企业上云安全策略指南

1、“云”深不知处2016企业上云安全策略指南 76/76云深不知知处20166企业上上云安全全策略指指南20166年1月月互联网实实验室观观点价值与安安全是企企业做出出上云决决策的两两个支点点。面对对上云决决策，企企业需要要在价值值需求与与安全需需求之间间形成最最适合于于企业自自身发展展战略、业务特特性的决决策天平平。在对价值值支点的的判断上上，云是是大势所所趋已经经深入人人心。企企业可以以通过对对内部IIT成本本的核算算和业务务发展情情况等内内部信息息对上云云的价值值做出有有效评估估。企业业如果能能将云的的诸多优优点引入入生产、运营、服务环环节之中中，就能能够在创创造新的的商业模模式、持持续创

2、新新、降低低成本等等方面释释放巨大大的价值值潜能。例如：有了云，用户不不再需要要购买、建立、安装并并运行昂昂贵的计计算机硬硬件，而而通过无无处不在在的可用用有线或或无线网网络，就就可简便便的获取取计算机机资源，正如获获取其他他公共资资源一样样；云还具备备弹性，用户可可以快速速并且经经济的增增加或者者减少云云服务；云共享的的计算机机资源可可以提供供客观的的经济效效益，并并且可以以减少成成本、加加快创新新；云提供的的服务已已经存在在，可以以在需要要时按需需分配，按需扩扩容；用户可以以快速并并且经济济地计算算自身云云服务的的吞吐量量，并据据此进行行相应调调整。而在对安安全支点点的判断断上，无无法排解

3、解的安全全忧虑导导致企业业上云迟迟疑甚至至可能引引发决策策反复。企业在在将转移移IT解解决方案案到云计计算的同同时，由由于企业业客户基基础设施施和应用用程序的的外部化化使得企企业的完完全控制制权发生生变化，安全保保障的不不透明性性和不可可控性使使得上云云企业对对云服务务有效存存储和安安全共享享等方面面存在一一定的安安全风险险顾虑。在调研研中我们们发现，企业对对于上云云后的数数据安全全的担忧忧基本上上覆盖了了云端数数据安全全的整个个生命链链条：例例如数据据传输和和存储是否否安全；数据访访问控制制权限是是否可控控；数据据是否会会被入侵侵、被攻攻击；漏洞或或系统不不稳定是是否造成成企业用用户的业业务

4、中断断、数据据被盗、被篡改？这些现现实情况况使得中中国企业业上云之之路呈现现出漫长长曲折的的形态。以基于价价值与安安全感知知的企业业云决策策象限来来谋求破破题之道道。在项项目初期期，我们们对有上上云需求求的企业业进行初初步接触触时发现现，企业业或者无无限期地地延缓上上云行动动；或者者在上云云后出现现决策反反复；或或者认为为云有优优点，但但也有不不确定风风险，需需要谨慎慎上云；甚至或或者即使使经在用用云，仍仍对安全全抱有较较大不信信任。因因此，我我们在报报告当中中以企业业对云价价值的释释放是否否清晰，企业对对安全的的感知、需求是是否明确确为维度度描绘了了如下企企业云决决策象限限。安全需求求的模糊

5、糊性会加加重决策策天平的的不稳定定性，企企业所面面临的难难以权衡衡取舍的的决策困困境需要要破解。面对安安全问题题，企业业要基于于对外部部信息结结合自身身IT能能力和需需求进行行判断，这无疑疑是难度度更大的的，尤其其是难以以形成量量化结论论。难以以言喻的的IT功功能外部部产生的的失控感感又大大大加重了了上云决决策中安安全需求求的主观观法码。我们将基基于区分分企业对对云的安安全感知知状态来来拨开企企业云安安全感知知迷雾。企业对对云的安安全感知知状态大大致可以以区分为为两类，无论是是哪一种种状态，都会成成为企业业做出客客观、理理性的云云决策的的阻碍因因素。第一，企企业存在在安全认认知盲区区会降低低在

6、做出出决策时时对云服服务商安安全能力力的审视视敏感性性。企业业是否具具备了客客观审视视云的风风险特征征的足够够信息支支撑？企企业是否否有充足足的云安安全认知知能够在在成本考考量的基基础上最最大程度度防御安安全风险险，又能能够在一一旦安全全事故发发生后的的如何最最大化的的降低损损失？如如果企业业知晓的的安全信信息不够够全面，就会降降低对云云服务商商安全能能力的审审视敏感感性，影影响业务务在云中中的实际际运行安安全。第二，控控制权迁迁移引发发的不安安全感可可能错估估上云时时机。多多家研究究机构的的统计调调研数据据均证实实企业对对云服务务安全的的担忧是是全球范范围内面面临的上上云障碍碍。如果果企业在

7、在带有不不安全感感的心理理状态下下来审视视云服务务商，有有可能因因为主观观的不信信任而影影响了客客观、理理性的对对上云之之路，以以及云合合作伙伴伴基于安安全视角角的审视视与决策策，就会会错估享享受云效效益的时时机。云安全问问题的破破题需要要映射到到云服务务商的安安全实践践表现，我们建建立云安安全能力力指标体体系协助助企业做做出最佳佳决策。我们提出出企业进进行云安安全审视视的两条条基本原原则，第第一，企企业寻找找领先的的云，思思考企业业与云的的最佳结结合状态态；第二二，企业业清晰地地了解云云服务商商的安全全机制与与安全责责任。依依托于上上述两个个基本原原则，本本报告从从泛安全全的信任任基础、物理

