企業(yè)上云安全策略指南

1、“云”深不知處2016企業(yè)上云安全策略指南 76/76云深不知知處20166企業(yè)上上云安全全策略指指南20166年1月月互聯(lián)網(wǎng)實實驗室觀觀點價值與安安全是企企業(yè)做出出上云決決策的兩兩個支點點。面對對上云決決策，企企業(yè)需要要在價值值需求與與安全需需求之間間形成最最適合于于企業(yè)自自身發(fā)展展戰(zhàn)略、業(yè)務(wù)特特性的決決策天平平。在對價值值支點的的判斷上上，云是是大勢所所趨已經(jīng)經(jīng)深入人人心。企企業(yè)可以以通過對對內(nèi)部IIT成本本的核算算和業(yè)務(wù)務(wù)發(fā)展情情況等內(nèi)內(nèi)部信息息對上云云的價值值做出有有效評估估。企業(yè)業(yè)如果能能將云的的諸多優(yōu)優(yōu)點引入入生產(chǎn)、運營、服務(wù)環(huán)環(huán)節(jié)之中中，就能能夠在創(chuàng)創(chuàng)造新的的商業(yè)模模式、持持續(xù)創(chuàng)

2、新新、降低低成本等等方面釋釋放巨大大的價值值潛能。例如：有了云，用戶不不再需要要購買、建立、安裝并并運行昂昂貴的計計算機(jī)硬硬件，而而通過無無處不在在的可用用有線或或無線網(wǎng)網(wǎng)絡(luò)，就就可簡便便的獲取取計算機(jī)機(jī)資源，正如獲獲取其他他公共資資源一樣樣；云還具備備彈性，用戶可可以快速速并且經(jīng)經(jīng)濟(jì)的增增加或者者減少云云服務(wù)；云共享的的計算機(jī)機(jī)資源可可以提供供客觀的的經(jīng)濟(jì)效效益，并并且可以以減少成成本、加加快創(chuàng)新新；云提供的的服務(wù)已已經(jīng)存在在，可以以在需要要時按需需分配，按需擴(kuò)擴(kuò)容；用戶可以以快速并并且經(jīng)濟(jì)濟(jì)地計算算自身云云服務(wù)的的吞吐量量，并據(jù)據(jù)此進(jìn)行行相應(yīng)調(diào)調(diào)整。而在對安安全支點點的判斷斷上，無無法排解

3、解的安全全憂慮導(dǎo)導(dǎo)致企業(yè)業(yè)上云遲遲疑甚至至可能引引發(fā)決策策反復(fù)。企業(yè)在在將轉(zhuǎn)移移IT解解決方案案到云計計算的同同時，由由于企業(yè)業(yè)客戶基基礎(chǔ)設(shè)施施和應(yīng)用用程序的的外部化化使得企企業(yè)的完完全控制制權(quán)發(fā)生生變化，安全保保障的不不透明性性和不可可控性使使得上云云企業(yè)對對云服務(wù)務(wù)有效存存儲和安安全共享享等方面面存在一一定的安安全風(fēng)險險顧慮。在調(diào)研研中我們們發(fā)現(xiàn)，企業(yè)對對于上云云后的數(shù)數(shù)據(jù)安全全的擔(dān)憂憂基本上上覆蓋了了云端數(shù)數(shù)據(jù)安全全的整個個生命鏈鏈條：例例如數(shù)據(jù)據(jù)傳輸和和存儲是否否安全；數(shù)據(jù)訪訪問控制制權(quán)限是是否可控控；數(shù)據(jù)據(jù)是否會會被入侵侵、被攻攻擊；漏洞或或系統(tǒng)不不穩(wěn)定是是否造成成企業(yè)用用戶的業(yè)業(yè)務(wù)

4、中斷斷、數(shù)據(jù)據(jù)被盜、被篡改？這些現(xiàn)現(xiàn)實情況況使得中中國企業(yè)業(yè)上云之之路呈現(xiàn)現(xiàn)出漫長長曲折的的形態(tài)。以基于價價值與安安全感知知的企業(yè)業(yè)云決策策象限來來謀求破破題之道道。在項項目初期期，我們們對有上上云需求求的企業(yè)業(yè)進(jìn)行初初步接觸觸時發(fā)現(xiàn)現(xiàn)，企業(yè)業(yè)或者無無限期地地延緩上上云行動動；或者者在上云云后出現(xiàn)現(xiàn)決策反反復(fù)；或或者認(rèn)為為云有優(yōu)優(yōu)點，但但也有不不確定風(fēng)風(fēng)險，需需要謹(jǐn)慎慎上云；甚至或或者即使使經(jīng)在用用云，仍仍對安全全抱有較較大不信信任。因因此，我我們在報報告當(dāng)中中以企業(yè)業(yè)對云價價值的釋釋放是否否清晰，企業(yè)對對安全的的感知、需求是是否明確確為維度度描繪了了如下企企業(yè)云決決策象限限。安全需求求的模糊

5、糊性會加加重決策策天平的的不穩(wěn)定定性，企企業(yè)所面面臨的難難以權(quán)衡衡取舍的的決策困困境需要要破解。面對安安全問題題，企業(yè)業(yè)要基于于對外部部信息結(jié)結(jié)合自身身IT能能力和需需求進(jìn)行行判斷，這無疑疑是難度度更大的的，尤其其是難以以形成量量化結(jié)論論。難以以言喻的的IT功功能外部部產(chǎn)生的的失控感感又大大大加重了了上云決決策中安安全需求求的主觀觀法碼。我們將基基于區(qū)分分企業(yè)對對云的安安全感知知狀態(tài)來來撥開企企業(yè)云安安全感知知迷霧。企業(yè)對對云的安安全感知知狀態(tài)大大致可以以區(qū)分為為兩類，無論是是哪一種種狀態(tài)，都會成成為企業(yè)業(yè)做出客客觀、理理性的云云決策的的阻礙因因素。第一，企企業(yè)存在在安全認(rèn)認(rèn)知盲區(qū)區(qū)會降低低在

6、做出出決策時時對云服服務(wù)商安安全能力力的審視視敏感性性。企業(yè)業(yè)是否具具備了客客觀審視視云的風(fēng)風(fēng)險特征征的足夠夠信息支支撐？企企業(yè)是否否有充足足的云安安全認(rèn)知知能夠在在成本考考量的基基礎(chǔ)上最最大程度度防御安安全風(fēng)險險，又能能夠在一一旦安全全事故發(fā)發(fā)生后的的如何最最大化的的降低損損失？如如果企業(yè)業(yè)知曉的的安全信信息不夠夠全面，就會降降低對云云服務(wù)商商安全能能力的審審視敏感感性，影影響業(yè)務(wù)務(wù)在云中中的實際際運行安安全。第二，控控制權(quán)遷遷移引發(fā)發(fā)的不安安全感可可能錯估估上云時時機(jī)。多多家研究究機(jī)構(gòu)的的統(tǒng)計調(diào)調(diào)研數(shù)據(jù)據(jù)均證實實企業(yè)對對云服務(wù)務(wù)安全的的擔(dān)憂是是全球范范圍內(nèi)面面臨的上上云障礙礙。如果果企業(yè)在

7、在帶有不不安全感感的心理理狀態(tài)下下來審視視云服務(wù)務(wù)商，有有可能因因為主觀觀的不信信任而影影響了客客觀、理理性的對對上云之之路，以以及云合合作伙伴伴基于安安全視角角的審視視與決策策，就會會錯估享享受云效效益的時時機(jī)。云安全問問題的破破題需要要映射到到云服務(wù)務(wù)商的安安全實踐踐表現(xiàn)，我們建建立云安安全能力力指標(biāo)體體系協(xié)助助企業(yè)做做出最佳佳決策。我們提出出企業(yè)進(jìn)進(jìn)行云安安全審視視的兩條條基本原原則，第第一，企企業(yè)尋找找領(lǐng)先的的云，思思考企業(yè)業(yè)與云的的最佳結(jié)結(jié)合狀態(tài)態(tài)；第二二，企業(yè)業(yè)清晰地地了解云云服務(wù)商商的安全全機(jī)制與與安全責(zé)責(zé)任。依依托于上上述兩個個基本原原則，本本報告從從泛安全全的信任任基礎(chǔ)、物理

