鐘世敏，李 堯，高智偉，程廣明

（廣州賽寶認證中心服務有限公司，廣東 廣州 510610）

基于信息安全選擇企業(yè)級云服務商研究—以SaaS為例

鐘世敏，李 堯，高智偉，程廣明

（廣州賽寶認證中心服務有限公司，廣東 廣州 510610）

文章著重研究了企業(yè)在選擇SaaS服務時如何評估服務提供商的安全管理能力，旨在為企業(yè)選擇各種SaaS服務時提供參考和指引。

云服務；SaaS；安全評估；信息安全

隨著云計算關(guān)鍵技術(shù)的不斷突破，中國企業(yè)級軟件服務化（Software as a Service，SaaS）服務市場百花齊放，企業(yè)對SaaS服務的認可度進入快速上升的軌道，應用規(guī)模迅速擴大。然而，由于我國云計算標準體系尚不完備，保護個人隱私數(shù)據(jù)的法律法規(guī)、市場監(jiān)管方式有待完善，各公司的SaaS產(chǎn)品的安全性參差不齊，部分SaaS產(chǎn)品存在較大的安全隱患。據(jù)易觀智庫2014年度的調(diào)查，在影響用戶選擇企業(yè)級SaaS服務的因素當中，產(chǎn)品的安全性和可靠性排名第二，比例高達87.2%[1]。

為了消除企業(yè)對SaaS云服務存在的安全風險顧慮，本文著重研究評估SaaS云服務及提供商的安全管理能力的第二方評估方法，旨在為企業(yè)選擇SaaS服務時提供參考和指引。

1 用戶主要關(guān)注的SaaS服務安全問題

用戶關(guān)注的SaaS服務安全問題主要可以分為3類。首先是數(shù)據(jù)泄露或丟失問題。信息是企業(yè)的核心資產(chǎn)，如果發(fā)生數(shù)據(jù)泄露，公司可能遭受巨大損失、巨額罰款，還可能面臨民事訴訟。因此，SaaS軟件中的數(shù)據(jù)會不會丟失、被竊，會不會發(fā)生泄露是企業(yè)主要關(guān)注的問題之一。其次是云服務中斷問題。企業(yè)將關(guān)鍵工作負載遷移到云中，云服務僅僅幾分鐘的宕機都可能會極大地損害企業(yè)與客戶的關(guān)系，而停電、錯誤軟件更新、服務器過載、數(shù)據(jù)庫錯誤等都有可能導致云服務中斷。最后是云服務可持續(xù)性問題。企業(yè)投入了大量的資源去學習SaaS軟件、開發(fā)接口以實現(xiàn)系統(tǒng)間的集成，一旦云服務商停止對外提供服務將導致之前的系統(tǒng)集成投入歸零。

2 從信息安全的視角選擇SaaS服務

企業(yè)在選用SaaS服務時應當遵循最基本的底線—職責可以轉(zhuǎn)移，但責任不可轉(zhuǎn)移。在簽署SaaS服務協(xié)議前應進行盡職調(diào)查，可以由IT部門對SaaS服務及提供商的安全管理能力進行評估。進行評估時，應以風險為導向，重點關(guān)注數(shù)據(jù)安全、應用安全，確?！皵?shù)據(jù)不丟、應用不停、持續(xù)服務”。其中，“數(shù)據(jù)不丟”主要評估SaaS服務的租戶身份識別和訪問管理、數(shù)據(jù)加密管理、日志及審計管理；“應用不停”主要評估云服務數(shù)據(jù)中心安全、變更和配置管理、安全事件管理及供應鏈管理；“持續(xù)服務”主要評估業(yè)務連續(xù)性管理、公司的穩(wěn)定性及增長性、可移植性和互操作性。最后，很重要的一點，將對SaaS服務商的服務水平要求、安全管控要求以及責任等落實到合同中。

具體來說，企業(yè)對SaaS服務及提供商的安全管理能力進行評估時，可參照以下安全域檢查清單進行評估[2]。

（1）風險管理。每種環(huán)境都具有某種程度的脆弱性，都面臨一定的威脅，關(guān)鍵在于識別這些威脅，評估它們實際發(fā)生的可能性以及可能造成的破壞，并采取適當?shù)拇胧h(huán)境中的風險降低到可接受范圍。企業(yè)可以通過查閱服務商的風險管理程序和風險評估報告，判斷云服務商的風險管理能力，例如對云服務風險和殘余風險的可接受級別是否已定義，如何識別、分析威脅和脆弱性對資產(chǎn)的潛在影響，影響分析標準是否可測量、可重復執(zhí)行，是否定期對SaaS服務運行的硬件和軟件系統(tǒng)進行安全性檢測等。

