鐘世敏，李 堯，高智偉，程廣明

（廣州賽寶認(rèn)證中心服務(wù)有限公司，廣東 廣州 510610）

基于信息安全選擇企業(yè)級云服務(wù)商研究—以SaaS為例

鐘世敏，李 堯，高智偉，程廣明

（廣州賽寶認(rèn)證中心服務(wù)有限公司，廣東 廣州 510610）

文章著重研究了企業(yè)在選擇SaaS服務(wù)時如何評估服務(wù)提供商的安全管理能力，旨在為企業(yè)選擇各種SaaS服務(wù)時提供參考和指引。

云服務(wù)；SaaS；安全評估；信息安全

隨著云計算關(guān)鍵技術(shù)的不斷突破，中國企業(yè)級軟件服務(wù)化（Software as a Service，SaaS）服務(wù)市場百花齊放，企業(yè)對SaaS服務(wù)的認(rèn)可度進(jìn)入快速上升的軌道，應(yīng)用規(guī)模迅速擴(kuò)大。然而，由于我國云計算標(biāo)準(zhǔn)體系尚不完備，保護(hù)個人隱私數(shù)據(jù)的法律法規(guī)、市場監(jiān)管方式有待完善，各公司的SaaS產(chǎn)品的安全性參差不齊，部分SaaS產(chǎn)品存在較大的安全隱患。據(jù)易觀智庫2014年度的調(diào)查，在影響用戶選擇企業(yè)級SaaS服務(wù)的因素當(dāng)中，產(chǎn)品的安全性和可靠性排名第二，比例高達(dá)87.2%[1]。

為了消除企業(yè)對SaaS云服務(wù)存在的安全風(fēng)險顧慮，本文著重研究評估SaaS云服務(wù)及提供商的安全管理能力的第二方評估方法，旨在為企業(yè)選擇SaaS服務(wù)時提供參考和指引。

1 用戶主要關(guān)注的SaaS服務(wù)安全問題

用戶關(guān)注的SaaS服務(wù)安全問題主要可以分為3類。首先是數(shù)據(jù)泄露或丟失問題。信息是企業(yè)的核心資產(chǎn)，如果發(fā)生數(shù)據(jù)泄露，公司可能遭受巨大損失、巨額罰款，還可能面臨民事訴訟。因此，SaaS軟件中的數(shù)據(jù)會不會丟失、被竊，會不會發(fā)生泄露是企業(yè)主要關(guān)注的問題之一。其次是云服務(wù)中斷問題。企業(yè)將關(guān)鍵工作負(fù)載遷移到云中，云服務(wù)僅僅幾分鐘的宕機(jī)都可能會極大地?fù)p害企業(yè)與客戶的關(guān)系，而停電、錯誤軟件更新、服務(wù)器過載、數(shù)據(jù)庫錯誤等都有可能導(dǎo)致云服務(wù)中斷。最后是云服務(wù)可持續(xù)性問題。企業(yè)投入了大量的資源去學(xué)習(xí)SaaS軟件、開發(fā)接口以實現(xiàn)系統(tǒng)間的集成，一旦云服務(wù)商停止對外提供服務(wù)將導(dǎo)致之前的系統(tǒng)集成投入歸零。

2 從信息安全的視角選擇SaaS服務(wù)

企業(yè)在選用SaaS服務(wù)時應(yīng)當(dāng)遵循最基本的底線—職責(zé)可以轉(zhuǎn)移，但責(zé)任不可轉(zhuǎn)移。在簽署SaaS服務(wù)協(xié)議前應(yīng)進(jìn)行盡職調(diào)查，可以由IT部門對SaaS服務(wù)及提供商的安全管理能力進(jìn)行評估。進(jìn)行評估時，應(yīng)以風(fēng)險為導(dǎo)向，重點關(guān)注數(shù)據(jù)安全、應(yīng)用安全，確?！皵?shù)據(jù)不丟、應(yīng)用不停、持續(xù)服務(wù)”。其中，“數(shù)據(jù)不丟”主要評估SaaS服務(wù)的租戶身份識別和訪問管理、數(shù)據(jù)加密管理、日志及審計管理；“應(yīng)用不?！敝饕u估云服務(wù)數(shù)據(jù)中心安全、變更和配置管理、安全事件管理及供應(yīng)鏈管理；“持續(xù)服務(wù)”主要評估業(yè)務(wù)連續(xù)性管理、公司的穩(wěn)定性及增長性、可移植性和互操作性。最后，很重要的一點，將對SaaS服務(wù)商的服務(wù)水平要求、安全管控要求以及責(zé)任等落實到合同中。