8、資資源基礎(chǔ)礎(chǔ)設(shè)施的的安全部部署能力力、內(nèi)部部人員的的管理流流程、應(yīng)應(yīng)急響應(yīng)應(yīng)能力、數(shù)據(jù)安安全保護(hù)護(hù)能力、合規(guī)性性表現(xiàn)六六個方面面構(gòu)建了了19個個細(xì)化指指標(biāo)的云云安全能能力指標(biāo)標(biāo)體系，對云服服務(wù)商的的安全實實踐進(jìn)行行比較。本報告通通過云服服務(wù)商安安全能力力指標(biāo)體體系的構(gòu)構(gòu)建，幫幫助企業(yè)業(yè)構(gòu)建充充足的關(guān)關(guān)于云服服務(wù)商安安全能力力的研判判信息，通過對對比云服服務(wù)商來來了解上上云需關(guān)關(guān)注的安安全環(huán)節(jié)節(jié)，即可可對上云云安全做做到心中中有數(shù)，應(yīng)對有有術(shù)。從從而在上上云決策策中，提提升基于于安全視視角的理理性、客客觀性，優(yōu)化的的最佳決決策。目錄TOC o 1-2 h z u HYPERLINK l _Toc

9、440012148 互聯(lián)網(wǎng)實實驗室觀觀點 PAGEREF _Toc440012148 h 2 HYPERLINK l _Toc440012149 目錄 PAGEREF _Toc440012149 h 55 HYPERLINK l _Toc440012150 研究方法法：基于于公開信信息的比比較研究究 PAGEREF _Toc440012150 h 7 HYPERLINK l _Toc440012151 一、構(gòu)建建云安全全能力指指標(biāo)體系系 PAGEREF _Toc440012151 h 9 HYPERLINK l _Toc440012152 1.1 撥開企企業(yè)云安安全感知知迷霧 PAGEREF

10、_Toc440012152 h 9 HYPERLINK l _Toc440012153 1.2 提出企企業(yè)進(jìn)行行云安全全審視的的基本原原則 PAGEREF _Toc440012153 h 10 HYPERLINK l _Toc440012154 1.3 云安全全能力指指標(biāo)體系系構(gòu)建 PAGEREF _Toc440012154 h 11 HYPERLINK l _Toc440012155 二、泛安安全的信信任指標(biāo)標(biāo)設(shè)計與與對比 PAGEREF _Toc440012155 h 14 HYPERLINK l _Toc440012156 2.1 市場表表現(xiàn)補(bǔ)償償控制權(quán)權(quán)喪失感感，企業(yè)業(yè)考察云云服務(wù)商商

11、“家底” PAGEREF _Toc440012156 h 14 HYPERLINK l _Toc440012157 2.2 計算能能力不可可見，國國內(nèi)通用用比較標(biāo)標(biāo)準(zhǔn)有待待明確 PAGEREF _Toc440012157 h 16 HYPERLINK l _Toc440012158 2.3 安全理理念折射射出安全全能力，承諾與與實踐匹匹配方式式尚不成成熟 PAGEREF _Toc440012158 h 16 HYPERLINK l _Toc440012159 2.4 規(guī)制第第三方合合作安全全伙伴的的能力，提升多多選擇服服務(wù)的安安全性 PAGEREF _Toc440012159 h 16 HYP

12、ERLINK l _Toc440012160 2.5 對比結(jié)結(jié)果 PAGEREF _Toc440012160 h 17 HYPERLINK l _Toc440012161 三、物理理基礎(chǔ)設(shè)設(shè)施部署署指標(biāo)設(shè)設(shè)計與對對比 PAGEREF _Toc440012161 h 25 HYPERLINK l _Toc440012162 3.1企企業(yè)云之之旅從物物理安全全開始 PAGEREF _Toc440012162 h 25 HYPERLINK l _Toc440012163 3.2物物理基礎(chǔ)礎(chǔ)設(shè)施部部署指標(biāo)標(biāo)體系設(shè)設(shè)計 PAGEREF _Toc440012163 h 25 HYPERLINK l _To

13、c440012164 3.3對對比結(jié)果果 PAGEREF _Toc440012164 h 28 HYPERLINK l _Toc440012165 四、內(nèi)部部人員管管理指標(biāo)標(biāo)設(shè)計與與對比 PAGEREF _Toc440012165 h 30 HYPERLINK l _Toc440012166 4.1完完善的人人員管理理流程能能夠?qū)簮阂馊藛T員風(fēng)險最最小化 PAGEREF _Toc440012166 h 30 HYPERLINK l _Toc440012167 4.2內(nèi)內(nèi)部人員員管理指指標(biāo)體系系設(shè)計 PAGEREF _Toc440012167 h 30 HYPERLINK l _Toc44001

14、2168 4.3對對比結(jié)果果 PAGEREF _Toc440012168 h 32 HYPERLINK l _Toc440012169 五、事故故響應(yīng)指指標(biāo)設(shè)計計與對比比 PAGEREF _Toc440012169 h 34 HYPERLINK l _Toc440012170 5.1云云服務(wù)商商好比房房地產(chǎn)的的物業(yè) PAGEREF _Toc440012170 h 34 HYPERLINK l _Toc440012171 5.2明明確云給給事故響響應(yīng)帶來來的特殊殊性，有有助于業(yè)業(yè)務(wù)更快快的恢復(fù)復(fù) PAGEREF _Toc440012171 h 34 HYPERLINK l _Toc4400121

15、72 5.3事事故響應(yīng)應(yīng)指標(biāo)體體系設(shè)計計 PAGEREF _Toc440012172 h 34 HYPERLINK l _Toc440012173 5.3對對比結(jié)果果 PAGEREF _Toc440012173 h 37 HYPERLINK l _Toc440012174 六、數(shù)據(jù)據(jù)安全保保護(hù)指標(biāo)標(biāo)設(shè)計與與對比 PAGEREF _Toc440012174 h 39 HYPERLINK l _Toc440012175 6.1所所有權(quán)和和控制權(quán)權(quán)轉(zhuǎn)移，促使客客戶依賴賴高標(biāo)準(zhǔn)準(zhǔn)安全控控制手段段 PAGEREF _Toc440012175 h 39 HYPERLINK l _Toc440012176

16、6.2對對數(shù)據(jù)安安全保障障技術(shù)和和能力的的評估 PAGEREF _Toc440012176 h 40 HYPERLINK l _Toc440012177 6.3對對比結(jié)果果 PAGEREF _Toc440012177 h 43 HYPERLINK l _Toc440012178 七、合規(guī)規(guī)性表現(xiàn)現(xiàn)指標(biāo)設(shè)設(shè)計與對對比 PAGEREF _Toc440012178 h 45 HYPERLINK l _Toc440012179 7.1 云服務(wù)務(wù)商的合合規(guī)性認(rèn)認(rèn)證是給給客戶企企業(yè)安全全保障的的定心丸丸 PAGEREF _Toc440012179 h 45 HYPERLINK l _Toc44001218

17、0 7.2 合規(guī)性性指標(biāo)主主要分為為安全認(rèn)認(rèn)證、透透明審計計和法律律遵從 PAGEREF _Toc440012180 h 45 HYPERLINK l _Toc440012181 7.3 國內(nèi)外外云服務(wù)務(wù)行業(yè)合合規(guī)性認(rèn)認(rèn)證存在在差異，國外優(yōu)優(yōu)勢明顯顯 PAGEREF _Toc440012181 h 49 HYPERLINK l _Toc440012182 7.4 對比結(jié)結(jié)果 PAGEREF _Toc440012182 h 50 HYPERLINK l _Toc440012183 結(jié)論 PAGEREF _Toc440012183 h 660 HYPERLINK l _Toc440012184 后

