基于信息安全選擇企業級云服務商研究—以SaaS為例

鐘世敏，李 堯，高智偉，程廣明

（廣州賽寶認證中心服務有限公司，廣東 廣州 510610）

基于信息安全選擇企業級云服務商研究—以SaaS為例

鐘世敏，李 堯，高智偉，程廣明

（廣州賽寶認證中心服務有限公司，廣東 廣州 510610）

文章著重研究了企業在選擇SaaS服務時如何評估服務提供商的安全管理能力，旨在為企業選擇各種SaaS服務時提供參考和指引。

云服務；SaaS；安全評估；信息安全

隨著云計算關鍵技術的不斷突破，中國企業級軟件服務化（Software as a Service，SaaS）服務市場百花齊放，企業對SaaS服務的認可度進入快速上升的軌道，應用規模迅速擴大。然而，由于我國云計算標準體系尚不完備，保護個人隱私數據的法律法規、市場監管方式有待完善，各公司的SaaS產品的安全性參差不齊，部分SaaS產品存在較大的安全隱患。據易觀智庫2014年度的調查，在影響用戶選擇企業級SaaS服務的因素當中，產品的安全性和可靠性排名第二，比例高達87.2%[1]。

為了消除企業對SaaS云服務存在的安全風險顧慮，本文著重研究評估SaaS云服務及提供商的安全管理能力的第二方評估方法，旨在為企業選擇SaaS服務時提供參考和指引。

1 用戶主要關注的SaaS服務安全問題

用戶關注的SaaS服務安全問題主要可以分為3類。首先是數據泄露或丟失問題。信息是企業的核心資產，如果發生數據泄露，公司可能遭受巨大損失、巨額罰款，還可能面臨民事訴訟。因此，SaaS軟件中的數據會不會丟失、被竊，會不會發生泄露是企業主要關注的問題之一。其次是云服務中斷問題。企業將關鍵工作負載遷移到云中，云服務僅僅幾分鐘的宕機都可能會極大地損害企業與客戶的關系，而停電、錯誤軟件更新、服務器過載、數據庫錯誤等都有可能導致云服務中斷。最后是云服務可持續性問題。企業投入了大量的資源去學習SaaS軟件、開發接口以實現系統間的集成，一旦云服務商停止對外提供服務將導致之前的系統集成投入歸零。

2 從信息安全的視角選擇SaaS服務

企業在選用SaaS服務時應當遵循最基本的底線—職責可以轉移，但責任不可轉移。在簽署SaaS服務協議前應進行盡職調查，可以由IT部門對SaaS服務及提供商的安全管理能力進行評估。進行評估時，應以風險為導向，重點關注數據安全、應用安全，確保“數據不丟、應用不停、持續服務”。其中，“數據不丟”主要評估SaaS服務的租戶身份識別和訪問管理、數據加密管理、日志及審計管理；“應用不停”主要評估云服務數據中心安全、變更和配置管理、安全事件管理及供應鏈管理；“持續服務”主要評估業務連續性管理、公司的穩定性及增長性、可移植性和互操作性。最后，很重要的一點，將對SaaS服務商的服務水平要求、安全管控要求以及責任等落實到合同中。

具體來說，企業對SaaS服務及提供商的安全管理能力進行評估時，可參照以下安全域檢查清單進行評估[2]。

（1）風險管理。每種環境都具有某種程度的脆弱性，都面臨一定的威脅，關鍵在于識別這些威脅，評估它們實際發生的可能性以及可能造成的破壞，并采取適當的措施將環境中的風險降低到可接受范圍。企業可以通過查閱服務商的風險管理程序和風險評估報告，判斷云服務商的風險管理能力，例如對云服務風險和殘余風險的可接受級別是否已定義，如何識別、分析威脅和脆弱性對資產的潛在影響，影響分析標準是否可測量、可重復執行，是否定期對SaaS服務運行的硬件和軟件系統進行安全性檢測等。

（2）身份識別和訪問管理。身份識別和訪問控制作為信息安全管理過程中的關鍵環節，在云計算環境下，面臨著惡意的內部人員、不安全的應用程序接口等更復雜的風險。企業可以通過檢查身份認證及訪問控制程序，判斷云服務商的身份識別和訪問控制管理水平。例如在SaaS系統創建租戶初始密碼時是否隨機生成租戶默認密碼，租戶首次登陸系統時是否強制要求修改默認密碼，密碼是否有復雜度要求，能否支持雙因子驗證租戶身份，能否檢測租戶異常登陸并通知等。

（3）數據加密管理。數據是企業的重要資產，云平臺中的數據需要避免出現數據泄露、丟失、被竊等問題。通過加密來保證數據的機密性是云平臺中數據保護的一項最佳實踐，在某些情況下也是某些國家和地區的法律法規所強制要求的。企業可以通過檢查密鑰管理策略及加密管理程序，判斷云服務商的數據保護水平，例如SaaS系統所使用的密鑰能否進行生命周期統一管理，通過瀏覽器訪問SaaS系統時能否支持安全傳輸協議，SaaS系統能否對租戶數據加密，是否使用公開的標準加密算法等。

（4）日志及審計管理。審計工具會記錄用戶的登錄和退出時間、用戶角色、用戶行為等信息。通過全面的系統日志，能及時發現各種安全威脅、異常行為事件，提供事件追責依據。企業可以通過檢查安全審計管理策略，判斷云服務商的安全審計水平，例如SaaS系統是否支持系統管理員、安全管理員、安全審計員三元分立，且系統中沒有同時擁有3種權限的超級管理員，系統日志是否包括系統運行日志、系統管理員操作日志、租戶登陸和使用云資源日志，如何確保日志的非授權刪除、修改，能否支持實時監控收集到的各類日志等。