（2）身份識別和訪問管理。身份識別和訪問控制作為信息安全管理過程中的關(guān)鍵環(huán)節(jié)，在云計算環(huán)境下，面臨著惡意的內(nèi)部人員、不安全的應用程序接口等更復雜的風險。企業(yè)可以通過檢查身份認證及訪問控制程序，判斷云服務商的身份識別和訪問控制管理水平。例如在SaaS系統(tǒng)創(chuàng)建租戶初始密碼時是否隨機生成租戶默認密碼，租戶首次登陸系統(tǒng)時是否強制要求修改默認密碼，密碼是否有復雜度要求，能否支持雙因子驗證租戶身份，能否檢測租戶異常登陸并通知等。

（3）數(shù)據(jù)加密管理。數(shù)據(jù)是企業(yè)的重要資產(chǎn)，云平臺中的數(shù)據(jù)需要避免出現(xiàn)數(shù)據(jù)泄露、丟失、被竊等問題。通過加密來保證數(shù)據(jù)的機密性是云平臺中數(shù)據(jù)保護的一項最佳實踐，在某些情況下也是某些國家和地區(qū)的法律法規(guī)所強制要求的。企業(yè)可以通過檢查密鑰管理策略及加密管理程序，判斷云服務商的數(shù)據(jù)保護水平，例如SaaS系統(tǒng)所使用的密鑰能否進行生命周期統(tǒng)一管理，通過瀏覽器訪問SaaS系統(tǒng)時能否支持安全傳輸協(xié)議，SaaS系統(tǒng)能否對租戶數(shù)據(jù)加密，是否使用公開的標準加密算法等。

（4）日志及審計管理。審計工具會記錄用戶的登錄和退出時間、用戶角色、用戶行為等信息。通過全面的系統(tǒng)日志，能及時發(fā)現(xiàn)各種安全威脅、異常行為事件，提供事件追責依據(jù)。企業(yè)可以通過檢查安全審計管理策略，判斷云服務商的安全審計水平，例如SaaS系統(tǒng)是否支持系統(tǒng)管理員、安全管理員、安全審計員三元分立，且系統(tǒng)中沒有同時擁有3種權(quán)限的超級管理員，系統(tǒng)日志是否包括系統(tǒng)運行日志、系統(tǒng)管理員操作日志、租戶登陸和使用云資源日志，如何確保日志的非授權(quán)刪除、修改，能否支持實時監(jiān)控收集到的各類日志等。

（5）數(shù)據(jù)中心安全。數(shù)據(jù)中心是組織信息系統(tǒng)的核心，通過網(wǎng)絡系統(tǒng)向服務對象提供各種信息服務。與傳統(tǒng)的數(shù)據(jù)中心相比，在云計算時代的數(shù)據(jù)中心的對安全的要求也在不斷提高，包括高性能、彈性擴展、可靠性保障、虛擬化和可視化、立體安全防護等要求。企業(yè)可以通過檢查數(shù)據(jù)中心管理策略，判斷云服務商的數(shù)據(jù)中心管理水平，例如是否24小時持續(xù)看管，有沒有部署安防監(jiān)控系統(tǒng)、門禁系統(tǒng)，是否記錄訪問者的進入和離開日期、時間、進入理由，計算、存儲、內(nèi)存等資源池有多大，是否簽署特定的服務水平協(xié)議（Service Level Agreement，SLA）等。

（6）變更和配置管理。云計算環(huán)境下計算資源被不同的組織共享，在帶來便利的同時也增加資源分配的復雜度，如果未合理有序地處置變更請求，將對組織及云服務用戶造成重大影響。企業(yè)可以通過檢查變更管理程序，判斷云服務商的變更配置管理水平，例如對現(xiàn)有系統(tǒng)進行升級時，是否已進行變更影響分析，質(zhì)量測試是否包括的功能測試、兼容性測試及性能測試，新版本的發(fā)布是否采用灰度發(fā)布以實現(xiàn)平滑過渡等。

（7）安全事件管理。云計算按需自服務、資源池化、多租戶等特性將使信息安全事件管理活動更具有直接的挑戰(zhàn)。企業(yè)可以通過檢查信息安全事件管理程序，判斷云服務商的信息安全事件管理水平，例如云服務商是否建立了事故響應團隊，能否提供事件響應的歷史記錄并協(xié)助查驗，能否提供安全事件響應計劃的測試記錄等。