8、资资源基础础设施的的安全部部署能力力、内部部人员的的管理流流程、应应急响应应能力、数据安安全保护护能力、合规性性表现六六个方面面构建了了19个个细化指指标的云云安全能能力指标标体系，对云服服务商的的安全实实践进行行比较。本报告通通过云服服务商安安全能力力指标体体系的构构建，帮帮助企业业构建充充足的关关于云服服务商安安全能力力的研判判信息，通过对对比云服服务商来来了解上上云需关关注的安安全环节节，即可可对上云云安全做做到心中中有数，应对有有术。从从而在上上云决策策中，提提升基于于安全视视角的理理性、客客观性，优化的的最佳决决策。目录TOC o 1-2 h z u HYPERLINK l _Toc

9、440012148 互联网实实验室观观点 PAGEREF _Toc440012148 h 2 HYPERLINK l _Toc440012149 目录 PAGEREF _Toc440012149 h 55 HYPERLINK l _Toc440012150 研究方法法：基于于公开信信息的比比较研究究 PAGEREF _Toc440012150 h 7 HYPERLINK l _Toc440012151 一、构建建云安全全能力指指标体系系 PAGEREF _Toc440012151 h 9 HYPERLINK l _Toc440012152 1.1 拨开企企业云安安全感知知迷雾 PAGEREF

10、_Toc440012152 h 9 HYPERLINK l _Toc440012153 1.2 提出企企业进行行云安全全审视的的基本原原则 PAGEREF _Toc440012153 h 10 HYPERLINK l _Toc440012154 1.3 云安全全能力指指标体系系构建 PAGEREF _Toc440012154 h 11 HYPERLINK l _Toc440012155 二、泛安安全的信信任指标标设计与与对比 PAGEREF _Toc440012155 h 14 HYPERLINK l _Toc440012156 2.1 市场表表现补偿偿控制权权丧失感感，企业业考察云云服务商商

11、“家底” PAGEREF _Toc440012156 h 14 HYPERLINK l _Toc440012157 2.2 计算能能力不可可见，国国内通用用比较标标准有待待明确 PAGEREF _Toc440012157 h 16 HYPERLINK l _Toc440012158 2.3 安全理理念折射射出安全全能力，承诺与与实践匹匹配方式式尚不成成熟 PAGEREF _Toc440012158 h 16 HYPERLINK l _Toc440012159 2.4 规制第第三方合合作安全全伙伴的的能力，提升多多选择服服务的安安全性 PAGEREF _Toc440012159 h 16 HYP

12、ERLINK l _Toc440012160 2.5 对比结结果 PAGEREF _Toc440012160 h 17 HYPERLINK l _Toc440012161 三、物理理基础设设施部署署指标设设计与对对比 PAGEREF _Toc440012161 h 25 HYPERLINK l _Toc440012162 3.1企企业云之之旅从物物理安全全开始 PAGEREF _Toc440012162 h 25 HYPERLINK l _Toc440012163 3.2物物理基础础设施部部署指标标体系设设计 PAGEREF _Toc440012163 h 25 HYPERLINK l _To

13、c440012164 3.3对对比结果果 PAGEREF _Toc440012164 h 28 HYPERLINK l _Toc440012165 四、内部部人员管管理指标标设计与与对比 PAGEREF _Toc440012165 h 30 HYPERLINK l _Toc440012166 4.1完完善的人人员管理理流程能能够将恶恶意人员员风险最最小化 PAGEREF _Toc440012166 h 30 HYPERLINK l _Toc440012167 4.2内内部人员员管理指指标体系系设计 PAGEREF _Toc440012167 h 30 HYPERLINK l _Toc44001

14、2168 4.3对对比结果果 PAGEREF _Toc440012168 h 32 HYPERLINK l _Toc440012169 五、事故故响应指指标设计计与对比比 PAGEREF _Toc440012169 h 34 HYPERLINK l _Toc440012170 5.1云云服务商商好比房房地产的的物业 PAGEREF _Toc440012170 h 34 HYPERLINK l _Toc440012171 5.2明明确云给给事故响响应带来来的特殊殊性，有有助于业业务更快快的恢复复 PAGEREF _Toc440012171 h 34 HYPERLINK l _Toc4400121

15、72 5.3事事故响应应指标体体系设计计 PAGEREF _Toc440012172 h 34 HYPERLINK l _Toc440012173 5.3对对比结果果 PAGEREF _Toc440012173 h 37 HYPERLINK l _Toc440012174 六、数据据安全保保护指标标设计与与对比 PAGEREF _Toc440012174 h 39 HYPERLINK l _Toc440012175 6.1所所有权和和控制权权转移，促使客客户依赖赖高标准准安全控控制手段段 PAGEREF _Toc440012175 h 39 HYPERLINK l _Toc440012176

16、6.2对对数据安安全保障障技术和和能力的的评估 PAGEREF _Toc440012176 h 40 HYPERLINK l _Toc440012177 6.3对对比结果果 PAGEREF _Toc440012177 h 43 HYPERLINK l _Toc440012178 七、合规规性表现现指标设设计与对对比 PAGEREF _Toc440012178 h 45 HYPERLINK l _Toc440012179 7.1 云服务务商的合合规性认认证是给给客户企企业安全全保障的的定心丸丸 PAGEREF _Toc440012179 h 45 HYPERLINK l _Toc44001218

