【正文】 實(shí)現(xiàn)數(shù)據(jù)的容災(zāi)備份。在我們盡力搭建的統(tǒng)一比較平臺(tái)上，以亞馬遜AWS為代表的國(guó)際云服務(wù)商在技術(shù)能力和規(guī)則成熟方面具有領(lǐng)先優(yōu)勢(shì)，他們致力于將全球性的成功模式復(fù)制到國(guó)內(nèi)市場(chǎng)，因此其業(yè)務(wù)開展的初期就已經(jīng)在整體業(yè)務(wù)流程和標(biāo)準(zhǔn)化上達(dá)到了較高的成熟度。由于缺乏直觀的和一致性的比較數(shù)據(jù)，國(guó)內(nèi)上云企業(yè)對(duì)云服務(wù)商穩(wěn)定性的評(píng)估更多的來自于感性認(rèn)知。目前從公開的信息看國(guó)內(nèi)提供第三方合作伙伴接入服務(wù)的云服務(wù)商中，僅有亞馬遜AWS對(duì)此有明確的要求——合作等級(jí)與資格認(rèn)證掛鉤。在調(diào)查中，上云企業(yè)對(duì)第三方能夠提供的補(bǔ)充性功能比較期待，同時(shí)也希望云服務(wù)商能夠?qū)Τ袚?dān)管理職責(zé)。制圖：互聯(lián)網(wǎng)實(shí)驗(yàn)室，2015年12月雖然合作伙伴模式增加了云服務(wù)商的功能擴(kuò)展，但是引入第三方無疑增加了整體安全不確定風(fēng)險(xiǎn)。天翼云其網(wǎng)站顯示在合作伙伴方面也區(qū)分為金銀銅牌，但分類側(cè)重合作內(nèi)容，而不是技術(shù)或安全標(biāo)準(zhǔn)。目前已經(jīng)有山石、安恒、array、深信服、東軟、奕銳、銥迅、安華金和、駐云、云安寶等30多家安全廠商的產(chǎn)品。10月阿里云安全市場(chǎng)上線阿里云阿里云2015年6月9日，宣布啟動(dòng)全球合作伙伴計(jì)劃(Marketplace Alliance Program，簡(jiǎn)稱MAP計(jì)劃)。微軟 Azure2014年微軟Azure與世紀(jì)互聯(lián)合作推動(dòng)云計(jì)算業(yè)務(wù)落地，同時(shí)啟動(dòng)了中國(guó)區(qū)合作伙伴項(xiàng)目，目前在中國(guó)總共有 13000 多家云合作伙伴，分為金牌合作伙伴和銀牌合作伙伴。此外一些云服務(wù)商選擇建立創(chuàng)業(yè)扶植項(xiàng)目，以大量引入創(chuàng)新團(tuán)隊(duì)的辦法開發(fā)依托于自己平臺(tái)的功能。亞馬遜AWS選擇與細(xì)分領(lǐng)域內(nèi)的領(lǐng)先者進(jìn)行合作，如在安全領(lǐng)域亞馬遜AWS的最高等級(jí)且合作最成熟的技術(shù)合作伙伴（Advanced Technology Partner）之一的趨勢(shì)科技就是在全球云計(jì)算安全市場(chǎng)上排名第一位的安全廠商。在安全方面，云服務(wù)商通過合作伙伴將專業(yè)安全廠商引入到服務(wù)體系中，在為用戶構(gòu)建更加安全可靠地云應(yīng)用方面提供了更多的選擇，從而有可能形成強(qiáng)強(qiáng)聯(lián)合的效果。4. 亞馬遜AWS明確要求第三方遵循與自身一樣的安全認(rèn)證標(biāo)準(zhǔn)當(dāng)前合作伙伴模式已經(jīng)成為云服務(wù)商普遍采用的一項(xiàng)業(yè)務(wù)戰(zhàn)略。對(duì)云服務(wù)商來說，需要采取積極的措施推動(dòng)云產(chǎn)業(yè)供需雙方建立產(chǎn)業(yè)環(huán)境的信任感，因?yàn)榉湃芜@種情緒將最終影響整體產(chǎn)業(yè)的健康發(fā)展。目前網(wǎng)絡(luò)安全事故中取證、責(zé)任認(rèn)定和賠付等尚無明確法律和判例，造成部分企業(yè)出現(xiàn)“無論如何云無法在整體不安全的環(huán)境下保證安全”的消極情緒，從而導(dǎo)致輕視審查云服務(wù)商的安全措施甚至放棄上云等極端選擇。