企业上云安全策略指南
云安全云计算的安全风险、模型和策略
云安全:云计算的安全风险、模型和策略在这篇文章中,我们将着重探讨云计算中与安全相关的各类问题,例如云计算供应商采用的安全模式,企业在使用云计算平台中应该考虑的安全风险和采取的安全策略等。
需要强调的一点是:本文涉及的“云安全”并非是目前国内反病毒业界中非常热门的“云安全”、“云查杀”这类反病毒技术。
“云安全”反病毒技术只是将云端的计算和商用模式应用到反病毒领域。
换句话说,是云计算在一个特定领域的应用。
本文讨论的是通用意义上的云安全(Cloud Security)。
它的影响范围和对象要比“云安全”反病毒技术广泛得多。
云安全涉及的不仅仅是云计算中的相关技术,如虚拟化技术等的安全问题,而且还需要全面考虑和评估云计算所带来的潜在的技术、政策、法律、商业等各方面的安全风险。
云计算中的安全风险云计算的服务和计算分配模式按通用的理解,云计算是基于网络,特别是基于互联网的计算模式。
在云计算模式下,软件、硬件、数据等资源均可以根据客户端的动态需求按需提供(on-demand)。
某种意义上,云计算的运营模式类似于电力、供水等公用设施,只不过它所提供的服务是计算资源。
云计算中提供的服务有三个层次:•SaaS(Software as a serv-ice):软件即服务•PaaS(Platform as a serv-ice):平台即服务•IaaS (Infrastructure as a service):基础设施即服务事实上,云计算中涉及的许多技术,如虚拟化(virtualization)、SaaS等并不是全新的技术。
最为基本的在线邮件服务功能,如Gmail、Hotmai都已经运营一段时间了。
PaaS 虽然是一个比较新的概念,但构造它的组件(如SOA)也不是新技术。
那么云计算中最重要的改变是什么?云计算带来的是一种全新的商业模式。
它改变的是计算分布或分配的模式(par-adigm)。
根据计算分配模式的不同,云计算又可分为:•公用云(Public Cloud):通过云计算服务商(Cloud Service Provider - CSP)来提供公用资源来实现。
《推动企业上云实施指南(2018-2020年)》解读
《推动企业上云实施指南(2018-2020年)》解读随着云计算技术的不断发展,越来越多的企业开始关注并考虑上云部署。
云计算技术可以帮助企业降低IT成本,提高IT基础设施的效率和稳定性,同时还可以通过提供高可靠性的服务,强化企业的安全性和灵活性。
因此,推动企业上云,已经成为当下企业数字化转型的重要一环。
那么,如何推动企业上云呢?本篇文章将为大家提供一份推动企业上云具体实施指南,旨在帮助更多的企业快速高效地上云。
1.明确目标和计划首先,要明确企业上云的战略目标,并制定相应的计划。
这可以帮助企业明确自己在上云过程中需要达到的目标,以及确立实现这些目标的基本计划和步骤。
同时,这个计划应该是针对企业的特定需求和预算制定的,不同企业的上云过程可能会存在巨大差异。
2.选取云平台和供应商在制定上云计划之后,企业需要考虑选择一个合适的云平台或供应商。
这个决策通常需要考虑以下因素:- 网络带宽和可靠性:事实上,在任何上云之前,企业都需要了解和优化自己的网络基础设施。
这样才能确保通过云计算平台获得的服务能够在企业内部的网络环境中正常运行。
- 服务水平协议:企业应该选择一个拥有严格的服务水平协议的供应商,这样可以确保当出现云服务中断或延迟时,供应商有着公认的责任和义务来恢复正常服务。
