【正文】 辦法》，騰訊云離職員工所擁有的系統(tǒng)權(quán)限全部撤銷，相應(yīng)的帳號和密碼回收或者修改；同時離職的員工仍然需要遵守與公司簽訂的保密協(xié)議。、終止手段在各環(huán)節(jié)規(guī)避人員風(fēng)險亞馬遜AWS、微軟Azure的數(shù)據(jù)中心在關(guān)鍵入口都采用嚴(yán)格的門禁系統(tǒng)驗(yàn)證人員進(jìn)入。因此當(dāng)企業(yè)轉(zhuǎn)向云以后，面臨的核心問題之一就是：怎樣才能有效處理云的安全事故。一方面對企業(yè)內(nèi) IR 功能的控制進(jìn)行差距分析；另一方面，明確云計算及變化的部署和服務(wù)方式給事故處理帶來了什么特殊性。企業(yè)用戶可要求云服務(wù)商提供用以輔助操作和事件響應(yīng)流程的信息工具、相關(guān)標(biāo)準(zhǔn)和方法。特別是云服務(wù)商提供的容災(zāi)備份、切換、恢復(fù)服務(wù)可重點(diǎn)考察，因?yàn)樵摲矫娴姆?wù)可實(shí)現(xiàn)異地冗余備份，并能在極短的時間保證用戶的數(shù)據(jù)在異地可訪問可恢復(fù)，保證業(yè)務(wù)的連續(xù)性。i 云服務(wù)商提供的日志服務(wù)，能幫助企業(yè)更快速進(jìn)行事故分析與故障排除 。如果不符合服務(wù)承諾，將獲得服務(wù)費(fèi)積分沖抵未來應(yīng)支付的該服務(wù)費(fèi)。Windows Azure 公有云服務(wù)承諾，可用性不低于 %。通過自動備份文件及日志文件，可將實(shí)例數(shù)據(jù)恢復(fù)至7天內(nèi)的任意時刻；定期對災(zāi)難恢復(fù)計劃進(jìn)行測試，測試結(jié)果將被識別和記錄用來持續(xù)改進(jìn)災(zāi)難恢復(fù)計劃。 阿里云官網(wǎng)日志服務(wù) 騰訊云提供 7*24 在線服務(wù)支持，通過自家工具建立 群、微信公眾賬號、微信群等服務(wù)支持；對于特殊需求，騰訊云還成立了阿爾法特別行動小組。 騰訊云官網(wǎng)大數(shù)據(jù)處理套件TBDS 天翼云7x24 小時技術(shù)團(tuán)隊(duì)在線支持，幫助客戶解決遇到的專業(yè)問題?？捎眯栽?9%%之間，可獲得的服務(wù)補(bǔ)償時間長24小時；小于99%甲方可獲得的服務(wù)補(bǔ)償時長為720小時。 2. 五家云服務(wù)商均提供國際水準(zhǔn)的服務(wù)等級協(xié)議，阿里云和騰訊云承諾的補(bǔ)償最高。但該監(jiān)測中，國內(nèi)云服務(wù)商未納入評估。值得上云企業(yè)注意的是，大多云服務(wù)商針對不同的服務(wù)類型提供不同的可用性承諾，并且每家的分類不盡相同。亞馬遜AWS和微軟Azure提供的日志服務(wù)，可幫助企業(yè)用戶分析網(wǎng)頁運(yùn)行的健康度、訪問者行為，發(fā)現(xiàn)趨勢。技術(shù)的發(fā)展和商業(yè)模式的升級使企業(yè)數(shù)據(jù)信息越來越資產(chǎn)化，數(shù)據(jù)所蘊(yùn)含著巨大的商業(yè)價值，使其成為企業(yè)提高競爭力、搶占市場先機(jī)的關(guān)鍵。對于企業(yè)而言，一旦發(fā)生以上任何一種問題，企業(yè)就可能因?yàn)閿?shù)據(jù)安全問題而終止所發(fā)展的業(yè)務(wù)。其次，威脅成本和收益的不對稱，黑客組織可通過低成本的技術(shù)手段竊取用戶數(shù)據(jù)信息，通過各種變現(xiàn)手段獲得高額收益回報。