具體來說，企業(yè)對SaaS服務(wù)及提供商的安全管理能力進(jìn)行評估時，可參照以下安全域檢查清單進(jìn)行評估[2]。

（1）風(fēng)險管理。每種環(huán)境都具有某種程度的脆弱性，都面臨一定的威脅，關(guān)鍵在于識別這些威脅，評估它們實際發(fā)生的可能性以及可能造成的破壞，并采取適當(dāng)?shù)拇胧h(huán)境中的風(fēng)險降低到可接受范圍。企業(yè)可以通過查閱服務(wù)商的風(fēng)險管理程序和風(fēng)險評估報告，判斷云服務(wù)商的風(fēng)險管理能力，例如對云服務(wù)風(fēng)險和殘余風(fēng)險的可接受級別是否已定義，如何識別、分析威脅和脆弱性對資產(chǎn)的潛在影響，影響分析標(biāo)準(zhǔn)是否可測量、可重復(fù)執(zhí)行，是否定期對SaaS服務(wù)運行的硬件和軟件系統(tǒng)進(jìn)行安全性檢測等。

（2）身份識別和訪問管理。身份識別和訪問控制作為信息安全管理過程中的關(guān)鍵環(huán)節(jié)，在云計算環(huán)境下，面臨著惡意的內(nèi)部人員、不安全的應(yīng)用程序接口等更復(fù)雜的風(fēng)險。企業(yè)可以通過檢查身份認(rèn)證及訪問控制程序，判斷云服務(wù)商的身份識別和訪問控制管理水平。例如在SaaS系統(tǒng)創(chuàng)建租戶初始密碼時是否隨機(jī)生成租戶默認(rèn)密碼，租戶首次登陸系統(tǒng)時是否強(qiáng)制要求修改默認(rèn)密碼，密碼是否有復(fù)雜度要求，能否支持雙因子驗證租戶身份，能否檢測租戶異常登陸并通知等。

（3）數(shù)據(jù)加密管理。數(shù)據(jù)是企業(yè)的重要資產(chǎn)，云平臺中的數(shù)據(jù)需要避免出現(xiàn)數(shù)據(jù)泄露、丟失、被竊等問題。通過加密來保證數(shù)據(jù)的機(jī)密性是云平臺中數(shù)據(jù)保護(hù)的一項最佳實踐，在某些情況下也是某些國家和地區(qū)的法律法規(guī)所強(qiáng)制要求的。企業(yè)可以通過檢查密鑰管理策略及加密管理程序，判斷云服務(wù)商的數(shù)據(jù)保護(hù)水平，例如SaaS系統(tǒng)所使用的密鑰能否進(jìn)行生命周期統(tǒng)一管理，通過瀏覽器訪問SaaS系統(tǒng)時能否支持安全傳輸協(xié)議，SaaS系統(tǒng)能否對租戶數(shù)據(jù)加密，是否使用公開的標(biāo)準(zhǔn)加密算法等。

（4）日志及審計管理。審計工具會記錄用戶的登錄和退出時間、用戶角色、用戶行為等信息。通過全面的系統(tǒng)日志，能及時發(fā)現(xiàn)各種安全威脅、異常行為事件，提供事件追責(zé)依據(jù)。企業(yè)可以通過檢查安全審計管理策略，判斷云服務(wù)商的安全審計水平，例如SaaS系統(tǒng)是否支持系統(tǒng)管理員、安全管理員、安全審計員三元分立，且系統(tǒng)中沒有同時擁有3種權(quán)限的超級管理員，系統(tǒng)日志是否包括系統(tǒng)運行日志、系統(tǒng)管理員操作日志、租戶登陸和使用云資源日志，如何確保日志的非授權(quán)刪除、修改，能否支持實時監(jiān)控收集到的各類日志等。

