【正文】 具有服務(wù)器端加密與江南天安合作，提供基于硬件安全模塊（HSM）密鑰管理服務(wù) 賽迪網(wǎng)，“阿里云攜手江南天安發(fā)布國內(nèi)首款云數(shù)據(jù)加密服務(wù)” 提供監(jiān)控和日志類產(chǎn)品，如：simple Log Service 、Cloud Monitor，提供監(jiān)視、分析、查詢、及時告警等服務(wù) 阿里云官網(wǎng)云監(jiān)控高級清零，徹底刪除用戶數(shù)據(jù)，對物理磁盤消磁，消磁過程全程視頻監(jiān)控 阿里云官網(wǎng)云服務(wù)器（ECS）服務(wù)等級協(xié)議 騰訊云通過VPN專線加密，保障傳輸加密 中國政府采購網(wǎng)，“騰訊云推新五大產(chǎn)品服務(wù) CDN服務(wù)升級看點最多”。圖表 8五家云服務(wù)商認(rèn)證、訪問和權(quán)限管理上安全能力表現(xiàn)云服務(wù)商安全認(rèn)證訪問控制集成公司業(yè)務(wù)目錄亞馬遜AWS支持雙因素認(rèn)證(2FA)和多因素認(rèn)證，包括基于所選擇的基于硬件的身份驗證器 亞馬遜AWS官網(wǎng)安全中心 iam 允許客戶自定義個人用戶賬戶權(quán)限，支持添加特定條件如時間、來源 IP 地址、是否使用 SSL等xxv 可集成和聯(lián)合企業(yè)活動目錄，實現(xiàn)高級標(biāo)示、安全性及應(yīng)用程序訪問方面的管理，幫助企業(yè)開發(fā)人員快捷的在應(yīng)用程序中部署標(biāo)識管理策略 亞馬遜AWS官網(wǎng)產(chǎn)品與服務(wù) 微軟Azure支持用戶多因素身份驗證，包括基于所選擇的基于硬件的身份驗證器 微軟Azure 官網(wǎng)Azure 多重身份驗證 允許客戶自定義個人用戶賬戶權(quán)限，支持添加特定條件如時間、來源 IP 地址、是否使用 SSL等微軟Azure 官網(wǎng)訪問和身份 可集成和聯(lián)合企業(yè)活動目錄，實現(xiàn)高級標(biāo)示、安全性及應(yīng)用程序訪問方面的管理，幫助企業(yè)開發(fā)人員快捷的在應(yīng)用程序中部署標(biāo)識管理策略xxviii阿里云通過數(shù)據(jù)證書結(jié)合動態(tài)令牌實現(xiàn)雙因素認(rèn)證，也支持多因素驗證 阿里云官網(wǎng) 訪問控制產(chǎn)品在公測，產(chǎn)品介紹上看，支持自定義用戶賬戶權(quán)限xxix暫無 通過電話連接阿里云客服確認(rèn)騰訊云通過云賬號和密碼驗證身份 通過電話連接騰訊云客服確認(rèn)；支持雙因素驗證 騰訊云官網(wǎng)騰訊金融云介紹 支持自定義個人用戶賬戶權(quán)限xxxi，支持添加特定條件，如支持根據(jù)時間、IP地址的臨時授權(quán)暫無xxxi天翼云通過云賬號和密碼驗證身份,推出短信和手勢驗證 南方網(wǎng)“ 帶寬優(yōu)化實現(xiàn)智能提速”不支持自定義個人用戶賬戶權(quán)限 通過電話連接天翼云客服確認(rèn)暫無xxxiii制圖：互聯(lián)網(wǎng)實驗室，2015年12月其次，數(shù)據(jù)安全方面。操作主體的操作行為涉及訪問、處理和存儲，操作行為與數(shù)據(jù)安全的全生命周期相互耦合。最后，數(shù)據(jù)安全威脅動態(tài)多元化，數(shù)據(jù)在云端經(jīng)歷產(chǎn)生、存儲、使用、歸檔和銷毀一整套流動過程，這一系列環(huán)節(jié)形成整個數(shù)據(jù)的流轉(zhuǎn)鏈條，在數(shù)據(jù)流轉(zhuǎn)的過程中，數(shù)據(jù)安全威脅動態(tài)、多維度和全過程交叉影響，一旦數(shù)據(jù)流動和承載的軟硬件設(shè)施中的薄弱環(huán)節(jié)被黑客或網(wǎng)絡(luò)非法組織攻破，用戶的數(shù)據(jù)資源就會被盜取或者篡改。