因此，一旦數(shù)據(jù)上云，他們更依賴云服務(wù)商所提供的更高標(biāo)準(zhǔn)的安全保障手段和技術(shù)來補(bǔ)足“已知的未知”中所丟失的安全感。保障云端數(shù)據(jù)安全是一項(xiàng)龐大的工程，上云的數(shù)據(jù)在安全性方面有一個全生命周期，涵蓋數(shù)據(jù)的產(chǎn)生、存儲、使用、分享、歸檔、銷毀六個環(huán)節(jié)，因此數(shù)據(jù)的安全保障必須要覆蓋數(shù)據(jù)安全的全生命周期。針對各家云服務(wù)商安全保障的技術(shù)強(qiáng)弱、數(shù)據(jù)有無在合同結(jié)束后被徹底銷毀等問題，云用戶可結(jié)合法律監(jiān)管和專業(yè)的第三方測評機(jī)構(gòu)的評估結(jié)果進(jìn)行判斷。這些控制表現(xiàn)為多重因素認(rèn)證、基于角色或聲明的授權(quán)、準(zhǔn)確屬性的可靠來源、身份聯(lián)合、用戶行為監(jiān)測以及審計等等。圖表 9五家云服務(wù)商數(shù)據(jù)安全方面的安全能力表現(xiàn)云服務(wù)商傳輸安全數(shù)據(jù)加密密鑰托管服務(wù)監(jiān)控和日志記錄數(shù)據(jù)銷毀亞馬遜AWS使用TLS/SSL加密技術(shù)、VPN 亞馬遜AWS官網(wǎng) Amazon VPC 加密方式。采用碎片化自動切片，分布式離散存儲技術(shù)存儲用戶的結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)xlvii。暫無xxxi提供相關(guān)產(chǎn)品,如Cloud Monitor，支持分析、監(jiān)控、及時告警閾值等服務(wù) 騰訊。采用自動切片，分布式存儲結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)。 通過電話聯(lián)接亞馬遜AWS客服查詢微軟Azure使用 SSL/TLS加密技術(shù)、加密企業(yè)VPN網(wǎng)關(guān)和Azure之間的通信等 微軟Azure官網(wǎng)Windows Azure 信任中心 ,微軟Azure推出導(dǎo)入導(dǎo)出服務(wù)，依托硬盤傳輸數(shù)據(jù)，支持BitLocker磁碟加密技術(shù) 比特網(wǎng)，“微軟Azure提供透過硬盤數(shù)據(jù)導(dǎo)入導(dǎo)出服務(wù)”在碎片化存儲基礎(chǔ)之上提供包括 AES256 在內(nèi)的各種加密功能，如：NET 加密服務(wù)、(AD RMS) 等服務(wù) 微軟Azure官網(wǎng)密鑰保管庫 微軟Azure官網(wǎng)Windows Azure 信任中心 提供基于硬件安全模塊(HSM)的密鑰保管庫 微軟Azure官網(wǎng)重要的服務(wù)和你可依賴的功能 借助集中式的監(jiān)視、相關(guān)性和分析系統(tǒng)來監(jiān)視安全性，并提供及時警報 微軟Azure官網(wǎng)監(jiān)視、日志記錄和報告。企業(yè)上云，安全設(shè)備和安全措施的部署位置有所不同，安全責(zé)任的主體發(fā)生了變化，用戶數(shù)據(jù)上云，服務(wù)商不但要對用戶數(shù)據(jù)提供安全保護(hù)承諾，而且要保證這些數(shù)據(jù)不被泄露。采用云計算服務(wù)以后，機(jī)構(gòu)的信任邊界將變成動態(tài)的，并且遷移到IT控制范圍之外。