18、記：共共筑云安安全更佳佳狀態(tài)需需要各方方參與 PAGEREF _Toc440012184 h 63 HYPERLINK l _Toc440012185 常見問題題 PAGEREF _Toc440012185 h 65 HYPERLINK l _Toc440012186 云服務(wù)商商信息來來源說明明 PAGEREF _Toc440012186 h 67 HYPERLINK l _Toc440012187 致謝 PAGEREF _Toc440012187 h 669研究方法法：基于于公開信信息的比比較研究究對信息的的有效理理解能夠夠提升決決策的自自信。本本次研究究同樣面面臨對信信息的理理解困境境，研

19、究究設(shè)計是是基于破破解面臨臨的多源源、不一一致和不不對稱等等困境而而形成的的。我們們認(rèn)為本本次項目目首要目目標(biāo)是構(gòu)構(gòu)建中國國企業(yè)對對云安全全的評價價認(rèn)知和和指標(biāo)體體系，在在這問題題下，我我們需要要解決什么么是安全全？以及及哪些信信息能夠夠支撐安安全感受受？并最最終通過過可以獲獲得的信信息建立立一個解解答模式式。首先，利利用權(quán)威威報告建建立對云云安全的的基礎(chǔ)認(rèn)認(rèn)知和分分析框架架。在研究中中我們參參考了權(quán)權(quán)威機(jī)構(gòu)構(gòu)發(fā)布的的對云計計算企業(yè)業(yè)評估報報告，已已經(jīng)針對對云安全全領(lǐng)域的的比較體體系。其其中較為為重要的的包括：美國高高技術(shù)市市場研究究公司FForrrestter云云安全指指標(biāo)體系系，技術(shù)術(shù)咨詢

20、研研究機(jī)構(gòu)構(gòu)Garrtneer對云云安全市市場的分分析報告告，歐洲洲網(wǎng)絡(luò)與與信息安安全局（ENIISA）關(guān)于云云計算的的研究報報告中對對于云風(fēng)風(fēng)險情景景的描述述等?；谝陨仙腺Y料，我們初初步建立立了對云云安全的的基本概概念和評評價體系系，以便便于在后后續(xù)研究究中形成成一個具具有較強(qiáng)強(qiáng)一致性性的比較較邏輯和和對話平平臺。其次，通通過調(diào)查查中國企企業(yè)發(fā)現(xiàn)現(xiàn)本土需需求與經(jīng)經(jīng)典理論論之間的的差異。我們希望望通過對對中國企企業(yè)ITT部門高高管、技技術(shù)負(fù)責(zé)責(zé)人調(diào)查查，了解解中國企企業(yè)對上上云決策策理解，對云安安全的態(tài)態(tài)度。在在獲得這這些信息息之外，我們還還了解到到部分企企業(yè)存在在與常見見云理論論不同的的感

21、性認(rèn)認(rèn)知，在在此基礎(chǔ)礎(chǔ)上我們們對初期期比較框框架做了了調(diào)整和和細(xì)化。本次調(diào)查查為了保保證調(diào)查查展現(xiàn)出出的觀點點的多樣樣性，樣樣本企業(yè)業(yè)即包括括互聯(lián)網(wǎng)網(wǎng)金融、移動應(yīng)應(yīng)用開發(fā)發(fā)、ITT系統(tǒng)開開發(fā)等IIT產(chǎn)業(yè)業(yè)，也包包括城市市基礎(chǔ)設(shè)設(shè)施建設(shè)設(shè)運營、加工設(shè)設(shè)備制造造、電子子儀器制制造等傳傳統(tǒng)行業(yè)業(yè)。在上上云情況況上，這這些企業(yè)業(yè)或已經(jīng)經(jīng)上云，或明確確表現(xiàn)出出上云的的意愿，訪問對對象主要要為企業(yè)業(yè)CTOO、CIIO或技技術(shù)總監(jiān)監(jiān)等相關(guān)關(guān)職位。再次，通通過訪問問中國云云安全專專家修正正和提升升比較框框架。就資料和和調(diào)查中中存在的的問題，我們對對國內(nèi)高高校、研研究機(jī)構(gòu)構(gòu)中信息息化、信信息安全全、云計計算等領(lǐng)

22、領(lǐng)域?qū)＜壹?，以及及其他在在該領(lǐng)域域長期從從事一線線工作的的專業(yè)人人士該進(jìn)進(jìn)行了專專題訪問問。專家家基于所所在專業(yè)業(yè)領(lǐng)域，對中國國云計算算發(fā)展?fàn)顮顩r及特特殊性，企業(yè)上上云安全全的整體體性困惑惑和解決決方法等等問題做做出了解解答。最后，使使用公開開信息進(jìn)進(jìn)行以安安全為核核心的比比較實踐踐。針對最終終形成的的指標(biāo)體體系，研研究團(tuán)隊隊通過公公開渠道道獲取具具有統(tǒng)一一標(biāo)準(zhǔn)的的信息進(jìn)進(jìn)行比較較操作。這些信信息渠道道包括：云服務(wù)商商企業(yè)自自行發(fā)布布的白皮皮書；云服務(wù)商商企業(yè)自自身對外外公開的的業(yè)務(wù)動動態(tài)新聞聞；權(quán)威機(jī)構(gòu)構(gòu)發(fā)布的的研究報報告；對部分不不明確信信息，我我們通過過企業(yè)公公開的客客服電話話進(jìn)行了了詢

23、問確確認(rèn)。使用公開開信息源源主要考考慮到本本次研究究行為建建立一個個能夠為為上云企企業(yè)提供供參考的的比較方方法，因因此在整整體研究究方法上上都充分分考慮了了信息的的可獲得得性。一、構(gòu)建建云安全全能力指指標(biāo)體系系上云路途途的一個個阻礙是是企業(yè)對對云安全全的擔(dān)憂憂，與企企業(yè)的近近距離地地交流訪訪談中，我們發(fā)發(fā)現(xiàn)這種種擔(dān)憂因因人而異異，對企企業(yè)邁入入云端的的影響程程度也不不一樣，存在不不同的安安全感知知狀態(tài)。有的企企業(yè)認(rèn)為為：云有有優(yōu)點，但也有有不確定定風(fēng)險，謹(jǐn)慎上上云；有有的企業(yè)業(yè)認(rèn)為云云很好，云即代代表安全全；也有有企業(yè)認(rèn)認(rèn)為云的的安全沒沒有切實實可行的的效果衡衡量。無論是哪哪種狀態(tài)態(tài)，拋開開企

24、業(yè)的的行業(yè)類類型、組組織規(guī)模模、技術(shù)術(shù)實力這這些客觀觀事實，企業(yè)對對云安全全的感知知狀態(tài)可可以按照照描述為為以下幾幾點：企企業(yè)對云云安全有有偏差的的認(rèn)知；不知何何解的疑疑問；由由于對云云的認(rèn)識識還不夠夠全面存存在沒有有想到的的安全問問題等。由于這種種因人而而異的安安全感知知的差異異性，我我們將本本報告首首先站在在企業(yè)的的角度來來剖析幾幾種企業(yè)業(yè)對云安安全的感感知狀態(tài)態(tài)，再構(gòu)構(gòu)建起云云安全能能力體系系，對比比主要云云服務(wù)提提供商（云服務(wù)務(wù)商）安安全實踐踐現(xiàn)狀的的基礎(chǔ)上上，將各各家云服服務(wù)商的的關(guān)鍵安安全能力力解釋轉(zhuǎn)轉(zhuǎn)化為企企業(yè)、公公眾可理理解的信信息，以以期幫助助企業(yè)構(gòu)構(gòu)建相對對系統(tǒng)、全面的的云

25、安全全知識體體系。1.1 撥開企企業(yè)云安安全感知知迷霧企業(yè)對云云的安全全感知狀狀態(tài)大致致可以區(qū)區(qū)分為兩兩類，存存在安全全感知盲盲區(qū)和由由于控制制權(quán)的遷遷移引發(fā)發(fā)的不安安全感，無論是是哪一種種狀態(tài)，都會成成為企業(yè)業(yè)做出客客觀、理理性的云云決策的的阻礙因因素。1.1.1 安安全感知知盲區(qū)會會降低在在決策時時對云服服務(wù)商安安全能力力的審視視敏感性性第一種情情況，由由于云自自身的資資源池化化等特征征會釋放放出相對對于傳統(tǒng)統(tǒng)IT部部署活動動的新風(fēng)風(fēng)險，例例如云規(guī)規(guī)模化的的資源集集中在產(chǎn)產(chǎn)生效益益的同時時，也會會因目標(biāo)標(biāo)更大而而遭受黑黑客的攻攻擊，從從而給企企業(yè)自身身帶來風(fēng)風(fēng)險。企企業(yè)是否否具備了了客觀審

