology service – cloud computing service - Part1:General requirements
(征求意見稿:2010-11)
引言
云計算是一種基于網(wǎng)絡(luò)的計算模式,通過網(wǎng)絡(luò)將IT基礎(chǔ)設(shè)施資源、軟件與信息按需提供給用戶使用。云計算有效促進(jìn)了網(wǎng)格計算、分布式計算、并行計算、效用計算、網(wǎng)絡(luò)存儲、虛擬化、負(fù)載均衡等計算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的融合應(yīng)用,并具備以下特征:
a) 按需服務(wù):云計算服務(wù)應(yīng)能夠快速自動化地滿足用戶對服務(wù)功能、服務(wù)實(shí)例等服務(wù)交付內(nèi)容的申請,變更,取消等操作,使用戶的需求能夠即時得到滿足;
b) 彈性:云計算服務(wù)應(yīng)具有快速伸縮的能力,用戶可隨時申請、釋放和調(diào)整云計算服務(wù)資源的使用;
c) 網(wǎng)絡(luò)依存性:云計算服務(wù)的使用者通過網(wǎng)絡(luò)訪問計算,存儲資源以及各種服務(wù);
d) 可計量:云計算服務(wù)本身應(yīng)具備將用戶使用的計算、存儲及其他特定功能的服務(wù)按照合理一致的標(biāo)準(zhǔn)進(jìn)行細(xì)粒度地計量的能力。
另外,隨著云計算相關(guān)應(yīng)用的普及以及應(yīng)用需求的不斷深化,也給開發(fā)云計算服務(wù)、提供云計算服務(wù)以及消費(fèi)云計算服務(wù)的組織帶來了新的挑戰(zhàn)。主要包括:
a) 具備什么樣條件或能力的組織可以提供云計算服務(wù)以及什么樣的IT服務(wù)屬于云計算服務(wù)。
b) 如何標(biāo)準(zhǔn)化云計算服務(wù)提供商和用戶之間的接口與服務(wù)流程,促進(jìn)良性競爭,營造更健康的云計算生態(tài)環(huán)境。
針對上述挑戰(zhàn),需要給出一個公共框架或方法,確保各方在開發(fā)、提供和消費(fèi)云計算服務(wù)的過程中進(jìn)行有效的溝通與合作。
本部分提供了一個覆蓋云計算服務(wù)的內(nèi)部特征、服務(wù)模式和外部特性的框架。其中:
——內(nèi)部特征:包括組成云計算服務(wù)的人員、流程、技術(shù)及資源的要素;
——服務(wù)模式:包括軟件即服務(wù)、平臺即服務(wù)、基礎(chǔ)設(shè)施即服務(wù)等典型的云計算服務(wù)模式;
——外部特性:包括按需服務(wù)、彈性、網(wǎng)絡(luò)依存和可度量的外部特性。
本部分的第5章至第8章分別規(guī)定了組成云計算服務(wù)的人員、流程、技術(shù)及資源要求,第9章講述安全方面的要求。附錄A規(guī)定了如何依據(jù)本標(biāo)準(zhǔn)對開發(fā)和提供云計算服務(wù)的組織進(jìn)行評價。
1 范圍
本部分提供了一個云計算服務(wù)公共框架,規(guī)定了開發(fā)和提供云計算服務(wù)的組織在人員、流程、技術(shù)及資源方面應(yīng)具備的條件和能力。
本部分適用于:
a) 開發(fā)云計算的組織和提供云計算服務(wù)的組織之間建立契約;
b) 提供云計算服務(wù)的組織評估自身的條件和能力;
c) 需要云計算服務(wù)的組織選擇和評價提供云計算服務(wù)的組織;
d) 第三方評價和認(rèn)定提供云計算服務(wù)組織的能力。
2 規(guī)范性引用文件
下列文件中的條款通過本部分的引用而成為本部分的條款。凡是注日期的引用文件,其隨后所有的修改單(不包括勘誤的內(nèi)容)或修訂版均不適用于本部分,然而,鼓勵根據(jù)本部分達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件,其最新版本適用于本部分。
NIST Cloud Definition v15
Wikipedia……
Cloud Computing Use Case White Paper
ITU-T FG Cloud……