17、0 7.2 合规性性指标主主要分为为安全认认证、透透明审计计和法律律遵从 PAGEREF _Toc440012180 h 45 HYPERLINK l _Toc440012181 7.3 国内外外云服务务行业合合规性认认证存在在差异，国外优优势明显显 PAGEREF _Toc440012181 h 49 HYPERLINK l _Toc440012182 7.4 对比结结果 PAGEREF _Toc440012182 h 50 HYPERLINK l _Toc440012183 结论 PAGEREF _Toc440012183 h 660 HYPERLINK l _Toc440012184 后

18、记：共共筑云安安全更佳佳状态需需要各方方参与 PAGEREF _Toc440012184 h 63 HYPERLINK l _Toc440012185 常见问题题 PAGEREF _Toc440012185 h 65 HYPERLINK l _Toc440012186 云服务商商信息来来源说明明 PAGEREF _Toc440012186 h 67 HYPERLINK l _Toc440012187 致谢 PAGEREF _Toc440012187 h 669研究方法法：基于于公开信信息的比比较研究究对信息的的有效理理解能够够提升决决策的自自信。本本次研究究同样面面临对信信息的理理解困境境，研

19、究究设计是是基于破破解面临临的多源源、不一一致和不不对称等等困境而而形成的的。我们们认为本本次项目目首要目目标是构构建中国国企业对对云安全全的评价价认知和和指标体体系，在在这问题题下，我我们需要要解决什么么是安全全？以及及哪些信信息能够够支撑安安全感受受？并最最终通过过可以获获得的信信息建立立一个解解答模式式。首先，利利用权威威报告建建立对云云安全的的基础认认知和分分析框架架。在研究中中我们参参考了权权威机构构发布的的对云计计算企业业评估报报告，已已经针对对云安全全领域的的比较体体系。其其中较为为重要的的包括：美国高高技术市市场研究究公司FForrrestter云云安全指指标体系系，技术术咨询

20、研研究机构构Garrtneer对云云安全市市场的分分析报告告，欧洲洲网络与与信息安安全局（ENIISA）关于云云计算的的研究报报告中对对于云风风险情景景的描述述等。基于以上上资料，我们初初步建立立了对云云安全的的基本概概念和评评价体系系，以便便于在后后续研究究中形成成一个具具有较强强一致性性的比较较逻辑和和对话平平台。其次，通通过调查查中国企企业发现现本土需需求与经经典理论论之间的的差异。我们希望望通过对对中国企企业ITT部门高高管、技技术负责责人调查查，了解解中国企企业对上上云决策策理解，对云安安全的态态度。在在获得这这些信息息之外，我们还还了解到到部分企企业存在在与常见见云理论论不同的的感

21、性认认知，在在此基础础上我们们对初期期比较框框架做了了调整和和细化。本次调查查为了保保证调查查展现出出的观点点的多样样性，样样本企业业即包括括互联网网金融、移动应应用开发发、ITT系统开开发等IIT产业业，也包包括城市市基础设设施建设设运营、加工设设备制造造、电子子仪器制制造等传传统行业业。在上上云情况况上，这这些企业业或已经经上云，或明确确表现出出上云的的意愿，访问对对象主要要为企业业CTOO、CIIO或技技术总监监等相关关职位。再次，通通过访问问中国云云安全专专家修正正和提升升比较框框架。就资料和和调查中中存在的的问题，我们对对国内高高校、研研究机构构中信息息化、信信息安全全、云计计算等领

22、领域专家家，以及及其他在在该领域域长期从从事一线线工作的的专业人人士该进进行了专专题访问问。专家家基于所所在专业业领域，对中国国云计算算发展状状况及特特殊性，企业上上云安全全的整体体性困惑惑和解决决方法等等问题做做出了解解答。最后，使使用公开开信息进进行以安安全为核核心的比比较实践践。针对最终终形成的的指标体体系，研研究团队队通过公公开渠道道获取具具有统一一标准的的信息进进行比较较操作。这些信信息渠道道包括：云服务商商企业自自行发布布的白皮皮书；云服务商商企业自自身对外外公开的的业务动动态新闻闻；权威机构构发布的的研究报报告；对部分不不明确信信息，我我们通过过企业公公开的客客服电话话进行了了询

23、问确确认。使用公开开信息源源主要考考虑到本本次研究究行为建建立一个个能够为为上云企企业提供供参考的的比较方方法，因因此在整整体研究究方法上上都充分分考虑了了信息的的可获得得性。一、构建建云安全全能力指指标体系系上云路途途的一个个阻碍是是企业对对云安全全的担忧忧，与企企业的近近距离地地交流访访谈中，我们发发现这种种担忧因因人而异异，对企企业迈入入云端的的影响程程度也不不一样，存在不不同的安安全感知知状态。有的企企业认为为：云有有优点，但也有有不确定定风险，谨慎上上云；有有的企业业认为云云很好，云即代代表安全全；也有有企业认认为云的的安全没没有切实实可行的的效果衡衡量。无论是哪哪种状态态，抛开开企

24、业的的行业类类型、组组织规模模、技术术实力这这些客观观事实，企业对对云安全全的感知知状态可可以按照照描述为为以下几几点：企企业对云云安全有有偏差的的认知；不知何何解的疑疑问；由由于对云云的认识识还不够够全面存存在没有有想到的的安全问问题等。由于这种种因人而而异的安安全感知知的差异异性，我我们将本本报告首首先站在在企业的的角度来来剖析几几种企业业对云安安全的感感知状态态，再构构建起云云安全能能力体系系，对比比主要云云服务提提供商（云服务务商）安安全实践践现状的的基础上上，将各各家云服服务商的的关键安安全能力力解释转转化为企企业、公公众可理理解的信信息，以以期帮助助企业构构建相对对系统、全面的的云