26、審視云的的風(fēng)險特特征的足足夠信息息支撐？第二種情情況，由由于沒有有絕對的的安全狀狀態(tài)，安安全風(fēng)險險不能百百分百杜杜絕，企企業(yè)在部部署安全全防護(hù)時時，還需需要同時時考慮成成本這一一現(xiàn)實問問題。最最佳安全全保障體體系需要要既能夠夠在企業(yè)業(yè)成本考考量的基基礎(chǔ)上最最大程度度防御安安全風(fēng)險險，又能能夠在一一旦安全全事故發(fā)發(fā)生后如如何最大大化的降降低損失失。企業(yè)的云云安全狀狀態(tài)不能能完全寄寄托于云云服務(wù)提提供商，如果企企業(yè)不能能夠充分分了解云云服務(wù)商商在數(shù)據(jù)據(jù)安全、服務(wù)可可靠性、內(nèi)部人人員管理理、訪問問控制與與授權(quán)等等一系列列方面的的安全能能力部署署信息，將會影影響在成成本考量量之下的的安全保保障體系系部

27、署，一旦安安全事故故發(fā)生后后，企業(yè)業(yè)自身也也不能依依據(jù)充分分的信息息快速調(diào)調(diào)撥云服服務(wù)商的的安全解解決方案案做出及及時預(yù)案案。如果果企業(yè)知知曉的安安全信息息不夠全全面，就就會降低低對云服服務(wù)商安安全能力力的審視視敏感性性，影響響業(yè)務(wù)在在云中的的實際運運行安全全。1.1.2 控控制權(quán)遷遷移引發(fā)發(fā)的不安安全感可可能錯估估上云時時機(jī)組織不愿愿意采用用云服務(wù)務(wù)，缺乏乏安全感感是其中中的一個個，甚至至對某些些企業(yè)來來說安全全甚至是是上云的的頭號障障礙。隨隨著開發(fā)發(fā)驗證測測試，數(shù)數(shù)據(jù)存儲儲備份容容災(zāi)，關(guān)關(guān)鍵業(yè)務(wù)務(wù)應(yīng)用，數(shù)據(jù)中中心等一一系列的的企業(yè)IIT活動動階段性性地上云云，原來來在企業(yè)業(yè)完全掌掌控的II

28、T部署署活動由由云服務(wù)務(wù)商承擔(dān)擔(dān)了一部部分的職職能。例例如基礎(chǔ)礎(chǔ)設(shè)施和和應(yīng)用程程序的外外部化，會給企企業(yè)自身身帶來的的控制權(quán)權(quán)轉(zhuǎn)移而而引發(fā)的的風(fēng)險擔(dān)擔(dān)憂。企企業(yè)對云云服務(wù)商商提供的的安全保保障能力力本身，以及是是否在合合規(guī)性、數(shù)據(jù)保保護(hù)、控控制內(nèi)外外部惡意意攻擊等等方面具具備足夠夠透明性性的顧慮慮也會油油然而生生。我們要承承認(rèn)的是是，不安安全感本本身是一一種帶有有主觀性性的心理理活動。如果企企業(yè)在帶帶有不安安全感的的心理狀狀態(tài)下來來審視云云服務(wù)商商，有可可能因為為主觀的的不信任任而影響響了客觀觀、理性性的對上上云之路路，以及及云合作作伙伴基基于安全全視角的的審視與與決策，就會錯錯估享受受云效益

29、益的時機(jī)機(jī)。1.2 提出企企業(yè)進(jìn)行行云安全全審視的的基本原原則第一，尋尋找領(lǐng)先先的云，思考企企業(yè)與云云的最佳佳關(guān)系狀狀態(tài)。在在簡單地地剖析了了企業(yè)上上云之路路的安全全心理狀狀態(tài)之后后，我們們認(rèn)為，面對企企業(yè)的不不安全感感的心理理，如果果要突破破這個心心理防線線，企業(yè)業(yè)需要理理解沒有有絕對的的安全狀狀態(tài)，企企業(yè)應(yīng)通通過充分分了解領(lǐng)領(lǐng)先的云云的工作作機(jī)理與與先進(jìn)的的工作機(jī)機(jī)制，了了解云的的計算能能力與市市場實力力，梳理理企業(yè)自自身與云云服務(wù)商商之間以以何種最最佳關(guān)系系狀態(tài)而而相處，例如什什么可以以依托給給云，云云服務(wù)商商以什么么安全理理念為企企業(yè)而服服務(wù)？ 無此，則安全全無從談?wù)勂?。第二，清清晰?/p>

30、了了解云服服務(wù)商如如何分擔(dān)擔(dān)上云后后的安全全職能。如同了了解地震震的規(guī)律律，人類類就能在在更安全全地在地地球表面面居?。涣私鈿鈿夂蜃兣耐{脅，人類類就能預(yù)預(yù)防兩極極冰山融融化帶來來的災(zāi)難難，企業(yè)業(yè)對于云云服務(wù)商商能夠?qū)_安全全風(fēng)險的的安全服服務(wù)、工工具、技技術(shù)和保保障機(jī)制制的認(rèn)知知越全面面越強(qiáng)大大，就能能夠更好好地幫助助企業(yè)構(gòu)構(gòu)筑安全全防線，因為這這是防御御安全風(fēng)風(fēng)險/及及時響應(yīng)應(yīng)安全事事故的最最直接戰(zhàn)戰(zhàn)場。1.3 云安全全能力指指標(biāo)體系系構(gòu)建依托于上上述兩個個基本原原則，參參考CSSA發(fā)布布的云云計算關(guān)關(guān)鍵領(lǐng)域域安全指指南、歐洲網(wǎng)網(wǎng)絡(luò)與信信息安全全局（EENISSA）發(fā)發(fā)布的云云服務(wù)保

31、保障標(biāo)準(zhǔn)準(zhǔn)研究等等一系列列云安全全標(biāo)準(zhǔn)文文件，結(jié)結(jié)合企業(yè)業(yè)上云擔(dān)擔(dān)憂，以以便于企企業(yè)在第第一時間間全局性性地審視視云服務(wù)務(wù)商的安安全能力力，本報報告從泛泛安全的的信任基基礎(chǔ)、物物理基礎(chǔ)礎(chǔ)設(shè)施部部署、內(nèi)內(nèi)部人員員管理、應(yīng)急響響應(yīng)、數(shù)數(shù)據(jù)安全全保護(hù)、合規(guī)性性表現(xiàn)六六個方面面構(gòu)建了了19個個細(xì)化指指標(biāo)體系系。本報告通通過搭建建云安全全能力指指標(biāo)體系系，重點點依托各各云服務(wù)務(wù)商公開開披露的的安全實實踐信息息，對比比各廠商商在各個個指標(biāo)層層面的表表現(xiàn)。我我們希望望通過本本報告為為企業(yè)云云決策者者、云實實施部署署者構(gòu)建建安全知知識體系系，增強(qiáng)強(qiáng)從安全全維度上上審視未未來要選選定的云云服務(wù)商商合作伙伙伴的判

32、判斷力。目前國內(nèi)內(nèi)云計算算市場參參與逐鹿鹿的企業(yè)業(yè)屬性呈呈現(xiàn)多元元化特點點，不僅僅有傳統(tǒng)統(tǒng)的ITT公司、電信運運營商、還有大大型互聯(lián)聯(lián)網(wǎng)平臺臺企業(yè)、創(chuàng)業(yè)公公司，且且提供云云產(chǎn)品的的理念與與形態(tài)也也仍處于于演變進(jìn)進(jìn)化的過過程中。本次研研究對象象的選擇擇在考慮慮市場表表現(xiàn)的之之外，希希望覆蓋蓋不同企企業(yè)類型型、業(yè)務(wù)務(wù)形態(tài)的的云服務(wù)務(wù)商的云云安全實實踐展現(xiàn)現(xiàn)。本次次研究對對象選取取國內(nèi)五五家提供供公有云云服務(wù)的的國內(nèi)外外廠商亞馬馬遜AWWS、微微軟Azzuree、阿里里云、騰騰訊云、天翼云云。圖表 SEQ 圖表 * ARABIC 11云服務(wù)務(wù)商安全全能力指指標(biāo)體系系云服務(wù)商商安全能能力對比比一級指指