保障數(shù)據(jù)安全的節(jié)點(diǎn)就突出表現(xiàn)在認(rèn)證、訪問和權(quán)限管理、加密和網(wǎng)絡(luò)防護(hù)措施這三個維度上。云服務(wù)商應(yīng)該提供與安全風(fēng)險對沖的高標(biāo)準(zhǔn)安全服務(wù)、工具、技術(shù)和保障機(jī)制來打消企業(yè)客戶的安全顧慮。但另一方面，云計算改變了企業(yè)利用IT資源的方式，規(guī)模經(jīng)濟(jì)使得云企業(yè)用戶降低成本，將企業(yè)內(nèi)部用于保障裸機(jī)安全的資源解放出來，享用云計算廠商憑借規(guī)?；\(yùn)營、大數(shù)據(jù)資源及與專業(yè)客戶合作所形成的安全保障經(jīng)驗(yàn)、能力和最佳實(shí)踐。一方面，云匯集了具有經(jīng)濟(jì)價值的大規(guī)?？蛻魯?shù)據(jù)資源，云服務(wù)正在成為超級黑客、網(wǎng)絡(luò)非法組織和APT攻擊的“標(biāo)靶”。經(jīng)過調(diào)研，我們發(fā)現(xiàn)企業(yè)云客戶對數(shù)據(jù)上云安全性方面的擔(dān)憂基本上覆蓋了云端數(shù)據(jù)安全的整個生命鏈條。阿里云、騰訊云的日志服務(wù)也即將上市。企業(yè)用戶可根據(jù)自身業(yè)務(wù)特點(diǎn)，與云服務(wù)商商談就具體服務(wù)達(dá)成一定的規(guī)則，使云服務(wù)商的服務(wù)能更保障自身的業(yè)務(wù)需求。服務(wù)等級協(xié)議以月為服務(wù)周期計算，在不達(dá)標(biāo)時云服務(wù)商以不同方式提供補(bǔ)償。 亞馬遜的彈性計算云（EC2）在2014年共發(fā)生20次宕機(jī)故障，%。備份和恢復(fù)服務(wù)是保障企業(yè)用戶數(shù)據(jù)安全性的重要手段，納入對比的5家云服務(wù)商幾乎都提供自動化備份服務(wù)，并且能夠做到快速恢復(fù)，這對企業(yè)用戶的數(shù)據(jù)安全和業(yè)務(wù)連續(xù)性起到重要作用。一旦發(fā)生用戶本地數(shù)據(jù)丟失或是環(huán)境災(zāi)害，云安備都能在事后數(shù)據(jù)恢復(fù)； 推出天翼混合云容災(zāi)服務(wù)， 用戶根據(jù)自身需求最多可設(shè)置24個還原點(diǎn)，在容災(zāi)切換時可以自服務(wù)地選擇數(shù)據(jù)恢復(fù)點(diǎn)；并提供容災(zāi)演練。%的業(yè)務(wù)可用性；100倍的故障持續(xù)時間補(bǔ)償。%；100倍的故障時間賠償。 微軟Azure官網(wǎng)服務(wù)級別協(xié)議 利用Azure HDInsight大數(shù)據(jù)技術(shù)建立日志文件分析。 亞馬遜AWS官網(wǎng)Amazon CloudWatch 微軟Azure全天候事件響應(yīng)團(tuán)隊(duì)；世紀(jì)互聯(lián)根據(jù)客戶情形，將事故劃分了A、B、C三個嚴(yán)重性，對應(yīng)有8小時或更短時間響應(yīng)， A 支持僅提供給簽署了世紀(jì)互聯(lián)在線服務(wù)高級協(xié)議的客戶。使用 亞馬遜AWS Storage Gateway服務(wù)，可將數(shù)據(jù)從一個位置備份到另一個，方便日后快速恢復(fù)；亞馬遜AWS 云支持許多常見的災(zāi)難恢復(fù)架構(gòu)，從收到通知即可擴(kuò)展的“指示燈”環(huán)境到支持快速故障轉(zhuǎn)移的“熱待機(jī)”環(huán)境，均可支持。