2016年1月28日,互聯(lián)網(wǎng)實(shí)驗(yàn)室獨(dú)家發(fā)布了《云深不知處——2016企業(yè)上云安全策略指南》,這是國(guó)內(nèi)首次由第三方研究機(jī)構(gòu)針對(duì)企業(yè)上云安全發(fā)布的策略指南。旨在幫助企業(yè)構(gòu)建云安全知識(shí)體系,提升基于安全視角的決策理性,對(duì)上云安全做到心中有數(shù),應(yīng)對(duì)有術(shù)。
價(jià)值與安全是企業(yè)做出上云決策的兩個(gè)支點(diǎn)。面對(duì)上云決策,企業(yè)需要在價(jià)值需求與安全需求之間形成最適合于企業(yè)自身發(fā)展戰(zhàn)略、業(yè)務(wù)特性的決策天平。
在對(duì)價(jià)值支點(diǎn)的判斷上,云是大勢(shì)所趨已經(jīng)深入人心。企業(yè)可以通過對(duì)內(nèi)部IT成本的核算和業(yè)務(wù)發(fā)展情況等內(nèi)部信息對(duì)上云的價(jià)值做出有效評(píng)估。企業(yè)如果能將云的諸多優(yōu)點(diǎn)引入生產(chǎn)、運(yùn)營(yíng)、服務(wù)環(huán)節(jié)之中,就能夠在創(chuàng)造新的商業(yè)模式、持續(xù)創(chuàng)新、降低成本等方面釋放巨大的價(jià)值潛能。例如:
◎ 有了云,用戶不再需要購(gòu)買、建立、安裝并運(yùn)行昂貴的計(jì)算機(jī)硬件,而通過無(wú)處不在的可用有線或無(wú)線網(wǎng)絡(luò),就可簡(jiǎn)便的獲取計(jì)算機(jī)資源,正如獲取其他公共資源一樣;
◎ 云還具備彈性,用戶可以快速并且經(jīng)濟(jì)的增加或者減少云服務(wù);
◎ 云共享的計(jì)算機(jī)資源可以提供客觀的經(jīng)濟(jì)效益,并且可以減少成本、加快創(chuàng)新;
◎ 云提供的服務(wù)已經(jīng)存在,可以在需要時(shí)按需分配,按需擴(kuò)容;
◎ 用戶可以快速并且經(jīng)濟(jì)地計(jì)算自身云服務(wù)的吞吐量,并據(jù)此進(jìn)行相應(yīng)調(diào)整。
而在對(duì)安全支點(diǎn)的判斷上,無(wú)法排解的安全憂慮導(dǎo)致企業(yè)上云遲疑甚至可能引發(fā)決策反復(fù)。企業(yè)在將轉(zhuǎn)移IT解決方案到云計(jì)算的同時(shí),由于企業(yè)客戶基礎(chǔ)設(shè)施和應(yīng)用程序的外部化使得企業(yè)的完全控制權(quán)發(fā)生變化,安全保障的不透明性和不可控性使得上云企業(yè)對(duì)云服務(wù)有效存儲(chǔ)和安全共享等方面存在一定的安全風(fēng)險(xiǎn)顧慮。在調(diào)研中我們發(fā)現(xiàn),企業(yè)對(duì)于上云后的數(shù)據(jù)安全的擔(dān)憂基本上覆蓋了云端數(shù)據(jù)安全的整個(gè)生命鏈條:例如數(shù)據(jù)傳輸和存儲(chǔ)是否安全;數(shù)據(jù)訪問控制權(quán)限是否可控;數(shù)據(jù)是否會(huì)被入侵、被攻擊;漏洞或系統(tǒng)不穩(wěn)定是否造成企業(yè)用戶的業(yè)務(wù)中斷、數(shù)據(jù)被盜、被篡改?這些現(xiàn)實(shí)情況使得中國(guó)企業(yè)上云之路呈現(xiàn)出漫長(zhǎng)曲折的形態(tài)。
以基于價(jià)值與安全感知的企業(yè)云決策象限來(lái)謀求破題之道。在項(xiàng)目初期,我們對(duì)有上云需求的企業(yè)進(jìn)行初步接觸時(shí)發(fā)現(xiàn),企業(yè)或者無(wú)限期地延緩上云行動(dòng);或者在上云后出現(xiàn)決策反復(fù);或者認(rèn)為云有優(yōu)點(diǎn),但也有不確定風(fēng)險(xiǎn),需要謹(jǐn)慎上云;甚至或者即使經(jīng)在用云,仍對(duì)安全抱有較大不信任。因此,我們?cè)趫?bào)告當(dāng)中以企業(yè)對(duì)云價(jià)值的釋放是否清晰,企業(yè)對(duì)安全的感知、需求是否明確為維度描繪了如下企業(yè)云決策象限。