數(shù)據(jù)資產(chǎn)是企業(yè)發(fā)展的命脈，企業(yè)的數(shù)據(jù)資產(chǎn)上云，意味著企業(yè)的數(shù)據(jù)資產(chǎn)交托給云服務(wù)商來進(jìn)行管理，由于企業(yè)客戶基礎(chǔ)設(shè)施和應(yīng)用程序的外部化使得企業(yè)對數(shù)據(jù)的完全控制權(quán)發(fā)生變化，安全保障的不透明性和不可控性引發(fā)上云企業(yè)對云服務(wù)有效存儲和安全共享等方面產(chǎn)生一定的安全風(fēng)險顧慮。%的可用性一般只針對其主要業(yè)務(wù)，并且大多SLA考慮的比較寬泛，適合于大眾客戶而可能不覆蓋企業(yè)用戶的特定業(yè)務(wù)。2014年，網(wǎng)站追蹤公司CloudHarmony監(jiān)測了48家云服務(wù)商的宕機故障頻率，亞馬遜AWS和谷歌云平臺（Google Cloud Platform）的公有云正在接近被部分人認(rèn)為是可用性的終極目標(biāo)——五個9（%），尤其是亞馬遜AWS的正常運行時間最長。云安備可以將用戶重要的數(shù)據(jù)自動備份。阿里承諾服務(wù)可用性：%。通過 Amazon CloudWatch，可以獲取精確到上一分鐘的統(tǒng)計信息，還可以查看圖表并為指標(biāo)數(shù)據(jù)設(shè)置警報，幫助排除故障、發(fā)現(xiàn)趨勢并根據(jù)云環(huán)境的狀態(tài)采取自動化的操作。3. 事故賠償機制和任何信息系統(tǒng)一樣，云服務(wù)無法做到絕對可靠，云服務(wù)商一般會做出服務(wù)可用性承諾和未達(dá)標(biāo)的補償機制，將可能抵消企業(yè)的一部分事故損失，事故補償?shù)牧Χ纫材転槠髽I(yè)選擇云廠商作為參考依據(jù)之一。企業(yè)需明確云計算的“合租”場景給事故處理造成怎樣的難度？云服務(wù)商能否給出分離的用戶日志，用以分析事故；業(yè)務(wù)在數(shù)據(jù)中心間切換切回有無延遲。亞馬遜AWS、阿里云、騰訊云的人力資源流程規(guī)定員工離職時對其訪問權(quán)限消除。離職后， 人力資源部將通過系統(tǒng)禁止離職人員賬號訪問阿里云網(wǎng)絡(luò)。數(shù)據(jù)中心對存儲客戶數(shù)據(jù)系統(tǒng)的訪問通過鎖箱流程進(jìn)行控制。監(jiān)控和備案是防范和事故后追溯的重要手段，對數(shù)據(jù)中心的重要出入口進(jìn)行授權(quán)控制，24小時出入檢查登記，重要區(qū)域全覆蓋的視頻監(jiān)控，嚴(yán)格的進(jìn)入、操作的備案不僅可以做到有據(jù)可查，還可做到警示作用。2013年云安全聯(lián)盟（CSA）將“惡意的內(nèi)部人員”列為“云計算的九大威脅”之一 和訊網(wǎng)，《2013年云計算的九大威脅》，惡意的內(nèi)部人員風(fēng)險是每個上云企業(yè)必須考慮的方面。2. 多數(shù)據(jù)中心部署能實現(xiàn)更低的延遲性與吞吐量。從5家云服務(wù)商公開披露的信息來看，我們認(rèn)為亞馬遜AWS的數(shù)據(jù)中心部署模式具有代表性，亞馬遜AWS目前在全球范圍有11個區(qū)域（Region），每個區(qū)域最少分布兩個可用區(qū)（AZ），每個區(qū)域有眾多的邊緣站點分布。 《阿里云安全白皮書》災(zāi)難恢復(fù)與業(yè)務(wù)連續(xù)性，人員安全。ABC和1234這兩個本來就不對應(yīng)，國際的T4級是最高等級，國家的A級是最高等級，而T4級比A級的標(biāo)準(zhǔn)稍微嚴(yán)格一些，T3級又比A級標(biāo)準(zhǔn)低一下，所以A級標(biāo)準(zhǔn)是處于T3和T4之間的。 本指標(biāo)體系重點從數(shù)據(jù)中心部署和標(biāo)準(zhǔn)遵從兩方面幫助企業(yè)確認(rèn)和驗證云服務(wù)商基礎(chǔ)設(shè)施部署及所采取控制手段的科學(xué)性，建議企業(yè)深入云服務(wù)商數(shù)據(jù)中心現(xiàn)場進(jìn)行評估。