33、標(biāo)云服務(wù)商商安全能能力對比比二級指指標(biāo)泛安全的的信任基基礎(chǔ)市場表現(xiàn)現(xiàn)計算資源源供應(yīng)能能力安全理念念搭建第三三方合作作安全伙伙伴的能能力物理基礎(chǔ)礎(chǔ)設(shè)施部部署數(shù)據(jù)中心心部署數(shù)據(jù)中心心標(biāo)準(zhǔn)遵遵從內(nèi)部人員員管理人員管理理流程設(shè)設(shè)計招聘與培培訓(xùn)監(jiān)控備案案、終止止手段事故響應(yīng)應(yīng)事故處理理團(tuán)隊提供的信信息工具具、相關(guān)關(guān)標(biāo)準(zhǔn)和和方法事故賠償償機(jī)制日志服務(wù)務(wù)數(shù)據(jù)安全全保護(hù)認(rèn)證、訪訪問權(quán)限限管理機(jī)機(jī)制涉及數(shù)據(jù)據(jù)所有權(quán)權(quán)和處理理權(quán)行為為的數(shù)據(jù)據(jù)保護(hù)機(jī)機(jī)制外部網(wǎng)絡(luò)絡(luò)威脅防防御能力力合規(guī)性表表現(xiàn)合規(guī)認(rèn)證證的覆蓋蓋度云服務(wù)商商標(biāo)準(zhǔn)審審計透明明度云服務(wù)商商法律政政策的遵遵從制圖：互互聯(lián)網(wǎng)實實驗室，20115年112月1.

34、泛泛安全的的信任基基礎(chǔ)?？涂蛻艨赏ㄍㄟ^此洞洞察云服服務(wù)商的的領(lǐng)導(dǎo)力力來獲取取對云服服務(wù)商的的信任基基礎(chǔ)，包包括市場場表現(xiàn)、計算資資源供應(yīng)應(yīng)、對于于安全生生態(tài)系統(tǒng)統(tǒng)的領(lǐng)導(dǎo)導(dǎo)力、是是否能夠夠通過安安全理念念便于客客戶感知知云服務(wù)務(wù)商與客客戶之間間處于何何種關(guān)系系狀態(tài)。2. 物物理基礎(chǔ)礎(chǔ)設(shè)施部部署。云云計算基基礎(chǔ)設(shè)施施遠(yuǎn)離云云用戶所所在地，這是引引發(fā)市場場對云服服務(wù)擔(dān)憂憂的重要要原因之之一。物物理安全全是保障障云服務(wù)務(wù)的第一一道防線線，客戶戶通過數(shù)數(shù)據(jù)中心心部署機(jī)機(jī)制、數(shù)數(shù)據(jù)中心心建設(shè)遵遵從標(biāo)準(zhǔn)準(zhǔn)的了解解，來獲獲取對云云服務(wù)商商保障業(yè)業(yè)務(wù)連續(xù)續(xù)性的信信任。3. 內(nèi)內(nèi)部人員員的管理理。內(nèi)部惡意意攻擊所

35、所造成的的危害后后果往往往嚴(yán)重地地多，云云的架構(gòu)構(gòu)決定了了這種高高風(fēng)險角角色的存存在，企企業(yè)需要要了解云云服務(wù)商商是如何何管理內(nèi)內(nèi)部人員員，防止止內(nèi)部惡惡意攻擊擊或者操操作不當(dāng)當(dāng)?shù)葐栴}題帶來的的云風(fēng)險險。4.事故故響應(yīng)。即使最最周詳?shù)牡挠媱?、實施并并?zhí)行了了相關(guān)的的預(yù)防性性安全措措施，也也無法完完全避免免信息資資產(chǎn)遭到到攻擊。因此當(dāng)當(dāng)企業(yè)轉(zhuǎn)轉(zhuǎn)向云以以后，面面臨一個個核心問問題就是是：怎樣樣才能有有效處理理關(guān)于云云的安全全事故。5. 數(shù)數(shù)據(jù)安全全保護(hù)。數(shù)據(jù)資資產(chǎn)的上上云尤要要引起關(guān)關(guān)注，企企業(yè)需要要從數(shù)據(jù)據(jù)生命周周期與數(shù)數(shù)據(jù)操作作行為進(jìn)進(jìn)行耦合合關(guān)聯(lián)的的角度考考察云服服務(wù)商對對數(shù)據(jù)采采取的保保護(hù)

36、措施施。6.合規(guī)規(guī)性表現(xiàn)現(xiàn)。企業(yè)業(yè)上云之之后，由由于一部部分服務(wù)務(wù)由云服服務(wù)商來來承擔(dān)，則企業(yè)業(yè)需要確確保能夠夠觀察到到直接控控制之外外的合規(guī)規(guī)性管理理責(zé)任和和工作，確保云云服務(wù)商商能夠滿滿足企業(yè)業(yè)的安全全性和操操作需要要。特別別對于一一定規(guī)模模以下的的組織而而言，“云”還是治治理和合合規(guī)的輔輔助技術(shù)術(shù)，可通通過內(nèi)嵌嵌合規(guī)認(rèn)認(rèn)證的服服務(wù)套件件，使一一定規(guī)模模以下的的組織可可以與規(guī)規(guī)模更大大，資源源優(yōu)勢更更明顯的的企業(yè)達(dá)達(dá)成同等等級別的的合規(guī)。二、泛安安全的信信任指標(biāo)標(biāo)設(shè)計與與對比對云服務(wù)務(wù)商是否否可靠的的考察是上上云歷程程的關(guān)鍵鍵基礎(chǔ)性性步驟。通過調(diào)調(diào)查，我我們提出出可用性性是企業(yè)業(yè)上云的的前

37、置性性審核因因素用戶初初步評估估云服務(wù)務(wù)商提供供的服務(wù)務(wù)能夠滿滿足企業(yè)業(yè)業(yè)務(wù)的的功能性性需求，它往往往并不是是關(guān)注重重點，因因為通常常僅有一一個是或或者否的的結(jié)論就就能夠迅迅速排除除不符合合的云服服務(wù)商。同時很很多客戶戶認(rèn)為穩(wěn)穩(wěn)定性是是決策過過程中需需要詳細(xì)細(xì)考察的的環(huán)節(jié)?！胺€(wěn)定性性是前提提，穩(wěn)定定性達(dá)不不到傳統(tǒng)統(tǒng)架構(gòu)不不會考慮慮上云?！蹦乘軝C(jī)機(jī)企業(yè)CCIO。持續(xù)時間間下的功功能可獲獲得性是是企業(yè)對對IT部部門的基基本需求求，而在在上云背背景下，這一需需求被更更加強(qiáng)化化了。部部分被調(diào)調(diào)查的企企業(yè)客戶戶甚至將將功能的的穩(wěn)定可可靠視為為云安全全考察的的重要內(nèi)內(nèi)容。作作為外包包合作模模式，上上云企業(yè)

38、業(yè)難以如如對待內(nèi)內(nèi)部ITT部門一一樣進(jìn)行行詳細(xì)資資源審查查，這是是不安全全感的一一個主要要來源。因此我我們在細(xì)細(xì)化穩(wěn)定定涉及的的感知指指標(biāo)的基基礎(chǔ)上對對國內(nèi)主主流云服服務(wù)商進(jìn)進(jìn)行評估估，包括括市場表表現(xiàn)、計計算資源源供應(yīng)、對于安安全生態(tài)態(tài)系統(tǒng)的的領(lǐng)導(dǎo)力力、是否否能夠通通過安全全理念便便于客戶戶感知云云服務(wù)商商與客戶戶之間處處于何種種關(guān)系狀狀態(tài)。2.1 市場表表現(xiàn)補(bǔ)償償控制權(quán)權(quán)喪失感感，企業(yè)業(yè)考察云云服務(wù)商商“家底”企業(yè)對云云服務(wù)商商穩(wěn)定性性的考察察首先是是從“家底”而非技技術(shù)層面面展開。由于部部分技術(shù)術(shù)指標(biāo)不不可見和和實施過過程中的的不確定定性，國國內(nèi)企業(yè)業(yè)在考察察云服務(wù)務(wù)商的時時候往往往會從