安全需求的模糊性會(huì)加重決策天平的不穩(wěn)定性,企業(yè)所面臨的難以權(quán)衡取舍的決策困境需要破解。面對(duì)安全問題,企業(yè)要基于對(duì)外部信息結(jié)合自身IT能力和需求進(jìn)行判斷,這無(wú)疑是難度更大的,尤其是難以形成量化結(jié)論。難以言喻的IT功能外部產(chǎn)生的失控感又大大加重了上云決策中安全需求的主觀法碼。
我們將基于區(qū)分企業(yè)對(duì)云的安全感知狀態(tài)來(lái)?yè)荛_企業(yè)云安全感知迷霧。企業(yè)對(duì)云的安全感知狀態(tài)大致可以區(qū)分為兩類,無(wú)論是哪一種狀態(tài),都會(huì)成為企業(yè)做出客觀、理性的云決策的阻礙因素。
1.企業(yè)存在安全認(rèn)知盲區(qū)會(huì)降低在做出決策時(shí)對(duì)云服務(wù)商安全能力的審視敏感性。
企業(yè)是否具備了客觀審視云的風(fēng)險(xiǎn)特征的足夠信息支撐?企業(yè)是否有充足的云安全認(rèn)知能夠在成本考量的基礎(chǔ)上最大程度防御安全風(fēng)險(xiǎn),又能夠在一旦安全事故發(fā)生后的如何最大化的降低損失?如果企業(yè)知曉的安全信息不夠全面,就會(huì)降低對(duì)云服務(wù)商安全能力的審視敏感性,影響業(yè)務(wù)在云中的實(shí)際運(yùn)行安全。
2.控制權(quán)遷移引發(fā)的不安全感可能錯(cuò)估上云時(shí)機(jī)。
多家研究機(jī)構(gòu)的統(tǒng)計(jì)調(diào)研數(shù)據(jù)均證實(shí)企業(yè)對(duì)云服務(wù)安全的擔(dān)憂是全球范圍內(nèi)面臨的上云障礙。如果企業(yè)在帶有不安全感的心理狀態(tài)下來(lái)審視云服務(wù)商,有可能因?yàn)橹饔^的不信任而影響了客觀、理性的對(duì)上云之路,以及云合作伙伴基于安全視角的審視與決策,就會(huì)錯(cuò)估享受云效益的時(shí)機(jī)。
云安全問題的破題需要映射到云服務(wù)商的安全實(shí)踐表現(xiàn),我們建立云安全能力指標(biāo)體系協(xié)助企業(yè)做出最佳決策。我們提出企業(yè)進(jìn)行云安全審視的兩條基本原則,第一,企業(yè)尋找領(lǐng)先的云,思考企業(yè)與云的最佳結(jié)合狀態(tài);第二,企業(yè)清晰地了解云服務(wù)商的安全機(jī)制與安全責(zé)任。依托于上述兩個(gè)基本原則,本報(bào)告從泛安全的信任基礎(chǔ)、物理資源基礎(chǔ)設(shè)施的安全部署能力、內(nèi)部人員的管理流程、應(yīng)急響應(yīng)能力、數(shù)據(jù)安全保護(hù)能力、合規(guī)性表現(xiàn)六個(gè)方面構(gòu)建了19個(gè)細(xì)化指標(biāo)的云安全能力指標(biāo)體系,對(duì)云服務(wù)商的安全實(shí)踐進(jìn)行比較。
本報(bào)告通過云服務(wù)商安全能力指標(biāo)體系的構(gòu)建,幫助企業(yè)構(gòu)建充足的關(guān)于云服務(wù)商安全能力的研判信息,通過對(duì)比云服務(wù)商來(lái)了解上云需關(guān)注的安全環(huán)節(jié),即可對(duì)上云安全做到心中有數(shù),應(yīng)對(duì)有術(shù)。從而在上云決策中,提升基于安全視角的理性、客觀性,優(yōu)化的最佳決策。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://m.lukmueng.com/
本文標(biāo)題:2016企業(yè)上云安全策略指南
本文網(wǎng)址:http://m.lukmueng.com/html/consultation/10839719098.html
相關(guān)文章