因?yàn)椋瑢儆谄髽I(yè)的數(shù)據(jù)資產(chǎn)只應(yīng)該由企業(yè)掌管，云服務(wù)商只是托管的平臺(tái)和工具，而不應(yīng)該成為可以窺視用戶資產(chǎn)的守門人。把應(yīng)用和數(shù)據(jù)遷移到云中不等于IT經(jīng)理因此便可卸掉自己的責(zé)任。雖然文件針對(duì)政府使用云計(jì)算服務(wù)，但是該文件出臺(tái)也將對(duì)云服務(wù)市場(chǎng)產(chǎn)生影響。此外，2015年7月中央網(wǎng)信辦牽頭出臺(tái)了《關(guān)于加強(qiáng)黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的意見》，該文件確定了黨政部門在采購(gòu)使用云計(jì)算服務(wù)過程中應(yīng)遵守的4項(xiàng)大的原則規(guī)定：安全管理責(zé)任不變，數(shù)據(jù)歸屬關(guān)系不變，安全管理標(biāo)準(zhǔn)不變，敏感信息不出境 中國(guó)政府采購(gòu)網(wǎng) 《云安全審查來臨 云服務(wù)商如何解讀》。在安全協(xié)議書中明確各自的權(quán)利與責(zé)任。根據(jù)咨詢騰訊云客服反饋，相關(guān)內(nèi)容寫到與客戶簽訂的合同中。當(dāng)用戶采購(gòu)云盾“服務(wù)器安全托管”服務(wù)時(shí)，可以為用戶提供保姆式托管服務(wù)，按照SLA提供服務(wù)。阿里云可選托管型阿里云保障平臺(tái)安全，并通過為客戶提供三類安全能力：1）云產(chǎn)品的安全功能、2）云盾安全服務(wù)以及3）安全生態(tài)里的第三方安全廠商產(chǎn)品，來滿足客戶保護(hù)云端業(yè)務(wù)及數(shù)據(jù)安全的需求。世紀(jì)互聯(lián)負(fù)責(zé)維護(hù)平臺(tái)，并提供可滿足客戶的安全性、隱私和合規(guī)性需求的云服務(wù)。圖表 3 國(guó)內(nèi)主流云服務(wù)商權(quán)責(zé)模式比較云服務(wù)商責(zé)任模式權(quán)責(zé)模式表現(xiàn)或影響亞馬遜AWS責(zé)任共擔(dān)型評(píng)估云計(jì)算安全，客戶理解和辨別責(zé)任共擔(dān)是非常重要的：亞馬遜AWS提供的云安全服務(wù)措施是通過工具和操作保障“安全的云”；客戶通過操作亞馬遜AWS提供的安全內(nèi)容和應(yīng)用程序?qū)崿F(xiàn)“云中安全”。亞馬遜AWS倡導(dǎo)其為用戶提供安全的云，用戶在云中安全運(yùn)行，權(quán)責(zé)清晰、絕不僭越。這甚至成為中國(guó)企業(yè)選擇云服務(wù)商的時(shí)候必須考慮的運(yùn)營(yíng)商本身資質(zhì)之外的因素。當(dāng)前中國(guó)三大運(yùn)營(yíng)商之間的網(wǎng)絡(luò)互聯(lián)困難是當(dāng)前制約云計(jì)算服務(wù)穩(wěn)定性重要制約因素。云計(jì)算的基礎(chǔ)技術(shù)——虛擬化技術(shù)、分布式計(jì)算、效用計(jì)算等，需要通過網(wǎng)絡(luò)進(jìn)行即時(shí)性連接，從而實(shí)現(xiàn)服務(wù)的隨時(shí)隨地可獲得。例如，上云企業(yè)會(huì)參考本行業(yè)內(nèi)使用云的案例進(jìn)行選擇，但是他們?nèi)匀幌Ｍ軌蚪柚谌綑C(jī)構(gòu)提供綜合性比較結(jié)論。同期評(píng)估中阿里巴巴、微軟、和亞馬遜則被評(píng)為“企業(yè)級(jí)公有云平臺(tái)領(lǐng)導(dǎo)者（Leaders）”。