信息技術服務 云計算服務 運營通用要求
Information technology service – cloud computing service - Part1:General requirements
(征求意見稿:2010-11)
引言
云計算是一種基于網絡的計算模式,通過網絡將IT基礎設施資源、軟件與信息按需提供給用戶使用。云計算有效促進了網格計算、分布式計算、并行計算、效用計算、網絡存儲、虛擬化、負載均衡等計算機技術和網絡技術的融合應用,并具備以下特征:
a)按需服務:云計算服務應能夠快速自動化地滿足用戶對服務功能、服務實例等服務交付內容的申請,變更,取消等操作,使用戶的需求能夠即時得到滿足;
b)彈性:云計算服務應具有快速伸縮的能力,用戶可隨時申請、釋放和調整云計算服務資源的使用;
c)網絡依存性:云計算服務的使用者通過網絡訪問計算,存儲資源以及各種服務;
d)可計量:云計算服務本身應具備將用戶使用的計算、存儲及其他特定功能的服務按照合理一致的標準進行細粒度地計量的能力。
另外,隨著云計算相關應用的普及以及應用需求的不斷深化,也給開發云計算服務、提供云計算服務以及消費云計算服務的組織帶來了新的挑戰。主要包括:
a)具備什么樣條件或能力的組織可以提供云計算服務以及什么樣的IT服務屬于云計算服務。
b)如何標準化云計算服務提供商和用戶之間的接口與服務流程,促進良性競爭,營造更健康的云計算生態環境。
針對上述挑戰,需要給出一個公共框架或方法,確保各方在開發、提供和消費云計算服務的過程中進行有效的溝通與合作。
本部分提供了一個覆蓋云計算服務的內部特征、服務模式和外部特性的框架。其中:
——內部特征:包括組成云計算服務的人員、流程、技術及資源的要素;
——服務模式:包括軟件即服務、平臺即服務、基礎設施即服務等典型的云計算服務模式;
——外部特性:包括按需服務、彈性、網絡依存和可度量的外部特性。
本部分的第5章至第8章分別規定了組成云計算服務的人員、流程、技術及資源要求,第9章講述安全方面的要求。附錄A規定了如何依據本標準對開發和提供云計算服務的組織進行評價。
1 范圍
本部分提供了一個云計算服務公共框架,規定了開發和提供云計算服務的組織在人員、流程、技術及資源方面應具備的條件和能力。
本部分適用于:
a)開發云計算的組織和提供云計算服務的組織之間建立契約;
b)提供云計算服務的組織評估自身的條件和能力;
c)需要云計算服務的組織選擇和評價提供云計算服務的組織;
d)第三方評價和認定提供云計算服務組織的能力。
2 規范性引用文件
下列文件中的條款通過本部分的引用而成為本部分的條款。凡是注日期的引用文件,其隨后所有的修改單(不包括勘誤的內容)或修訂版均不適用于本部分,然而,鼓勵根據本部分達成協議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件,其最新版本適用于本部分。
NIST Cloud Definition v15
Wikipedia……
Cloud Computing Use Case White Paper
ITU-T FG Cloud……
ISO 9000:2000
ISO/IEC 20000:2005
3 術語和定義
3.1
云計算 cloud computing:
云計算是一種基于網絡的計算模式,通過網絡將IT基礎設施資源、軟件與信息按需提供給用戶使用。
注1:云計算不是一類計算機技術或網絡技術,而是實現網格計算、效用計算、虛擬化技術、Web服務技術融合發展的模式;