- 数据隐私和安全:针对数据隐私和安全的考虑是企业上云时最关键也是最困难的问题之一。
企业必须选择一个已经通过各种安全标准认证的云服务供应商,并在云部署过程中采取合适的安全措施,从而最大限度地保护数据隐私和安全。
- 费用:费用是任何企业在选择供应商时都必须考虑的重要因素。
企业需要选择一个能够满足自己需求的云服务供应商,同时还应该考虑自己的预算限制。
3.制定应用迁移和转换计划在选择好云平台和供应商之后,企业需要开展应用迁移和转换的计划。
这个过程的重点是确定哪些应用程序应该迁移到云服务上,哪些应该保留在企业自己的数据中心中运行。
企业应该针对不同的应用程序,制定不同的计划,并在整个过程中保持灵活和可调整性。
金山企业云安全使用手册
金山企业云安全使用手册一、产品介绍作为全球领先的企业级反病毒解决方案,金山企业云安全客户端可提供优于传统杀毒软件数十倍的性能,通过全球首屈一指的KSC杀毒引擎,全面查杀数万种病毒;独家边界防御,构筑企业完整防线;云端高强度鉴定引擎,实现未知文件极速识别;灵活策略管理,降低企业运维成本。
30核云引擎,轻松实现新样本极速鉴定;K+(铠甲)云主防,独创对流行病毒样本的广谱防御能力;KSC杀毒引擎,全面查杀数万种病毒;系统资源占用少,客户端资源占用20M左右;云端设计体系,扫描速度首屈一指。
二、产品主要功能1、控制中心功能•设备管理•QQ登录管理•安全设置2、金山企业云安全客户端主要功能•病毒查杀•实时防护•修复漏洞控制中心功能开通金山企业云安全1首先登录企业QQ帐户中心,选择"企业QQ”-"应用管理”点击"开启/关闭”按钮;2、输入验证码完成开通;3、开通成功;设备管理1、设备清单:企业在开通金山企业云安全后,在设备管理-设备清单页面给已注册计算机下发安装金山企业云安全客户端,保护终端计算机系统安全。
(如下图所示)a、企业内网自动安装:开启企业内网自动安装功能时,服务器端判定终端计算机在企业内网时,服务器端自动下发安装命令给终端计算机执行安装,默认为关闭状态;b、设备类型:分为笔记本、台式机,默认是全部,为管理员提供不同需要的筛选;c、安装情况:分为已经安装、未安装,默认是全部,为管理员提供不同需要的筛选;d、登录位置:分为公司内网、其它,默认是全不限,为管理员提供不同需要的筛选;e、搜索框:可输入计算机名或IP地址进行搜索;f、操作:状态分为安装、取消、卸载、忽悠;安装:此状态时表示所对应的终端计算机没有安装金山企业云安装客户端,点击该按钮可下发安装命令到对应的终端计算机;取消:此状态进表示管理员给所对应的终端计算机下发了安装或卸载命令,在终端计算机未执行安装或卸载指令时可以点击此按钮取消已下发的安装或卸载命令,在终端计算机已经执行安装或安装命令时该按钮置灰,不可操作;卸载:此状态时表示所对应的终端计算机已经安装金山企业云安全客户端,点击此按钮可下发卸载命令到相对应的终端计算机;忽略:此按钮功能是将对应的终端计算机移到已忽略的设备列表,在已忽略的设备列表中的终端计算机所有设定的策略都不生效;QQ登录管理此页面用于设定企业QQ使用人员是否允许登录QQ,默认策略为全部允许,管理员可以在此页面针对不同的企业QQ使用人员设定相对应的QQ登录策略;(如下图所示)功能设置:分为工作日定义和禁用时段,设定后策略在设定的时间范围生效;添加策略:为企业QQ使用人员添加QQ登录策略;(如下图)删除策略:删除针对企业QQ使用人设定的QQ登录策略;勾选人员后直接点击删除策略或直接在操作中点击删除;(如下图)显示对象:分为组织和个人,默认为全部;搜索框:按帐号、姓名、拼音搜索设定QQ登