25、安全全知识体体系。1.1 拨开企企业云安安全感知知迷雾企业对云云的安全全感知状状态大致致可以区区分为两两类，存存在安全全感知盲盲区和由由于控制制权的迁迁移引发发的不安安全感，无论是是哪一种种状态，都会成成为企业业做出客客观、理理性的云云决策的的阻碍因因素。1.1.1 安安全感知知盲区会会降低在在决策时时对云服服务商安安全能力力的审视视敏感性性第一种情情况，由由于云自自身的资资源池化化等特征征会释放放出相对对于传统统IT部部署活动动的新风风险，例例如云规规模化的的资源集集中在产产生效益益的同时时，也会会因目标标更大而而遭受黑黑客的攻攻击，从从而给企企业自身身带来风风险。企企业是否否具备了了客观审

26、审视云的的风险特特征的足足够信息息支撑？第二种情情况，由由于没有有绝对的的安全状状态，安安全风险险不能百百分百杜杜绝，企企业在部部署安全全防护时时，还需需要同时时考虑成成本这一一现实问问题。最最佳安全全保障体体系需要要既能够够在企业业成本考考量的基基础上最最大程度度防御安安全风险险，又能能够在一一旦安全全事故发发生后如如何最大大化的降降低损失失。企业的云云安全状状态不能能完全寄寄托于云云服务提提供商，如果企企业不能能够充分分了解云云服务商商在数据据安全、服务可可靠性、内部人人员管理理、访问问控制与与授权等等一系列列方面的的安全能能力部署署信息，将会影影响在成成本考量量之下的的安全保保障体系系部

27、署，一旦安安全事故故发生后后，企业业自身也也不能依依据充分分的信息息快速调调拨云服服务商的的安全解解决方案案做出及及时预案案。如果果企业知知晓的安安全信息息不够全全面，就就会降低低对云服服务商安安全能力力的审视视敏感性性，影响响业务在在云中的的实际运运行安全全。1.1.2 控控制权迁迁移引发发的不安安全感可可能错估估上云时时机组织不愿愿意采用用云服务务，缺乏乏安全感感是其中中的一个个，甚至至对某些些企业来来说安全全甚至是是上云的的头号障障碍。随随着开发发验证测测试，数数据存储储备份容容灾，关关键业务务应用，数据中中心等一一系列的的企业IIT活动动阶段性性地上云云，原来来在企业业完全掌掌控的II

28、T部署署活动由由云服务务商承担担了一部部分的职职能。例例如基础础设施和和应用程程序的外外部化，会给企企业自身身带来的的控制权权转移而而引发的的风险担担忧。企企业对云云服务商商提供的的安全保保障能力力本身，以及是是否在合合规性、数据保保护、控控制内外外部恶意意攻击等等方面具具备足够够透明性性的顾虑虑也会油油然而生生。我们要承承认的是是，不安安全感本本身是一一种带有有主观性性的心理理活动。如果企企业在带带有不安安全感的的心理状状态下来来审视云云服务商商，有可可能因为为主观的的不信任任而影响响了客观观、理性性的对上上云之路路，以及及云合作作伙伴基基于安全全视角的的审视与与决策，就会错错估享受受云效益

29、益的时机机。1.2 提出企企业进行行云安全全审视的的基本原原则第一，寻寻找领先先的云，思考企企业与云云的最佳佳关系状状态。在在简单地地剖析了了企业上上云之路路的安全全心理状状态之后后，我们们认为，面对企企业的不不安全感感的心理理，如果果要突破破这个心心理防线线，企业业需要理理解没有有绝对的的安全状状态，企企业应通通过充分分了解领领先的云云的工作作机理与与先进的的工作机机制，了了解云的的计算能能力与市市场实力力，梳理理企业自自身与云云服务商商之间以以何种最最佳关系系状态而而相处，例如什什么可以以依托给给云，云云服务商商以什么么安全理理念为企企业而服服务？ 无此，则安全全无从谈谈起。第二，清清晰地

30、了了解云服服务商如如何分担担上云后后的安全全职能。如同了了解地震震的规律律，人类类就能在在更安全全地在地地球表面面居住；了解气气候变暖暖的威胁胁，人类类就能预预防两极极冰山融融化带来来的灾难难，企业业对于云云服务商商能够对对冲安全全风险的的安全服服务、工工具、技技术和保保障机制制的认知知越全面面越强大大，就能能够更好好地帮助助企业构构筑安全全防线，因为这这是防御御安全风风险/及及时响应应安全事事故的最最直接战战场。1.3 云安全全能力指指标体系系构建依托于上上述两个个基本原原则，参参考CSSA发布布的云云计算关关键领域域安全指指南、欧洲网网络与信信息安全全局（EENISSA）发发布的云云服务保

31、保障标准准研究等等一系列列云安全全标准文文件，结结合企业业上云担担忧，以以便于企企业在第第一时间间全局性性地审视视云服务务商的安安全能力力，本报报告从泛泛安全的的信任基基础、物物理基础础设施部部署、内内部人员员管理、应急响响应、数数据安全全保护、合规性性表现六六个方面面构建了了19个个细化指指标体系系。本报告通通过搭建建云安全全能力指指标体系系，重点点依托各各云服务务商公开开披露的的安全实实践信息息，对比比各厂商商在各个个指标层层面的表表现。我我们希望望通过本本报告为为企业云云决策者者、云实实施部署署者构建建安全知知识体系系，增强强从安全全维度上上审视未未来要选选定的云云服务商商合作伙伙伴的判