我們在調(diào)研中發(fā)現(xiàn)，很多企業(yè)關(guān)注云服務(wù)商能否提供可靠的物理基礎(chǔ)設(shè)施來保障其業(yè)務(wù)的連續(xù)性。行業(yè)成功案例往往成為企業(yè)決策的重要參考信息，因此這種比較結(jié)論往往存在較大偏差。網(wǎng)站顯示在安全方面與安全狗形成了合作。在安全方面的合作伙伴包括伊登軟件、深信通、東方飛鴻祥瑞軟件、漢金科技等。國際云計算領(lǐng)先企業(yè)進(jìn)入中國后迅速復(fù)制了這一成熟的業(yè)務(wù)模式，亞馬遜AWS和微軟Azure在中國云落地的同時開始布局中國合作伙伴戰(zhàn)略。這么做只是改變了工作責(zé)任的性質(zhì)，將其轉(zhuǎn)變成了一種要與云提供商共同承擔(dān)的責(zé)任而已。天翼云近似責(zé)任共擔(dān)型與用戶簽訂了系列安全協(xié)議書，包括《云業(yè)務(wù)服務(wù)使用責(zé)任書》、《網(wǎng)絡(luò)信息安全承諾書》、《中國電信天翼云主機服務(wù)等級協(xié)議》、《中國電信天翼對象存儲系統(tǒng)服務(wù)等級協(xié)議》。微軟Azure/世紀(jì)互聯(lián)責(zé)任共擔(dān)型云平臺要求客戶與服務(wù)提供商共擔(dān)責(zé)任。因此除了云服務(wù)商 本身計算、存儲資源的規(guī)模外，網(wǎng)絡(luò)環(huán)境成為影響云計算產(chǎn)業(yè)功能穩(wěn)定性的重要變量。目前已經(jīng)有咨詢機構(gòu)開始針對中國云計算市場進(jìn)行調(diào)研，但數(shù)據(jù)仍然缺乏整體參考性。企業(yè)對云計算產(chǎn)業(yè)內(nèi)的全球性統(tǒng)計結(jié)果感知度不高，在此背景下本土優(yōu)勢企業(yè)形成了較強的影響力。CEO Bezos 在一份聲明中表示，“亞馬遜AWS 是一個 50 億美元的業(yè)務(wù)，并且依然在加速增長中，亞馬遜AWS 的營收最終會超過其零售業(yè)務(wù)”。市場份額排名 2～4 名的微軟、IBM 及 Google 也在營收方面增長明顯，年同比增幅分別達(dá)到 96%，48% 和 81%。這是由于國內(nèi)提供成熟云計算服務(wù)的廠商，在云業(yè)務(wù)整體實力方面本土云服務(wù)商與國際云服務(wù)商存在量級上的差距，且國際云服務(wù)商在成功案例量和服務(wù)規(guī)則成熟度等方面也具有顯著優(yōu)勢。 規(guī)制第三方合作安全伙伴的能力，提升多選擇服務(wù)的安全性云計算的合作伙伴能力——云服務(wù)商接納并整合基于云服務(wù)的中間商從而發(fā)展成為具有一致標(biāo)準(zhǔn)的伙伴關(guān)系——也是亞馬遜AWS率先提出并被行業(yè)普遍接納的概念。目前，以國外主流云服務(wù)商為代表的安全責(zé)任共擔(dān)模式和國內(nèi)主流云服務(wù)商為代表的托管模式是我國市場上的兩種主要的權(quán)責(zé)模式。這是由云計算的技術(shù)特征本身決定的，有時與云服務(wù)商關(guān)系不大。對于上云企業(yè)來說，選擇云市場排名在前的公司也是一種非常重要的安全策略。上云企業(yè)將云計算所在集團(tuán)公司在其他領(lǐng)域的成功作為評估云計算“家底”主要指標(biāo)是一個常見的誤解?！盙artner認(rèn)為，如果企業(yè)用戶選定了某家云計算服務(wù)商，最理想的狀態(tài)是：這家服務(wù)商能夠一直平穩(wěn)發(fā)展，而不會出現(xiàn)破產(chǎn)或被大型公司收購現(xiàn)象。因此我們在細(xì)化穩(wěn)定涉及的感知指標(biāo)的基礎(chǔ)上對國內(nèi)主流云服務(wù)商進(jìn)行評估，包括市場表現(xiàn)、計算資源供應(yīng)、對于安全生態(tài)系統(tǒng)的領(lǐng)導(dǎo)力、是否能夠通過安全理念便于客戶感知云服務(wù)商與客戶之間處于何種關(guān)系狀態(tài)。