录策略人员;修改策略:分为禁止和允许,修改企业QQ使用人员QQ登录策略;安全设置设置金山企业云安全客户端的定时查杀、卸载和退出策略;(如下图)定时查杀:设定金山企业云安全中心客户端定时查杀相关信息,默认功能状态为开启、查杀频率为按天、开始时间为12:30分,管理员可以根据需要自行设定;权限管理:设定金山企业客户端卸载、退出密码,默认功能状态为开启,默认密码为admin,管理员可以自行设定是否允许用户卸载和退出金山企业云安全客户端;注意卸载金山企业云安全客户端后设定的所有策略都无效。
云服务器安全防护指南
云服务器安全防护指南云服务器的安全性对于保护企业的敏感数据和业务运行的稳定性至关重要。
随着云计算的发展,越来越多的企业将数据和应用迁移到云上,但同时也面临着云服务器安全威胁的风险。
为了确保云服务器的安全性,以下是一些云服务器安全防护的指南:1.强化登录认证措施:使用复杂的密码和多因素认证来确保只有授权人员可以访问云服务器。
可以使用虚拟专用网络(VPN)来建立安全的远程访问通道,并限制远程访问IP范围。
2.及时进行系统更新与补丁管理:及时应用操作系统和软件的安全更新与补丁,确保云服务器运行的是最新的、无漏洞的系统版本。
自动化系统更新和补丁管理可以提高安全性,并减少人为错误。
3.安全的网络配置:使用防火墙和安全组来限制网络流量,并确保只有必要的网络端口开放。
使用安全合规的网络配置,例如使用私有子网和网络地址转换(NAT)等措施,可以减少网络攻击的风险。
4.定期备份数据:定期备份云服务器上的数据和配置信息,以防止因硬件故障、数据损坏或恶意软件攻击导致的数据丢失。
备份数据可以存储在云服务器外部,并加密保护,以增加数据的安全性。
5.建立安全审计与监控机制:使用安全审计工具和事件监控系统来检测和监视云服务器上的安全事件和异常活动。
及时发现并处理潜在的威胁,以减少被攻击的风险,并保护敏感数据的安全。
6.数据加密保护:对于敏感数据,使用加密技术来保护数据的机密性。
可以使用端到端加密、数据库加密和传输层安全协议(TLS)等措施来确保数据在传输和存储过程中的安全。
7.安全培训与意识提升:定期对云服务器用户和管理员进行安全培训,提高他们对云安全的意识,教育他们正确处理数据和应对安全事件,减少人为失误和社交工程的风险。
8.第三方服务供应商的选择与合作:选择可靠的云服务提供商,并与其建立长期合作关系。
了解供应商的安全策略和保护措施,并确保其符合国内外相关的安全标准和法规。
9.应急响应与漏洞管理:建立健全的应急响应计划,及时应对安全事件和漏洞的发现。
云安全的相关风险和应对策略
云安全的相关风险和应对策略随着云计算技术的发展,云存储、云应用等云服务的普及,越来越多的个人和企业选择将数据和应用程序托管在云端。
这无疑极大地减轻了用户的负担,但是也带来了一系列的安全风险和隐患。
本文将从云安全的角度出发,分析云安全的风险,并提出一些对策,帮助用户更好地保障自己的信息安全。
一、云安全风险1.数据泄露云服务提供商通过互联网为用户提供数据存储和应用程序运行的能力,客户的数据将被存储在云服务提供商的服务器上。
然而,一旦这些数据泄露,用户的机密信息就会暴露给攻击者。
数据泄露的原因可能是恶意攻击者的网络攻击,如DDoS攻击、黑客攻击等,也可能是因为云服务提供者人员的疏忽,例如没有对数据进行足够的保护。
2.云服务提供商的安全性问题用户在选择云服务提供商时,应该重视云服务提供商的安全保障能力,这包括网络安全、信息安全、物理安全等多个方面。