32、判断力。目前国内内云计算算市场参参与逐鹿鹿的企业业属性呈呈现多元元化特点点，不仅仅有传统统的ITT公司、电信运运营商、还有大大型互联联网平台台企业、创业公公司，且且提供云云产品的的理念与与形态也也仍处于于演变进进化的过过程中。本次研研究对象象的选择择在考虑虑市场表表现的之之外，希希望覆盖盖不同企企业类型型、业务务形态的的云服务务商的云云安全实实践展现现。本次次研究对对象选取取国内五五家提供供公有云云服务的的国内外外厂商亚马马逊AWWS、微微软Azzuree、阿里里云、腾腾讯云、天翼云云。图表 SEQ 图表 * ARABIC 11云服务务商安全全能力指指标体系系云服务商商安全能能力对比比一级指指

33、标云服务商商安全能能力对比比二级指指标泛安全的的信任基基础市场表现现计算资源源供应能能力安全理念念搭建第三三方合作作安全伙伙伴的能能力物理基础础设施部部署数据中心心部署数据中心心标准遵遵从内部人员员管理人员管理理流程设设计招聘与培培训监控备案案、终止止手段事故响应应事故处理理团队提供的信信息工具具、相关关标准和和方法事故赔偿偿机制日志服务务数据安全全保护认证、访访问权限限管理机机制涉及数据据所有权权和处理理权行为为的数据据保护机机制外部网络络威胁防防御能力力合规性表表现合规认证证的覆盖盖度云服务商商标准审审计透明明度云服务商商法律政政策的遵遵从制图：互互联网实实验室，20115年112月1.

34、泛泛安全的的信任基基础。客客户可通通过此洞洞察云服服务商的的领导力力来获取取对云服服务商的的信任基基础，包包括市场场表现、计算资资源供应应、对于于安全生生态系统统的领导导力、是是否能够够通过安安全理念念便于客客户感知知云服务务商与客客户之间间处于何何种关系系状态。2. 物物理基础础设施部部署。云云计算基基础设施施远离云云用户所所在地，这是引引发市场场对云服服务担忧忧的重要要原因之之一。物物理安全全是保障障云服务务的第一一道防线线，客户户通过数数据中心心部署机机制、数数据中心心建设遵遵从标准准的了解解，来获获取对云云服务商商保障业业务连续续性的信信任。3. 内内部人员员的管理理。内部恶意意攻击所

35、所造成的的危害后后果往往往严重地地多，云云的架构构决定了了这种高高风险角角色的存存在，企企业需要要了解云云服务商商是如何何管理内内部人员员，防止止内部恶恶意攻击击或者操操作不当当等问题题带来的的云风险险。4.事故故响应。即使最最周详的的计划、实施并并执行了了相关的的预防性性安全措措施，也也无法完完全避免免信息资资产遭到到攻击。因此当当企业转转向云以以后，面面临一个个核心问问题就是是：怎样样才能有有效处理理关于云云的安全全事故。5. 数数据安全全保护。数据资资产的上上云尤要要引起关关注，企企业需要要从数据据生命周周期与数数据操作作行为进进行耦合合关联的的角度考考察云服服务商对对数据采采取的保保护

36、措施施。6.合规规性表现现。企业业上云之之后，由由于一部部分服务务由云服服务商来来承担，则企业业需要确确保能够够观察到到直接控控制之外外的合规规性管理理责任和和工作，确保云云服务商商能够满满足企业业的安全全性和操操作需要要。特别别对于一一定规模模以下的的组织而而言，“云”还是治治理和合合规的辅辅助技术术，可通通过内嵌嵌合规认认证的服服务套件件，使一一定规模模以下的的组织可可以与规规模更大大，资源源优势更更明显的的企业达达成同等等级别的的合规。二、泛安安全的信信任指标标设计与与对比对云服务务商是否否可靠的的考察是上上云历程程的关键键基础性性步骤。通过调调查，我我们提出出可用性性是企业业上云的的前

37、置性性审核因因素用户初初步评估估云服务务商提供供的服务务能够满满足企业业业务的的功能性性需求，它往往往并不是是关注重重点，因因为通常常仅有一一个是或或者否的的结论就就能够迅迅速排除除不符合合的云服服务商。同时很很多客户户认为稳稳定性是是决策过过程中需需要详细细考察的的环节。“稳定性性是前提提，稳定定性达不不到传统统架构不不会考虑虑上云。”某塑机机企业CCIO。持续时间间下的功功能可获获得性是是企业对对IT部部门的基基本需求求，而在在上云背背景下，这一需需求被更更加强化化了。部部分被调调查的企企业客户户甚至将将功能的的稳定可可靠视为为云安全全考察的的重要内内容。作作为外包包合作模模式，上上云企业

38、业难以如如对待内内部ITT部门一一样进行行详细资资源审查查，这是是不安全全感的一一个主要要来源。因此我我们在细细化稳定定涉及的的感知指指标的基基础上对对国内主主流云服服务商进进行评估估，包括括市场表表现、计计算资源源供应、对于安安全生态态系统的的领导力力、是否否能够通通过安全全理念便便于客户户感知云云服务商商与客户户之间处处于何种种关系状状态。2.1 市场表表现补偿偿控制权权丧失感感，企业业考察云云服务商商“家底”企业对云云服务商商稳定性性的考察察首先是是从“家底”而非技技术层面面展开。由于部部分技术术指标不不可见和和实施过过程中的的不确定定性，国国内企业业在考察察云服务务商的时时候往往往会从