（5）數(shù)據(jù)中心安全。數(shù)據(jù)中心是組織信息系統(tǒng)的核心，通過網(wǎng)絡(luò)系統(tǒng)向服務(wù)對象提供各種信息服務(wù)。與傳統(tǒng)的數(shù)據(jù)中心相比，在云計算時代的數(shù)據(jù)中心的對安全的要求也在不斷提高，包括高性能、彈性擴(kuò)展、可靠性保障、虛擬化和可視化、立體安全防護(hù)等要求。企業(yè)可以通過檢查數(shù)據(jù)中心管理策略，判斷云服務(wù)商的數(shù)據(jù)中心管理水平，例如是否24小時持續(xù)看管，有沒有部署安防監(jiān)控系統(tǒng)、門禁系統(tǒng)，是否記錄訪問者的進(jìn)入和離開日期、時間、進(jìn)入理由，計算、存儲、內(nèi)存等資源池有多大，是否簽署特定的服務(wù)水平協(xié)議（Service Level Agreement，SLA）等。

（6）變更和配置管理。云計算環(huán)境下計算資源被不同的組織共享，在帶來便利的同時也增加資源分配的復(fù)雜度，如果未合理有序地處置變更請求，將對組織及云服務(wù)用戶造成重大影響。企業(yè)可以通過檢查變更管理程序，判斷云服務(wù)商的變更配置管理水平，例如對現(xiàn)有系統(tǒng)進(jìn)行升級時，是否已進(jìn)行變更影響分析，質(zhì)量測試是否包括的功能測試、兼容性測試及性能測試，新版本的發(fā)布是否采用灰度發(fā)布以實現(xiàn)平滑過渡等。

（7）安全事件管理。云計算按需自服務(wù)、資源池化、多租戶等特性將使信息安全事件管理活動更具有直接的挑戰(zhàn)。企業(yè)可以通過檢查信息安全事件管理程序，判斷云服務(wù)商的信息安全事件管理水平，例如云服務(wù)商是否建立了事故響應(yīng)團(tuán)隊，能否提供事件響應(yīng)的歷史記錄并協(xié)助查驗，能否提供安全事件響應(yīng)計劃的測試記錄等。

（8）供應(yīng)商管理。隨著云計算這種服務(wù)模型的應(yīng)用，IT供應(yīng)鏈已逐步從產(chǎn)品供應(yīng)鏈向服務(wù)化供應(yīng)鏈轉(zhuǎn)變，產(chǎn)品服務(wù)化供應(yīng)鏈管理的核心和關(guān)鍵問題是能力管理。企業(yè)可以通過檢查供應(yīng)商評估管理程序，判斷云服務(wù)商的供應(yīng)鏈管理水平，例如能否提供與重要供應(yīng)商之間的供應(yīng)鏈協(xié)議，與重要供應(yīng)商之間的供應(yīng)鏈協(xié)議中是否涉及用戶數(shù)據(jù)保密內(nèi)容及合作到期后用戶數(shù)據(jù)處理方式，是否有對與上下游供應(yīng)鏈之間的SLA進(jìn)行持續(xù)的評審等。

（9）業(yè)務(wù)連續(xù)性管理。業(yè)務(wù)連續(xù)性目的是防止業(yè)務(wù)活動中斷，保護(hù)關(guān)鍵業(yè)務(wù)過程免受信息系統(tǒng)重大失誤或災(zāi)難的影響，并確保它們的及時恢復(fù)。企業(yè)可以通過檢查業(yè)務(wù)連續(xù)性計劃來判斷云服務(wù)商的業(yè)務(wù)連續(xù)性管理水平，例如查看業(yè)務(wù)影響分析表，企業(yè)的關(guān)鍵業(yè)務(wù)過程和支持性業(yè)務(wù)過程識別是否清晰，查看業(yè)務(wù)連續(xù)性測試報告，有沒有對測試的結(jié)果進(jìn)行分析和評估，查看數(shù)據(jù)備份記錄及數(shù)據(jù)備份恢復(fù)測試記錄等。