有一些小型的云服务提供商可能没有足够的安全保障措施,这会使得用户数据面临着更大的安全风险,同时还会影响用户业务的稳定性。
3.管理风险云计算涉及到恶意攻击、数据泄露等多种安全问题,管理问题则是通过人力和流程妥善解决。
对于用户来说,管理风险能够减少安全风险,包括数据管理、应用程序管理、操作系统管理等。
二、面对云安全风险的策略1.选择可信的云服务提供商用户应该选择大品牌的云服务提供商,因为这些提供商拥有先进的安全技术和完善的安全管理体系,足以保障用户信息的安全。
作为用户,应该在选择云服务提供商的过程中,重视服务提供商的安全能力,并注意查阅安全报告,了解提供商的安全保障措施。
2.加强身份验证身份验证是信息安全中非常重要的一部分,对于云计算服务来说也不例外。
在使用云服务时,用户最好为自己的账号设置复杂的密码,并对自己的账号进行多层次验证,例如短信验证、密保问题验证等等。
这样可以更好地保障用户账号的安全。
3.实施数据加密为保障数据的安全,用户可以在上传数据到云端服务之前,先对数据进行加密处理,防止数据在运行过程遭到非法窃取。
云计算安全策略与措施
云计算安全策略与措施在现代化的信息技术社会中,云计算技术已成为普遍的计算模式,许多企业和个人都将自己的数据上传至云端,以及使用云计算服务。
然而,安全问题是云计算面临的最大挑战。
本文将探讨云计算安全策略与措施,并分析云计算安全所面临的挑战。
一、云计算安全的挑战云计算安全的挑战主要包括:1. 数据隐私和安全在云计算中,数据被存储在云端服务器中,而用户往往并不清楚它们被存储在何处,并且对于这些数据的隐私和安全性也不知情。
2. 跨平台兼容性不同的云计算平台之间,存在着不兼容的问题,这会导致用户的数据在从一个平台转移到另一个平台时出现安全漏洞。
3. 保护电子数据保护电子数据已成为云计算安全策略的关键问题,特别是在处理敏感信息时。
二、云计算安全策略为了保障云计算的安全,必须采取有效的安全策略。
以下是几种重要的云计算安全策略:1. 确定数据的地理位置确定云存储数据的物理位置是云安全策略的关键。
地理位置对数据保护和风险分析至关重要,确定数据的地理位置不仅有利于数据的维护和管理,同时能够避免云存储提供商在不被授权的情况下使用数据。
2. 数据加密数据加密可以保护数据在云端的安全,防止未经授权的访问和数据泄露。
数据加密通常涉及不同层次的安全保障措施,包括全磁盘加密、文件级加密、协议级加密等。
3. 机密性管理机密性管理是评估和管理机密信息的合法性和适当性,以存储、保护和使用敏感数据。
在集成云计算时,必须添加机密性管理策略,这可以防止敏感信息泄露和数据丢失。
4. 网络安全与识别维护网络安全是确定云计算的安全策略的关键。
网络安全管理要求企业采用完善的安全设施以确保保险和防备,这包括应用程序安全、认证、记帐和访问控制。
5. 事故反应和恢复在实际云计算中,如果发生安全违规,如数据泄露,即使公开表示不负责,企业也必须为此负责。
因此,必须设定必要的事故反应和恢复计划,以便在紧急情况下对数据安全进行恢复。
三、云计算安全措施随着云计算成为企业和用户常见的计算模式,随之也带来了更多的网络安全威胁。
云安全中的网络信息安全策略
云安全中的网络信息安全策略随着云计算技术的快速发展,越来越多的企业将其业务数据和应用程序迁移到云平台上。
然而,在云环境中,网络信息安全问题变得更加复杂和严重。
为了保护云服务、数据和用户隐私,制定和实施有效的网络信息安全策略至关重要。
本文将探讨在云安全中的网络信息安全策略,旨在提供一些有效的建议和指导。