注2:云計算具有寬帶接入、快速彈性、服務可測量、按需自服務、資源池化等特征。
3.2
云計算服務 cloud computing service:
指一種交付和使用信息技術基礎設施和應用環境的服務,即通過網絡以按需、易擴展、可計量的方式獲得所需的資源及服務,這些資源和服務可以是各種硬件資源、軟件資源或特定的信息服務。
3.3
基礎設施即服務 infrastructure as a service(IaaS)
云計算服務提供商以按量計費的方式為用戶提供可動態申請或釋放的計算資源、存儲資源、網絡資源等基礎設施的服務模式。
3.4
平臺即服務 platform as a service(PaaS)
云計算服務提供商以按量計費的方式為用戶提供應用軟件所需的支撐平臺,包括用戶應用程序的運行環境和開發環境,供用戶在此基礎上開發和提供相關應用的服務模式。
3.5
軟件即服務 software as a service(SaaS)
云計算服務提供商通過網絡以按量計費租用的方式向用戶提供在線軟件應用的服務模式。在這種模式下,用戶不用再購買軟件,而改為向服務提供商租用基于Web的軟件,來管理企業經營活動,且無需對軟件進行維護,服務提供商會全權管理和維護軟件。
3.6
彈性 elasticity
根據用戶的需求隨時分配、回收和調整云計算服務資源的能力。
3.7
資源池化 resouce pooling
云計算服務提供商將提供服務的資源構建成一個統一的同質化服務能力集合,根據用戶需要將資源動態地分配或再分配給多個用戶使用,從而達到資源復用的能力。
3.8
多租戶 multi-tenant
云計算服務提供商將資源提供給多組用戶使用,實現數據隔離以保證用戶的數據不被其他用戶看到和篡改,同時保證不同用戶之間的應用性能不會受到影響的能力。
4 云計算服務模型
4.1 模型
4.2 內部特征
云計算服務的內部特征反映了云計算服務商的服務提供能力,包含人員、流程、資源和技術四個要素:
a)人員要素包括人員管理、崗位結構以及人員技能;
b)流程要素分為展現服務層、運維管理層和采集控制層三個層面;
c)技術要素包括資源池化技術、計量技術、監控技術、調度技術和安全保障技術;
d)資源要素分為計算資源、存儲資源、網絡資源和支撐環境。
4.3 服務模式
云計算的服務模式主要包括IaaS、PaaS和SaaS。三種模式自底向上提供不同層次的云計算服務,具有層次關系,但上層服務不必構建于底層服務之上。
4.4 外部特性
云計算服務的外部特性是用戶可感知的服務體驗:
a)按需服務:云計算服務應能夠快速自動化地滿足用戶對服務功能、服務實例等服務交付內容的申請,變更,取消等操作,使用戶的需求能夠即時得到滿足;
b)彈性:云計算服務應具有快速伸縮的能力,用戶可隨時申請、釋放和調整云計算服務資源的使用;
c)網絡依存性:云計算服務的使用者通過網絡訪問計算,存儲資源以及各種服務;
d)可計量:云計算服務本身應具備將用戶使用的計算、存儲及其他特定功能的服務按照合理一致的標準進行細粒度地計量的能力。
5 人員
云計算服務商應確保服務提供過程中的有關人員具備相應的服務能力。
5.1 人員管理
應從以下方面規范人員管理:
a)管理承諾
應通過清晰的政策、足夠的預算與合理的分工,來確保人員管理可以符合監管機構與客戶的要求。
b)管理流程
應建立組織內人員選聘、試用、培訓、考核與離職管理程序。如果與第三方合作提供云計算服務,應對合作伙伴的相關人員進行有效管理,確保云計算服務的正常提供。
應當建立人員管理制度、績效考核辦法和培訓計劃。
5.2 崗位結構