39、企企業(yè)財務(wù)務(wù)狀況因因素入手手。在對對有上云云意向的的企業(yè)調(diào)調(diào)查中，我們發(fā)發(fā)現(xiàn)企業(yè)業(yè)的考察察具有一一定的主主觀性和和不完整整性，因因此提取取具有普普遍性的的指標(biāo)，并通過過公開的的信息構(gòu)構(gòu)建一個個對在中中國市場場提供服服務(wù)的主主流云服服務(wù)商“家底”的比較較維度。由于國國內(nèi)外云云計算市市場發(fā)展展?fàn)顩r的的存在巨巨大差異異，我們們將對部部分指標(biāo)標(biāo)進(jìn)行分分開比較較。云市場規(guī)規(guī)模是上上云企業(yè)業(yè)考察的的重點指指標(biāo)。某某互聯(lián)網(wǎng)網(wǎng)金融平平臺CIIO認(rèn)為為“規(guī)模是是第一要要素，畢畢竟與穩(wěn)穩(wěn)定服務(wù)務(wù)相關(guān)。覆蓋行行業(yè)、用用戶數(shù)量量、盈利利能力會會對選擇擇供應(yīng)商商有影響響?！盙arrtneer認(rèn)為為，如果果企業(yè)用用戶選定

40、定了某家家云計算算服務(wù)商商，最理理想的狀狀態(tài)是：這家服服務(wù)商能能夠一直直平穩(wěn)發(fā)發(fā)展，而而不會出出現(xiàn)破產(chǎn)產(chǎn)或被大大型公司司收購現(xiàn)現(xiàn)象。其其理由很很簡單：如果云云計算服服務(wù)商破破產(chǎn)或被被他人收收購，企企業(yè)客戶戶既有服服務(wù)將被被中斷或或變得不不穩(wěn)定。并建議議，在選選擇云計計算服務(wù)務(wù)商之前前，應(yīng)把把長期發(fā)發(fā)展風(fēng)險險因素考考慮在內(nèi)內(nèi)。云計算企企業(yè)的經(jīng)經(jīng)營不穩(wěn)穩(wěn)定是一一種現(xiàn)實實風(fēng)險。在20113年信信貸資料料服務(wù)機(jī)機(jī)構(gòu)Grrayddon UK和和市場研研究公司司Garrtneer都對對云計算算企業(yè)的的經(jīng)營狀狀況發(fā)出出了風(fēng)險險警告。Garrtneer稱，在未來來兩年里里，云服服務(wù)的應(yīng)應(yīng)用者將將面臨嚴(yán)嚴(yán)重的風(fēng)

41、風(fēng)險，因因為他們們的服務(wù)務(wù)提供商商很可能能被收購購或者被被迫退出出這項業(yè)業(yè)務(wù)。十十分之一一的云服服務(wù)提供供商將由由于收購購、破產(chǎn)產(chǎn)等各種種原因消消失。目目前市場場上云服服務(wù)商分分化在逐逐步拉大大，根據(jù)據(jù)Synnerggy方面面公布的的結(jié)果，目前四四大云服服務(wù)商(包括微微軟、IIBM、谷歌與與Amaazonn)總計計收得554%營營收比例例。上云企業(yè)業(yè)將云計計算所在在集團(tuán)公公司在其其他領(lǐng)域域的成功功作為評評估云計計算“家底”主要指指標(biāo)是一一個常見見的誤解解。目前前主流云云計算多多為互聯(lián)聯(lián)網(wǎng)公司司、電信信運營商商、設(shè)備備廠商的的新業(yè)務(wù)務(wù)領(lǐng)域，公司在在其他領(lǐng)領(lǐng)域成功功是云計計算業(yè)務(wù)務(wù)開展的的初期優(yōu)優(yōu)

42、勢，但但這并不不意味著著其云計計算業(yè)務(wù)務(wù)的必然然成功。例如，20115年惠惠普 2014年10月，惠普公司已經(jīng)發(fā)出公告，宣稱將于2015年1月15日正式關(guān)閉其webOS云服務(wù)。2015年10月，宣布明年1月開始關(guān)閉惠普Helion公有云服務(wù)，轉(zhuǎn)與微軟合作，向客戶提供微軟Azure公有云服務(wù)。和戴戴爾 2013年5月，戴爾宣布變更其云計算戰(zhàn)略，取消其曾經(jīng)推出的基于OpenStack開源平臺的公有云服務(wù)，并停止已經(jīng)推向市場的基于VMware的公有云。轉(zhuǎn)而重點銷售運行在其硬件和軟件上的使用OpenStack的私有云。相繼繼放棄了了其部分分云計算算項目，顯示了了在云計計算這一一新興商商業(yè)領(lǐng)域域?qū)Α俺晒?/p>

43、”企業(yè)仍仍然是一一個挑戰(zhàn)戰(zhàn)，因此此對云服服務(wù)商實實力的評評估應(yīng)該該更有針針對性。我們建建議上云云企業(yè)在在評估“家底”時盡量量針對集集團(tuán)企業(yè)業(yè)的云業(yè)業(yè)務(wù)板塊塊進(jìn)行獨獨立評估估。對于于上云企企業(yè)來說說，選擇擇云市場場排名在在前的公公司也是是一種非非常重要要的安全全策略。市場表現(xiàn)現(xiàn)主要體體現(xiàn)在云云市場上上的規(guī)模模、盈利利能力等等因素。云計算算企業(yè)的的經(jīng)營穩(wěn)穩(wěn)定性是是上云企企業(yè)面臨臨的現(xiàn)實實風(fēng)險。有針對對性的考考察云計計算企業(yè)業(yè)的財務(wù)務(wù)狀況有有助于企企業(yè)做出出科學(xué)性性的決策策。市場場規(guī)模和和盈利能能力不僅僅僅意味味著企業(yè)業(yè)能夠長長期穩(wěn)定定的提供供服務(wù)，同是也也意味著著云服務(wù)務(wù)商在該該業(yè)務(wù)中中積累案案例

44、不斷斷完善。2.2 計算能能力不可可見，國國內(nèi)通用用比較標(biāo)標(biāo)準(zhǔn)有待待明確云計算技技術(shù)本身身具有很很高的穩(wěn)穩(wěn)定性。對于上上云企業(yè)業(yè)來說，云應(yīng)該是是一個可可靠無間間斷的平平臺。一一般云服服務(wù)商都都具備計計算資源源的動態(tài)態(tài)延展性性，也不不會由于于計算能能力不足足造成崩崩潰。這這是由云云計算的的技術(shù)特特征本身身決定的的，有時時與云服服務(wù)商關(guān)關(guān)系不大大。而在在進(jìn)一步步評估云云服務(wù)商商的計算算資源供供應(yīng)能力力計算算資源、存儲資資源、網(wǎng)網(wǎng)絡(luò)資源源的供應(yīng)應(yīng)能力的的時候則則面臨信信息的不不透明性性。由于于這是涉涉及對外外部公司司資質(zhì)的的考察，因此我我們需要要引入一一些間接接的指標(biāo)標(biāo)來進(jìn)行行評估。計算資源源供應(yīng)受