39、企企业财务务状况因因素入手手。在对对有上云云意向的的企业调调查中，我们发发现企业业的考察察具有一一定的主主观性和和不完整整性，因因此提取取具有普普遍性的的指标，并通过过公开的的信息构构建一个个对在中中国市场场提供服服务的主主流云服服务商“家底”的比较较维度。由于国国内外云云计算市市场发展展状况的的存在巨巨大差异异，我们们将对部部分指标标进行分分开比较较。云市场规规模是上上云企业业考察的的重点指指标。某某互联网网金融平平台CIIO认为为“规模是是第一要要素，毕毕竟与稳稳定服务务相关。覆盖行行业、用用户数量量、盈利利能力会会对选择择供应商商有影响响。”Garrtneer认为为，如果果企业用用户选定

40、定了某家家云计算算服务商商，最理理想的状状态是：这家服服务商能能够一直直平稳发发展，而而不会出出现破产产或被大大型公司司收购现现象。其其理由很很简单：如果云云计算服服务商破破产或被被他人收收购，企企业客户户既有服服务将被被中断或或变得不不稳定。并建议议，在选选择云计计算服务务商之前前，应把把长期发发展风险险因素考考虑在内内。云计算企企业的经经营不稳稳定是一一种现实实风险。在20113年信信贷资料料服务机机构Grrayddon UK和和市场研研究公司司Garrtneer都对对云计算算企业的的经营状状况发出出了风险险警告。Garrtneer称，在未来来两年里里，云服服务的应应用者将将面临严严重的风

41、风险，因因为他们们的服务务提供商商很可能能被收购购或者被被迫退出出这项业业务。十十分之一一的云服服务提供供商将由由于收购购、破产产等各种种原因消消失。目目前市场场上云服服务商分分化在逐逐步拉大大，根据据Synnerggy方面面公布的的结果，目前四四大云服服务商(包括微微软、IIBM、谷歌与与Amaazonn)总计计收得554%营营收比例例。上云企业业将云计计算所在在集团公公司在其其他领域域的成功功作为评评估云计计算“家底”主要指指标是一一个常见见的误解解。目前前主流云云计算多多为互联联网公司司、电信信运营商商、设备备厂商的的新业务务领域，公司在在其他领领域成功功是云计计算业务务开展的的初期优优

42、势，但但这并不不意味着着其云计计算业务务的必然然成功。例如，20115年惠惠普 2014年10月，惠普公司已经发出公告，宣称将于2015年1月15日正式关闭其webOS云服务。2015年10月，宣布明年1月开始关闭惠普Helion公有云服务，转与微软合作，向客户提供微软Azure公有云服务。和戴戴尔 2013年5月，戴尔宣布变更其云计算战略，取消其曾经推出的基于OpenStack开源平台的公有云服务，并停止已经推向市场的基于VMware的公有云。转而重点销售运行在其硬件和软件上的使用OpenStack的私有云。相继继放弃了了其部分分云计算算项目，显示了了在云计计算这一一新兴商商业领域域对“成功

43、”企业仍仍然是一一个挑战战，因此此对云服服务商实实力的评评估应该该更有针针对性。我们建建议上云云企业在在评估“家底”时尽量量针对集集团企业业的云业业务板块块进行独独立评估估。对于于上云企企业来说说，选择择云市场场排名在在前的公公司也是是一种非非常重要要的安全全策略。市场表现现主要体体现在云云市场上上的规模模、盈利利能力等等因素。云计算算企业的的经营稳稳定性是是上云企企业面临临的现实实风险。有针对对性的考考察云计计算企业业的财务务状况有有助于企企业做出出科学性性的决策策。市场场规模和和盈利能能力不仅仅仅意味味着企业业能够长长期稳定定的提供供服务，同是也也意味着着云服务务商在该该业务中中积累案案例

44、不断断完善。2.2 计算能能力不可可见，国国内通用用比较标标准有待待明确云计算技技术本身身具有很很高的稳稳定性。对于上上云企业业来说，云应该是是一个可可靠无间间断的平平台。一一般云服服务商都都具备计计算资源源的动态态延展性性，也不不会由于于计算能能力不足足造成崩崩溃。这这是由云云计算的的技术特特征本身身决定的的，有时时与云服服务商关关系不大大。而在在进一步步评估云云服务商商的计算算资源供供应能力力计算算资源、存储资资源、网网络资源源的供应应能力的的时候则则面临信信息的不不透明性性。由于于这是涉涉及对外外部公司司资质的的考察，因此我我们需要要引入一一些间接接的指标标来进行行评估。计算资源源供应受

45、受多种因因素制约约，其中中一些指指标是上上云企业业无法直直观感受受到的。国外咨咨询机构构使用“市场计计算资源源使用量量”这一概概念进行行横向比比较，被被认为是是比较直直观和有有效的指指标。目目前本土土云服务务商尚未未被纳入入到这一一指标体体系中，因此国国内上云云企业往往往寻求求行业性性成功个个案进行行参考决决策。此此外网络络环境也也是影响响云服务务商服务务稳定性性的重要要因素。2.3 安全理理念折射射出安全全能力，承诺与与实践匹匹配方式式尚不成成熟云计算放放大了IIT的挑挑战，云云服务商商与用户户之间的的安全权权责关系系更加重重要。目前，以以国外主流流云服务务商为代代表的安安全责任任共担模模式