1. 了解云环境中的威胁和挑战在制定网络信息安全策略之前,了解云环境中的威胁和挑战是至关重要的。
云平台面临的威胁包括数据泄露、未经授权访问、虚拟机逃逸、DDoS攻击等。
此外,虚拟化技术和共享资源模型也给网络信息安全带来了新的挑战。
2. 制定适应云环境的安全策略针对云环境中的特点和威胁,制定适应云环境的安全策略是非常必要的。
安全策略应包括以下几个方面:2.1 强密码和身份验证确保所有用户和管理员账户都使用强密码,并且定期更改密码。
同时,采用多因素身份验证可以提高账户的安全性。
2.2 数据加密对于在云平台上存储和传输的敏感数据,应使用加密算法进行保护。
这将有效防止数据被未经授权的访问者窃取或篡改。
2.3 访问控制和权限管理建立严格的访问控制机制,只有经过授权的用户才能访问云服务和数据。
同时,为不同的用户和用户组分配合适的权限,确保最小权限原则得到遵守。
2.4 安全监控和日志审计建立安全监控体系,及时发现和应对潜在的安全威胁。
同时,进行日志审计和事件响应分析,以便追踪和调查安全事件。
2.5 安全培训和意识提升为所有云环境中的用户提供安全培训,教育他们如何正确使用云服务,并且提高他们的网络信息安全意识。
3. 选择可信赖的云服务提供商在云环境中,选择一个可信赖的云服务提供商是至关重要的。
企业应对提供商的安全性能、技术能力和安全合规性进行全面评估,确保他们能够提供高水平的网络信息安全保护。
4. 实施持续的安全漏洞管理和应急响应计划云安全是一个动态过程,需要持续监控和管理安全漏洞。
及时跟踪和更新系统的安全补丁,同时制定和实施应急响应计划,以便有效和及时地应对突发的安全事件。
云安全防护策略
云安全防护策略一、引言随着云计算的迅猛发展,云安全问题逐渐引起人们的关注。
云安全防护策略的制定和实施对于保障企业数据的安全至关重要。
本文将从云安全威胁、云安全防护策略制定、云安全实施措施等方面进行探讨,旨在帮助企业更好地制定云安全防护策略。
二、云安全威胁1. 数据泄露:云平台上的数据容易受到黑客攻击,导致企业敏感信息被泄露。
2. 数据丢失:由于云主机故障或者网络中断等原因,企业数据可能会丢失,给业务运营带来隐患。
3. 虚拟化安全:云平台虚拟化技术面临安全威胁,恶意用户可能通过虚拟化环境逃逸或攻击其他虚拟机实例。
4. 身份认证:云平台上的通信与身份验证可能被攻击,导致合法用户的身份被冒用。
三、云安全防护策略制定1. 安全需求分析:评估企业的安全需求,包括数据的敏感性、安全权限控制等方面。
2. 制定安全策略:基于安全需求,建立一套完整的云安全策略,包括数据分类与加密、访问控制、网络安全等方面。
3. 网络安全设备选择:根据企业需求选择合适的网络安全设备,包括防火墙、入侵检测与防御系统等。
4. 安全培训:加强员工的云安全意识,提供安全培训,教育员工识别和防范安全威胁。
四、云安全实施措施1. 数据分类与加密:根据数据的敏感性,将不同等级的数据进行分类并加密存储,确保数据的隐私安全。
2. 备份与恢复:定期备份云数据,并建立灾难恢复机制,确保数据丢失时能够及时恢复。
3. 访问控制与身份认证:采用多层次身份认证系统,限制访问权限,确保只有授权人员可以访问云平台。
4. 安全审计与监控:建立日志审计系统,对云平台的安全事件进行监控和分析,及时发现异常行为。
5. 网络安全防护:部署防火墙、入侵检测系统等网络安全设备,及时发现和阻止网络攻击行为。
五、总结制定和实施合理有效的云安全防护策略对于保障企业数据的安全至关重要。