二、泛安全的信任指標(biāo)設(shè)計與對比對云服務(wù)商是否可靠的考察——是上云歷程的關(guān)鍵基礎(chǔ)性步驟。本次研究對象選取國內(nèi)五家提供公有云服務(wù)的國內(nèi)外廠商——亞馬遜AWS、微軟Azure、阿里云、騰訊云、天翼云。在簡單地剖析了企業(yè)上云之路的安全心理狀態(tài)之后，我們認(rèn)為，面對企業(yè)的不安全感的心理，如果要突破這個心理防線，企業(yè)需要理解沒有絕對的安全狀態(tài)，企業(yè)應(yīng)通過充分了解領(lǐng)先的云的工作機理與先進(jìn)的工作機制，了解云的計算能力與市場實力，梳理企業(yè)自身與云服務(wù)商之間以何種最佳關(guān)系狀態(tài)而相處，例如什么可以依托給云，云服務(wù)商以什么安全理念為企業(yè)而服務(wù)？ 無此，則安全無從談起。如果企業(yè)知曉的安全信息不夠全面，就會降低對云服務(wù)商安全能力的審視敏感性，影響業(yè)務(wù)在云中的實際運行安全。有的企業(yè)認(rèn)為：云有優(yōu)點，但也有不確定風(fēng)險，謹(jǐn)慎上云；有的企業(yè)認(rèn)為云很好，云即代表安全；也有企業(yè)認(rèn)為云的安全沒有切實可行的效果衡量。再次，通過訪問中國云安全專家修正和提升比較框架。在研究中我們參考了權(quán)威機構(gòu)發(fā)布的對云計算企業(yè)評估報告，已經(jīng)針對云安全領(lǐng)域的比較體系。我們提出企業(yè)進(jìn)行云安全審視的兩條基本原則，第一，企業(yè)尋找領(lǐng)先的云，思考企業(yè)與云的最佳結(jié)合狀態(tài)；第二，企業(yè)清晰地了解云服務(wù)商的安全機制與安全責(zé)任。我們將基于區(qū)分企業(yè)對云的安全感知狀態(tài)來撥開企業(yè)云安全感知迷霧。企業(yè)在將轉(zhuǎn)移IT解決方案到云計算的同時，由于企業(yè)客戶基礎(chǔ)設(shè)施和應(yīng)用程序的外部化使得企業(yè)的完全控制權(quán)發(fā)生變化，安全保障的不透明性和不可控性使得上云企業(yè)對云服務(wù)有效存儲和安全共享等方面存在一定的安全風(fēng)險顧慮。云深不知處——2016企業(yè)上云安全策略指南2016年1月互聯(lián)網(wǎng)實驗室觀點 價值與安全是企業(yè)做出上云決策的兩個支點。在調(diào)研中我們發(fā)現(xiàn)，企業(yè)對于上云后的數(shù)據(jù)安全的擔(dān)憂基本上覆蓋了云端數(shù)據(jù)安全的整個生命鏈條：例如數(shù)據(jù)傳輸和存儲是否安全；數(shù)據(jù)訪問控制權(quán)限是否可控；數(shù)據(jù)是否會被入侵、被攻擊；漏洞或系統(tǒng)不穩(wěn)定是否造成企業(yè)用戶的業(yè)務(wù)中斷、數(shù)據(jù)被盜、被篡改？這些現(xiàn)實情況使得中國企業(yè)上云之路呈現(xiàn)出漫長曲折的形態(tài)。企業(yè)對云的安全感知狀態(tài)大致可以區(qū)分為兩類，無論是哪一種狀態(tài)，都會成為企業(yè)做出客觀、理性的云決策的阻礙因素。依托于上述兩個基本原則，本報告從泛安全的信任基礎(chǔ)、物理資源基礎(chǔ)設(shè)施的安全部署能力、內(nèi)部人員的管理流程、應(yīng)急響應(yīng)能力、數(shù)據(jù)安全保護(hù)能力、合規(guī)性表現(xiàn)六個方面構(gòu)建了19個細(xì)化指標(biāo)的云安全能力指標(biāo)體系，對云服務(wù)商的安全實踐進(jìn)行比較。其中較為重要的包括：美國高技術(shù)市場研究公司Forrester云安全指標(biāo)體系，技術(shù)咨詢研究機構(gòu)Gartner對云安全市場的分析報告，歐洲網(wǎng)絡(luò)與信息安全局（ENISA）關(guān)于云計算的研究報告中對于云風(fēng)險情景的描述等。