ISO 9000:2000
ISO/IEC 20000:2005
3 術(shù)語和定義
3.1
云計算 cloud computing:
云計算是一種基于網(wǎng)絡(luò)的計算模式,通過網(wǎng)絡(luò)將IT基礎(chǔ)設(shè)施資源、軟件與信息按需提供給用戶使用。
注1:云計算不是一類計算機(jī)技術(shù)或網(wǎng)絡(luò)技術(shù),而是實(shí)現(xiàn)網(wǎng)格計算、效用計算、虛擬化技術(shù)、Web服務(wù)技術(shù)融合發(fā)展的模式;
注2:云計算具有寬帶接入、快速彈性、服務(wù)可測量、按需自服務(wù)、資源池化等特征。
3.2
云計算服務(wù) cloud computing service:
指一種交付和使用信息技術(shù)基礎(chǔ)設(shè)施和應(yīng)用環(huán)境的服務(wù),即通過網(wǎng)絡(luò)以按需、易擴(kuò)展、可計量的方式獲得所需的資源及服務(wù),這些資源和服務(wù)可以是各種硬件資源、軟件資源或特定的信息服務(wù)。
3.3
基礎(chǔ)設(shè)施即服務(wù) infrastructure as a service(IaaS)
云計算服務(wù)提供商以按量計費(fèi)的方式為用戶提供可動態(tài)申請或釋放的計算資源、存儲資源、網(wǎng)絡(luò)資源等基礎(chǔ)設(shè)施的服務(wù)模式。
3.4
平臺即服務(wù) platform as a service(PaaS)
云計算服務(wù)提供商以按量計費(fèi)的方式為用戶提供應(yīng)用軟件所需的支撐平臺,包括用戶應(yīng)用程序的運(yùn)行環(huán)境和開發(fā)環(huán)境,供用戶在此基礎(chǔ)上開發(fā)和提供相關(guān)應(yīng)用的服務(wù)模式。
3.5
軟件即服務(wù) software as a service(SaaS)
云計算服務(wù)提供商通過網(wǎng)絡(luò)以按量計費(fèi)租用的方式向用戶提供在線軟件應(yīng)用的服務(wù)模式。在這種模式下,用戶不用再購買軟件,而改為向服務(wù)提供商租用基于Web的軟件,來管理企業(yè)經(jīng)營活動,且無需對軟件進(jìn)行維護(hù),服務(wù)提供商會全權(quán)管理和維護(hù)軟件。
3.6
彈性 elasticity
根據(jù)用戶的需求隨時分配、回收和調(diào)整云計算服務(wù)資源的能力。
3.7
資源池化 resouce pooling
云計算服務(wù)提供商將提供服務(wù)的資源構(gòu)建成一個統(tǒng)一的同質(zhì)化服務(wù)能力集合,根據(jù)用戶需要將資源動態(tài)地分配或再分配給多個用戶使用,從而達(dá)到資源復(fù)用的能力。
3.8
多租戶 multi-tenant
云計算服務(wù)提供商將資源提供給多組用戶使用,實(shí)現(xiàn)數(shù)據(jù)隔離以保證用戶的數(shù)據(jù)不被其他用戶看到和篡改,同時保證不同用戶之間的應(yīng)用性能不會受到影響的能力。
4 云計算服務(wù)模型
4.1 模型
4.2 內(nèi)部特征
云計算服務(wù)的內(nèi)部特征反映了云計算服務(wù)商的服務(wù)提供能力,包含人員、流程、資源和技術(shù)四個要素:
a) 人員要素包括人員管理、崗位結(jié)構(gòu)以及人員技能;
b) 流程要素分為展現(xiàn)服務(wù)層、運(yùn)維管理層和采集控制層三個層面;
c) 技術(shù)要素包括資源池化技術(shù)、計量技術(shù)、監(jiān)控技術(shù)、調(diào)度技術(shù)和安全保障技術(shù);
d) 資源要素分為計算資源、存儲資源、網(wǎng)絡(luò)資源和支撐環(huán)境。
4.3 服務(wù)模式
云計算的服務(wù)模式主要包括IaaS、PaaS和SaaS。三種模式自底向上提供不同層次的云計算服務(wù),具有層次關(guān)系,但上層服務(wù)不必構(gòu)建于底層服務(wù)之上。
4.4 外部特性
