基于信息安全選擇企業(yè)級(jí)云服務(wù)商研究—以SaaS為例

鐘世敏，李 堯，高智偉，程廣明

（廣州賽寶認(rèn)證中心服務(wù)有限公司，廣東 廣州 510610）

基于信息安全選擇企業(yè)級(jí)云服務(wù)商研究—以SaaS為例

鐘世敏，李 堯，高智偉，程廣明

（廣州賽寶認(rèn)證中心服務(wù)有限公司，廣東 廣州 510610）

文章著重研究了企業(yè)在選擇SaaS服務(wù)時(shí)如何評(píng)估服務(wù)提供商的安全管理能力，旨在為企業(yè)選擇各種SaaS服務(wù)時(shí)提供參考和指引。

云服務(wù)；SaaS；安全評(píng)估；信息安全

隨著云計(jì)算關(guān)鍵技術(shù)的不斷突破，中國(guó)企業(yè)級(jí)軟件服務(wù)化（Software as a Service，SaaS）服務(wù)市場(chǎng)百花齊放，企業(yè)對(duì)SaaS服務(wù)的認(rèn)可度進(jìn)入快速上升的軌道，應(yīng)用規(guī)模迅速擴(kuò)大。然而，由于我國(guó)云計(jì)算標(biāo)準(zhǔn)體系尚不完備，保護(hù)個(gè)人隱私數(shù)據(jù)的法律法規(guī)、市場(chǎng)監(jiān)管方式有待完善，各公司的SaaS產(chǎn)品的安全性參差不齊，部分SaaS產(chǎn)品存在較大的安全隱患。據(jù)易觀智庫(kù)2014年度的調(diào)查，在影響用戶選擇企業(yè)級(jí)SaaS服務(wù)的因素當(dāng)中，產(chǎn)品的安全性和可靠性排名第二，比例高達(dá)87.2%[1]。

為了消除企業(yè)對(duì)SaaS云服務(wù)存在的安全風(fēng)險(xiǎn)顧慮，本文著重研究評(píng)估SaaS云服務(wù)及提供商的安全管理能力的第二方評(píng)估方法，旨在為企業(yè)選擇SaaS服務(wù)時(shí)提供參考和指引。

1 用戶主要關(guān)注的SaaS服務(wù)安全問(wèn)題

用戶關(guān)注的SaaS服務(wù)安全問(wèn)題主要可以分為3類。首先是數(shù)據(jù)泄露或丟失問(wèn)題。信息是企業(yè)的核心資產(chǎn)，如果發(fā)生數(shù)據(jù)泄露，公司可能遭受巨大損失、巨額罰款，還可能面臨民事訴訟。因此，SaaS軟件中的數(shù)據(jù)會(huì)不會(huì)丟失、被竊，會(huì)不會(huì)發(fā)生泄露是企業(yè)主要關(guān)注的問(wèn)題之一。其次是云服務(wù)中斷問(wèn)題。企業(yè)將關(guān)鍵工作負(fù)載遷移到云中，云服務(wù)僅僅幾分鐘的宕機(jī)都可能會(huì)極大地?fù)p害企業(yè)與客戶的關(guān)系，而停電、錯(cuò)誤軟件更新、服務(wù)器過(guò)載、數(shù)據(jù)庫(kù)錯(cuò)誤等都有可能導(dǎo)致云服務(wù)中斷。最后是云服務(wù)可持續(xù)性問(wèn)題。企業(yè)投入了大量的資源去學(xué)習(xí)SaaS軟件、開(kāi)發(fā)接口以實(shí)現(xiàn)系統(tǒng)間的集成，一旦云服務(wù)商停止對(duì)外提供服務(wù)將導(dǎo)致之前的系統(tǒng)集成投入歸零。

2 從信息安全的視角選擇SaaS服務(wù)

企業(yè)在選用SaaS服務(wù)時(shí)應(yīng)當(dāng)遵循最基本的底線—職責(zé)可以轉(zhuǎn)移，但責(zé)任不可轉(zhuǎn)移。在簽署SaaS服務(wù)協(xié)議前應(yīng)進(jìn)行盡職調(diào)查，可以由IT部門對(duì)SaaS服務(wù)及提供商的安全管理能力進(jìn)行評(píng)估。進(jìn)行評(píng)估時(shí)，應(yīng)以風(fēng)險(xiǎn)為導(dǎo)向，重點(diǎn)關(guān)注數(shù)據(jù)安全、應(yīng)用安全，確保“數(shù)據(jù)不丟、應(yīng)用不停、持續(xù)服務(wù)”。其中，“數(shù)據(jù)不丟”主要評(píng)估SaaS服務(wù)的租戶身份識(shí)別和訪問(wèn)管理、數(shù)據(jù)加密管理、日志及審計(jì)管理；“應(yīng)用不?！敝饕u(píng)估云服務(wù)數(shù)據(jù)中心安全、變更和配置管理、安全事件管理及供應(yīng)鏈管理；“持續(xù)服務(wù)”主要評(píng)估業(yè)務(wù)連續(xù)性管理、公司的穩(wěn)定性及增長(zhǎng)性、可移植性和互操作性。最后，很重要的一點(diǎn)，將對(duì)SaaS服務(wù)商的服務(wù)水平要求、安全管控要求以及責(zé)任等落實(shí)到合同中。