在崗位結構方面應滿足:
a)建立專職團隊負責云計算服務的提供;
b)對云計算服務過程中的不同角色進行明確分工和職責定義;
c)云計算服務團隊應包括云計算服務的管理、技術支持和系統操作維護等主要崗位。
應當制定崗位職責說明書,明確主要崗位的人員配備。
5.3 人員技能
在人員技能方面應滿足:
a)云計算服務人員應掌握必要的專業技能,具備從事相關工作的資格;
b)云計算服務人員應參加崗位技能考核,合格后方能上崗,崗位技能考核應定期開展。
應當建立人員技能考核制度,保證具有專業資質的人員數量。
6 流程
“流程”指的是為確保云計算服務的交付過程與結果符合利益相關方的要求,而形成的一系列有組織的活動;每個流程均包括輸入、輸出、流程控制與流程資源等四大組成部分;流程在組織內部可以定義為政策、標準、指南、活動和工作指令等不同的形式。
為了確保云計算服務提供商具備相應的服務管理能力,應從展現服務、運維管理與采集控制三個層面建立相應的管理流程:
a)展現服務層:客戶與云計算服務提供商之間的信息交互活動,目的是按客戶的要求,提供或記錄與云計算服務相關的運維信息與服務要求;
b)運維管理層:云計算服務提供商通過計劃、組織、協調與控制等手段,整合相關能力、資源來滿足客戶需求的活動,目的是整合組織的資源,分解服務內容,建立相應的流程;
c)采集控制層:云計算服務提供商根據運維管理層各項管理規定,開展對云計算服務相關組件的狀態、性能監控與操作管理的活動。
6.1 展現服務層流程
6.1展現服務層流程
6.1.1 服務目錄管理
云計算服務提供商應通過對服務目錄的定義、維護與評估等管理,為云計算服務用戶提供單一、準確與完整的服務信息。云計算服務提供商應:
a)定義流程中的角色與職責;
b)在機構內部規范并發布云計算相關服務的定義;
c)進行服務目錄的更新與維護;
d)與機構內的服務交付團隊定期評估服務能力與服務目錄的一致性;
e)定期評估服務需求與服務目錄的滿足度;
f)建立服務目錄管理與服務水平管理的相互關系。
6.1.2 服務水平管理
云計算服務提供商應通過定義、簽定與管理服務水平協議,確保云計算服務提供商所提供的各項服務符合該服務既定的服務目的。云計算服務提供商應:
a)識別客戶在服務中的需求;
b)定義客戶在服務中的項目,并形成服務描述與服務質量計劃;
c)明確服務水平協議與相關文件的簽署形式(電子與非電子形式);
d)簽訂服務水平協議與相關文件;
e)建立服務水平的監控和報告的機制;
f)定期、不定期評審服務水平協議執行狀況,并作相關改進計劃。
6.1.3 服務請求管理
云計算服務提供商應通過對服務請求的定義、分派、審批與實現的管理,確保云計算服務提供商內部有規范的渠道接受客戶的服務要求、投訴與評價,并提供相應的信息、服務提交物給到客戶。云計算服務提供商應:
a)明確服務請求的定義;
b)建立分級與分派的機制;
c)建立服務請求的技術與財務審批機制;
d)建立服務請求的實現流程;
e)規范服務請求關閉的條件與要求。
6.1.4 服務報告管理
云計算服務提供商應通過及時、準確、可靠的報告,建立云計算服務提供商與客戶之間有效的信息溝通機制,云計算服務提供商應:
a)建立服務報告的管理流程,包括建立、審批、分發、歸檔等流程;
b)定義服務報告的用戶與管理關注點;
c)定義服務報告的內容、范圍、計算方式與報告模板;
d)定義并執行服務報告相關數據的搜集、加工與報告周期;
e)定義并執行服務報告的提交形式、用戶權限、以及與服務報告相關的評估機制。
流程的完備性(是否完整覆蓋上述各類流程中所述的活動)和流程執行記錄構成了展現服務層流程的關鍵指標。