45、受多種因因素制約約，其中中一些指指標(biāo)是上上云企業(yè)業(yè)無法直直觀感受受到的。國外咨咨詢機(jī)構(gòu)構(gòu)使用“市場計計算資源源使用量量”這一概概念進(jìn)行行橫向比比較，被被認(rèn)為是是比較直直觀和有有效的指指標(biāo)。目目前本土土云服務(wù)務(wù)商尚未未被納入入到這一一指標(biāo)體體系中，因此國國內(nèi)上云云企業(yè)往往往尋求求行業(yè)性性成功個個案進(jìn)行行參考決決策。此此外網(wǎng)絡(luò)絡(luò)環(huán)境也也是影響響云服務(wù)務(wù)商服務(wù)務(wù)穩(wěn)定性性的重要要因素。2.3 安全理理念折射射出安全全能力，承諾與與實踐匹匹配方式式尚不成成熟云計算放放大了IIT的挑挑戰(zhàn)，云云服務(wù)商商與用戶戶之間的的安全權(quán)權(quán)責(zé)關(guān)系系更加重重要。目前，以以國外主流流云服務(wù)務(wù)商為代代表的安安全責(zé)任任共擔(dān)模模式

46、和國內(nèi)主主流云服服務(wù)商為為代表的的托管模模式是我我國市場場上的兩兩種主要要的權(quán)責(zé)模模式。模式應(yīng)該該對安全全負(fù)責(zé)。業(yè)界一直直存在對這這兩種模模式的討討論，不不同的用用戶也對對這兩種種模式有有各異的的理解。無論是哪哪一種模模式，在在當(dāng)前云云服務(wù)的的發(fā)展階階段，只只要能夠夠滿足云云安全的的需求，存在即即合理。云服務(wù)務(wù)商和用用戶之間間的權(quán)責(zé)責(zé)劃分和和責(zé)任分分配是否否存在一一個最優(yōu)優(yōu)的結(jié)合合點，也也是所有有云服務(wù)務(wù)商正在在積極探索索的方向向。但是是，從長長期發(fā)展展的趨勢勢和業(yè)內(nèi)內(nèi)專業(yè)人人士的評評判，可以認(rèn)認(rèn)為安全全責(zé)任共共擔(dān)模式式更符合合云服務(wù)務(wù)未來的的發(fā)展。云服務(wù)商商的安全全理念形形成了不不同的協(xié)協(xié)議

47、規(guī)則則。整體體來看，國內(nèi)云云服務(wù)商商的安全全原則仍仍處于建建立過程程中，客客戶與云云服務(wù)商商之間的的最佳關(guān)關(guān)系可能能是需要要多方博博弈形成成。2.4 規(guī)制第第三方合合作安全全伙伴的的能力，提升多多選擇服服務(wù)的安安全性云計算的的合作伙伙伴能力力云云服務(wù)商商接納并并整合基基于云服服務(wù)的中中間商從從而發(fā)展展成為具具有一致致標(biāo)準(zhǔn)的的伙伴關(guān)關(guān)系也是亞亞馬遜AAWS率率先提出出并被行行業(yè)普遍遍接納的的概念。在Gaartnner的的一項研研究顯示示，在完完全接受受公共云云計算服服務(wù)的企企業(yè)中，亞馬遜遜AWSS能滿足足其中771%企企業(yè)的需需求。這這在很大大程度是是依靠合合作伙伴伴完成的的。如何在使使用第三三

48、方合作作伙伴豐豐富服務(wù)務(wù)的同時時保障安安全也是是需要考考量的重重要問題題。云服服務(wù)商無無法提供供面面俱俱到的服服務(wù)，而而涉及到到具體業(yè)業(yè)務(wù)，上上云客戶戶又存在在各種定定制型服服務(wù)的需需求。第第三方合合作伙伴伴模式是是當(dāng)前云云服務(wù)商商普遍采采用的業(yè)業(yè)務(wù)模式式，云計計算環(huán)境境下三方方的關(guān)系系無疑更更加緊密密了，這這也增加加了一些些不確定定因素。云服務(wù)務(wù)商如何何選擇和和管理第第三方也也成為上上云企業(yè)業(yè)需要關(guān)關(guān)注的一一個重要要考察因因素。在對上云云企業(yè)的的泛安全全感知提提前出指指標(biāo)并進(jìn)進(jìn)行賦值值時，我我們發(fā)現(xiàn)現(xiàn)當(dāng)前國國內(nèi)主流流云服務(wù)務(wù)商很難難在一個個維度上上進(jìn)行比比較。這這是由于于國內(nèi)提提供成熟熟云計

49、算算服務(wù)的的廠商，在云業(yè)業(yè)務(wù)整體體實力方方面本土土云服務(wù)務(wù)商與國國際云服服務(wù)商存存在量級級上的差差距，且且國際云云服務(wù)商商在成功功案例量量和服務(wù)務(wù)規(guī)則成成熟度等等方面也也具有顯顯著優(yōu)勢勢。國際際云服務(wù)務(wù)商在將將成熟業(yè)業(yè)務(wù)模式式和合同同規(guī)則引引入中國國的過程程中面臨臨特殊本本地化需需求的挑挑戰(zhàn)，而而扎根于于中國市市場成長長起來的的本土云云服務(wù)商商則獲得得了相對對優(yōu)勢。在這一一比較過過程中，我們盡盡量選擇擇公開的的信息資資料，包包括上市市公司財財報、服服務(wù)白皮皮書等，此外使使用國際際咨詢機(jī)機(jī)構(gòu)評估估結(jié)論提提供參考考信息。而這種種方式難難免會形形成數(shù)據(jù)據(jù)口徑的的不一致致的問題題，為此此我們盡盡量充分

50、分界定數(shù)數(shù)據(jù)的意意義。使使用這一一研究方方式主要要是考慮慮到上云云企業(yè)在在這部分分指標(biāo)上上的信息息可獲得得性。2.5 對比結(jié)結(jié)果1. 市市場表現(xiàn)現(xiàn)上亞馬馬遜AWWS具有有全球市市場優(yōu)勢勢，阿里里云具有有區(qū)域優(yōu)優(yōu)勢據(jù)Carrtneer 220155年初發(fā)發(fā)布的技技術(shù)發(fā)展展趨勢報報告顯示示，20014 年全球球云計算算服務(wù)市市場規(guī)模模達(dá)15528 億美元元，增長長率達(dá)117.99%，其其中公有有云開支支將達(dá)7700億億美元。作為llaaSS（基礎(chǔ)礎(chǔ)設(shè)施即即服務(wù)）的提出出者，亞亞馬遜在在這一市市場具有有領(lǐng)跑優(yōu)優(yōu)勢。根根據(jù)Syynerrgy研研究集團(tuán)團(tuán)（Syynerrgy Ressearrch Gro

51、oup）于20015年年 2 月份公公布的數(shù)數(shù)據(jù)，亞亞馬遜AAWS 在公有有云基礎(chǔ)礎(chǔ)性服務(wù)務(wù)方面的的表現(xiàn)創(chuàng)創(chuàng)下了 5 年年新高，在 220144 年 Q4 中，其其全球市市場份額額增長了了 300%，營營收的年年同比增增長也達(dá)達(dá)到了 51%。市場場份額排排名 224 名的微微軟、IIBM 及 GGooggle 也在營營收方面面增長明明顯，年年同比增增幅分別別達(dá)到 96%，488% 和和 811%。圖表 SEQ 圖表 * ARABIC 22 20014年年內(nèi)第44季度云云基礎(chǔ)設(shè)設(shè)施服務(wù)務(wù)市場份份額和增增長率20155年100月，F(xiàn)Forrrestter 發(fā)布了了中國區(qū)區(qū)20115年第第三季度度的

52、企業(yè)業(yè)公有云云服務(wù)WWavee報告中國國公有云云市場正正在加速速發(fā)展，今年的的中國公公有云市市場規(guī)模模預(yù)計為為18億億美元，到20020年年中國公公有云市市場規(guī)模模預(yù)計將將達(dá)到338億美美元。根根據(jù) IIDC 的數(shù)據(jù)據(jù)，阿里里云在220144年上半半年的全全國 IIaaSS 領(lǐng)域域市場份份額為 22.8%，位居首首位。微微軟 AAzurre 和和 亞馬馬遜AWWS 則則分別位位居第四四和第五五位。 由于存在在巨大的的客觀差差異性，中國本本土云計計算企業(yè)業(yè)并不適適合在絕絕對數(shù)字字上與進(jìn)進(jìn)入中國國的全球球性云計計算企業(yè)業(yè)進(jìn)行比比較。亞亞馬遜AAWS在在全球范范圍內(nèi)具具有云計計算行業(yè)業(yè)領(lǐng)導(dǎo)者者優(yōu)勢，