具體來(lái)說(shuō)，企業(yè)對(duì)SaaS服務(wù)及提供商的安全管理能力進(jìn)行評(píng)估時(shí)，可參照以下安全域檢查清單進(jìn)行評(píng)估[2]。

（1）風(fēng)險(xiǎn)管理。每種環(huán)境都具有某種程度的脆弱性，都面臨一定的威脅，關(guān)鍵在于識(shí)別這些威脅，評(píng)估它們實(shí)際發(fā)生的可能性以及可能造成的破壞，并采取適當(dāng)?shù)拇胧h(huán)境中的風(fēng)險(xiǎn)降低到可接受范圍。企業(yè)可以通過(guò)查閱服務(wù)商的風(fēng)險(xiǎn)管理程序和風(fēng)險(xiǎn)評(píng)估報(bào)告，判斷云服務(wù)商的風(fēng)險(xiǎn)管理能力，例如對(duì)云服務(wù)風(fēng)險(xiǎn)和殘余風(fēng)險(xiǎn)的可接受級(jí)別是否已定義，如何識(shí)別、分析威脅和脆弱性對(duì)資產(chǎn)的潛在影響，影響分析標(biāo)準(zhǔn)是否可測(cè)量、可重復(fù)執(zhí)行，是否定期對(duì)SaaS服務(wù)運(yùn)行的硬件和軟件系統(tǒng)進(jìn)行安全性檢測(cè)等。

（2）身份識(shí)別和訪問(wèn)管理。身份識(shí)別和訪問(wèn)控制作為信息安全管理過(guò)程中的關(guān)鍵環(huán)節(jié)，在云計(jì)算環(huán)境下，面臨著惡意的內(nèi)部人員、不安全的應(yīng)用程序接口等更復(fù)雜的風(fēng)險(xiǎn)。企業(yè)可以通過(guò)檢查身份認(rèn)證及訪問(wèn)控制程序，判斷云服務(wù)商的身份識(shí)別和訪問(wèn)控制管理水平。例如在SaaS系統(tǒng)創(chuàng)建租戶初始密碼時(shí)是否隨機(jī)生成租戶默認(rèn)密碼，租戶首次登陸系統(tǒng)時(shí)是否強(qiáng)制要求修改默認(rèn)密碼，密碼是否有復(fù)雜度要求，能否支持雙因子驗(yàn)證租戶身份，能否檢測(cè)租戶異常登陸并通知等。

（3）數(shù)據(jù)加密管理。數(shù)據(jù)是企業(yè)的重要資產(chǎn)，云平臺(tái)中的數(shù)據(jù)需要避免出現(xiàn)數(shù)據(jù)泄露、丟失、被竊等問(wèn)題。通過(guò)加密來(lái)保證數(shù)據(jù)的機(jī)密性是云平臺(tái)中數(shù)據(jù)保護(hù)的一項(xiàng)最佳實(shí)踐，在某些情況下也是某些國(guó)家和地區(qū)的法律法規(guī)所強(qiáng)制要求的。企業(yè)可以通過(guò)檢查密鑰管理策略及加密管理程序，判斷云服務(wù)商的數(shù)據(jù)保護(hù)水平，例如SaaS系統(tǒng)所使用的密鑰能否進(jìn)行生命周期統(tǒng)一管理，通過(guò)瀏覽器訪問(wèn)SaaS系統(tǒng)時(shí)能否支持安全傳輸協(xié)議，SaaS系統(tǒng)能否對(duì)租戶數(shù)據(jù)加密，是否使用公開(kāi)的標(biāo)準(zhǔn)加密算法等。

（4）日志及審計(jì)管理。審計(jì)工具會(huì)記錄用戶的登錄和退出時(shí)間、用戶角色、用戶行為等信息。通過(guò)全面的系統(tǒng)日志，能及時(shí)發(fā)現(xiàn)各種安全威脅、異常行為事件，提供事件追責(zé)依據(jù)。企業(yè)可以通過(guò)檢查安全審計(jì)管理策略，判斷云服務(wù)商的安全審計(jì)水平，例如SaaS系統(tǒng)是否支持系統(tǒng)管理員、安全管理員、安全審計(jì)員三元分立，且系統(tǒng)中沒(méi)有同時(shí)擁有3種權(quán)限的超級(jí)管理員，系統(tǒng)日志是否包括系統(tǒng)運(yùn)行日志、系統(tǒng)管理員操作日志、租戶登陸和使用云資源日志，如何確保日志的非授權(quán)刪除、修改，能否支持實(shí)時(shí)監(jiān)控收集到的各類日志等。