云計算服務(wù)的外部特性是用戶可感知的服務(wù)體驗:
a) 按需服務(wù):云計算服務(wù)應(yīng)能夠快速自動化地滿足用戶對服務(wù)功能、服務(wù)實(shí)例等服務(wù)交付內(nèi)容的申請,變更,取消等操作,使用戶的需求能夠即時得到滿足;
b) 彈性:云計算服務(wù)應(yīng)具有快速伸縮的能力,用戶可隨時申請、釋放和調(diào)整云計算服務(wù)資源的使用;
c) 網(wǎng)絡(luò)依存性:云計算服務(wù)的使用者通過網(wǎng)絡(luò)訪問計算,存儲資源以及各種服務(wù);
d) 可計量:云計算服務(wù)本身應(yīng)具備將用戶使用的計算、存儲及其他特定功能的服務(wù)按照合理一致的標(biāo)準(zhǔn)進(jìn)行細(xì)粒度地計量的能力。
5 人員
云計算服務(wù)商應(yīng)確保服務(wù)提供過程中的有關(guān)人員具備相應(yīng)的服務(wù)能力。
5.1 人員管理
應(yīng)從以下方面規(guī)范人員管理:
a) 管理承諾
應(yīng)通過清晰的政策、足夠的預(yù)算與合理的分工,來確保人員管理可以符合監(jiān)管機(jī)構(gòu)與客戶的要求。
b) 管理流程
應(yīng)建立組織內(nèi)人員選聘、試用、培訓(xùn)、考核與離職管理程序。如果與第三方合作提供云計算服務(wù),應(yīng)對合作伙伴的相關(guān)人員進(jìn)行有效管理,確保云計算服務(wù)的正常提供。
應(yīng)當(dāng)建立人員管理制度、績效考核辦法和培訓(xùn)計劃。
5.2 崗位結(jié)構(gòu)
在崗位結(jié)構(gòu)方面應(yīng)滿足:
a) 建立專職團(tuán)隊負(fù)責(zé)云計算服務(wù)的提供;
b) 對云計算服務(wù)過程中的不同角色進(jìn)行明確分工和職責(zé)定義;
c) 云計算服務(wù)團(tuán)隊?wèi)?yīng)包括云計算服務(wù)的管理、技術(shù)支持和系統(tǒng)操作維護(hù)等主要崗位。
應(yīng)當(dāng)制定崗位職責(zé)說明書,明確主要崗位的人員配備。
5.3 人員技能
在人員技能方面應(yīng)滿足:
a) 云計算服務(wù)人員應(yīng)掌握必要的專業(yè)技能,具備從事相關(guān)工作的資格;
b) 云計算服務(wù)人員應(yīng)參加崗位技能考核,合格后方能上崗,崗位技能考核應(yīng)定期開展。
應(yīng)當(dāng)建立人員技能考核制度,保證具有專業(yè)資質(zhì)的人員數(shù)量。
6 流程
“流程”指的是為確保云計算服務(wù)的交付過程與結(jié)果符合利益相關(guān)方的要求,而形成的一系列有組織的活動;每個流程均包括輸入、輸出、流程控制與流程資源等四大組成部分;流程在組織內(nèi)部可以定義為政策、標(biāo)準(zhǔn)、指南、活動和工作指令等不同的形式。
為了確保云計算服務(wù)提供商具備相應(yīng)的服務(wù)管理能力,應(yīng)從展現(xiàn)服務(wù)、運(yùn)維管理與采集控制三個層面建立相應(yīng)的管理流程:
a) 展現(xiàn)服務(wù)層:客戶與云計算服務(wù)提供商之間的信息交互活動,目的是按客戶的要求,提供或記錄與云計算服務(wù)相關(guān)的運(yùn)維信息與服務(wù)要求;
b) 運(yùn)維管理層:云計算服務(wù)提供商通過計劃、組織、協(xié)調(diào)與控制等手段,整合相關(guān)能力、資源來滿足客戶需求的活動,目的是整合組織的資源,分解服務(wù)內(nèi)容,建立相應(yīng)的流程;
c) 采集控制層:云計算服務(wù)提供商根據(jù)運(yùn)維管理層各項管理規(guī)定,開展對云計算服務(wù)相關(guān)組件的狀態(tài)、性能監(jiān)控與操作管理的活動。
6.1 展現(xiàn)服務(wù)層流程
6.1展現(xiàn)服務(wù)層流程
6.1.1 服務(wù)目錄管理
云計算服務(wù)提供商應(yīng)通過對服務(wù)目錄的定義、維護(hù)與評估等管理,為云計算服務(wù)用戶提供單一、準(zhǔn)確與完整的服務(wù)信息。云計算服務(wù)提供商應(yīng):