因?yàn)槌兄Z不達(dá)標(biāo)，補(bǔ)償更多的云服務(wù)商面臨更高的潛在成本，但這也反映云服務(wù)商保障云服務(wù)的決心。云服務(wù)商需全天候配備能夠覆蓋大多常見事故的技術(shù)人員，隨時幫助企業(yè)用戶解決使用中的大小事故及提供咨詢方案。 針對不同服務(wù)模式提供典型問題解決方案矩陣。云服務(wù)一旦由于電力供給、惡意攻擊導(dǎo)致基礎(chǔ)設(shè)施大面積故障停用，部分情況下少數(shù)機(jī)器的連鎖效應(yīng)瞬間擴(kuò)展到大范圍基礎(chǔ)設(shè)施，從而致使依助于該云服務(wù)商的多家企業(yè)用戶的業(yè)務(wù)無法響應(yīng)，這時云服務(wù)商較短時間內(nèi)解決大面積故障的機(jī)制需要考驗(yàn)。云服務(wù)商可通過采用允許單人進(jìn)入設(shè)備、特殊門等硬件設(shè)備減少有意使用一個門禁卡讓多人進(jìn)入的風(fēng)險，虹膜解鎖等生物識別方式能夠更好的保障非內(nèi)部人員進(jìn)入，企業(yè)用戶也可考慮要求云服務(wù)商在關(guān)鍵進(jìn)入口配備該類裝置。這樣做的優(yōu)勢在于自動化工具可減少人員可能帶來的多種意外結(jié)果，從而能夠提高可用性。vii騰訊云騰訊在雇傭前、雇傭中、雇傭后都采取了一系列的措施來管理和避免員工可能的不當(dāng)行為。員工被授予權(quán)限訪問某些額外的資源需要申請批準(zhǔn)。中國大陸由世紀(jì)互聯(lián)運(yùn)營人員進(jìn)行管理和監(jiān)控。 亞馬遜AWS Risk and Compliance Whitepaper, Appendix A員工必須通過雙因素認(rèn)證來通過數(shù)據(jù)中心；員工所有對數(shù)據(jù)中心的物理訪問都要記錄和定期審計；當(dāng)員工離職時訪問權(quán)限會被自動撤銷；當(dāng)員工的工作職責(zé)發(fā)生變化時，繼續(xù)訪問資源的權(quán)力必須獲得明確批準(zhǔn)，否則會被自動取消。圖表 6 內(nèi)部人員管理對比云服務(wù)商人員管理流程設(shè)計招聘與培訓(xùn)監(jiān)控與備案手段亞馬遜AWS致力于通過一整套自動化流程與工具削減能夠訪問客戶信息的內(nèi)部員工數(shù)量。職責(zé)分離，是盡可能保持不相容職能（如業(yè)務(wù)授權(quán)、執(zhí)行、保管和記錄)的分離，通過消除高風(fēng)險組合來實(shí)現(xiàn)更高的安全。這種情況不一定出現(xiàn)，但一旦發(fā)生，造成的傷害就很大。 中國IDC圈，《TIA942對機(jī)房的分級及性能要求》 5家云服務(wù)商的數(shù)據(jù)中心建設(shè)都往ANSI最高標(biāo)準(zhǔn)T4靠齊，以期能保證數(shù)據(jù)中心的更高可用性。多國的數(shù)據(jù)中心部署幫助各地業(yè)務(wù)實(shí)現(xiàn)更低延遲性和更高的吞吐量，這對于那些跨國企業(yè)來說，全球范圍內(nèi)擁有廣泛數(shù)據(jù)中心分布的云服務(wù)商提供的服務(wù)有助于其將所有業(yè)務(wù)納入一個云平臺管理并保持當(dāng)?shù)貥I(yè)務(wù)的最快響應(yīng)。亞馬遜北京區(qū)由光環(huán)新網(wǎng)提供數(shù)據(jù)中心，有兩個可用區(qū)。