46、和国内主主流云服服务商为为代表的的托管模模式是我我国市场场上的两两种主要要的权责模模式。模式应该该对安全全负责。业界一直直存在对这这两种模模式的讨讨论，不不同的用用户也对对这两种种模式有有各异的的理解。无论是哪哪一种模模式，在在当前云云服务的的发展阶阶段，只只要能够够满足云云安全的的需求，存在即即合理。云服务务商和用用户之间间的权责责划分和和责任分分配是否否存在一一个最优优的结合合点，也也是所有有云服务务商正在在积极探索索的方向向。但是是，从长长期发展展的趋势势和业内内专业人人士的评评判，可以认认为安全全责任共共担模式式更符合合云服务务未来的的发展。云服务商商的安全全理念形形成了不不同的协协议

47、规则则。整体体来看，国内云云服务商商的安全全原则仍仍处于建建立过程程中，客客户与云云服务商商之间的的最佳关关系可能能是需要要多方博博弈形成成。2.4 规制第第三方合合作安全全伙伴的的能力，提升多多选择服服务的安安全性云计算的的合作伙伙伴能力力云云服务商商接纳并并整合基基于云服服务的中中间商从从而发展展成为具具有一致致标准的的伙伴关关系也是亚亚马逊AAWS率率先提出出并被行行业普遍遍接纳的的概念。在Gaartnner的的一项研研究显示示，在完完全接受受公共云云计算服服务的企企业中，亚马逊逊AWSS能满足足其中771%企企业的需需求。这这在很大大程度是是依靠合合作伙伴伴完成的的。如何在使使用第三三

48、方合作作伙伴丰丰富服务务的同时时保障安安全也是是需要考考量的重重要问题题。云服服务商无无法提供供面面俱俱到的服服务，而而涉及到到具体业业务，上上云客户户又存在在各种定定制型服服务的需需求。第第三方合合作伙伴伴模式是是当前云云服务商商普遍采采用的业业务模式式，云计计算环境境下三方方的关系系无疑更更加紧密密了，这这也增加加了一些些不确定定因素。云服务务商如何何选择和和管理第第三方也也成为上上云企业业需要关关注的一一个重要要考察因因素。在对上云云企业的的泛安全全感知提提前出指指标并进进行赋值值时，我我们发现现当前国国内主流流云服务务商很难难在一个个维度上上进行比比较。这这是由于于国内提提供成熟熟云计

49、算算服务的的厂商，在云业业务整体体实力方方面本土土云服务务商与国国际云服服务商存存在量级级上的差差距，且且国际云云服务商商在成功功案例量量和服务务规则成成熟度等等方面也也具有显显著优势势。国际际云服务务商在将将成熟业业务模式式和合同同规则引引入中国国的过程程中面临临特殊本本地化需需求的挑挑战，而而扎根于于中国市市场成长长起来的的本土云云服务商商则获得得了相对对优势。在这一一比较过过程中，我们尽尽量选择择公开的的信息资资料，包包括上市市公司财财报、服服务白皮皮书等，此外使使用国际际咨询机机构评估估结论提提供参考考信息。而这种种方式难难免会形形成数据据口径的的不一致致的问题题，为此此我们尽尽量充分

50、分界定数数据的意意义。使使用这一一研究方方式主要要是考虑虑到上云云企业在在这部分分指标上上的信息息可获得得性。2.5 对比结结果1. 市市场表现现上亚马马逊AWWS具有有全球市市场优势势，阿里里云具有有区域优优势据Carrtneer 220155年初发发布的技技术发展展趋势报报告显示示，20014 年全球球云计算算服务市市场规模模达15528 亿美元元，增长长率达117.99%，其其中公有有云开支支将达7700亿亿美元。作为llaaSS（基础础设施即即服务）的提出出者，亚亚马逊在在这一市市场具有有领跑优优势。根根据Syynerrgy研研究集团团（Syynerrgy Ressearrch Gro

51、oup）于20015年年 2 月份公公布的数数据，亚亚马逊AAWS 在公有有云基础础性服务务方面的的表现创创下了 5 年年新高，在 220144 年 Q4 中，其其全球市市场份额额增长了了 300%，营营收的年年同比增增长也达达到了 51%。市场场份额排排名 224 名的微微软、IIBM 及 GGooggle 也在营营收方面面增长明明显，年年同比增增幅分别别达到 96%，488% 和和 811%。图表 SEQ 图表 * ARABIC 22 20014年年内第44季度云云基础设设施服务务市场份份额和增增长率20155年100月，FForrrestter 发布了了中国区区20115年第第三季度度的

52、企业业公有云云服务WWavee报告中国国公有云云市场正正在加速速发展，今年的的中国公公有云市市场规模模预计为为18亿亿美元，到20020年年中国公公有云市市场规模模预计将将达到338亿美美元。根根据 IIDC 的数据据，阿里里云在220144年上半半年的全全国 IIaaSS 领域域市场份份额为 22.8%，位居首首位。微微软 AAzurre 和和 亚马马逊AWWS 则则分别位位居第四四和第五五位。 由于存在在巨大的的客观差差异性，中国本本土云计计算企业业并不适适合在绝绝对数字字上与进进入中国国的全球球性云计计算企业业进行比比较。亚亚马逊AAWS在在全球范范围内具具有云计计算行业业领导者者优势，

