两个专家谈中小企业选择云服务时面临的问题 1是从5个方面看为什么 2是从两个方面需要考虑什么

在中小企业选择 云服务 的问题上，注意不是 云服务器 。我们摘录了两个方面的建议，大家对比看看。在为什么的问题上，中润云服的运营专家从企业IT运营的角度，给出了5个方面的理由；而在如何选择的问题上，绿盟科技的安全专家从企业安全角度，给出了2个方面的考虑。

中小企业为什么要选择云服务

• 1)节约基础设施成本 无需购买新服务器、操作系统、应用程序，你只需要按月支付给云服务商就可以实现提供IT服务的功能。由于服务器需要安装操作系统，而且也需要有相应的应用软件来实现功能运营，因此这笔不小的开支，对于中小企业来说，意义重大——尤其是在完全实现之前，进行服务测试，采用这种云服务模式，更加重要。
• 2)节约部署和管理费用 如果IT员工对新的应用程序不太熟悉的话，那么实施新功能将会是一个长期而又艰巨的过程。云服务商可以提供经验丰富的管理员，为中小企业提供各种应用支持。这也就是为什么基于云端的服务会在众多企业中备受欢迎的原因之一。同样，在监测、设立新账户、应用补丁等方面，云服务商也有众多优势，能够帮助中小企业节约管理和部署成本。
• 3)提高可用性 因为云服务商使用大型现代化绿色数据中心，为多个企业实现基础设施提供共享。其成本会比企业自身搭建基础设施平台要少得多。
• 4)获得更好性能与更多功能 由于云服务商能为许多不同企业提供服务，它们拥有大型、高性能系统平台，能实现比小企业自行搭建平台更高的性能。它们通常拥有最优秀最丰富的软件版本和站点许可，所以用户可以以更低的价格来访问到更多功能。此外，云服务商管理人员丰富的技术经验，懂得如何优化性能。
• 5)提升公司灵活性 云服务商能够轻而易举地快速增加服务器部署或者服务提供，而且既能面向内部合作用户，也能满足外包商、合作伙伴和消费者的需要。这意味着可以提高公司的灵活性，使公司更快速地响应客户需求。

中小企业选择云服务时需要考虑标准化和精细化

作者是金融行业的高级安全顾问，他的建议对于中小企业选择云服务具有一定的参考价值。仅以中国为例 ，目前可以提供云服务的厂家主要有下几大类 （排名不分先后 ）：

• 互联网 公司：百度 、腾讯 、阿里 、京东 …..
• 运营 商：移动 、联通 、电信
• IDC 服务提供商：万国 、中金 、世纪互联 、蓝汛 ……
• 大型 IT 服务提供商：华为 、金山 、中兴 、首信 ……
• 其它……

对于中小企业，由于其公司规模，业务特点等属性，决定了其是第一批向“云转移”用户。那么问题来了，云计算显然没有自建数据中心那么透明，同时云计算发展的这10年，也是安全问题层出不穷的10年，如亚马逊数据中心安全事件、Google的Gmail事件、 微软的Azure安全事件 、阿里云的DDOS攻击等，这些安全问题更给中小企业在选择云服务的同时蒙上了一层阴影。

根据调研数据， 信息安全风险是客户采用云计算所要考虑的首要问题，针对如此多的云计算提供商，中小企业如何从安全角度出发选择适合自己的云计算提供商显得极为重要。在我看来，中小企业在选择云计算同时，安全的考虑可以从两个方面出发，标准化及精细化

标准化（适用于绝大多数用户）

对于绝大多数中小企业，安全技术人员相对较少，面多众多的云计算提供商，如何检查其提供的服务是否安全，就显得尤为困难了，因此选择一个获得相关云计算安全认证的提供商是最直接，有效的方法。

随着国家和行业对云计算或云平台提供商的监管要求越来越严格和标准化，安全已经成为组织或机构在选用或建设云平台的重要考虑问题，涉及到云计算的规划、设计、建设等多个阶段。

目前安全指标可以参考两个认证，一个是国内的可信云服务认证（国内另一个比较有分量的标准是公安部即将发布的云等保，由于目前还在审批阶段，因此不纳入本文），另一个是国际的CSA-Star认证。

可信云服务认证（国内）

可信云服务认证是在工信部通信发展司的指导下，由云计算发展与政策论坛成立的“可信云服务工作组” 组织开展，认证的核心目标是建立云服务商的评估体系，为用户选择安全、可信的云服务商提供支撑，并最终促进我国云计算市场健康、有序发展。值得一提的是，可信云在2016年已经正式被写入ITU-T Y.3501（国际电信联盟云计算框架性标准），成为国际标准。

