2016年1月28日,互聯網實驗室獨家發(fā)布了《云深不知處——2016企業(yè)上云安全策略指南》,這是國內首次由第三方研究機構針對企業(yè)上云安全發(fā)布的策略指南。旨在幫助企業(yè)構建云安全知識體系,提升基于安全視角的決策理性,對上云安全做到心中有數,應對有術。
價值與安全是企業(yè)做出上云決策的兩個支點。面對上云決策,企業(yè)需要在價值需求與安全需求之間形成最適合于企業(yè)自身發(fā)展戰(zhàn)略、業(yè)務特性的決策天平。
在對價值支點的判斷上,云是大勢所趨已經深入人心。企業(yè)可以通過對內部IT成本的核算和業(yè)務發(fā)展情況等內部信息對上云的價值做出有效評估。企業(yè)如果能將云的諸多優(yōu)點引入生產、運營、服務環(huán)節(jié)之中,就能夠在創(chuàng)造新的商業(yè)模式、持續(xù)創(chuàng)新、降低成本等方面釋放巨大的價值潛能。例如:
◎ 有了云,用戶不再需要購買、建立、安裝并運行昂貴的計算機硬件,而通過無處不在的可用有線或無線網絡,就可簡便的獲取計算機資源,正如獲取其他公共資源一樣;
◎ 云還具備彈性,用戶可以快速并且經濟的增加或者減少云服務;
◎ 云共享的計算機資源可以提供客觀的經濟效益,并且可以減少成本、加快創(chuàng)新;
◎ 云提供的服務已經存在,可以在需要時按需分配,按需擴容;
◎ 用戶可以快速并且經濟地計算自身云服務的吞吐量,并據此進行相應調整。
而在對安全支點的判斷上,無法排解的安全憂慮導致企業(yè)上云遲疑甚至可能引發(fā)決策反復。企業(yè)在將轉移IT解決方案到云計算的同時,由于企業(yè)客戶基礎設施和應用程序的外部化使得企業(yè)的完全控制權發(fā)生變化,安全保障的不透明性和不可控性使得上云企業(yè)對云服務有效存儲和安全共享等方面存在一定的安全風險顧慮。在調研中我們發(fā)現,企業(yè)對于上云后的數據安全的擔憂基本上覆蓋了云端數據安全的整個生命鏈條:例如數據傳輸和存儲是否安全;數據訪問控制權限是否可控;數據是否會被入侵、被攻擊;漏洞或系統(tǒng)不穩(wěn)定是否造成企業(yè)用戶的業(yè)務中斷、數據被盜、被篡改?這些現實情況使得中國企業(yè)上云之路呈現出漫長曲折的形態(tài)。
以基于價值與安全感知的企業(yè)云決策象限來謀求破題之道。在項目初期,我們對有上云需求的企業(yè)進行初步接觸時發(fā)現,企業(yè)或者無限期地延緩上云行動;或者在上云后出現決策反復;或者認為云有優(yōu)點,但也有不確定風險,需要謹慎上云;甚至或者即使經在用云,仍對安全抱有較大不信任。因此,我們在報告當中以企業(yè)對云價值的釋放是否清晰,企業(yè)對安全的感知、需求是否明確為維度描繪了如下企業(yè)云決策象限。
安全需求的模糊性會加重決策天平的不穩(wěn)定性,企業(yè)所面臨的難以權衡取舍的決策困境需要破解。面對安全問題,企業(yè)要基于對外部信息結合自身IT能力和需求進行判斷,這無疑是難度更大的,尤其是難以形成量化結論。難以言喻的IT功能外部產生的失控感又大大加重了上云決策中安全需求的主觀法碼。
我們將基于區(qū)分企業(yè)對云的安全感知狀態(tài)來撥開企業(yè)云安全感知迷霧。企業(yè)對云的安全感知狀態(tài)大致可以區(qū)分為兩類,無論是哪一種狀態(tài),都會成為企業(yè)做出客觀、理性的云決策的阻礙因素。
1.企業(yè)存在安全認知盲區(qū)會降低在做出決策時對云服務商安全能力的審視敏感性。
企業(yè)是否具備了客觀審視云的風險特征的足夠信息支撐?企業(yè)是否有充足的云安全認知能夠在成本考量的基礎上最大程度防御安全風險,又能夠在一旦安全事故發(fā)生后的如何最大化的降低損失?如果企業(yè)知曉的安全信息不夠全面,就會降低對云服務商安全能力的審視敏感性,影響業(yè)務在云中的實際運行安全。
2.控制權遷移引發(fā)的不安全感可能錯估上云時機。
多家研究機構的統(tǒng)計調研數據均證實企業(yè)對云服務安全的擔憂是全球范圍內面臨的上云障礙。如果企業(yè)在帶有不安全感的心理狀態(tài)下來審視云服務商,有可能因為主觀的不信任而影響了客觀、理性的對上云之路,以及云合作伙伴基于安全視角的審視與決策,就會錯估享受云效益的時機。
云安全問題的破題需要映射到云服務商的安全實踐表現,我們建立云安全能力指標體系協助企業(yè)做出最佳決策。我們提出企業(yè)進行云安全審視的兩條基本原則,第一,企業(yè)尋找領先的云,思考企業(yè)與云的最佳結合狀態(tài);第二,企業(yè)清晰地了解云服務商的安全機制與安全責任。依托于上述兩個基本原則,本報告從泛安全的信任基礎、物理資源基礎設施的安全部署能力、內部人員的管理流程、應急響應能力、數據安全保護能力、合規(guī)性表現六個方面構建了19個細化指標的云安全能力指標體系,對云服務商的安全實踐進行比較。
本報告通過云服務商安全能力指標體系的構建,幫助企業(yè)構建充足的關于云服務商安全能力的研判信息,通過對比云服務商來了解上云需關注的安全環(huán)節(jié),即可對上云安全做到心中有數,應對有術。從而在上云決策中,提升基于安全視角的理性、客觀性,優(yōu)化的最佳決策。
核心關注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理,全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://m.sdyuan.com/
本文標題:2016企業(yè)上云安全策略指南
相關文章