53、而在国国内阿里里云则依依靠本土土化需求求的差异异性获得得了相对对优势。亚马逊AAWS：20115年亚亚马逊首首次披露露了 亚亚马逊AAWS（Amaazonn Weeb SServvicee，亚马马逊云服服务）的的部分财财务状况况：20014年年 净收收入 446.44 亿美美元，较较 20013年年 上涨涨 499%。220155年 一一季度净净收入 15.7 亿亿美元，二季度度收入118.22 亿美美元。CCEO Bezzos 在一份份声明中中表示，“亚马逊逊AWSS 是一一个 550 亿亿美元的的业务，并且依依然在加加速增长长中，亚亚马逊AAWS 的营收收最终会会超过其其零售业业务”。微软

54、Azzuree：20114年，在 OOffiice 3655，Azzuree和Dyynammicss CRRM 的的持续推推动下，企业级级云服务务收入增增长1114%，实现555亿美美元的年年收入。阿里云：20115年110月，阿里巴巴巴集团团发布220155年第三三季度财财报，阿阿里巴巴巴旗下云云计算业业务阿里里云营收收6.449亿元元。此前前的财报报显示，20115年前两两个季度度阿里云云营收分分别为33.888亿元、4.885亿元元。腾讯云：目前腾腾讯财报报尚未将将云计算算作为单单列收入入项目，而含云云收入的的“其他服服务”类收入入在20015年年上半年年达到119.77亿元。由于本本部

55、分涵涵盖“电子商商务交易易、提供供商标授授权、软软件开发发服务、软件销销售及其其他服务务”，此数数据仅做做参考，无法据据此评估估腾讯云云的具体体营收情情况。天翼云：根据电电信公布布的20015年年上半年年业绩，电信云云计算（天翼云云）产品品实现收收入人民民币4.7亿元元。由于国内内云计算算市场尚尚不成熟熟，国内内上云企企业对云云计算服服务的认认知仍处处于初级级阶段，因此企企业对云云服务商商“家底”的评估估中并未未形成统统一的价价值标准准。企业业对云计计算产业业内的全全球性统统计结果果感知度度不高，在此背背景下本本土优势势企业形形成了较较强的影影响力。但是我我们认为为整体性性业务规规模对企企业选

56、择择有重要要意义。作为对对整体云云商业能能力的判判断的时时候，规规模不仅仅仅意味味着企业业财务的的稳定性性，还能能够带来来服务规规则的较较高成熟熟度和案案例积累累的最佳佳方案。2. 科科技咨询询公司评评估计算算能力模模型显示示亚马逊逊AWSS最强一种评估估方式为为通过云云服务商商服务的的客户来来评估其其服务的的计算能能力。在在20115年GGarttnerr发布的的IaaaS魔力力象限指指标体系系中，对对具有全全球性服服务能力力的云供供应商进进行了考考察，并并做出排排名，其其中亚马马逊AWWS拥有有多元化化的客户户基础和和最广泛泛的使用用案例，包括企企业和关关键任务务应用。亚马逊逊AWSS客户

57、使使用的云云计算能能力超过过其他114个云云服务商商 这份报告评估的IaaS 企业，除亚马逊AWS外，其余14家为：Microsoft、Google、CenturyLink、VMware、IBM（SoftLayer）、Rackspace、Virtustream、CSC、Interoute、Fujitsu、Verizon、NTT Communications、Joyent、Dimension Data。总和的的10倍倍。而在在同一比比较维度度下，微微软Azzuree的计算算能力是是另外113大竞竞争对手手（不包包括亚马马逊）总总和的22倍。目前已经经有咨询询机构开开始针对对中国云云计算市市场进行

58、行调研，但数据据仍然缺缺乏整体体参考性性。Foorreesteer RReseearcch发布布独立报报告Foorreesteer WWavee：20015年年第三季季度中国国企业级级公有云云平台 原文名：The Forrester Wave: Enterprise Public Cloud Platforms In China, Q3 2015：The 11 Providers That Matter Most And How They Stack Up，在中中国企业业云平台台市场甄甄选了主主要的云云平台服服务商并并对其进进行全方方位的评评估，其其中对微微软Azzuree 和阿阿里云 该报告

59、未对亚马逊AWS和腾讯云在此类上的表现打分。的的服务能能力打分分为4.00和和3.775 。同期评评估中阿阿里巴巴巴、微软软、和亚亚马逊则则被评为为“企业级级公有云云平台领领导者（Leaaderrs）”。本土云服服务商未未进入国国际统一一比较体体系无法法获得整整体性数数据，上上云企业业不得不不使用一一些个案案性的信信息辅助助进行决决策。例例如，上上云企业业会参考考本行业业内使用用云的案案例进行行选择，但是他他们仍然然希望能能够借助助第三方方机构提提供综合合性比较较结论。在中国，网络环环境是制制约云服服务商计计算资源源供应的的重要因因素。云云计算的的基础技技术虚拟化化技术、分布式式计算、效用计计

60、算等，需要通通过网络络进行即即时性连连接，从从而实现现服务的的随时随随地可获获得。因因此除了了云服务务商 本本身计算算、存储储资源的的规模外外，网络络环境成成为影响响云计算算产业功功能稳定定性的重重要变量量。当前前中国三三大运营营商之间间的网络络互联困困难是当当前制约约云计算算服务稳稳定性重重要制约约因素。在解决决这个问问题上，无论是是选择分分运营商商部署、多线多多IP、静态BBGP或或动态BBGP，都将增增加企业业上云的的成本。这甚至至成为中中国企业业选择云云服务商商的时候候必须考考虑的运运营商本本身资质质之外的的因素。3. 亚亚马逊AAWS和和微软AAzurre都在在中国引引入其具具有全球