Forrester Research發(fā)布獨(dú)立報(bào)告——《Forrester Wave：2015年第三季度中國(guó)企業(yè)級(jí)公有云平臺(tái) 原文名：The Forrester Wave: Enterprise Public Cloud Platforms In China, Q3 2015：The 11 Providers That Matter Most And How They Stack Up》，在中國(guó)企業(yè)云平臺(tái)市場(chǎng)甄選了主要的云平臺(tái)服務(wù)商并對(duì)其進(jìn)行全方位的評(píng)估，其中對(duì)微軟Azure 和阿里云 該報(bào)告未對(duì)亞馬遜AWS和騰訊云在此類上的表現(xiàn)打分。而在同一比較維度下，微軟Azure的計(jì)算能力是另外13大競(jìng)爭(zhēng)對(duì)手（不包括亞馬遜）總和的2倍。亞馬遜AWS客戶使用的云計(jì)算能力超過其他14個(gè)云服務(wù)商 這份報(bào)告評(píng)估的IaaS 企業(yè)，除亞馬遜AWS外，其余14家為：Microsoft、Google、CenturyLink、VMware、IBM（SoftLayer）、Rackspace、Virtustream、CSC、Interoute、Fujitsu、Verizon、NTT Communications、Joyent、Dimension Data。2. 科技咨詢公司評(píng)估計(jì)算能力模型顯示亞馬遜AWS最強(qiáng)一種評(píng)估方式為通過云服務(wù)商服務(wù)的客戶來評(píng)估其服務(wù)的計(jì)算能力。但是我們認(rèn)為整體性業(yè)務(wù)規(guī)模對(duì)企業(yè)選擇有重要意義。由于國(guó)內(nèi)云計(jì)算市場(chǎng)尚不成熟，國(guó)內(nèi)上云企業(yè)對(duì)云計(jì)算服務(wù)的認(rèn)知仍處于初級(jí)階段，因此企業(yè)對(duì)云服務(wù)商“家底”的評(píng)估中并未形成統(tǒng)一的價(jià)值標(biāo)準(zhǔn)。由于本部分涵蓋“電子商務(wù)交易、提供商標(biāo)授權(quán)、軟件開發(fā)服務(wù)、軟件銷售及其他服務(wù)”，此數(shù)據(jù)僅做參考，無法據(jù)此評(píng)估騰訊云的具體營(yíng)收情況。此前的財(cái)報(bào)顯示，、。微軟Azure：2014年，在 Office 365，Azure和Dynamics CRM 的持續(xù)推動(dòng)下，企業(yè)級(jí)云服務(wù)收入增長(zhǎng)114%，實(shí)現(xiàn)55億美元的年收入。2015年 一季度凈收入 億美元， 億美元。亞馬遜AWS在全球范圍內(nèi)具有云計(jì)算行業(yè)領(lǐng)導(dǎo)者優(yōu)勢(shì)，而在國(guó)內(nèi)阿里云則依靠本土化需求的差異性獲得了相對(duì)優(yōu)勢(shì)。微軟 Azure 和 亞馬遜AWS 則分別位居第四和第五位。圖表 2 2014年內(nèi)第4季度云基礎(chǔ)設(shè)施服務(wù)市場(chǎng)份額和增長(zhǎng)率2015年10月，F(xiàn)orrester 發(fā)布了中國(guó)區(qū)2015年第三季度的企業(yè)公有云服務(wù)Wave報(bào)告——中國(guó)公有云市場(chǎng)正在加速發(fā)展，今年的中國(guó)公有云市場(chǎng)規(guī)模預(yù)計(jì)為18億美元，到2020年中國(guó)公有云市場(chǎng)規(guī)模預(yù)計(jì)將達(dá)到38億美元。