云深不知处——2016企业上云安全策略指南2016年1月互联网实验室观点价值与安全是企业做出上云决策的两个支点。

面对上云决策，企业需要在价值需求与安全需求之间形成最适合于企业自身发展战略、业务特性的决策天平。

在对价值支点的判断上，云是大势所趋已经深入人心。

企业可以通过对内部IT成本的核算和业务发展情况等内部信息对上云的价值做出有效评估。

企业如果能将云的诸多优点引入生产、运营、服务环节之中，就能够在创造新的商业模式、持续创新、降低成本等方面释放巨大的价值潜能。

例如：有了云，用户不再需要购买、建立、安装并运行昂贵的计算机硬件，而通过无处不在的可用有线或无线网络，就可简便的获取计算机资源，正如获取其他公共资源一样；云还具备弹性，用户可以快速并且经济的增加或者减少云服务；云共享的计算机资源可以提供客观的经济效益，并且可以减少成本、加快创新；云提供的服务已经存在，可以在需要时按需分配，按需扩容；用户可以快速并且经济地计算自身云服务的吞吐量，并据此进行相应调整。

而在对安全支点的判断上，无法排解的安全忧虑导致企业上云迟疑甚至可能引发决策反复。

企业在将转移IT解决方案到云计算的同时，由于企业客户基础设施和应用程序的外部化使得企业的完全控制权发生变化，安全保障的不透明性和不可控性使得上云企业对云服务有效存储和安全共享等方面存在一定的安全风险顾虑。

在调研中我们发现，企业对于上云后的数据安全的担忧基本上覆盖了云端数据安全的整个生命链条：例如数据传输和存储是否安全；数据访问控制权限是否可控；数据是否会被入侵、被攻击；漏洞或系统不稳定是否造成企业用户的业务中断、数据被盗、被篡改？这些现实情况使得中国企业上云之路呈现出漫长曲折的形态。

以基于价值与安全感知的企业云决策象限来谋求破题之道。

在项目初期，我们对有上云需求的企业进行初步接触时发现，企业或者无限期地延缓上云行动；或者在上云后出现决策反复；或者认为云有优点，但也有不确定风险，需要谨慎上云；甚至或者即使经在用云，仍对安全抱有较大不信任。

因此，我们在报告当中以企业对云价值的释放是否清晰，企业对安全的感知、需求是否明确为维度描绘了如下企业云决策象限。

安全需求的模糊性会加重决策天平的不稳定性，企业所面临的难以权衡取舍的决策困境需要破解。

面对安全问题，企业要基于对外部信息结合自身IT能力和需求进行判断，这无疑是难度更大的，尤其是难以形成量化结论。

难以言喻的IT功能外部产生的失控感又大大加重了上云决策中安全需求的主观法码。

我们将基于区分企业对云的安全感知状态来拨开企业云安全感知迷雾。

企业对云的安全感知状态大致可以区分为两类，无论是哪一种状态，都会成为企业做出客观、理性的云决策的阻碍因素。

第一，企业存在安全认知盲区会降低在做出决策时对云服务商安全能力的审视敏感性。

企业是否具备了客观审视云的风险特征的足够信息支撑？企业是否有充足的云安全认知能够在成本考量的基础上最大程度防御安全风险，又能够在一旦安全事故发生后的如何最大化的降低损失？如果企业知晓的安全信息不够全面，就会降低对云服务商安全能力的审视敏感性，影响业务在云中的实际运行安全。

第二，控制权迁移引发的不安全感可能错估上云时机。

多家研究机构的统计调研数据均证实企业对云服务安全的担忧是全球范围内面临的上云障碍。

如果企业在带有不安全感的心理状态下来审视云服务商，有可能因为主观的不信任而影响了客观、理性的对上云之路，以及云合作伙伴基于安全视角的审视与决策，就会错估享受云效益的时机。

云安全问题的破题需要映射到云服务商的安全实践表现，我们建立云安全能力指标体系协助企业做出最佳决策。

我们提出企业进行云安全审视的两条基本原则，第一，企业寻找领先的云，思考企业与云的最佳结合状态；第二，企业清晰地了解云服务商的安全机制与安全责任。

依托于上述两个基本原则，本报告从泛安全的信任基础、物理资源基础设施的安全部署能力、内部人员的管理流程、应急响应能力、数据安全保护能力、合规性表现六个方面构建了19个细化指标的云安全能力指标体系，对云服务商的安全实践进行比较。

本报告通过云服务商安全能力指标体系的构建，帮助企业构建充足的关于云服务商安全能力的研判信息，通过对比云服务商来了解上云需关注的安全环节，即可对上云安全做到心中有数，应对有术。