（5）數(shù)據(jù)中心安全。數(shù)據(jù)中心是組織信息系統(tǒng)的核心，通過(guò)網(wǎng)絡(luò)系統(tǒng)向服務(wù)對(duì)象提供各種信息服務(wù)。與傳統(tǒng)的數(shù)據(jù)中心相比，在云計(jì)算時(shí)代的數(shù)據(jù)中心的對(duì)安全的要求也在不斷提高，包括高性能、彈性擴(kuò)展、可靠性保障、虛擬化和可視化、立體安全防護(hù)等要求。企業(yè)可以通過(guò)檢查數(shù)據(jù)中心管理策略，判斷云服務(wù)商的數(shù)據(jù)中心管理水平，例如是否24小時(shí)持續(xù)看管，有沒(méi)有部署安防監(jiān)控系統(tǒng)、門禁系統(tǒng)，是否記錄訪問(wèn)者的進(jìn)入和離開(kāi)日期、時(shí)間、進(jìn)入理由，計(jì)算、存儲(chǔ)、內(nèi)存等資源池有多大，是否簽署特定的服務(wù)水平協(xié)議（Service Level Agreement，SLA）等。

（6）變更和配置管理。云計(jì)算環(huán)境下計(jì)算資源被不同的組織共享，在帶來(lái)便利的同時(shí)也增加資源分配的復(fù)雜度，如果未合理有序地處置變更請(qǐng)求，將對(duì)組織及云服務(wù)用戶造成重大影響。企業(yè)可以通過(guò)檢查變更管理程序，判斷云服務(wù)商的變更配置管理水平，例如對(duì)現(xiàn)有系統(tǒng)進(jìn)行升級(jí)時(shí)，是否已進(jìn)行變更影響分析，質(zhì)量測(cè)試是否包括的功能測(cè)試、兼容性測(cè)試及性能測(cè)試，新版本的發(fā)布是否采用灰度發(fā)布以實(shí)現(xiàn)平滑過(guò)渡等。

（7）安全事件管理。云計(jì)算按需自服務(wù)、資源池化、多租戶等特性將使信息安全事件管理活動(dòng)更具有直接的挑戰(zhàn)。企業(yè)可以通過(guò)檢查信息安全事件管理程序，判斷云服務(wù)商的信息安全事件管理水平，例如云服務(wù)商是否建立了事故響應(yīng)團(tuán)隊(duì)，能否提供事件響應(yīng)的歷史記錄并協(xié)助查驗(yàn)，能否提供安全事件響應(yīng)計(jì)劃的測(cè)試記錄等。

（8）供應(yīng)商管理。隨著云計(jì)算這種服務(wù)模型的應(yīng)用，IT供應(yīng)鏈已逐步從產(chǎn)品供應(yīng)鏈向服務(wù)化供應(yīng)鏈轉(zhuǎn)變，產(chǎn)品服務(wù)化供應(yīng)鏈管理的核心和關(guān)鍵問(wèn)題是能力管理。企業(yè)可以通過(guò)檢查供應(yīng)商評(píng)估管理程序，判斷云服務(wù)商的供應(yīng)鏈管理水平，例如能否提供與重要供應(yīng)商之間的供應(yīng)鏈協(xié)議，與重要供應(yīng)商之間的供應(yīng)鏈協(xié)議中是否涉及用戶數(shù)據(jù)保密內(nèi)容及合作到期后用戶數(shù)據(jù)處理方式，是否有對(duì)與上下游供應(yīng)鏈之間的SLA進(jìn)行持續(xù)的評(píng)審等。

（9）業(yè)務(wù)連續(xù)性管理。業(yè)務(wù)連續(xù)性目的是防止業(yè)務(wù)活動(dòng)中斷，保護(hù)關(guān)鍵業(yè)務(wù)過(guò)程免受信息系統(tǒng)重大失誤或?yàn)?zāi)難的影響，并確保它們的及時(shí)恢復(fù)。企業(yè)可以通過(guò)檢查業(yè)務(wù)連續(xù)性計(jì)劃來(lái)判斷云服務(wù)商的業(yè)務(wù)連續(xù)性管理水平，例如查看業(yè)務(wù)影響分析表，企業(yè)的關(guān)鍵業(yè)務(wù)過(guò)程和支持性業(yè)務(wù)過(guò)程識(shí)別是否清晰，查看業(yè)務(wù)連續(xù)性測(cè)試報(bào)告，有沒(méi)有對(duì)測(cè)試的結(jié)果進(jìn)行分析和評(píng)估，查看數(shù)據(jù)備份記錄及數(shù)據(jù)備份恢復(fù)測(cè)試記錄等。