根據(jù)Synergy研究集團(tuán)（Synergy Research Group）于2015年 2 月份公布的數(shù)據(jù)，亞馬遜AWS 在公有云基礎(chǔ)性服務(wù)方面的表現(xiàn)創(chuàng)下了 5 年新高，在 2014 年 Q4 中，其全球市場(chǎng)份額增長(zhǎng)了 30%，營(yíng)收的年同比增長(zhǎng)也達(dá)到了 51%。 對(duì)比結(jié)果1. 市場(chǎng)表現(xiàn)上亞馬遜AWS具有全球市場(chǎng)優(yōu)勢(shì)，阿里云具有區(qū)域優(yōu)勢(shì)據(jù)Cartner 2015年初發(fā)布的技術(shù)發(fā)展趨勢(shì)報(bào)告顯示，2014 年全球云計(jì)算服務(wù)市場(chǎng)規(guī)模達(dá)1528 億美元，%，其中公有云開支將達(dá)700億美元。而這種方式難免會(huì)形成數(shù)據(jù)口徑的不一致的問題，為此我們盡量充分界定數(shù)據(jù)的意義。國(guó)際云服務(wù)商在將成熟業(yè)務(wù)模式和合同規(guī)則引入中國(guó)的過程中面臨特殊本地化需求的挑戰(zhàn)，而扎根于中國(guó)市場(chǎng)成長(zhǎng)起來的本土云服務(wù)商則獲得了相對(duì)優(yōu)勢(shì)。在對(duì)上云企業(yè)的泛安全感知提前出指標(biāo)并進(jìn)行賦值時(shí)，我們發(fā)現(xiàn)當(dāng)前國(guó)內(nèi)主流云服務(wù)商很難在一個(gè)維度上進(jìn)行比較。第三方合作伙伴模式是當(dāng)前云服務(wù)商普遍采用的業(yè)務(wù)模式，云計(jì)算環(huán)境下三方的關(guān)系無疑更加緊密了，這也增加了一些不確定因素。如何在使用第三方合作伙伴豐富服務(wù)的同時(shí)保障安全也是需要考量的重要問題。在Gartner的一項(xiàng)研究顯示，在完全接受公共云計(jì)算服務(wù)的企業(yè)中，亞馬遜AWS能滿足其中71%企業(yè)的需求。整體來看，國(guó)內(nèi)云服務(wù)商的安全原則仍處于建立過程中，客戶與云服務(wù)商之間的最佳關(guān)系可能是需要多方博弈形成。但是，從長(zhǎng)期發(fā)展的趨勢(shì)和業(yè)內(nèi)專業(yè)人士的評(píng)判，可以認(rèn)為安全責(zé)任共擔(dān)模式更符合云服務(wù)未來的發(fā)展。無論是哪一種模式，在當(dāng)前云服務(wù)的發(fā)展階段，只要能夠滿足云安全的需求，存在即合理。模式應(yīng)該對(duì)安全負(fù)責(zé)。 安全理念折射出安全能力，承諾與實(shí)踐匹配方式尚不成熟云計(jì)算放大了IT的挑戰(zhàn)，云服務(wù)商與用戶之間的安全權(quán)責(zé)關(guān)系更加重要。目前本土云服務(wù)商尚未被納入到這一指標(biāo)體系中，因此國(guó)內(nèi)上云企業(yè)往往尋求行業(yè)性成功個(gè)案進(jìn)行參考決策。計(jì)算資源供應(yīng)受多種因素制約，其中一些指標(biāo)是上云企業(yè)無法直觀感受到的。而在進(jìn)一步評(píng)估云服務(wù)商的計(jì)算資源供應(yīng)能力——計(jì)算資源、存儲(chǔ)資源、網(wǎng)絡(luò)資源的供應(yīng)能力的時(shí)候則面臨信息的不透明性。一般云服務(wù)商都具備計(jì)算資源的動(dòng)態(tài)延展性，也不會(huì)由于計(jì)算能力不足造成崩潰。 計(jì)算能力不可見，國(guó)內(nèi)通用比較標(biāo)準(zhǔn)有待明確云計(jì)算技術(shù)本身具有很高的穩(wěn)定性。有針對(duì)性的考察云計(jì)算企業(yè)的財(cái)務(wù)狀況有助于企業(yè)做出科學(xué)性的決策。