（5）數據中心安全。數據中心是組織信息系統的核心，通過網絡系統向服務對象提供各種信息服務。與傳統的數據中心相比，在云計算時代的數據中心的對安全的要求也在不斷提高，包括高性能、彈性擴展、可靠性保障、虛擬化和可視化、立體安全防護等要求。企業可以通過檢查數據中心管理策略，判斷云服務商的數據中心管理水平，例如是否24小時持續看管，有沒有部署安防監控系統、門禁系統，是否記錄訪問者的進入和離開日期、時間、進入理由，計算、存儲、內存等資源池有多大，是否簽署特定的服務水平協議（Service Level Agreement，SLA）等。

（6）變更和配置管理。云計算環境下計算資源被不同的組織共享，在帶來便利的同時也增加資源分配的復雜度，如果未合理有序地處置變更請求，將對組織及云服務用戶造成重大影響。企業可以通過檢查變更管理程序，判斷云服務商的變更配置管理水平，例如對現有系統進行升級時，是否已進行變更影響分析，質量測試是否包括的功能測試、兼容性測試及性能測試，新版本的發布是否采用灰度發布以實現平滑過渡等。

（7）安全事件管理。云計算按需自服務、資源池化、多租戶等特性將使信息安全事件管理活動更具有直接的挑戰。企業可以通過檢查信息安全事件管理程序，判斷云服務商的信息安全事件管理水平，例如云服務商是否建立了事故響應團隊，能否提供事件響應的歷史記錄并協助查驗，能否提供安全事件響應計劃的測試記錄等。

（8）供應商管理。隨著云計算這種服務模型的應用，IT供應鏈已逐步從產品供應鏈向服務化供應鏈轉變，產品服務化供應鏈管理的核心和關鍵問題是能力管理。企業可以通過檢查供應商評估管理程序，判斷云服務商的供應鏈管理水平，例如能否提供與重要供應商之間的供應鏈協議，與重要供應商之間的供應鏈協議中是否涉及用戶數據保密內容及合作到期后用戶數據處理方式，是否有對與上下游供應鏈之間的SLA進行持續的評審等。

（9）業務連續性管理。業務連續性目的是防止業務活動中斷，保護關鍵業務過程免受信息系統重大失誤或災難的影響，并確保它們的及時恢復。企業可以通過檢查業務連續性計劃來判斷云服務商的業務連續性管理水平，例如查看業務影響分析表，企業的關鍵業務過程和支持性業務過程識別是否清晰，查看業務連續性測試報告，有沒有對測試的結果進行分析和評估，查看數據備份記錄及數據備份恢復測試記錄等。

（10）公司穩定性及增長性評估。這幾年，經常有企業級SaaS服務商倒閉或被收購，公司一旦倒閉停止運營，用戶應用及數據只能遷移或者丟失。企業可以通過調查云服務商的客戶流失率、盈利性以及財務報告等資料判斷云服務商的生存能力。

（11）可移植性和互操作性。如果存在可移植性與互操作性問題，租戶遷移到SaaS環境后，數據被鎖定在云平臺。如果問題得到解決，將增強用戶使用云服務的信心，且可方便用戶進行遷移，因而可移植性與互操作性安全非常重要。企業可以通過檢查云平臺技術來判斷云服務商的可移植性和互操作性水平，例如云服務商的應用程序編程接口是否采用公開的行業標準或國際標準，非結構化數據是否以行業標準向用戶提供等。

（12）服務協議內容。由于SaaS服務商提供了設施、IT系統及應用系統，SaaS服務商不僅負責物理和環境安全控制，還應解決基礎設施、應用和數據相關的安全控制，租戶應該在服務合同中將服務等級、隱私保護、合規性、安全控制等內容進行約定，以確保安全需求在合同層面上是可強制執行的。

（13）第三方安全評估認證。評估SaaS服務信息安全是一項復雜綜合的工作，企業往往不一定能夠執行到所有方面的檢查，此時采信專業的第三方安全評估認證是一個最佳的方式。企業可以選擇通過建立了完整的信息安全管理體系的云服務商，尤其是通過了權威的云安全認證的服務商，如C-STAR、可信云[3]等第三方安全認證。

3 結語

信息安全是影響用戶選擇SaaS服務的重要因素，本文向企業提供了評估SaaS服務及提供商的安全管理能力的方法，為企業評估SaaS服務安全提供了參考依據，而當企業不具備完全的評估能力時，建議企業可直接采信主流的第三方云安全評估認證，尤其是通過了諸如C-STAR、可信云等權威評估認證的云安全服務商。

[1]易觀國際.中國企業級SaaS市場年度綜合報告[R].中國連鎖，2014（5）：82-83.

[2]趙國祥，劉小茵，李堯，等.云計算信息安全管理—CSA C-STAR實施指南[M].北京：電子工業出版社，2015.

[3]栗蔚.可信云服務安全認證體系[J].電信網技術，2014（4）：5-7.

Research on selecting enterprise cloud service providers based on security of information: taking SaaS as an example

Zhong Shimin, Li Yao, Gao Zhiwei, Cheng Guangming
（Guangzhou CEPREI Certifcation Center Service Co. Ltd., Guangzhou 510610, China）

This paper focuses on analyzing how to assess the service provider’s security management ability when enterprises select SaaS service, aiming at providing reference and guidance for the enterprises when selecting various SaaS service.

cloud service; SaaS; security assessment; information security

廣州市科技計劃項目；項目編號：201604010033。

鐘世敏（1979— ），男，廣東廣州，本科，技術工程師；研究方向：云計算安全理論與實踐。