全球云计算服务市场近年来保持高增长。据Gartner 统计,2014 年全球云计算服务市场规模达1528 亿美元,增长率达17.9%,其中典型的IaaS、PaaS、SaaS 服务的市场规模达425 亿美元。云服务增速是全球IT 支出的4 倍,预计在全球IT 支出中的占比将从2013 年的3.6% 提高到2018 年的6.6%。云计算服务正日益演变为新型的信息基础设施。各国高度重视云计算的发展,近年来制定国家战略和行动计划,通过政府的先导示范,培育和拉动国内市场,政府采购中所形成的安全标准、服务规范、管理制度等都将成为其他行业采用云服务时的重要参考。
云计算市场特点
要分析各国的产业政策和法律法规,首先要来看不同国家的云计算产业情况。
美国庞大的互联网产业提供市场需求支撑,云应用向垂直行业扩张。目前美国90% 的初创企业都将公共云服务作为IT 系统建设的首选,同时“联邦云计算战略”的实施又使政府成为云计算的重要用户,目前已有300 多家政府机构使用公共云服务。美国中情局计划未来10 年将斥资6 亿美元使用亚马逊云服务。
从供方角度来说,美国云计算产业体系完整,巨头企业正在不断加强优势地位,并且逐渐向全球市场扩张。目前在全球排名前100 的云计算企业,美国占84 家,同时美国云计算巨头企业正在全球快速扩张,巩固其产业地位。其中亚马逊占全球IaaS 市场40%,托管网站数量一年增长了71%,2013 年中时网站数量达到了1160 万,是我国网站总数的4 倍;微软占全球PaaS 市场份额的64% ;Salesforce 占SaaS 市场的21% ;亚马逊、微软、谷歌等巨头在全球重要地区均建有数据中心,而且仍在不断扩张中。
欧洲和日本市场呈现与美国不同的局面。就需求方面来说,欧洲和日本市场容量巨大,而且增速逐年提升,目前已有多个国家提出云计算推动计划,如英国2013 年在“政府云计算战略”中提出,到2015 年中央政府新增IT 支出中50% 用于采购公共云服务;德国的《德国云计算行动计划》鼓励联邦和各州政府在电子政务中采用云计算技术;日本总务省发布的“智慧云战略”建议促进政府部门的云计算应用等。
但欧日等国缺乏本国云计算企业的支持。2014年全球排名前100 的云计算企业中,欧洲只有9 家,日本无一企业上榜。而亚马逊、微软、谷歌等美国云计算巨头已在欧洲、日本等地建立数据中心,提供本地化服务。正如欧盟《欧洲云计算潜力报告(2012)》中所述,“欧洲云计算市场与美国存在数年的差距……欧洲大多数云服务企业都是美国公司”。
各国的产业政策
1. 美国意在强产业、弱监管
美国是云计算发展领先的国家,产业实力较强,因此政府对云计算行业本身没有特殊的监管机制,与互联网业务同等对待。但是在云计算实际应用到垂直行业时就设有较高门槛,比如政府行业使用云计算需要通过FedRAMP 认证,需通过第三方认证并经过多部门联合委员会的审定等。云服务供应商通过获得FedRAMP 证书即可认为安全达到政府要求。联邦机构和云服务供应商都需满足FedRAMP 的安全控制基线,包含低、中、高三套基线控制集,为不同级别的系统推荐了不同强度的安全控制集(包括管理、技术和运行)。
对于通过政府社区云、公共云和私有云交付的服务,安全性需达到中级影响基线,对于飞地云交付的服务,不仅需要达到高级影响基线,还需提供额外安全控制保护机密数据。
2. 欧盟意在弱产业、强监管
欧盟云计算相对美国较为滞后,为了发展本土云计算产业,欧盟对云计算采用强监管机制。2013 年6 月,欧盟议会通过了关键信息基础设施(CIIP)——面向全球网络安全的决议,其中将云计算纳入了关键信息基础设施(CIIP)范畴,也就意味着加大对云计算的监管力度。
英国政府机构和公共部门采购云服务主要通过英国政府云服务项目(G-Cloud)的在线云服务商店(CloudStore)进行。G-Cloud 提供了详细的应用清单,采购机构只需明确计划支付的采购费用和所需的云服务应用要求并在Cloud-Store 上选择即可。进入CloudStore 的云服务商需要认证评估:一是必须满足G-Cloud 云服务合同框架,二是需要通过G-Cloud 认证。根据ISO27001 和英国政府信息标准(HMGInformation Standards No。 1 & 2),G-Cloud 认证共对四类云服务进行认证,包括基础设施即服务(IaaS)、平台即服务(PaaS)、软件即服务(SaaS)和专家云服务(SpecialistCloud Services,SCS,提供云计算专家咨询服务)。英国完全禁止政府信息存储在境外,并且提出网络连接方面的技术要求,使得境外的云平台事实上不可能通过审查,以达到保障安全和遏制国外云服务商的目的。