市場(chǎng)表現(xiàn)主要體現(xiàn)在云市場(chǎng)上的規(guī)模、盈利能力等因素。我們建議上云企業(yè)在評(píng)估“家底”時(shí)盡量針對(duì)集團(tuán)企業(yè)的云業(yè)務(wù)板塊進(jìn)行獨(dú)立評(píng)估。轉(zhuǎn)而重點(diǎn)銷售運(yùn)行在其硬件和軟件上的使用OpenStack的私有云。2015年10月，宣布明年1月開始關(guān)閉惠普Helion公有云服務(wù)，轉(zhuǎn)與微軟合作，向客戶提供微軟Azure公有云服務(wù)。目前主流云計(jì)算多為互聯(lián)網(wǎng)公司、電信運(yùn)營(yíng)商、設(shè)備廠商的新業(yè)務(wù)領(lǐng)域，公司在其他領(lǐng)域成功是云計(jì)算業(yè)務(wù)開展的初期優(yōu)勢(shì)，但這并不意味著其云計(jì)算業(yè)務(wù)的必然成功。目前市場(chǎng)上云服務(wù)商分化在逐步拉大，根據(jù)Synergy方面公布的結(jié)果，目前四大云服務(wù)商(包括微軟、IBM、谷歌與Amazon)總計(jì)收得54%營(yíng)收比例。Gartner稱，在未來兩年里，云服務(wù)的應(yīng)用者將面臨嚴(yán)重的風(fēng)險(xiǎn)，因?yàn)樗麄兊姆?wù)提供商很可能被收購(gòu)或者被迫退出這項(xiàng)業(yè)務(wù)。云計(jì)算企業(yè)的經(jīng)營(yíng)不穩(wěn)定是一種現(xiàn)實(shí)風(fēng)險(xiǎn)。其理由很簡(jiǎn)單：如果云計(jì)算服務(wù)商破產(chǎn)或被他人收購(gòu)，企業(yè)客戶既有服務(wù)將被中斷或變得不穩(wěn)定。覆蓋行業(yè)、用戶數(shù)量、盈利能力會(huì)對(duì)選擇供應(yīng)商有影響。云市場(chǎng)規(guī)模是上云企業(yè)考察的重點(diǎn)指標(biāo)。在對(duì)有上云意向的企業(yè)調(diào)查中，我們發(fā)現(xiàn)企業(yè)的考察具有一定的主觀性和不完整性，因此提取具有普遍性的指標(biāo)，并通過公開的信息構(gòu)建一個(gè)對(duì)在中國(guó)市場(chǎng)提供服務(wù)的主流云服務(wù)商“家底”的比較維度。 市場(chǎng)表現(xiàn)補(bǔ)償控制權(quán)喪失感，企業(yè)考察云服務(wù)商“家底”企業(yè)對(duì)云服務(wù)商穩(wěn)定性的考察首先是從“家底”而非技術(shù)層面展開。作為外包合作模式，上云企業(yè)難以如對(duì)待內(nèi)部IT部門一樣進(jìn)行詳細(xì)資源審查，這是不安全感的一個(gè)主要來源。持續(xù)時(shí)間下的功能可獲得性是企業(yè)對(duì)IT部門的基本需求，而在上云背景下，這一需求被更加強(qiáng)化了?！胺€(wěn)定性是前提，穩(wěn)定性達(dá)不到傳統(tǒng)架構(gòu)不會(huì)考慮上云。通過調(diào)查，我們提出可用性是企業(yè)上云的前置性審核因素——用戶初步評(píng)估云服務(wù)商提供的服務(wù)能夠滿足企業(yè)業(yè)務(wù)的功能性需求，它往往并不是關(guān)注重點(diǎn)，因?yàn)橥ǔH有一個(gè)是或者否的結(jié)論就能夠迅速排除不符合的云服務(wù)商。特別對(duì)于一定規(guī)模以下的組織而言，“云”還是治理和合規(guī)的輔助技術(shù)，可通過內(nèi)嵌合規(guī)認(rèn)證的服務(wù)套件，使一定規(guī)模以下的組織可以與規(guī)模更大，資源優(yōu)勢(shì)更明顯的企業(yè)達(dá)成同等級(jí)別的合規(guī)。5. 數(shù)據(jù)安全保護(hù)。