如何从信息安全的视角选择企业级云服务商---SaaS篇.docxVIP

如何从信息安全的视角选择企业级云服务商---SaaS篇钟世敏，李尧，高智伟，程广明（广州赛宝认证中心服务有限公司 ，广东 广州 510610）摘要：企业级SaaS（软件服务化）具有成本低、部署迅速、按需扩容等优势，企业如能将其引入生产、运营、服务环节之中，能够在降低成本、持续创新等方面释放巨大的价值潜能。然而，由于SaaS模式使企业的控制权发生重大变化，安全保障的不透明性和不可控性使企业对SaaS云服务存在较大的安全风险顾虑。文章着重研究评估SaaS云服务及提供商的安全管理能力的第二方评估方法。旨在为企业选择各种SaaS服务时提供参考和指引，确保所选择的SaaS云服务“数据不丢、应用不停、持续服务”。随着云计算许多关键技术的突破，中国企业级SaaS服务市场百花齐放，企业对SaaS服务的认可度进入快速上升的轨道，应用规模迅速扩大。既有用于解决企业某些具体的业务流程问题的在线ERP、在线CRM、在线HR、在线财务等管理型SaaS服务，也有服务于企业某种具体工作环节的在线视频/会议、网络邮箱、网络教育、在线存储等工具型SaaS服务。然而，由于我国云计算标准体系尚不完备，保护个人隐私数据的法律法规、市场监管方式有待完善，各公司的SaaS产品的安全性参差不齐，部分SaaS产品存在较大的安全隐患。据易观智库2015年度的调查，在影响用户选择企业级SaaS服务的因素当中，产品的安全性、可靠性排名第二，比例高达87.2%。为了消除企业对SaaS云服务存在的安全风险顾虑，本文着重研究评估SaaS云服务及提供商的安全管理能力的第二方评估方法，旨在为企业选择各种SaaS服务时提供参考和指引。一、用户主要关注的SaaS服务安全问题用户主要关注的SaaS服务安全问题如下：1.数据泄露/丢失信息是企业的核心资产，如果发生数据泄露，公司可能遭受巨大损失、巨额罚款，还可能面临民事诉讼。SaaS软件中的数据会不会丢失、被窃，会不会发生泄露是企业主要关注的问题之一。2.服务中断企业将关键工作负载迁移到云中，云服务仅仅几分钟的宕机都可能会极大地损害企业与客户的关系，并导致信息管理部难堪。而停电、错误软件更新、服务器过载、数据库错误等都有可能导致云服务中断。3.服务的可持续性企业投入了大量的资源去学习SaaS软件、开发接口以实现系统间的集成，一旦云服务商停止对外提供服务将导致之前的系统集成投入归零。二、从信息安全的视角选择SaaS服务职责可以转移，但责任不行。企业在选用SaaS服务并签署SaaS服务协议前应进行尽职调查，可以由IT部门对SaaS服务及提供商的安全管理能力进行评估。进行评估时，应以风险为导向，重点关注数据安全、应用安全，确保“数据不丢、应用不停、持续服务”。其中，“数据不丢”主要评估SaaS服务的租户身份识别和访问管理、数据加密管理、日志及审计管理；“应用不停”主要评估云服务数据中心安全、变更和配置管理、安全事件管理及供应链管理；“持续服务”主要评估业务连续性管理、公司的稳定性及增长性、可移植性和互操作性。最后，很重要的一点，将对SaaS服务商的服务水平要求、安全管控要求以及责任等落实到合同中。目标关注域数据不丢租户身份识别和访问管理；数据加密管理；日志及审计管理应用不停数据中心安全；变更和配置管理；安全事件管理；供应链管理持续服务业务连续性管理；公司的稳定性及增长性；可移植性和互操作性其他风险管理水平；服务协议内容表SaaS服务安全目标与关注域三、SaaS服务安全域检查清单企业对SaaS服务及提供商的安全管理能力进行评估，可参照以下安全域检查清单进行：风险管理每种环境都具有某种程度的脆弱性，都面临一定的威胁。关键在于识别这些威胁，评估它们实际发生的可能性以及可能造成的破坏，并采取适当的措施将环境中的风险降低到可接受范围。企业可以通过查阅服务商的风险管理程序和风险评估报告，判断云服务商的风险管理能力：对云服务风险和残余风险的可接受级别是否已定义？如何识别、分析威胁和脆弱性对资产的潜在影响？影响分析标准是否可测量、可重复执行？是否定期对SaaS服务运行的硬件和软件系统进行安全性检测，识别出系统的脆弱性，并制定风险处置计划？身份识别和访问管理身份识别和访问控制作为信息安全管理过程中的关键环节，在云计算环境下，面临着恶意的内部人员、不安全的应用程序接口等更复杂的风险。企业可以通过检查身份认证及访问控制程序，判断云服务商的身份识别和访问控制管理水平：在SaaS系统创建租户初始密码时是否随机生成租户默认密码？租户首次登陆系统时是否强制要求修改默认密码？密码是否有复杂度要求？如，要求长度不少于8位、数字字母组合。能否支持双因子验证租户身份？如，登陆系统及进行重要操作时要求输入手机验证码。能否检测租户异常登陆并通知？如，使用非常用IP登陆时提示租户。数据加密管理数据