在云安全防护策略制定过程中,需进行安全需求分析和安全策略制定,选择合适的网络安全设备,并加强员工的安全意识。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
云深不知处——2016企业上云安全策略指南2016年1月互联网实验室观点价值与安全是企业做出上云决策的两个支点。
面对上云决策,企业需要在价值需求与安全需求之间形成最适合于企业自身发展战略、业务特性的决策天平。
在对价值支点的判断上,云是大势所趋已经深入人心。
企业可以通过对内部IT成本的核算和业务发展情况等内部信息对上云的价值做出有效评估。
企业如果能将云的诸多优点引入生产、运营、服务环节之中,就能够在创造新的商业模式、持续创新、降低成本等方面释放巨大的价值潜能。
例如:有了云,用户不再需要购买、建立、安装并运行昂贵的计算机硬件,而通过无处不在的可用有线或无线网络,就可简便的获取计算机资源,正如获取其他公共资源一样;云还具备弹性,用户可以快速并且经济的增加或者减少云服务;云共享的计算机资源可以提供客观的经济效益,并且可以减少成本、加快创新;云提供的服务已经存在,可以在需要时按需分配,按需扩容;用户可以快速并且经济地计算自身云服务的吞吐量,并据此进行相应调整。
而在对安全支点的判断上,无法排解的安全忧虑导致企业上云迟疑甚至可能引发决策反复。
企业在将转移IT解决方案到云计算的同时,由于企业客户基础设施和应用程序的外部化使得企业的完全控制权发生变化,安全保障的不透明性和不可控性使得上云企业对云服务有效存储和安全共享等方面存在一定的安全风险顾虑。
在调研中我们发现,企业对于上云后的数据安全的担忧基本上覆盖了云端数据安全的整个生命链条:例如数据传输和存储是否安全;数据访问控制权限是否可控;数据是否会被入侵、被攻击;漏洞或系统不稳定是否造成企业用户的业务中断、数据被盗、被篡改?这些现实情况使得中国企业上云之路呈现出漫长曲折的形态。
以基于价值与安全感知的企业云决策象限来谋求破题之道。
在项目初期,我们对有上云需求的企业进行初步接触时发现,企业或者无限期地延缓上云行动;或者在上云后出现决策反复;或者认为云有优点,但也有不确定风险,需要谨慎上云;甚至或者即使经在用云,仍对安全抱有较大不信任。
因此,我们在报告当中以企业对云价值的释放是否清晰,企业对安全的感知、需求是否明确为维度描绘了如下企业云决策象限。
安全需求的模糊性会加重决策天平的不稳定性,企业所面临的难以权衡取舍的决策困境需要破解。
面对安全问题,企业要基于对外部信息结合自身IT能力和需求进行判断,这无疑是难度更大的,尤其是难以形成量化结论。
难以言喻的IT功能外部产生的失控感又大大加重了上云决策中安全需求的主观法码。
我们将基于区分企业对云的安全感知状态来拨开企业云安全感知迷雾。
企业对云的安全感知状态大致可以区分为两类,无论是哪一种状态,都会成为企业做出客观、理性的云决策的阻碍因素。
第一,企业存在安全认知盲区会降低在做出决策时对云服务商安全能力的审视敏感性。
企业是否具备了客观审视云的风险特征的足够信息支撑?企业是否有充足的云安全认知能够在成本考量的基础上最大程度防御安全风险,又能够在一旦安全事故发生后的如何最大化的降低损失?如果企业知晓的安全信息不够全面,就会降低对云服务商安全能力的审视敏感性,影响业务在云中的实际运行安全。
第二,控制权迁移引发的不安全感可能错估上云时机。
多家研究机构的统计调研数据均证实企业对云服务安全的担忧是全球范围内面临的上云障碍。
如果企业在带有不安全感的心理状态下来审视云服务商,有可能因为主观的不信任而影响了客观、理性的对上云之路,以及云合作伙伴基于安全视角的审视与决策,就会错估享受云效益的时机。