a) 定義流程中的角色與職責(zé);
b) 在機(jī)構(gòu)內(nèi)部規(guī)范并發(fā)布云計算相關(guān)服務(wù)的定義;
c) 進(jìn)行服務(wù)目錄的更新與維護(hù);
d) 與機(jī)構(gòu)內(nèi)的服務(wù)交付團(tuán)隊定期評估服務(wù)能力與服務(wù)目錄的一致性;
e) 定期評估服務(wù)需求與服務(wù)目錄的滿足度;
f) 建立服務(wù)目錄管理與服務(wù)水平管理的相互關(guān)系。
6.1.2 服務(wù)水平管理
云計算服務(wù)提供商應(yīng)通過定義、簽定與管理服務(wù)水平協(xié)議,確保云計算服務(wù)提供商所提供的各項服務(wù)符合該服務(wù)既定的服務(wù)目的。云計算服務(wù)提供商應(yīng):
a) 識別客戶在服務(wù)中的需求;
b) 定義客戶在服務(wù)中的項目,并形成服務(wù)描述與服務(wù)質(zhì)量計劃;
c) 明確服務(wù)水平協(xié)議與相關(guān)文件的簽署形式(電子與非電子形式);
d) 簽訂服務(wù)水平協(xié)議與相關(guān)文件;
e) 建立服務(wù)水平的監(jiān)控和報告的機(jī)制;
f) 定期、不定期評審服務(wù)水平協(xié)議執(zhí)行狀況,并作相關(guān)改進(jìn)計劃。
6.1.3 服務(wù)請求管理
云計算服務(wù)提供商應(yīng)通過對服務(wù)請求的定義、分派、審批與實(shí)現(xiàn)的管理,確保云計算服務(wù)提供商內(nèi)部有規(guī)范的渠道接受客戶的服務(wù)要求、投訴與評價,并提供相應(yīng)的信息、服務(wù)提交物給到客戶。云計算服務(wù)提供商應(yīng):
a) 明確服務(wù)請求的定義;
b) 建立分級與分派的機(jī)制;
c) 建立服務(wù)請求的技術(shù)與財務(wù)審批機(jī)制;
d) 建立服務(wù)請求的實(shí)現(xiàn)流程;
e) 規(guī)范服務(wù)請求關(guān)閉的條件與要求。
6.1.4 服務(wù)報告管理
云計算服務(wù)提供商應(yīng)通過及時、準(zhǔn)確、可靠的報告,建立云計算服務(wù)提供商與客戶之間有效的信息溝通機(jī)制,云計算服務(wù)提供商應(yīng):
a) 建立服務(wù)報告的管理流程,包括建立、審批、分發(fā)、歸檔等流程;
b) 定義服務(wù)報告的用戶與管理關(guān)注點(diǎn);
c) 定義服務(wù)報告的內(nèi)容、范圍、計算方式與報告模板;
d) 定義并執(zhí)行服務(wù)報告相關(guān)數(shù)據(jù)的搜集、加工與報告周期;
e) 定義并執(zhí)行服務(wù)報告的提交形式、用戶權(quán)限、以及與服務(wù)報告相關(guān)的評估機(jī)制。
流程的完備性(是否完整覆蓋上述各類流程中所述的活動)和流程執(zhí)行記錄構(gòu)成了展現(xiàn)服務(wù)層流程的關(guān)鍵指標(biāo)。
6.2 運(yùn)維管理層流程
運(yùn)維管理層流程應(yīng)滿足ISO/IEC 20000:2005的要求。
6.3 采集控制層流程
6.3.1 監(jiān)控管理
云計算服務(wù)提供商應(yīng)建立監(jiān)控管理流程,確保云計算服務(wù)相關(guān)服務(wù)組件的狀態(tài)與信息能得到及時的采集與展現(xiàn),云計算服務(wù)提供商應(yīng):
a) 明確監(jiān)控的職責(zé);
b) 明確監(jiān)控的范圍與工具;
c) 建立監(jiān)控指標(biāo)的制定、評審與定期調(diào)整機(jī)制;
d) 建立監(jiān)控數(shù)據(jù)的檢測、處理與分析機(jī)制;
e) 建立監(jiān)控管理與運(yùn)維管理層流程的關(guān)系。
6.3.2 操作管理
云計算服務(wù)提供商應(yīng)建立操作管理流程,確保云計算服務(wù)相關(guān)的組件可以根據(jù)客戶的要求與技術(shù)特點(diǎn)進(jìn)行操作,云計算服務(wù)提供商應(yīng):