全球化的基礎(chǔ)設(shè)施部署可根據(jù)當(dāng)?shù)胤苫蛴脩粢笞寯?shù)據(jù)僅駐留在指定的區(qū)域，每個區(qū)域2個以上的可用區(qū)保證了數(shù)據(jù)的容災(zāi)備份，而邊緣節(jié)點(diǎn)根據(jù)業(yè)務(wù)的負(fù)載需求分散在每一區(qū)域，可幫助降低延遲，改善終端用戶性能。聰慧IT網(wǎng)，《解讀天翼云“8+2+X”新資源布局：為客戶需求而生》，“據(jù)中國電信云計算公司副總經(jīng)理徐守峰介紹……利用全國豐富的CDN分發(fā)節(jié)點(diǎn)最終實(shí)現(xiàn)任何一個終端網(wǎng)絡(luò)訪問延遲不超過20ms。T3+（硅谷與香港 阿里云開發(fā)者論壇數(shù)據(jù)中心 新浪科技《阿里云宣布開放美國數(shù)據(jù)中心與亞馬遜短兵相接》）；T3（迪拜數(shù)據(jù)中心） i天下網(wǎng)商，《阿里云確認(rèn)開建迪拜數(shù)據(jù)中心 全球部署增至7個》；自有IDC牌照騰訊云天津、上海、深圳四個全國大型云計算數(shù)據(jù)中心。微軟 Azure 數(shù)據(jù)中心將云用戶的數(shù)據(jù)存儲為 3 個副本，即在北京和上海兩個距離 1000 公里以上數(shù)據(jù)中心可共存儲數(shù)據(jù)的 6 個副本。 更高的等級代表數(shù)據(jù)中心建設(shè)依據(jù)更高的可用性標(biāo)準(zhǔn)。美國國家標(biāo)準(zhǔn)學(xué)會（ANSI）批準(zhǔn)頒布的《數(shù)據(jù)中心電信基礎(chǔ)設(shè)施標(biāo)準(zhǔn)》，是當(dāng)今數(shù)據(jù)中心建設(shè)過程中通用的遵循標(biāo)準(zhǔn)之一。1. 數(shù)據(jù)中心部署云服務(wù)商在各地區(qū)部署的數(shù)據(jù)中心，使得企業(yè)用戶更易于遵從當(dāng)?shù)財?shù)據(jù)存儲方面的政策法規(guī)，同一區(qū)域多可用區(qū)，可實(shí)現(xiàn)數(shù)據(jù)的相互容災(zāi)備份；更多的數(shù)據(jù)節(jié)點(diǎn)分布拉近了與服務(wù)使用者的距離，能幫助企業(yè)實(shí)現(xiàn)更低的延遲性和更高的吞吐量。但如果針對云計算的物理保護(hù)不存在、沒有被正確實(shí)施、保護(hù)力度弱、安全執(zhí)行不一致，則其他安全將無從談起，甚至可能導(dǎo)致安全防護(hù)整體失敗。企業(yè)用戶往往會擔(dān)心云服務(wù)商數(shù)據(jù)中心的部署是否科學(xué)，保障基礎(chǔ)設(shè)施正常運(yùn)行的條件是否安全可靠，數(shù)據(jù)中心躲避災(zāi)害是否有保障，能不能做到對數(shù)據(jù)容災(zāi)的異地備份，技術(shù)和應(yīng)用組件跨越多個數(shù)據(jù)中心之間的延遲能否忽略。另外，云服務(wù)商能夠配備更高級別的安防系統(tǒng)，聘用行業(yè)最頂尖的技術(shù)專家為基礎(chǔ)設(shè)施部署提供方案與意見，這是一般傳統(tǒng)IT企業(yè)所不具備的能力。在我們盡力搭建的統(tǒng)一比較平臺上，以亞馬遜AWS為代表的國際云服務(wù)商在技術(shù)能力和規(guī)則成熟方面具有領(lǐng)先優(yōu)勢，他們致力于將全球性的成功模式復(fù)制到國內(nèi)市場，因此其業(yè)務(wù)開展的初期就已經(jīng)在整體業(yè)務(wù)流程和標(biāo)準(zhǔn)化上達(dá)到了較高的成熟度。