云安全问题的破题需要映射到云服务商的安全实践表现,我们建立云安全能力指标体系协助企业做出最佳决策。
我们提出企业进行云安全审视的两条基本原则,第一,企业寻找领先的云,思考企业与云的最佳结合状态;第二,企业清晰地了解云服务商的安全机制与安全责任。
依托于上述两个基本原则,本报告从泛安全的信任基础、物理资源基础设施的安全部署能力、内部人员的管理流程、应急响应能力、数据安全保护能力、合规性表现六个方面构建了19个细化指标的云安全能力指标体系,对云服务商的安全实践进行比较。
本报告通过云服务商安全能力指标体系的构建,帮助企业构建充足的关于云服务商安全能力的研判信息,通过对比云服务商来了解上云需关注的安全环节,即可对上云安全做到心中有数,应对有术。
从而在上云决策中,提升基于安全视角的理性、客观性,优化的最佳决策。
目录互联网实验室观点 (3)目录 (7)研究方法:基于公开信息的比较研究 (10)一、构建云安全能力指标体系 (12)1.1拨开企业云安全感知迷雾 (12)1.2提出企业进行云安全审视的基本原则 (13)1.3云安全能力指标体系构建 (14)二、泛安全的信任指标设计与对比 (17)2.1市场表现补偿控制权丧失感,企业考察云服务商“家底” (17)2.2计算能力不可见,国内通用比较标准有待明确 (19)2.3安全理念折射出安全能力,承诺与实践匹配方式尚不成熟 (19)2.4规制第三方合作安全伙伴的能力,提升多选择服务的安全性 (20)2.5对比结果 (20)三、物理基础设施部署指标设计与对比 (28)3.1企业云之旅从物理安全开始 (28)3.2物理基础设施部署指标体系设计 (28)3.3对比结果 (31)四、内部人员管理指标设计与对比 (33)4.1完善的人员管理流程能够将恶意人员风险最小化 (33)4.2内部人员管理指标体系设计 (33)4.3对比结果 (35)五、事故响应指标设计与对比 (37)5.1云服务商好比房地产的物业 (37)5.2明确云给事故响应带来的特殊性,有助于业务更快的恢复 (37)5.3事故响应指标体系设计 (37)5.3对比结果 (40)六、数据安全保护指标设计与对比 (42)6.1所有权和控制权转移,促使客户依赖高标准安全控制手段 (42)6.2对数据安全保障技术和能力的评估 (43)6.3对比结果 (47)七、合规性表现指标设计与对比 (49)7.1云服务商的合规性认证是给客户企业安全保障的定心丸 (49)7.2合规性指标主要分为安全认证、透明审计和法律遵从 (49)7.3国内外云服务行业合规性认证存在差异,国外优势明显 (54)7.4对比结果 (56)结论 (66)后记:共筑云安全更佳状态需要各方参与 (70)常见问题 (72)云服务商信息来源说明 (74)致谢 (76)研究方法:基于公开信息的比较研究对信息的有效理解能够提升决策的自信。
本次研究同样面临对信息的理解困境,研究设计是基于破解面临的多源、不一致和不对称等困境而形成的。
我们认为本次项目首要目标是构建中国企业对云安全的评价认知和指标体系,在这问题下,我们需要解决——什么是安全?以及哪些信息能够支撑安全感受?并最终通过可以获得的信息建立一个解答模式。
首先,利用权威报告建立对云安全的基础认知和分析框架。
在研究中我们参考了权威机构发布的对云计算企业评估报告,已经针对云安全领域的比较体系。
其中较为重要的包括:美国高技术市场研究公司Forrester云安全指标体系,技术咨询研究机构Gartner对云安全市场的分析报告,欧洲网络与信息安全局(ENISA)关于云计算的研究报告中对于云风险情景的描述等。