a) 明確操作人員職責(zé)與紀(jì)律;
b) 建立系統(tǒng)運(yùn)行操作手冊、運(yùn)行日志、流程表單等運(yùn)行文檔;
c) 采用適當(dāng)輔助工具、軟件與腳本方式,規(guī)范云計算服務(wù)提交過程中相關(guān)組件的各項人工干預(yù)過程(如:作業(yè)排程與執(zhí)行、備份與恢復(fù)、打印與輸出、用戶管理等);
d) 建立操作管理過程中的升級與溝通機(jī)制。
e) 建立操作管理與運(yùn)維管理層流程的關(guān)系。
在建立采集控制層的流程時,要求覆蓋監(jiān)控管理和操作管理中所述的活動,并且記錄執(zhí)行流程,這些工作應(yīng)配備監(jiān)控工具和操作管理相關(guān)工具。
7 技術(shù)
技術(shù)是云計算服務(wù)提供商提供云計算服務(wù)的保障和前提,技術(shù)要素包括資源池化、計量技術(shù)、監(jiān)控技術(shù)、調(diào)度技術(shù)和安全保障技術(shù)等。云計算服務(wù)提供商需要有相應(yīng)的技術(shù)支撐來滿足其客戶當(dāng)前及將來的業(yè)務(wù)要求,并實(shí)現(xiàn)對其所提供云計算服務(wù)的有效管理。
7.1 資源池化
IaaS服務(wù)提供商應(yīng)具備資源池化技術(shù),能夠?qū)τ脩綦[藏服務(wù)基礎(chǔ)架構(gòu)的細(xì)節(jié)并從邏輯上進(jìn)行顆粒度分割,從而提供可平滑擴(kuò)展的服務(wù)。資源池化的對象應(yīng)至少包含計算資源、存儲資源和網(wǎng)絡(luò)資源:
a) 計算資源的資源池化:云計算服務(wù)提供商應(yīng)按照計算能力的單位(如每秒處理器運(yùn)算次數(shù),內(nèi)存容量,處理器核個數(shù)等)構(gòu)建計算能力池,并在使用協(xié)議中提供各種計算能力的可用組合方式;
b) 存儲資源的資源池化:云計算服務(wù)提供商應(yīng)按照存儲能力的單位(如靜態(tài)存儲的字節(jié)數(shù),存儲的I/O次數(shù),I/O流量等)構(gòu)建存儲能力池,并在使用協(xié)議中提供各種存儲能力的可用組合方式;
c) 網(wǎng)絡(luò)資源的資源池化:云計算服務(wù)提供商應(yīng)按照網(wǎng)絡(luò)傳輸能力的單位(如網(wǎng)絡(luò)地址個數(shù),持續(xù)傳輸速度,峰值傳輸速度等)構(gòu)建網(wǎng)絡(luò)傳輸能力池。
資源池的粒度、資源池的容量與用于申請與釋放資源的接口構(gòu)成了衡量資源池化技術(shù)的關(guān)鍵要素。
7.2 計量
云計算服務(wù)提供商應(yīng)具備服務(wù)計量的能力:
a) 根據(jù)所提供的服務(wù)類型,設(shè)定對應(yīng)的計量指標(biāo)(至少應(yīng)包含資源的使用時長、資源的使用數(shù)量、服務(wù)的使用次數(shù));
b) 根據(jù)不同的計量指標(biāo),采用對應(yīng)的計量方法。
計量指標(biāo)以及計量方法構(gòu)成了計量技術(shù)的關(guān)鍵指標(biāo)。
7.3 監(jiān)控
云計算服務(wù)提供商在監(jiān)控方面應(yīng)滿足:
a) 對服務(wù)進(jìn)行監(jiān)測,能夠采集并整合其性能數(shù)據(jù),對外提供統(tǒng)一的訪問接口;
b) 提供監(jiān)控數(shù)據(jù)的表示方案和存檔機(jī)制,為事后性能分析和統(tǒng)計提供依據(jù);
c) 提供可視化方案,向用戶直觀地呈現(xiàn)服務(wù)的當(dāng)前狀態(tài)和歷史信息。
服務(wù)監(jiān)測和性能采集工具、可視化工具以及監(jiān)控信息存儲的持久性構(gòu)成了監(jiān)控技術(shù)的關(guān)鍵指標(biāo)。
7.4 調(diào)度
云計算服務(wù)提供商在調(diào)度方面應(yīng)滿足:
a) 根據(jù)當(dāng)前系統(tǒng)的網(wǎng)絡(luò)負(fù)載情況,適時調(diào)整網(wǎng)絡(luò)帶寬,保證服務(wù)水平。在原有網(wǎng)絡(luò)資源不可用時,能自動切換到備用網(wǎng)絡(luò)資源,保證服務(wù)持續(xù);
b) 根據(jù)當(dāng)前系統(tǒng)的計算負(fù)載情況,適時遷移或擴(kuò)展應(yīng)用,保證服務(wù)水平。在原有計算資源不可用時,能自動切換到備用計算資源,保證服務(wù)持續(xù);
c) 根據(jù)當(dāng)前系統(tǒng)的存儲負(fù)載情況,適時增添或擴(kuò)展存儲設(shè)備,保證服務(wù)水平。在原有存儲資源不可用時,能自動切換到備用存儲資源,保證服務(wù)持續(xù)。
計算、存儲、網(wǎng)絡(luò)資源的可用性和服務(wù)連續(xù)性,以及資源調(diào)整機(jī)制構(gòu)成了調(diào)度的關(guān)鍵指標(biāo)。
8 資源
資源是云計算服務(wù)提供商提供各種云計算服務(wù)的基礎(chǔ),包括:計算資源、存儲資源、網(wǎng)絡(luò)資源、與其他服務(wù)資源等。在任何時間云計算服務(wù)提供商都需要有足夠的資源來滿足其客戶當(dāng)前及將來的業(yè)務(wù)要求,并能夠?qū)ζ湓朴嬎惴?wù)環(huán)境中的各種資源進(jìn)行有效管理。
8.1 基礎(chǔ)設(shè)施
云計算服務(wù)提供商能夠?qū)ζ湓朴嬎惴?wù)環(huán)境中的基礎(chǔ)設(shè)施資源進(jìn)行有效管理,并應(yīng):
a)有確定的、計算簡單的計算資源計量方法,如:按CPU個數(shù)(包括虛擬CPU)、內(nèi)存大?。òㄌ摂M內(nèi)存)來計量計算資源。b)具備對資源(包括:CPU、內(nèi)存、存儲空間、網(wǎng)絡(luò)帶寬)進(jìn)行容量規(guī)劃的能力,包括一個明確的、簡單、可操作的、針對大規(guī)?;A(chǔ)設(shè)施資源池的計算資源容量規(guī)劃方法,以及落實(shí)該方法能夠切實(shí)執(zhí)行的工具、人員、流程;
c)具備合適地對資源的使用、運(yùn)行情況進(jìn)行監(jiān)控的能力,包括:合適的工具、人員、流程,在流程中包括對CPU、內(nèi)存使用的預(yù)警規(guī)則;
d) 具備根據(jù)客戶訂單要求為客戶分配資源(包括:CPU、內(nèi)存、存儲空間、網(wǎng)絡(luò)帶寬)的能力,包括:計算資源分配、部署工具、人員、流程,資源分配能力能夠與資源監(jiān)控能力集成;
e) 用符合標(biāo)準(zhǔn)的接口通過網(wǎng)絡(luò)為客戶提供其訂購的資源服務(wù),該接口還必須具備一定的安全保障能力,如:用戶接入認(rèn)證、安全數(shù)據(jù)傳輸、數(shù)據(jù)保密等;
f) 具備資源(包括:CPU、內(nèi)存、存儲空間、網(wǎng)絡(luò)帶寬)動態(tài)、伸縮的能力,在客戶的業(yè)務(wù)應(yīng)用需要更多的資源時,能夠動態(tài)為其增加資源;在客戶的業(yè)務(wù)應(yīng)用需要的資源減少時,能夠動態(tài)地回收資源;
g) 具備資源(包括:CPU、內(nèi)存、存儲空間、網(wǎng)絡(luò)帶寬)的度量能力,即按照資源的計量單位對客戶使用的資源進(jìn)行度量,如客戶使用了幾個CPU、幾兆內(nèi)存,其業(yè)務(wù)應(yīng)用的運(yùn)行時間是多少等;
h) 具備資源(包括:CPU、內(nèi)存、存儲空間、網(wǎng)絡(luò)帶寬)運(yùn)行時故障處理的能力,包括:故障處理工具、人員、流程等。資源故障處理能力能夠與資源監(jiān)控能力集成。
計量模型、服務(wù)執(zhí)行記錄及改善機(jī)制構(gòu)成了衡量基礎(chǔ)設(shè)施資源的關(guān)鍵要素。
8.2 支撐環(huán)境
8.2.1 要求
云計算服務(wù)提供商能夠?qū)ζ湓朴嬎惴?wù)環(huán)境中的支撐環(huán)境資源進(jìn)行有效管理,并應(yīng)在以下方面達(dá)到相應(yīng)要求:
a)建設(shè)
用于支撐云計算服務(wù)的機(jī)房基礎(chǔ)設(shè)施應(yīng)符合國家標(biāo)準(zhǔn)《電子信息系統(tǒng)機(jī)房設(shè)計規(guī)范》(GB 50174-2008)的技術(shù)要求。
b) 安全性
應(yīng)符合本部分7.7.1物理安全的要求。
c) 可用性
數(shù)據(jù)中心考慮可用性,提供冗余供電與散熱設(shè)備,推薦在多地域建立多個互為備份的數(shù)據(jù)中心,保證云計算服務(wù)的可用性。
d)業(yè)務(wù)連續(xù)性
云計算數(shù)據(jù)中心建立災(zāi)備中心,定時備份數(shù)據(jù),保證業(yè)務(wù)連續(xù)性;
云計算災(zāi)備中心建設(shè)符合國家標(biāo)準(zhǔn)《GB/T20988-2007信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》;
在利用多個數(shù)據(jù)中心保證高可用性時,多個數(shù)據(jù)中心可互為災(zāi)備中心。
e)綠色節(jié)能
數(shù)據(jù)中心宜建立能源管理機(jī)制,監(jiān)控數(shù)據(jù)中心設(shè)施和IT對能源的使用情況;
數(shù)據(jù)中心宜在機(jī)房裝修、氣流組織、供配電、空調(diào)暖通、照明等方面采用節(jié)能降耗措施;
數(shù)據(jù)中心宜使用可再生能源,自然冷卻等技術(shù)節(jié)能降耗。
8.2.2 關(guān)鍵指標(biāo)
支撐環(huán)境資源的關(guān)鍵指標(biāo)包括:
a) 供電和散熱設(shè)備的數(shù)量和容量;
b) 備份數(shù)據(jù)中心的數(shù)量和距離;
c) 數(shù)據(jù)中心綠色節(jié)能管理情況的測量或第三方評審定級,與改善機(jī)制。
9 安全
9.1 物理安全
在物理安全方面應(yīng)滿足:
a) 在數(shù)據(jù)中心設(shè)計與建設(shè)過程中符合相關(guān)機(jī)房標(biāo)準(zhǔn)的安全設(shè)計要求;
b) 對數(shù)據(jù)中心劃分區(qū)域進(jìn)行管理,區(qū)域之間設(shè)置物理隔離裝置;
c) 對數(shù)據(jù)中心應(yīng)配備環(huán)境設(shè)施與安防設(shè)施的實(shí)時監(jiān)控系統(tǒng),安排人員24小時值守;
d) 對通過安防系統(tǒng)、管理流程與數(shù)據(jù)中心的工作、來訪人員進(jìn)行管理與控制;
e) 建立數(shù)據(jù)中心安防與基礎(chǔ)設(shè)施的維護(hù)、管理、操作程序、并嚴(yán)格執(zhí)行。
獨(dú)立園區(qū)封閉式管理機(jī)制執(zhí)行情況和記錄,消防探測系統(tǒng)、報警系統(tǒng)、滅火系統(tǒng)部署情況,24小時消防監(jiān)控、定期系統(tǒng)功能檢測、定期消防演練執(zhí)行情況和記錄,數(shù)據(jù)中心環(huán)境設(shè)施實(shí)時監(jiān)控和24小時人員值守機(jī)制執(zhí)行情況和記錄,數(shù)據(jù)中心進(jìn)出登記與身份核查的安全管理機(jī)制執(zhí)行情況和記錄,數(shù)據(jù)中心安防與基礎(chǔ)設(shè)施的維護(hù)、管理、操作程序、執(zhí)行的流程和記錄構(gòu)成了衡量物理安全性的關(guān)鍵指標(biāo)。
9.2 網(wǎng)絡(luò)安全
在網(wǎng)絡(luò)安全方面應(yīng)滿足:
a) 保證信息傳輸安全,實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性;
b) 支持對網(wǎng)絡(luò)的訪問控制,實(shí)現(xiàn)認(rèn)證、授權(quán)和審計功能;
c) 確??缇W(wǎng)絡(luò)連接的可靠性與可用性;
d) 具備防范網(wǎng)絡(luò)攻擊的能力;
e) 能夠防范網(wǎng)絡(luò)配置錯誤對網(wǎng)絡(luò)可用性的影響。