53、而在國國內(nèi)阿里里云則依依靠本土土化需求求的差異異性獲得得了相對對優(yōu)勢。亞馬遜AAWS：20115年亞亞馬遜首首次披露露了 亞亞馬遜AAWS（Amaazonn Weeb SServvicee，亞馬馬遜云服服務(wù)）的的部分財財務(wù)狀況況：20014年年 凈收收入 446.44 億美美元，較較 20013年年 上漲漲 499%。220155年 一一季度凈凈收入 15.7 億億美元，二季度度收入118.22 億美美元。CCEO Bezzos 在一份份聲明中中表示，“亞馬遜遜AWSS 是一一個 550 億億美元的的業(yè)務(wù)，并且依依然在加加速增長長中，亞亞馬遜AAWS 的營收收最終會會超過其其零售業(yè)業(yè)務(wù)”。微軟

54、Azzuree：20114年，在 OOffiice 3655，Azzuree和Dyynammicss CRRM 的的持續(xù)推推動下，企業(yè)級級云服務(wù)務(wù)收入增增長1114%，實現(xiàn)555億美美元的年年收入。阿里云：20115年110月，阿里巴巴巴集團(tuán)團(tuán)發(fā)布220155年第三三季度財財報，阿阿里巴巴巴旗下云云計算業(yè)業(yè)務(wù)阿里里云營收收6.449億元元。此前前的財報報顯示，20115年前兩兩個季度度阿里云云營收分分別為33.888億元、4.885億元元。騰訊云：目前騰騰訊財報報尚未將將云計算算作為單單列收入入項目，而含云云收入的的“其他服服務(wù)”類收入入在20015年年上半年年達(dá)到119.77億元。由于本本部

55、分涵涵蓋“電子商商務(wù)交易易、提供供商標(biāo)授授權(quán)、軟軟件開發(fā)發(fā)服務(wù)、軟件銷銷售及其其他服務(wù)務(wù)”，此數(shù)數(shù)據(jù)僅做做參考，無法據(jù)據(jù)此評估估騰訊云云的具體體營收情情況。天翼云：根據(jù)電電信公布布的20015年年上半年年業(yè)績，電信云云計算（天翼云云）產(chǎn)品品實現(xiàn)收收入人民民幣4.7億元元。由于國內(nèi)內(nèi)云計算算市場尚尚不成熟熟，國內(nèi)內(nèi)上云企企業(yè)對云云計算服服務(wù)的認(rèn)認(rèn)知仍處處于初級級階段，因此企企業(yè)對云云服務(wù)商商“家底”的評估估中并未未形成統(tǒng)統(tǒng)一的價價值標(biāo)準(zhǔn)準(zhǔn)。企業(yè)業(yè)對云計計算產(chǎn)業(yè)業(yè)內(nèi)的全全球性統(tǒng)統(tǒng)計結(jié)果果感知度度不高，在此背背景下本本土優(yōu)勢勢企業(yè)形形成了較較強(qiáng)的影影響力。但是我我們認(rèn)為為整體性性業(yè)務(wù)規(guī)規(guī)模對企企業(yè)選

56、擇擇有重要要意義。作為對對整體云云商業(yè)能能力的判判斷的時時候，規(guī)規(guī)模不僅僅僅意味味著企業(yè)業(yè)財務(wù)的的穩(wěn)定性性，還能能夠帶來來服務(wù)規(guī)規(guī)則的較較高成熟熟度和案案例積累累的最佳佳方案。2. 科科技咨詢詢公司評評估計算算能力模模型顯示示亞馬遜遜AWSS最強(qiáng)一種評估估方式為為通過云云服務(wù)商商服務(wù)的的客戶來來評估其其服務(wù)的的計算能能力。在在20115年GGarttnerr發(fā)布的的IaaaS魔力力象限指指標(biāo)體系系中，對對具有全全球性服服務(wù)能力力的云供供應(yīng)商進(jìn)進(jìn)行了考考察，并并做出排排名，其其中亞馬馬遜AWWS擁有有多元化化的客戶戶基礎(chǔ)和和最廣泛泛的使用用案例，包括企企業(yè)和關(guān)關(guān)鍵任務(wù)務(wù)應(yīng)用。亞馬遜遜AWSS客戶

57、使使用的云云計算能能力超過過其他114個云云服務(wù)商商 這份報告評估的IaaS 企業(yè)，除亞馬遜AWS外，其余14家為：Microsoft、Google、CenturyLink、VMware、IBM（SoftLayer）、Rackspace、Virtustream、CSC、Interoute、Fujitsu、Verizon、NTT Communications、Joyent、Dimension Data?？偤偷牡?0倍倍。而在在同一比比較維度度下，微微軟Azzuree的計算算能力是是另外113大競競爭對手手（不包包括亞馬馬遜）總總和的22倍。目前已經(jīng)經(jīng)有咨詢詢機(jī)構(gòu)開開始針對對中國云云計算市市場進(jìn)行

58、行調(diào)研，但數(shù)據(jù)據(jù)仍然缺缺乏整體體參考性性。Foorreesteer RReseearcch發(fā)布布獨立報報告Foorreesteer WWavee：20015年年第三季季度中國國企業(yè)級級公有云云平臺 原文名：The Forrester Wave: Enterprise Public Cloud Platforms In China, Q3 2015：The 11 Providers That Matter Most And How They Stack Up，在中中國企業(yè)業(yè)云平臺臺市場甄甄選了主主要的云云平臺服服務(wù)商并并對其進(jìn)進(jìn)行全方方位的評評估，其其中對微微軟Azzuree 和阿阿里云 該報告

59、未對亞馬遜AWS和騰訊云在此類上的表現(xiàn)打分。的的服務(wù)能能力打分分為4.00和和3.775 。同期評評估中阿阿里巴巴巴、微軟軟、和亞亞馬遜則則被評為為“企業(yè)級級公有云云平臺領(lǐng)領(lǐng)導(dǎo)者（Leaaderrs）”。本土云服服務(wù)商未未進(jìn)入國國際統(tǒng)一一比較體體系無法法獲得整整體性數(shù)數(shù)據(jù)，上上云企業(yè)業(yè)不得不不使用一一些個案案性的信信息輔助助進(jìn)行決決策。例例如，上上云企業(yè)業(yè)會參考考本行業(yè)業(yè)內(nèi)使用用云的案案例進(jìn)行行選擇，但是他他們?nèi)匀蝗幌Ｍ苣軌蚪柚谌椒綑C(jī)構(gòu)提提供綜合合性比較較結(jié)論。在中國，網(wǎng)絡(luò)環(huán)環(huán)境是制制約云服服務(wù)商計計算資源源供應(yīng)的的重要因因素。云云計算的的基礎(chǔ)技技術(shù)虛擬化化技術(shù)、分布式式計算、效用計計

60、算等，需要通通過網(wǎng)絡(luò)絡(luò)進(jìn)行即即時性連連接，從從而實現(xiàn)現(xiàn)服務(wù)的的隨時隨隨地可獲獲得。因因此除了了云服務(wù)務(wù)商 本本身計算算、存儲儲資源的的規(guī)模外外，網(wǎng)絡(luò)絡(luò)環(huán)境成成為影響響云計算算產(chǎn)業(yè)功功能穩(wěn)定定性的重重要變量量。當(dāng)前前中國三三大運營營商之間間的網(wǎng)絡(luò)絡(luò)互聯(lián)困困難是當(dāng)當(dāng)前制約約云計算算服務(wù)穩(wěn)穩(wěn)定性重重要制約約因素。在解決決這個問問題上，無論是是選擇分分運營商商部署、多線多多IP、靜態(tài)BBGP或或動態(tài)BBGP，都將增增加企業(yè)業(yè)上云的的成本。這甚至至成為中中國企業(yè)業(yè)選擇云云服務(wù)商商的時候候必須考考慮的運運營商本本身資質(zhì)質(zhì)之外的的因素。3. 亞亞馬遜AAWS和和微軟AAzurre都在在中國引引入其具具有全球