（10）公司穩(wěn)定性及增長性評估。這幾年，經(jīng)常有企業(yè)級SaaS服務(wù)商倒閉或被收購，公司一旦倒閉停止運營，用戶應(yīng)用及數(shù)據(jù)只能遷移或者丟失。企業(yè)可以通過調(diào)查云服務(wù)商的客戶流失率、盈利性以及財務(wù)報告等資料判斷云服務(wù)商的生存能力。

（11）可移植性和互操作性。如果存在可移植性與互操作性問題，租戶遷移到SaaS環(huán)境后，數(shù)據(jù)被鎖定在云平臺。如果問題得到解決，將增強(qiáng)用戶使用云服務(wù)的信心，且可方便用戶進(jìn)行遷移，因而可移植性與互操作性安全非常重要。企業(yè)可以通過檢查云平臺技術(shù)來判斷云服務(wù)商的可移植性和互操作性水平，例如云服務(wù)商的應(yīng)用程序編程接口是否采用公開的行業(yè)標(biāo)準(zhǔn)或國際標(biāo)準(zhǔn)，非結(jié)構(gòu)化數(shù)據(jù)是否以行業(yè)標(biāo)準(zhǔn)向用戶提供等。

（12）服務(wù)協(xié)議內(nèi)容。由于SaaS服務(wù)商提供了設(shè)施、IT系統(tǒng)及應(yīng)用系統(tǒng)，SaaS服務(wù)商不僅負(fù)責(zé)物理和環(huán)境安全控制，還應(yīng)解決基礎(chǔ)設(shè)施、應(yīng)用和數(shù)據(jù)相關(guān)的安全控制，租戶應(yīng)該在服務(wù)合同中將服務(wù)等級、隱私保護(hù)、合規(guī)性、安全控制等內(nèi)容進(jìn)行約定，以確保安全需求在合同層面上是可強(qiáng)制執(zhí)行的。

（13）第三方安全評估認(rèn)證。評估SaaS服務(wù)信息安全是一項復(fù)雜綜合的工作，企業(yè)往往不一定能夠執(zhí)行到所有方面的檢查，此時采信專業(yè)的第三方安全評估認(rèn)證是一個最佳的方式。企業(yè)可以選擇通過建立了完整的信息安全管理體系的云服務(wù)商，尤其是通過了權(quán)威的云安全認(rèn)證的服務(wù)商，如C-STAR、可信云[3]等第三方安全認(rèn)證。

3 結(jié)語

信息安全是影響用戶選擇SaaS服務(wù)的重要因素，本文向企業(yè)提供了評估SaaS服務(wù)及提供商的安全管理能力的方法，為企業(yè)評估SaaS服務(wù)安全提供了參考依據(jù)，而當(dāng)企業(yè)不具備完全的評估能力時，建議企業(yè)可直接采信主流的第三方云安全評估認(rèn)證，尤其是通過了諸如C-STAR、可信云等權(quán)威評估認(rèn)證的云安全服務(wù)商。

[1]易觀國際.中國企業(yè)級SaaS市場年度綜合報告[R].中國連鎖，2014（5）：82-83.

[2]趙國祥，劉小茵，李堯，等.云計算信息安全管理—CSA C-STAR實施指南[M].北京：電子工業(yè)出版社，2015.

[3]栗蔚.可信云服務(wù)安全認(rèn)證體系[J].電信網(wǎng)技術(shù)，2014（4）：5-7.

Research on selecting enterprise cloud service providers based on security of information: taking SaaS as an example

Zhong Shimin, Li Yao, Gao Zhiwei, Cheng Guangming
（Guangzhou CEPREI Certifcation Center Service Co. Ltd., Guangzhou 510610, China）

This paper focuses on analyzing how to assess the service provider’s security management ability when enterprises select SaaS service, aiming at providing reference and guidance for the enterprises when selecting various SaaS service.

cloud service; SaaS; security assessment; information security

廣州市科技計劃項目；項目編號：201604010033。

鐘世敏（1979— ），男，廣東廣州，本科，技術(shù)工程師；研究方向：云計算安全理論與實踐。