數(shù)據(jù)傳輸?shù)募用芘c安全機(jī)制、可防范的網(wǎng)絡(luò)攻擊種類、訪問鑒權(quán)授權(quán)和審計機(jī)制構(gòu)成了衡量網(wǎng)絡(luò)安全性的關(guān)鍵指標(biāo)。
9.3 主機(jī)安全
在主機(jī)安全方面應(yīng)滿足:
a) 保證云計算服務(wù)環(huán)境中所有主機(jī)的硬件與操作系統(tǒng)安全;
b) 如果在云計算服務(wù)環(huán)境使用了虛擬化技術(shù),保證虛擬化系統(tǒng)管理程序、虛擬機(jī)、虛擬機(jī)操作系統(tǒng)的安全;
c) 對自動分配虛擬機(jī)的情況,支持對自動供應(yīng)的虛擬機(jī)做缺省安全配置;
d) 虛擬機(jī)自動分配流程必須與主機(jī)安全管理流程配合,以保證虛擬機(jī)的安全。
操作系統(tǒng)權(quán)限安全性、主機(jī)內(nèi)虛擬機(jī)的安全隔離性、虛擬化管理系統(tǒng)的口令和權(quán)限安全構(gòu)成了衡量主機(jī)安全性的關(guān)鍵指標(biāo)。
9.4 應(yīng)用安全
9.4.1 要求
在應(yīng)用安全方面應(yīng)滿足:
a) 遵循應(yīng)用軟件、互聯(lián)網(wǎng)應(yīng)用軟件安全開發(fā)規(guī)范,以保證云計算服務(wù)環(huán)境中向用戶提供服務(wù)的各種應(yīng)用程序的安全;
b) 具備應(yīng)用程序安全測試的能力,通過安全測試的應(yīng)用程序能夠防范已知的網(wǎng)絡(luò)攻擊;
c) 具備云計算服務(wù)軟件的封裝能力,把提供云計算服務(wù)的應(yīng)用程序封裝成一個穩(wěn)固的軟件,按照服務(wù)接口標(biāo)準(zhǔn)向用戶開放接口,用戶通過網(wǎng)絡(luò)調(diào)用服務(wù)接口,使用云計算服務(wù);
d) 對云計算服務(wù)環(huán)境中的用戶進(jìn)行有效的管理與控制,對登錄用戶進(jìn)行身份標(biāo)識和鑒別,對其合法性進(jìn)行有效認(rèn)證;
e) 支持云計算服務(wù)環(huán)境集中統(tǒng)一的用戶賬號管理、認(rèn)證管理、授權(quán)管理、審計管理,支持單點(diǎn)登錄系統(tǒng)。
分級權(quán)限控制、針對應(yīng)用的網(wǎng)絡(luò)攻擊的檢測及抵抗能力、用戶身份識別機(jī)制、集中用戶管理功能,構(gòu)成了衡量應(yīng)用安全的關(guān)鍵要素。
9.5 數(shù)據(jù)安全
9.5.1 要求
在數(shù)據(jù)傳輸過程中應(yīng)滿足7.6.2 中的要求:
在數(shù)據(jù)保存時應(yīng)滿足:
a) 對機(jī)密數(shù)據(jù)具備數(shù)據(jù)加密存儲的能力,保證用戶數(shù)據(jù)在云計算服務(wù)環(huán)境中保存時的保密性;
b) 具備數(shù)據(jù)可靠存儲的能力,保證用戶數(shù)據(jù)在存儲時的可用性、完整性;
c) 制定數(shù)據(jù)備份和恢復(fù)計劃,至少保證一個副本或備份有效,數(shù)據(jù)要存儲在合同、服務(wù)水平協(xié)議和法規(guī)允許的地理位置。
在數(shù)據(jù)處理時應(yīng)滿足:
a) 支持?jǐn)?shù)據(jù)處理過程中對用戶數(shù)據(jù)的保護(hù),對于多租戶應(yīng)用,保證各個獨(dú)立用戶的數(shù)據(jù)安全;
b) 具備數(shù)據(jù)處理過程中數(shù)據(jù)可靠讀寫的能力,保證用戶數(shù)據(jù)在處理過程中的可用性與完整性;
c) 對數(shù)據(jù)使用行為進(jìn)行監(jiān)控,對數(shù)據(jù)實(shí)施安全訪問控制。
數(shù)據(jù)備份恢復(fù)機(jī)制、租戶間數(shù)據(jù)隔離機(jī)制、數(shù)據(jù)訪問日志記錄機(jī)制構(gòu)成了衡量數(shù)據(jù)安全的關(guān)鍵要素。