6.2 運維管理層流程
運維管理層流程應滿足ISO/IEC 20000:2005的要求。
6.3 采集控制層流程
6.3.1 監控管理
云計算服務提供商應建立監控管理流程,確保云計算服務相關服務組件的狀態與信息能得到及時的采集與展現,云計算服務提供商應:
a)明確監控的職責;
b)明確監控的范圍與工具;
c)建立監控指標的制定、評審與定期調整機制;
d)建立監控數據的檢測、處理與分析機制;
e)建立監控管理與運維管理層流程的關系。
6.3.2 操作管理
云計算服務提供商應建立操作管理流程,確保云計算服務相關的組件可以根據客戶的要求與技術特點進行操作,云計算服務提供商應:
a)明確操作人員職責與紀律;
b)建立系統運行操作手冊、運行日志、流程表單等運行文檔;
c)采用適當輔助工具、軟件與腳本方式,規范云計算服務提交過程中相關組件的各項人工干預過程(如:作業排程與執行、備份與恢復、打印與輸出、用戶管理等);
d)建立操作管理過程中的升級與溝通機制。
e)建立操作管理與運維管理層流程的關系。
在建立采集控制層的流程時,要求覆蓋監控管理和操作管理中所述的活動,并且記錄執行流程,這些工作應配備監控工具和操作管理相關工具。
7 技術
技術是云計算服務提供商提供云計算服務的保障和前提,技術要素包括資源池化、計量技術、監控技術、調度技術和安全保障技術等。云計算服務提供商需要有相應的技術支撐來滿足其客戶當前及將來的業務要求,并實現對其所提供云計算服務的有效管理。
7.1 資源池化
IaaS服務提供商應具備資源池化技術,能夠對用戶隱藏服務基礎架構的細節并從邏輯上進行顆粒度分割,從而提供可平滑擴展的服務。資源池化的對象應至少包含計算資源、存儲資源和網絡資源:
a)計算資源的資源池化:云計算服務提供商應按照計算能力的單位(如每秒處理器運算次數,內存容量,處理器核個數等)構建計算能力池,并在使用協議中提供各種計算能力的可用組合方式;
b)存儲資源的資源池化:云計算服務提供商應按照存儲能力的單位(如靜態存儲的字節數,存儲的I/O次數,I/O流量等)構建存儲能力池,并在使用協議中提供各種存儲能力的可用組合方式;
c)網絡資源的資源池化:云計算服務提供商應按照網絡傳輸能力的單位(如網絡地址個數,持續傳輸速度,峰值傳輸速度等)構建網絡傳輸能力池。
資源池的粒度、資源池的容量與用于申請與釋放資源的接口構成了衡量資源池化技術的關鍵要素。
7.2 計量
云計算服務提供商應具備服務計量的能力:
a)根據所提供的服務類型,設定對應的計量指標(至少應包含資源的使用時長、資源的使用數量、服務的使用次數);
b)根據不同的計量指標,采用對應的計量方法。
計量指標以及計量方法構成了計量技術的關鍵指標。
7.3 監控
云計算服務提供商在監控方面應滿足:
a)對服務進行監測,能夠采集并整合其性能數據,對外提供統一的訪問接口;
b)提供監控數據的表示方案和存檔機制,為事后性能分析和統計提供依據;
c)提供可視化方案,向用戶直觀地呈現服務的當前狀態和歷史信息。
服務監測和性能采集工具、可視化工具以及監控信息存儲的持久性構成了監控技術的關鍵指標。
7.4 調度
云計算服務提供商在調度方面應滿足:
a)根據當前系統的網絡負載情況,適時調整網絡帶寬,保證服務水平。在原有網絡資源不可用時,能自動切換到備用網絡資源,保證服務持續;
b)根據當前系統的計算負載情況,適時遷移或擴展應用,保證服務水平。在原有計算資源不可用時,能自動切換到備用計算資源,保證服務持續;
