1月28日，由互联网实验室主办、《中国信息安全》杂志社、美国信息产业机构(USITO)、北京邮电大学互联网治理与法律研究中心协办的云计算与数据跨境流动研讨会在京召开。互联网实验室在会议上独家发布了《云深不知处——2016企业上云安全策略指南》，这是国内首次由第三方研究机构针对企业上云安全发布的策略指南。

云是大势所趋已经深入人心，但企业做出上云的决策依然是个艰难的议题。但是无论决策如何艰难，企业终将面对抉择：上还是不上?现在上还是以后上?全部上还是部分上?如何动态部署?如何整体布局?为破解企业的上云决策迷雾，互联网实验室发布这一基于云服务商安全能力评估指标体系的《云深不知处 ——2016企业上云安全策略指南》，旨在帮助企业构建云安全知识体系，提升基于安全视角的决策理性，对上云安全做到心中有数，应对有术。

报告提出，在对价值支点的判断上，企业对云有诸多好处已经深入人心。企业如果能将云的诸多优点引入生产、运营、服务环节之中，就能够在创造新的商业模式、持续创新、降低成本等方面释放巨大的价值潜能。但是，无法排解的安全忧虑导致企业上云迟疑甚至可能引发决策反复。如果企业存在安全认知盲区，就会降低在做出决策时对云服务商安全能力的审视敏感性。上云后控制权迁移引发的不安全感甚至会导致企业错估上云时机。

报告重点聚焦安全支点的破局，从泛安全的信任基础、物理基础设施的安全部署能力、内部人员管理、事故响应、数据安全保护、合规性表现六个方面构建了云服务商安全能力指标体系，选取亚马逊AWS、微软Azure、阿里云、腾讯云和天翼云五家云服务商，基于各家安全实践的公开信息渠道进行了比较，旨在通过此种方式将云服务商的安全实践转化为云用户的云安全认知结构，使企业用户在建立起云安全认知体系的基础之上考量自身业务如何与云服务完美嫁接。

通过比较总结，互联网实验室发现，五家云服务商的云安全实践表现各具特色。

在市场表现上，亚马逊AWS在全球范围内具有云计算行业领导者优势，而在国内阿里云则依靠本土化需求的差异性获得相对优势。

在企业与云的关系状态上，亚马逊AWS和微软Azure采取的明确安全责任共担的模式;腾讯云和天翼云没有明确宣称实现某种模式，但从合同、承诺书等公开文件来看，在实际项目中也划分了责任边界;阿里云近期将安全托管设置为付费可选服务，开始趋向于划分责任。

在数据中心部署上，亚马逊AWS的数据中心部署模式最具有代表性，亚马逊AWS目前在全球范围有11个区域(Region)，每个区域最少分布两个可用区(AZ)，每个区域有众多的边缘站点分布的结构来为用户服务。天翼云得益于运营商优势，在国内有广泛的数据中心分布。

在内部人员管理机制上，与其他云服务商通过权限控制确保人员安全不同，亚马逊AWS强调以自动化方式削减能够访问客户信息的内部员工数量，是与其他云服务商通过权限控制确保人员安全机制相比最大的特色。

在事故响应上，五家云服务商均提供国际水准的服务等级协议，阿里云和腾讯云承诺的补偿最高。亚马逊和微软提供日志服务。阿里云、腾讯云的日志服务也即将上市。

在数据安全机制上，亚马逊AWS和微软Azure所提供的认证、访问授权控制功能比较完善，除了支持多因素验证、用户自定义访问权限实现精细化访问控制之外，还可集成企业活动目录。国内阿里云在完善这方面的功能，而腾讯云和天翼云目前缺乏对用户和管理员的访问精细化管理。

在合规性表现上，ISO 27018是首个国际化云端隐私数据保护标准，旨在保证客户的数据隐私和安全。亚马逊AWS与微软Azure均获得了ISO27018认证，亚马逊AWS包含中国区。

报告认为，对于云服务商来说，需要引导客户提高安全认知与安全意识，公开分享本土云服务的最佳实践。对企业用户来说，企业的云之旅很难脱离自身业务单独去谈安全。企业需要在自我加强关于数据全生命周期等的管理能力，明晰自身需要做出的安全防护职能。同时，企业也需要不断地触及云，将云视为一种粘合剂，将对云的IT投资视为在新的领域创造新的生产力的理念纳入到上云决策之中，压缩云从概念到落地转化之间的时间差。

在政策层面上，云安全标准制度、物理设施标准、安全法律责任、安全运维管理等方面的标准建设比较滞后，政府层面应该大力加快完善。

互联网实验室也呼吁共筑云安全更佳状态需要各方参与。安全必然是一个持久问题，需要云服务商与双方增强沟通，划清职责，需要制度的参与共同保障安全的云环境。