就資料和調(diào)查中存在的問題，我們對國內(nèi)高校、研究機構(gòu)中信息化、信息安全、云計算等領(lǐng)域?qū)＜遥约捌渌谠擃I(lǐng)域長期從事一線工作的專業(yè)人士該進(jìn)行了專題訪問。無論是哪種狀態(tài)，拋開企業(yè)的行業(yè)類型、組織規(guī)模、技術(shù)實力這些客觀事實，企業(yè)對云安全的感知狀態(tài)可以按照描述為以下幾點：企業(yè)對云安全有偏差的認(rèn)知；不知何解的疑問；由于對云的認(rèn)識還不夠全面存在沒有想到的安全問題等。 控制權(quán)遷移引發(fā)的不安全感可能錯估上云時機組織不愿意采用云服務(wù)，缺乏安全感是其中的一個，甚至對某些企業(yè)來說安全甚至是上云的頭號障礙。第二，清晰地了解云服務(wù)商如何分擔(dān)上云后的安全職能。圖表 1云服務(wù)商安全能力指標(biāo)體系云服務(wù)商安全能力對比一級指標(biāo)云服務(wù)商安全能力對比二級指標(biāo)泛安全的信任基礎(chǔ)市場表現(xiàn)計算資源供應(yīng)能力安全理念搭建第三方合作安全伙伴的能力物理基礎(chǔ)設(shè)施部署數(shù)據(jù)中心部署數(shù)據(jù)中心標(biāo)準(zhǔn)遵從內(nèi)部人員管理人員管理流程設(shè)計招聘與培訓(xùn)監(jiān)控備案、終止手段事故響應(yīng)事故處理團(tuán)隊提供的信息工具、相關(guān)標(biāo)準(zhǔn)和方法事故賠償機制日志服務(wù)數(shù)據(jù)安全保護(hù)認(rèn)證、訪問權(quán)限管理機制涉及數(shù)據(jù)所有權(quán)和處理權(quán)行為的數(shù)據(jù)保護(hù)機制外部網(wǎng)絡(luò)威脅防御能力合規(guī)性表現(xiàn)合規(guī)認(rèn)證的覆蓋度云服務(wù)商標(biāo)準(zhǔn)審計透明度云服務(wù)商法律政策的遵從制圖：互聯(lián)網(wǎng)實驗室，2015年12月1. 泛安全的信任基礎(chǔ)。即使最周詳?shù)挠媱?、實施并?zhí)行了相關(guān)的預(yù)防性安全措施，也無法完全避免信息資產(chǎn)遭到攻擊。通過調(diào)查，我們提出可用性是企業(yè)上云的前置性審核因素——用戶初步評估云服務(wù)商提供的服務(wù)能夠滿足企業(yè)業(yè)務(wù)的功能性需求，它往往并不是關(guān)注重點，因為通常僅有一個是或者否的結(jié)論就能夠迅速排除不符合的云服務(wù)商。 市場表現(xiàn)補償控制權(quán)喪失感，企業(yè)考察云服務(wù)商“家底”企業(yè)對云服務(wù)商穩(wěn)定性的考察首先是從“家底”而非技術(shù)層面展開。其理由很簡單：如果云計算服務(wù)商破產(chǎn)或被他人收購，企業(yè)客戶既有服務(wù)將被中斷或變得不穩(wěn)定。目前主流云計算多為互聯(lián)網(wǎng)公司、電信運營商、設(shè)備廠商的新業(yè)務(wù)領(lǐng)域，公司在其他領(lǐng)域成功是云計算業(yè)務(wù)開展的初期優(yōu)勢，但這并不意味著其云計算業(yè)務(wù)的必然成功。市場表現(xiàn)主要體現(xiàn)在云市場上的規(guī)模、盈利能力等因素。而在進(jìn)一步評估云服務(wù)商的計算資源供應(yīng)能力——計算資源、存儲資源、網(wǎng)絡(luò)資源的供應(yīng)能力的時候則面臨信息的不透明性。模式應(yīng)該對安全負(fù)責(zé)。在Gartner的一項研究顯示，在完全接受公共云計算服務(wù)的企業(yè)中，亞馬遜AWS能滿足其中71%企業(yè)的需求。國際云服務(wù)商在將成熟業(yè)務(wù)模式和合同規(guī)則引入中國的過程中面臨特殊本地化需求的挑戰(zhàn)，而扎根于中國市場成長起來的本土云服務(wù)商則獲得了相對優(yōu)勢。圖表 2 2014年內(nèi)第4季度云基礎(chǔ)設(shè)施