c)根據當前系統的存儲負載情況,適時增添或擴展存儲設備,保證服務水平。在原有存儲資源不可用時,能自動切換到備用存儲資源,保證服務持續。
計算、存儲、網絡資源的可用性和服務連續性,以及資源調整機制構成了調度的關鍵指標。
8 資源
資源是云計算服務提供商提供各種云計算服務的基礎,包括:計算資源、存儲資源、網絡資源、與其他服務資源等。在任何時間云計算服務提供商都需要有足夠的資源來滿足其客戶當前及將來的業務要求,并能夠對其云計算服務環境中的各種資源進行有效管理。
8.1 基礎設施
云計算服務提供商能夠對其云計算服務環境中的基礎設施資源進行有效管理,并應:
a)有確定的、計算簡單的計算資源計量方法,如:按CPU個數(包括虛擬CPU)、內存大小(包括虛擬內存)來計量計算資源。b)具備對資源(包括:CPU、內存、存儲空間、網絡帶寬)進行容量規劃的能力,包括一個明確的、簡單、可操作的、針對大規模基礎設施資源池的計算資源容量規劃方法,以及落實該方法能夠切實執行的工具、人員、流程;
c)具備合適地對資源的使用、運行情況進行監控的能力,包括:合適的工具、人員、流程,在流程中包括對CPU、內存使用的預警規則;
d) 具備根據客戶訂單要求為客戶分配資源(包括:CPU、內存、存儲空間、網絡帶寬)的能力,包括:計算資源分配、部署工具、人員、流程,資源分配能力能夠與資源監控能力集成;
e) 用符合標準的接口通過網絡為客戶提供其訂購的資源服務,該接口還必須具備一定的安全保障能力,如:用戶接入認證、安全數據傳輸、數據保密等;
f) 具備資源(包括:CPU、內存、存儲空間、網絡帶寬)動態、伸縮的能力,在客戶的業務應用需要更多的資源時,能夠動態為其增加資源;在客戶的業務應用需要的資源減少時,能夠動態地回收資源;
g) 具備資源(包括:CPU、內存、存儲空間、網絡帶寬)的度量能力,即按照資源的計量單位對客戶使用的資源進行度量,如客戶使用了幾個CPU、幾兆內存,其業務應用的運行時間是多少等;
h) 具備資源(包括:CPU、內存、存儲空間、網絡帶寬)運行時故障處理的能力,包括:故障處理工具、人員、流程等。資源故障處理能力能夠與資源監控能力集成。
計量模型、服務執行記錄及改善機制構成了衡量基礎設施資源的關鍵要素。
8.2 支撐環境
8.2.1 要求
云計算服務提供商能夠對其云計算服務環境中的支撐環境資源進行有效管理,并應在以下方面達到相應要求:
a)建設
用于支撐云計算服務的機房基礎設施應符合國家標準《電子信息系統機房設計規范》(GB 50174-2008)的技術要求。
b)安全性
應符合本部分7.7.1物理安全的要求。
c)可用性
數據中心考慮可用性,提供冗余供電與散熱設備,推薦在多地域建立多個互為備份的數據中心,保證云計算服務的可用性。
d)業務連續性
云計算數據中心建立災備中心,定時備份數據,保證業務連續性;
云計算災備中心建設符合國家標準《GB/T20988-2007信息系統災難恢復規范》;
在利用多個數據中心保證高可用性時,多個數據中心可互為災備中心。
e)綠色節能
數據中心宜建立能源管理機制,監控數據中心設施和IT對能源的使用情況;
數據中心宜在機房裝修、氣流組織、供配電、空調暖通、照明等方面采用節能降耗措施;
數據中心宜使用可再生能源,自然冷卻等技術節能降耗。
8.2.2 關鍵指標
支撐環境資源的關鍵指標包括:
a)供電和散熱設備的數量和容量;
b) 備份數據中心的數量和距離;
c) 數據中心綠色節能管理情況的測量或第三方評審定級,與改善機制。
9 安全
9.1 物理安全
在物理安全方面應滿足:
a)在數據中心設計與建設過程中符合相關機房標準的安全設計要求;
b)對數據中心劃分區域進行管理,區域之間設置物理隔離裝置;
c)對數據中心應配備環境設施與安防設施的實時監控系統,安排人員24小時值守;
d)對通過安防系統、管理流程與數據中心的工作、來訪人員進行管理與控制;
e)建立數據中心安防與基礎設施的維護、管理、操作程序、并嚴格執行。
獨立園區封閉式管理機制執行情況和記錄,消防探測系統、報警系統、滅火系統部署情況,24小時消防監控、定期系統功能檢測、定期消防演練執行情況和記錄,數據中心環境設施實時監控和24小時人員值守機制執行情況和記錄,數據中心進出登記與身份核查的安全管理機制執行情況和記錄,數據中心安防與基礎設施的維護、管理、操作程序、執行的流程和記錄構成了衡量物理安全性的關鍵指標。
9.2 網絡安全
在網絡安全方面應滿足:
a)保證信息傳輸安全,實現數據傳輸的機密性和完整性;
b)支持對網絡的訪問控制,實現認證、授權和審計功能;
c)確保跨網絡連接的可靠性與可用性;
d)具備防范網絡攻擊的能力;
e)能夠防范網絡配置錯誤對網絡可用性的影響。
數據傳輸的加密與安全機制、可防范的網絡攻擊種類、訪問鑒權授權和審計機制構成了衡量網絡安全性的關鍵指標。
9.3 主機安全
在主機安全方面應滿足:
a)保證云計算服務環境中所有主機的硬件與操作系統安全;
b)如果在云計算服務環境使用了虛擬化技術,保證虛擬化系統管理程序、虛擬機、虛擬機操作系統的安全;
c)對自動分配虛擬機的情況,支持對自動供應的虛擬機做缺省安全配置;
d)虛擬機自動分配流程必須與主機安全管理流程配合,以保證虛擬機的安全。
操作系統權限安全性、主機內虛擬機的安全隔離性、虛擬化管理系統的口令和權限安全構成了衡量主機安全性的關鍵指標。
9.4 應用安全
9.4.1 要求
在應用安全方面應滿足:
a)遵循應用軟件、互聯網應用軟件安全開發規范,以保證云計算服務環境中向用戶提供服務的各種應用程序的安全;
b)具備應用程序安全測試的能力,通過安全測試的應用程序能夠防范已知的網絡攻擊;
c)具備云計算服務軟件的封裝能力,把提供云計算服務的應用程序封裝成一個穩固的軟件,按照服務接口標準向用戶開放接口,用戶通過網絡調用服務接口,使用云計算服務;
d)對云計算服務環境中的用戶進行有效的管理與控制,對登錄用戶進行身份標識和鑒別,對其合法性進行有效認證;
e)支持云計算服務環境集中統一的用戶賬號管理、認證管理、授權管理、審計管理,支持單點登錄系統。
分級權限控制、針對應用的網絡攻擊的檢測及抵抗能力、用戶身份識別機制、集中用戶管理功能,構成了衡量應用安全的關鍵要素。
9.5 數據安全
9.5.1 要求
在數據傳輸過程中應滿足7.6.2 中的要求:
在數據保存時應滿足:
a)對機密數據具備數據加密存儲的能力,保證用戶數據在云計算服務環境中保存時的保密性;
b)具備數據可靠存儲的能力,保證用戶數據在存儲時的可用性、完整性;
c)制定數據備份和恢復計劃,至少保證一個副本或備份有效,數據要存儲在合同、服務水平協議和法規允許的地理位置。
在數據處理時應滿足:
a)支持數據處理過程中對用戶數據的保護,對于多租戶應用,保證各個獨立用戶的數據安全;
b)具備數據處理過程中數據可靠讀寫的能力,保證用戶數據在處理過程中的可用性與完整性;
c)對數據使用行為進行監控,對數據實施安全訪問控制。
數據備份恢復機制、租戶間數據隔離機制、數據訪問日志記錄機制構成了衡量數據安全的關鍵要素。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