即使最周詳?shù)挠?jì)劃、實(shí)施并執(zhí)行了相關(guān)的預(yù)防性安全措施，也無法完全避免信息資產(chǎn)遭到攻擊。內(nèi)部惡意攻擊所造成的危害后果往往嚴(yán)重地多，云的架構(gòu)決定了這種高風(fēng)險(xiǎn)角色的存在，企業(yè)需要了解云服務(wù)商是如何管理內(nèi)部人員，防止內(nèi)部惡意攻擊或者操作不當(dāng)?shù)葐栴}帶來的云風(fēng)險(xiǎn)。物理安全是保障云服務(wù)的第一道防線，客戶通過數(shù)據(jù)中心部署機(jī)制、數(shù)據(jù)中心建設(shè)遵從標(biāo)準(zhǔn)的了解，來獲取對(duì)云服務(wù)商保障業(yè)務(wù)連續(xù)性的信任。2. 物理基礎(chǔ)設(shè)施部署。圖表 1云服務(wù)商安全能力指標(biāo)體系云服務(wù)商安全能力對(duì)比一級(jí)指標(biāo)云服務(wù)商安全能力對(duì)比二級(jí)指標(biāo)泛安全的信任基礎(chǔ)市場(chǎng)表現(xiàn)計(jì)算資源供應(yīng)能力安全理念搭建第三方合作安全伙伴的能力物理基礎(chǔ)設(shè)施部署數(shù)據(jù)中心部署數(shù)據(jù)中心標(biāo)準(zhǔn)遵從內(nèi)部人員管理人員管理流程設(shè)計(jì)招聘與培訓(xùn)監(jiān)控備案、終止手段事故響應(yīng)事故處理團(tuán)隊(duì)提供的信息工具、相關(guān)標(biāo)準(zhǔn)和方法事故賠償機(jī)制日志服務(wù)數(shù)據(jù)安全保護(hù)認(rèn)證、訪問權(quán)限管理機(jī)制涉及數(shù)據(jù)所有權(quán)和處理權(quán)行為的數(shù)據(jù)保護(hù)機(jī)制外部網(wǎng)絡(luò)威脅防御能力合規(guī)性表現(xiàn)合規(guī)認(rèn)證的覆蓋度云服務(wù)商標(biāo)準(zhǔn)審計(jì)透明度云服務(wù)商法律政策的遵從制圖：互聯(lián)網(wǎng)實(shí)驗(yàn)室，2015年12月1. 泛安全的信任基礎(chǔ)。本次研究對(duì)象的選擇在考慮市場(chǎng)表現(xiàn)的之外，希望覆蓋不同企業(yè)類型、業(yè)務(wù)形態(tài)的云服務(wù)商的云安全實(shí)踐展現(xiàn)。我們希望通過本報(bào)告為企業(yè)云決策者、云實(shí)施部署者構(gòu)建安全知識(shí)體系，增強(qiáng)從安全維度上審視未來要選定的云服務(wù)商合作伙伴的判斷力。 云安全能力指標(biāo)體系構(gòu)建依托于上述兩個(gè)基本原則，參考CSA發(fā)布的《云計(jì)算關(guān)鍵領(lǐng)域安全指南》、歐洲網(wǎng)絡(luò)與信息安全局（ENISA）發(fā)布的云服務(wù)保障標(biāo)準(zhǔn)研究等一系列云安全標(biāo)準(zhǔn)文件，結(jié)合企業(yè)上云擔(dān)憂，以便于企業(yè)在第一時(shí)間全局性地審視云服務(wù)商的安全能力，本報(bào)告從泛安全的信任基礎(chǔ)、物理基礎(chǔ)設(shè)施部署、內(nèi)部人員管理、應(yīng)急響應(yīng)、數(shù)據(jù)安全保護(hù)、合規(guī)性表現(xiàn)六個(gè)方面構(gòu)建了19個(gè)細(xì)化指標(biāo)體系。第二，清晰地了解云服務(wù)商如何分擔(dān)上云后的安全職能。 提出企業(yè)進(jìn)行云安全審視的基本原則第一，尋找領(lǐng)先的云，思考企業(yè)與云的最佳關(guān)系狀態(tài)。我們要承認(rèn)的是，不安全感本身是一種帶有主觀性的心理活動(dòng)。例如基礎(chǔ)設(shè)施和應(yīng)用程序的外部化，會(huì)給企業(yè)自身帶