政府应为云端服务建立相关规範云端安全联盟促使新加坡当局制订COIR指南

周峻佑摄

随着云端应用越来越普及，企业对于依赖程度也随之增高，一旦服务出现故障，就会产生重大影响，因此，云端安全联盟（Cloud Security Alliance）亚太区副总裁Hing-Yan LEE认为，政府应该规範相关服务的紧急应变措施，让提供服务的CSP业者能够有迹可循，他在HITCON Pacific 2018大会上，藉由推动新加坡政府订立云端服务中断事故因应指导原则（Cloud Outage Incident Response Guidelines，COIR）背景为题，进行经验分享。

Hing-Yan LEE表示，因为云端服务运作出现异常，导致採用的企业受到影响，最早可追溯到2012年6月时，日本雅虎旗下伺服器租用服务的中断事件，共有5,698间企业存放在该服务的资料，因此损毁而无法复原。受害者不乏日本当地知名的企业与团体，包含了日本新闻协会、东京桌球联盟、长野电气铁路公司，以及小林製药厂等，而许多的中小企业因缺乏备份机制，致使他们建置其中的电子商务服务网站，无法继续运作。

后来在2015年、2017年，全球也出现了许多大型云端服务营运异常的事件，其中包含了Amazon、Google、IBM，以及微软等业者。不过相较于前述的日本雅虎案例，普遍中断的时间从好几天，缩短到以小时为单位，但是相同的是，这些业者往往只有告知服务出现异常，暂时停止运作，然而实际的情况为何，使用者却无从得知。

为了解决这样的问题，Hing-Yan LEE说，其实已有国家首开先例，订立相关的法律，那就是南韩的云端运算开发与用户保护法案（Cloud Computing Development and User Protection Act），该法案于2015年9月底正式施行，要求云端服务业者在异常事件发生时，必须公开揭露相关细节。

Hing-Yan LEE表示，他们藉由上述中断运作的案例，以及南韩立法的经验，游说新加坡政府。而新加坡当局也在2016年2月，由资讯通信发展局（Infocomm Development Authority）发表了相关事件的因应框架，也就是Cloud Outage Incident Response Guidelines，而到了今年4月，该单位再度更新了这个框架的内容。

这份指南的内容，着重于云端服务的灾害复原（DR）与因应措施，并且依据服务中断影响的程度与层级，归纳出4个类别，而判断灾害类别的依据，则有16项指标，像是针对服务停止时，业者通知用户的速度、频率，以及公告的管道等，都是造成用户可能能否正常维运的评估项目。

在Cloud Outage Incident Response指南的架构中，将云端服务中断造成的灾害分成4种类别，分别是最严重的系统层级（A类）、影响企业整体营运（B类）、影响企业维运（C类），以及低度影响（D类）等。A类与B类都是属于严重的情况，而后两者则是影响较为轻微。

面临云端服务中断事件的因应，虽然我国尚未具备相关的法规可供业者遵循，不过，Hing-Yan LEE表示，目前国际上已有一些机构推出的指南，包含了云端安全联盟自己推出的安全指南4.0版第9章（Domain 9）、美国国家标準暨技术研究院（NIST）的电脑安全事件掌控指南，以及欧洲网路与资讯安全局（ENISA）的云端运算优势、风险，与资讯安全建议事项等。再者，ISO 27035标準的第1与第2部分，也与这类事件的因应有关。