从而在上云决策中，提升基于安全视角的理性、客观性，优化的最佳决策。

目录互联网实验室观点 (3)目录 (7)研究方法：基于公开信息的比较研究 (10)一、构建云安全能力指标体系 (12)1.1拨开企业云安全感知迷雾 (12)1.2提出企业进行云安全审视的基本原则 (13)1.3云安全能力指标体系构建 (14)二、泛安全的信任指标设计与对比 (17)2.1市场表现补偿控制权丧失感，企业考察云服务商“家底” (17)2.2计算能力不可见，国内通用比较标准有待明确 (19)2.3安全理念折射出安全能力，承诺与实践匹配方式尚不成熟 (19)2.4规制第三方合作安全伙伴的能力，提升多选择服务的安全性 (20)2.5对比结果 (20)三、物理基础设施部署指标设计与对比 (28)3.1企业云之旅从物理安全开始 (28)3.2物理基础设施部署指标体系设计 (28)3.3对比结果 (31)四、内部人员管理指标设计与对比 (33)4.1完善的人员管理流程能够将恶意人员风险最小化 (33)4.2内部人员管理指标体系设计 (33)4.3对比结果 (35)五、事故响应指标设计与对比 (37)5.1云服务商好比房地产的物业 (37)5.2明确云给事故响应带来的特殊性，有助于业务更快的恢复 (37)5.3事故响应指标体系设计 (37)5.3对比结果 (40)六、数据安全保护指标设计与对比 (42)6.1所有权和控制权转移，促使客户依赖高标准安全控制手段 (42)6.2对数据安全保障技术和能力的评估 (43)6.3对比结果 (47)七、合规性表现指标设计与对比 (49)7.1云服务商的合规性认证是给客户企业安全保障的定心丸 (49)7.2合规性指标主要分为安全认证、透明审计和法律遵从 (49)7.3国内外云服务行业合规性认证存在差异，国外优势明显 (54)7.4对比结果 (56)结论 (66)后记：共筑云安全更佳状态需要各方参与 (70)常见问题 (72)云服务商信息来源说明 (74)致谢 (76)研究方法：基于公开信息的比较研究对信息的有效理解能够提升决策的自信。

本次研究同样面临对信息的理解困境，研究设计是基于破解面临的多源、不一致和不对称等困境而形成的。

我们认为本次项目首要目标是构建中国企业对云安全的评价认知和指标体系，在这问题下，我们需要解决——什么是安全？以及哪些信息能够支撑安全感受？并最终通过可以获得的信息建立一个解答模式。

首先，利用权威报告建立对云安全的基础认知和分析框架。

在研究中我们参考了权威机构发布的对云计算企业评估报告，已经针对云安全领域的比较体系。

其中较为重要的包括：美国高技术市场研究公司Forrester云安全指标体系，技术咨询研究机构Gartner对云安全市场的分析报告，欧洲网络与信息安全局（ENISA）关于云计算的研究报告中对于云风险情景的描述等。

基于以上资料，我们初步建立了对云安全的基本概念和评价体系，以便于在后续研究中形成一个具有较强一致性的比较逻辑和对话平台。

其次，通过调查中国企业发现本土需求与经典理论之间的差异。

我们希望通过对中国企业IT部门高管、技术负责人调查，了解中国企业对上云决策理解，对云安全的态度。

在获得这些信息之外，我们还了解到部分企业存在与常见云理论不同的感性认知，在此基础上我们对初期比较框架做了调整和细化。

本次调查为了保证调查展现出的观点的多样性，样本企业即包括互联网金融、移动应用开发、IT系统开发等IT产业，也包括城市基础设施建设运营、加工设备制造、电子仪器制造等传统行业。

在上云情况上，这些企业或已经上云，或明确表现出上云的意愿，访问对象主要为企业CTO、CIO或技术总监等相关职位。

再次，通过访问中国云安全专家修正和提升比较框架。

就资料和调查中存在的问题，我们对国内高校、研究机构中信息化、信息安全、云计算等领域专家，以及其他在该领域长期从事一线工作的专业人士该进行了专题访问。

专家基于所在专业领域，对中国云计算发展状况及特殊性，企业上云安全的整体性困惑和解决方法等问题做出了解答。

最后，使用公开信息进行以安全为核心的比较实践。

针对最终形成的指标体系，研究团队通过公开渠道获取具有统一标准的信息进行比较操作。

这些信息渠道包括：1.云服务商企业自行发布的白皮书；2.云服务商企业自身对外公开的业务动态新闻；3.权威机构发布的研究报告；4.对部分不明确信息，我们通过企业公开的客服电话进行了询问确认。

使用公开信息源主要考虑到本次研究行为建立一个能够为上云企业提供参考的比较方法，因此在整体研究方法上都充分考虑了信息的可获得性。

一、构建云安全能力指标体系上云路途的一个阻碍是企业对云安全的担忧，与企业的近距离地交流访谈中，我们发现这种担忧因人而异，对企业迈入云端的影响程度也不一样，存在不同的安全感知状态。

有的企业认为：云有优点，但也有不确定风险，谨慎上云；有的企业认为云很好，云即代表安全；也有企业认为云的安全没有切实可行的效果衡量。

无论是哪种状态，抛开企业的行业类型、组织规模、技术实力这些客观事实，企业对云安全的感知状态可以按照描述为以下几点：企业对云安全有偏差的认知；不知何解的疑问；由于对云的认识还不够全面存在没有想到的安全问题等。

由于这种因人而异的安全感知的差异性，我们将本报告首先站在企业的角度来剖析几种企业对云安全的感知状态，再构建起云安全能力体系，对比主要云服务提供商（云服务商）安全实践现状的基础上，将各家云服务商的关键安全能力解释转化为企业、公众可理解的信息，以期帮助企业构建相对系统、全面的云安全知识体系。

1.1 拨开企业云安全感知迷雾企业对云的安全感知状态大致可以区分为两类，存在安全感知盲区和由于控制权的迁移引发的不安全感，无论是哪一种状态，都会成为企业做出客观、理性的云决策的阻碍因素。

1.1.1 安全感知盲区会降低在决策时对云服务商安全能力的审视敏感性第一种情况，由于云自身的资源池化等特征会释放出相对于传统IT部署活动的新风险，例如云规模化的资源集中在产生效益的同时，也会因目标更大而遭受黑客的攻击，从而给企业自身带来风险。

企业是否具备了客观审视云的风险特征的足够信息支撑？第二种情况，由于没有绝对的安全状态，安全风险不能百分百杜绝，企业在部署安全防护时，还需要同时考虑成本这一现实问题。

最佳安全保障体系需要既能够在企业成本考量的基础上最大程度防御安全风险，又能够在一旦安全事故发生后如何最大化的降低损失。