2016年1月28日,互聯(lián)網(wǎng)實驗室獨家發(fā)布了《云深不知處——2016企業(yè)上云安全策略指南》,這是國內(nèi)首次由第三方研究機構(gòu)針對企業(yè)上云安全發(fā)布的策略指南。旨在幫助企業(yè)構(gòu)建云安全知識體系,提升基于安全視角的決策理性,對上云安全做到心中有數(shù),應(yīng)對有術(shù)。
價值與安全是企業(yè)做出上云決策的兩個支點。面對上云決策,企業(yè)需要在價值需求與安全需求之間形成最適合于企業(yè)自身發(fā)展戰(zhàn)略、業(yè)務(wù)特性的決策天平。
在對價值支點的判斷上,云是大勢所趨已經(jīng)深入人心。企業(yè)可以通過對內(nèi)部IT成本的核算和業(yè)務(wù)發(fā)展情況等內(nèi)部信息對上云的價值做出有效評估。企業(yè)如果能將云的諸多優(yōu)點引入生產(chǎn)、運營、服務(wù)環(huán)節(jié)之中,就能夠在創(chuàng)造新的商業(yè)模式、持續(xù)創(chuàng)新、降低成本等方面釋放巨大的價值潛能。例如:
◎ 有了云,用戶不再需要購買、建立、安裝并運行昂貴的計算機硬件,而通過無處不在的可用有線或無線網(wǎng)絡(luò),就可簡便的獲取計算機資源,正如獲取其他公共資源一樣;
◎ 云還具備彈性,用戶可以快速并且經(jīng)濟的增加或者減少云服務(wù);
◎ 云共享的計算機資源可以提供客觀的經(jīng)濟效益,并且可以減少成本、加快創(chuàng)新;
◎ 云提供的服務(wù)已經(jīng)存在,可以在需要時按需分配,按需擴容;
◎ 用戶可以快速并且經(jīng)濟地計算自身云服務(wù)的吞吐量,并據(jù)此進行相應(yīng)調(diào)整。
而在對安全支點的判斷上,無法排解的安全憂慮導(dǎo)致企業(yè)上云遲疑甚至可能引發(fā)決策反復(fù)。企業(yè)在將轉(zhuǎn)移IT解決方案到
云計算的同時,由于企業(yè)客戶基礎(chǔ)設(shè)施和應(yīng)用程序的外部化使得企業(yè)的完全控制權(quán)發(fā)生變化,安全保障的不透明性和不可控性使得上云企業(yè)對云服務(wù)有效存儲和安全共享等方面存在一定的安全風(fēng)險顧慮。在調(diào)研中我們發(fā)現(xiàn),企業(yè)對于上云后的數(shù)據(jù)安全的擔(dān)憂基本上覆蓋了云端數(shù)據(jù)安全的整個生命鏈條:例如數(shù)據(jù)傳輸和存儲是否安全;數(shù)據(jù)訪問控制權(quán)限是否可控;數(shù)據(jù)是否會被入侵、被攻擊;漏洞或系統(tǒng)不穩(wěn)定是否造成企業(yè)用戶的業(yè)務(wù)中斷、數(shù)據(jù)被盜、被篡改?這些現(xiàn)實情況使得中國企業(yè)上云之路呈現(xiàn)出漫長曲折的形態(tài)。
以基于價值與安全感知的企業(yè)云決策象限來謀求破題之道。在項目初期,我們對有上云需求的企業(yè)進行初步接觸時發(fā)現(xiàn),企業(yè)或者無限期地延緩上云行動;或者在上云后出現(xiàn)決策反復(fù);或者認為云有優(yōu)點,但也有不確定風(fēng)險,需要謹慎上云;甚至或者即使經(jīng)在用云,仍對安全抱有較大不信任。因此,我們在報告當(dāng)中以企業(yè)對云價值的釋放是否清晰,企業(yè)對安全的感知、需求是否明確為維度描繪了如下企業(yè)云決策象限。
安全需求的模糊性會加重決策天平的不穩(wěn)定性,企業(yè)所面臨的難以權(quán)衡取舍的決策困境需要破解。面對安全問題,企業(yè)要基于對外部信息結(jié)合自身IT能力和需求進行判斷,這無疑是難度更大的,尤其是難以形成量化結(jié)論。難以言喻的IT功能外部產(chǎn)生的失控感又大大加重了上云決策中安全需求的主觀法碼。
我們將基于區(qū)分企業(yè)對云的安全感知狀態(tài)來撥開企業(yè)云安全感知迷霧。企業(yè)對云的安全感知狀態(tài)大致可以區(qū)分為兩類,無論是哪一種狀態(tài),都會成為企業(yè)做出客觀、理性的云決策的阻礙因素。
1.企業(yè)存在安全認知盲區(qū)會降低在做出決策時對云服務(wù)商安全能力的審視敏感性。
企業(yè)是否具備了客觀審視云的風(fēng)險特征的足夠信息支撐?企業(yè)是否有充足的云安全認知能夠在成本考量的基礎(chǔ)上最大程度防御安全風(fēng)險,又能夠在一旦安全事故發(fā)生后的如何最大化的降低損失?如果企業(yè)知曉的安全信息不夠全面,就會降低對云服務(wù)商安全能力的審視敏感性,影響業(yè)務(wù)在云中的實際運行安全。
2.控制權(quán)遷移引發(fā)的不安全感可能錯估上云時機。
多家研究機構(gòu)的統(tǒng)計調(diào)研數(shù)據(jù)均證實企業(yè)對云服務(wù)安全的擔(dān)憂是全球范圍內(nèi)面臨的上云障礙。如果企業(yè)在帶有不安全感的心理狀態(tài)下來審視云服務(wù)商,有可能因為主觀的不信任而影響了客觀、理性的對上云之路,以及云合作伙伴基于安全視角的審視與決策,就會錯估享受云效益的時機。
云安全問題的破題需要映射到云服務(wù)商的安全實踐表現(xiàn),我們建立云安全能力指標體系協(xié)助企業(yè)做出最佳決策。我們提出企業(yè)進行云安全審視的兩條基本原則,第一,企業(yè)尋找領(lǐng)先的云,思考企業(yè)與云的最佳結(jié)合狀態(tài);第二,企業(yè)清晰地了解云服務(wù)商的安全機制與安全責(zé)任。依托于上述兩個基本原則,本報告從泛安全的信任基礎(chǔ)、物理資源基礎(chǔ)設(shè)施的安全部署能力、內(nèi)部人員的管理流程、應(yīng)急響應(yīng)能力、數(shù)據(jù)安全保護能力、合規(guī)性表現(xiàn)六個方面構(gòu)建了19個細化指標的云安全能力指標體系,對云服務(wù)商的安全實踐進行比較。
本報告通過云服務(wù)商安全能力指標體系的構(gòu)建,幫助企業(yè)構(gòu)建充足的關(guān)于云服務(wù)商安全能力的研判信息,通過對比云服務(wù)商來了解上云需關(guān)注的安全環(huán)節(jié),即可對上云安全做到心中有數(shù),應(yīng)對有術(shù)。從而在上云決策中,提升基于安全視角的理性、客觀性,優(yōu)化的最佳決策。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:2016企業(yè)上云安全策略指南
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839719098.html