目前從公開的信息看國內(nèi)提供第三方合作伙伴接入服務(wù)的云服務(wù)商中，僅有亞馬遜AWS對此有明確的要求——合作等級與資格認(rèn)證掛鉤。制圖：互聯(lián)網(wǎng)實(shí)驗(yàn)室，2015年12月雖然合作伙伴模式增加了云服務(wù)商的功能擴(kuò)展，但是引入第三方無疑增加了整體安全不確定風(fēng)險。目前已經(jīng)有山石、安恒、array、深信服、東軟、奕銳、銥迅、安華金和、駐云、云安寶等30多家安全廠商的產(chǎn)品。阿里云2015年6月9日，宣布啟動全球合作伙伴計劃(Marketplace Alliance Program，簡稱MAP計劃)。此外一些云服務(wù)商選擇建立創(chuàng)業(yè)扶植項(xiàng)目，以大量引入創(chuàng)新團(tuán)隊(duì)的辦法開發(fā)依托于自己平臺的功能。在安全方面，云服務(wù)商通過合作伙伴將專業(yè)安全廠商引入到服務(wù)體系中，在為用戶構(gòu)建更加安全可靠地云應(yīng)用方面提供了更多的選擇，從而有可能形成強(qiáng)強(qiáng)聯(lián)合的效果。對云服務(wù)商來說，需要采取積極的措施推動云產(chǎn)業(yè)供需雙方建立產(chǎn)業(yè)環(huán)境的信任感，因?yàn)榉湃芜@種情緒將最終影響整體產(chǎn)業(yè)的健康發(fā)展。因?yàn)?，屬于企業(yè)的數(shù)據(jù)資產(chǎn)只應(yīng)該由企業(yè)掌管，云服務(wù)商只是托管的平臺和工具，而不應(yīng)該成為可以窺視用戶資產(chǎn)的守門人。雖然文件針對政府使用云計算服務(wù)，但是該文件出臺也將對云服務(wù)市場產(chǎn)生影響。在安全協(xié)議書中明確各自的權(quán)利與責(zé)任。當(dāng)用戶采購云盾“服務(wù)器安全托管”服務(wù)時，可以為用戶提供保姆式托管服務(wù)，按照SLA提供服務(wù)。世紀(jì)互聯(lián)負(fù)責(zé)維護(hù)平臺，并提供可滿足客戶的安全性、隱私和合規(guī)性需求的云服務(wù)。亞馬遜AWS倡導(dǎo)其為用戶提供安全的云，用戶在云中安全運(yùn)行，權(quán)責(zé)清晰、絕不僭越。當(dāng)前中國三大運(yùn)營商之間的網(wǎng)絡(luò)互聯(lián)困難是當(dāng)前制約云計算服務(wù)穩(wěn)定性重要制約因素。例如，上云企業(yè)會參考本行業(yè)內(nèi)使用云的案例進(jìn)行選擇，但是他們?nèi)匀幌Ｍ軌蚪柚谌綑C(jī)構(gòu)提供綜合性比較結(jié)論。Forrester Research發(fā)布獨(dú)立報告——《Forrester Wave：2015年第三季度中國企業(yè)級公有云平臺 原文名：The Forrester Wave: Enterprise Public Cloud Platforms In China, Q3 2015：The 11 Providers That Matter Most And How They Stack Up》，在中國企業(yè)云平臺市場甄選了主要的云平臺服務(wù)商并對其進(jìn)行全方位的評估，其中對微軟Azure 和阿里云 該報告未對亞馬遜AWS和騰訊云在此類上的表現(xiàn)打分。亞馬遜AWS客戶使用的云計算能力超過其他14個云服務(wù)商 這份報告評估的