目前可信云服务认证可以评估十二大类云服务，覆盖当前业界主流服务类型，包括云主机服务、对象存储服务、云数据库服务、云引擎服务、块存储服务、云缓存服务、本地和全局负载均衡服务、云分发服务、在线应用服务、桌面云服务和企业移动化管理服务。

可信云服务认证的具体测评内容包括三大类共16项，分别是：数据管理类（数据存储的持久性、数据可销毁性、数据可迁移性、数据保密性、数据知情权、数据可审查性）、业务质量类（业务功能、业务可用性、业务弹性、故障恢复能力、网络接入性能、服务计量准确性）和权益保障类（服务变更、终止条款、服务赔偿条款、用户约束条款和服务商免责条款）。

目前获得可信云服务认证的用户主要为国内一些知名企业，如国内三大运营商，百度，腾讯，京东，华为，中兴，搜狐等，根据提供服务的不同，获得的认证的类别也不同。

CSA-Star（国际）

CSA-Star是云安全国际联盟（简称CSA）和英国标准协会（简称BSI）联合推出的云安全国际认证。 CSA-Star以ISO/IEC 27001认证为基础，结合云端安全控制矩阵CCM的要求，运用BSI提供的成熟度模型和评估方法，综合评估组织云端安全管理和技术能力，最终给出“不合格-铜牌-银牌-金牌”四个级别的独立第三方外审结论。

CSA-Star测评参考的CCW（云端安全控制矩阵）没有对大类进行分类，但同样包括16项控制域（检查内容），分别是：应用和接口安全（4检查点）、审计保障（3检查点）、业务连续性及管理（12检查点）、变更控制及配置管理（3检查点）、数据安全及信息生命周期管理（8检查点）、数据中心安全（9检查点）、加密和密钥管理（3检查点）、风险管理（11检查点）、人力资源（12检查点）、身份及访问控制（13检查点）、架构及虚拟化安全（12检查点）、操作和移植（5检查点）、移动安全（20检查点）、安全事件管理及问题取证（5检查点）、供应链管理（9检查点）。
目前，通过的CSA-Star认证的组织主要为国内外企业，如阿里巴巴（金牌）、HP（银牌）、 Exponential-e、Pulsant等。

精细化（适合对安全需求明确的用户）

对于一些标准和要求比较高的中小企业用户，在选择云计算的时候，除了关注标准问题，还非常关注各个标准的具体细节。

目前云计算安全最详细的标准当属CSA-Star的CCW（云控制矩阵），目前已经更新到3.0版本，CCW具体条款这里不做介绍，感兴趣的用户可以通过CSA网站直接下载，这里我将CCW的条款概括为三大类核心安全问题，分别是:数据、业务和服务保障。这里面尤为要提的是服务保障，因为绝大多数用户过分关注安全技术问题，而忽略对应的安全服务及职责分工等问题。

以下从服务、数据以及业务三个方面出发，列出我们需要的重点关注的问题，以此为中小企业选择云计算安全的时候提供参考。

• 服务相关重点
  • a)    云平台使用的范围、策略、权利、变更、限制
  • b)    数据如何存储和保护；
  • c)    如何控制云平台提供商访问我的数据；
  • d)    服务终止后数据保留及销毁；
  • e)    事件的响应和报告；
  • f)    是否有其他适用条款
  • g)    对于企业不能接受的条款，需要与云平台提供商协商解决。
• 数据相关重点
  • a)    云平台服务上是否可以访问我的数据
  • b)    数据自行删除后，云平台服务商是否可以保留数据；
  • c)    通过密钥对数据进行加密和管理
  • d)    数据隔离手段及步骤
  • e)    对于服务商层面的数据迁移，是否有解决方案并且易于实现；
  • f)    当终止服务，数据是否可以永久删除。
  • g)    确定数据类型：结构化、非结构化
  • h)    如数据需要共享，需要对共享人，IP等进行控制
  • i)    通过专业安全设备对数据库进行访问
• 业务相关重点
  • a)    云平台服务商提供的服务最好与企业自身业务有切合点。
  • b)    云平台服务商最好没有重大安全事件；
  • c)    云平台服务商技术人员水平及实力
  • d)    对业务中断、数据丢失等情况进行安全评估，并制定相应措施；
  • e)    如果云平台故障，是否有业务保障措施
  • f)    服务终止后的数据转移
  • g)    云平台数据存储及备份策略
  • h)    建立本地数据备份机制

中小企业可以根据自己的规模，人才储备，业务特点等情况从上面所述两个方面选择自己的云计算提供商，当然也可以根据自己对安全的实际需求，制定适合自己的云计算选择策略。