（10）公司穩(wěn)定性及增長(zhǎng)性評(píng)估。這幾年，經(jīng)常有企業(yè)級(jí)SaaS服務(wù)商倒閉或被收購(gòu)，公司一旦倒閉停止運(yùn)營(yíng)，用戶應(yīng)用及數(shù)據(jù)只能遷移或者丟失。企業(yè)可以通過(guò)調(diào)查云服務(wù)商的客戶流失率、盈利性以及財(cái)務(wù)報(bào)告等資料判斷云服務(wù)商的生存能力。

（11）可移植性和互操作性。如果存在可移植性與互操作性問(wèn)題，租戶遷移到SaaS環(huán)境后，數(shù)據(jù)被鎖定在云平臺(tái)。如果問(wèn)題得到解決，將增強(qiáng)用戶使用云服務(wù)的信心，且可方便用戶進(jìn)行遷移，因而可移植性與互操作性安全非常重要。企業(yè)可以通過(guò)檢查云平臺(tái)技術(shù)來(lái)判斷云服務(wù)商的可移植性和互操作性水平，例如云服務(wù)商的應(yīng)用程序編程接口是否采用公開(kāi)的行業(yè)標(biāo)準(zhǔn)或國(guó)際標(biāo)準(zhǔn)，非結(jié)構(gòu)化數(shù)據(jù)是否以行業(yè)標(biāo)準(zhǔn)向用戶提供等。

（12）服務(wù)協(xié)議內(nèi)容。由于SaaS服務(wù)商提供了設(shè)施、IT系統(tǒng)及應(yīng)用系統(tǒng)，SaaS服務(wù)商不僅負(fù)責(zé)物理和環(huán)境安全控制，還應(yīng)解決基礎(chǔ)設(shè)施、應(yīng)用和數(shù)據(jù)相關(guān)的安全控制，租戶應(yīng)該在服務(wù)合同中將服務(wù)等級(jí)、隱私保護(hù)、合規(guī)性、安全控制等內(nèi)容進(jìn)行約定，以確保安全需求在合同層面上是可強(qiáng)制執(zhí)行的。

（13）第三方安全評(píng)估認(rèn)證。評(píng)估SaaS服務(wù)信息安全是一項(xiàng)復(fù)雜綜合的工作，企業(yè)往往不一定能夠執(zhí)行到所有方面的檢查，此時(shí)采信專業(yè)的第三方安全評(píng)估認(rèn)證是一個(gè)最佳的方式。企業(yè)可以選擇通過(guò)建立了完整的信息安全管理體系的云服務(wù)商，尤其是通過(guò)了權(quán)威的云安全認(rèn)證的服務(wù)商，如C-STAR、可信云[3]等第三方安全認(rèn)證。

3 結(jié)語(yǔ)

信息安全是影響用戶選擇SaaS服務(wù)的重要因素，本文向企業(yè)提供了評(píng)估SaaS服務(wù)及提供商的安全管理能力的方法，為企業(yè)評(píng)估SaaS服務(wù)安全提供了參考依據(jù)，而當(dāng)企業(yè)不具備完全的評(píng)估能力時(shí)，建議企業(yè)可直接采信主流的第三方云安全評(píng)估認(rèn)證，尤其是通過(guò)了諸如C-STAR、可信云等權(quán)威評(píng)估認(rèn)證的云安全服務(wù)商。

[1]易觀國(guó)際.中國(guó)企業(yè)級(jí)SaaS市場(chǎng)年度綜合報(bào)告[R].中國(guó)連鎖，2014（5）：82-83.

[2]趙國(guó)祥，劉小茵，李堯，等.云計(jì)算信息安全管理—CSA C-STAR實(shí)施指南[M].北京：電子工業(yè)出版社，2015.

[3]栗蔚.可信云服務(wù)安全認(rèn)證體系[J].電信網(wǎng)技術(shù)，2014（4）：5-7.

Research on selecting enterprise cloud service providers based on security of information: taking SaaS as an example

Zhong Shimin, Li Yao, Gao Zhiwei, Cheng Guangming
（Guangzhou CEPREI Certifcation Center Service Co. Ltd., Guangzhou 510610, China）

This paper focuses on analyzing how to assess the service provider’s security management ability when enterprises select SaaS service, aiming at providing reference and guidance for the enterprises when selecting various SaaS service.

cloud service; SaaS; security assessment; information security

廣州市科技計(jì)劃項(xiàng)目；項(xiàng)目編號(hào)：201604010033。

鐘世敏（1979— ），男，廣東廣州，本科，技術(shù)工程師；研究方向：云計(jì)算安全理論與實(shí)踐。