基于以上资料,我们初步建立了对云安全的基本概念和评价体系,以便于在后续研究中形成一个具有较强一致性的比较逻辑和对话平台。
其次,通过调查中国企业发现本土需求与经典理论之间的差异。
我们希望通过对中国企业IT部门高管、技术负责人调查,了解中国企业对上云决策理解,对云安全的态度。
在获得这些信息之外,我们还了解到部分企业存在与常见云理论不同的感性认知,在此基础上我们对初期比较框架做了调整和细化。
本次调查为了保证调查展现出的观点的多样性,样本企业即包括互联网金融、移动应用开发、IT系统开发等IT产业,也包括城市基础设施建设运营、加工设备制造、电子仪器制造等传统行业。
在上云情况上,这些企业或已经上云,或明确表现出上云的意愿,访问对象主要为企业CTO、CIO或技术总监等相关职位。
再次,通过访问中国云安全专家修正和提升比较框架。
就资料和调查中存在的问题,我们对国内高校、研究机构中信息化、信息安全、云计算等领域专家,以及其他在该领域长期从事一线工作的专业人士该进行了专题访问。
专家基于所在专业领域,对中国云计算发展状况及特殊性,企业上云安全的整体性困惑和解决方法等问题做出了解答。
最后,使用公开信息进行以安全为核心的比较实践。
针对最终形成的指标体系,研究团队通过公开渠道获取具有统一标准的信息进行比较操作。
这些信息渠道包括:1.云服务商企业自行发布的白皮书;2.云服务商企业自身对外公开的业务动态新闻;3.权威机构发布的研究报告;4.对部分不明确信息,我们通过企业公开的客服电话进行了询问确认。
使用公开信息源主要考虑到本次研究行为建立一个能够为上云企业提供参考的比较方法,因此在整体研究方法上都充分考虑了信息的可获得性。
一、构建云安全能力指标体系上云路途的一个阻碍是企业对云安全的担忧,与企业的近距离地交流访谈中,我们发现这种担忧因人而异,对企业迈入云端的影响程度也不一样,存在不同的安全感知状态。
有的企业认为:云有优点,但也有不确定风险,谨慎上云;有的企业认为云很好,云即代表安全;也有企业认为云的安全没有切实可行的效果衡量。
无论是哪种状态,抛开企业的行业类型、组织规模、技术实力这些客观事实,企业对云安全的感知状态可以按照描述为以下几点:企业对云安全有偏差的认知;不知何解的疑问;由于对云的认识还不够全面存在没有想到的安全问题等。
由于这种因人而异的安全感知的差异性,我们将本报告首先站在企业的角度来剖析几种企业对云安全的感知状态,再构建起云安全能力体系,对比主要云服务提供商(云服务商)安全实践现状的基础上,将各家云服务商的关键安全能力解释转化为企业、公众可理解的信息,以期帮助企业构建相对系统、全面的云安全知识体系。
1.1 拨开企业云安全感知迷雾企业对云的安全感知状态大致可以区分为两类,存在安全感知盲区和由于控制权的迁移引发的不安全感,无论是哪一种状态,都会成为企业做出客观、理性的云决策的阻碍因素。
1.1.1 安全感知盲区会降低在决策时对云服务商安全能力的审视敏感性第一种情况,由于云自身的资源池化等特征会释放出相对于传统IT部署活动的新风险,例如云规模化的资源集中在产生效益的同时,也会因目标更大而遭受黑客的攻击,从而给企业自身带来风险。
企业是否具备了客观审视云的风险特征的足够信息支撑?第二种情况,由于没有绝对的安全状态,安全风险不能百分百杜绝,企业在部署安全防护时,还需要同时考虑成本这一现实问题。
最佳安全保障体系需要既能够在企业成本考量的基础上最大程度防御安全风险,又能够在一旦安全事故发生后如何最大化的降低损失。