（8）供應商管理。隨著云計算這種服務模型的應用，IT供應鏈已逐步從產(chǎn)品供應鏈向服務化供應鏈轉(zhuǎn)變，產(chǎn)品服務化供應鏈管理的核心和關(guān)鍵問題是能力管理。企業(yè)可以通過檢查供應商評估管理程序，判斷云服務商的供應鏈管理水平，例如能否提供與重要供應商之間的供應鏈協(xié)議，與重要供應商之間的供應鏈協(xié)議中是否涉及用戶數(shù)據(jù)保密內(nèi)容及合作到期后用戶數(shù)據(jù)處理方式，是否有對與上下游供應鏈之間的SLA進行持續(xù)的評審等。

（9）業(yè)務連續(xù)性管理。業(yè)務連續(xù)性目的是防止業(yè)務活動中斷，保護關(guān)鍵業(yè)務過程免受信息系統(tǒng)重大失誤或災難的影響，并確保它們的及時恢復。企業(yè)可以通過檢查業(yè)務連續(xù)性計劃來判斷云服務商的業(yè)務連續(xù)性管理水平，例如查看業(yè)務影響分析表，企業(yè)的關(guān)鍵業(yè)務過程和支持性業(yè)務過程識別是否清晰，查看業(yè)務連續(xù)性測試報告，有沒有對測試的結(jié)果進行分析和評估，查看數(shù)據(jù)備份記錄及數(shù)據(jù)備份恢復測試記錄等。

（10）公司穩(wěn)定性及增長性評估。這幾年，經(jīng)常有企業(yè)級SaaS服務商倒閉或被收購，公司一旦倒閉停止運營，用戶應用及數(shù)據(jù)只能遷移或者丟失。企業(yè)可以通過調(diào)查云服務商的客戶流失率、盈利性以及財務報告等資料判斷云服務商的生存能力。

（11）可移植性和互操作性。如果存在可移植性與互操作性問題，租戶遷移到SaaS環(huán)境后，數(shù)據(jù)被鎖定在云平臺。如果問題得到解決，將增強用戶使用云服務的信心，且可方便用戶進行遷移，因而可移植性與互操作性安全非常重要。企業(yè)可以通過檢查云平臺技術(shù)來判斷云服務商的可移植性和互操作性水平，例如云服務商的應用程序編程接口是否采用公開的行業(yè)標準或國際標準，非結(jié)構(gòu)化數(shù)據(jù)是否以行業(yè)標準向用戶提供等。

（12）服務協(xié)議內(nèi)容。由于SaaS服務商提供了設施、IT系統(tǒng)及應用系統(tǒng)，SaaS服務商不僅負責物理和環(huán)境安全控制，還應解決基礎設施、應用和數(shù)據(jù)相關(guān)的安全控制，租戶應該在服務合同中將服務等級、隱私保護、合規(guī)性、安全控制等內(nèi)容進行約定，以確保安全需求在合同層面上是可強制執(zhí)行的。

（13）第三方安全評估認證。評估SaaS服務信息安全是一項復雜綜合的工作，企業(yè)往往不一定能夠執(zhí)行到所有方面的檢查，此時采信專業(yè)的第三方安全評估認證是一個最佳的方式。企業(yè)可以選擇通過建立了完整的信息安全管理體系的云服務商，尤其是通過了權(quán)威的云安全認證的服務商，如C-STAR、可信云[3]等第三方安全認證。

3 結(jié)語

信息安全是影響用戶選擇SaaS服務的重要因素，本文向企業(yè)提供了評估SaaS服務及提供商的安全管理能力的方法，為企業(yè)評估SaaS服務安全提供了參考依據(jù)，而當企業(yè)不具備完全的評估能力時，建議企業(yè)可直接采信主流的第三方云安全評估認證，尤其是通過了諸如C-STAR、可信云等權(quán)威評估認證的云安全服務商。

[1]易觀國際.中國企業(yè)級SaaS市場年度綜合報告[R].中國連鎖，2014（5）：82-83.

[2]趙國祥，劉小茵，李堯，等.云計算信息安全管理—CSA C-STAR實施指南[M].北京：電子工業(yè)出版社，2015.

[3]栗蔚.可信云服務安全認證體系[J].電信網(wǎng)技術(shù)，2014（4）：5-7.

Research on selecting enterprise cloud service providers based on security of information: taking SaaS as an example

Zhong Shimin, Li Yao, Gao Zhiwei, Cheng Guangming
（Guangzhou CEPREI Certifcation Center Service Co. Ltd., Guangzhou 510610, China）

This paper focuses on analyzing how to assess the service provider’s security management ability when enterprises select SaaS service, aiming at providing reference and guidance for the enterprises when selecting various SaaS service.

cloud service; SaaS; security assessment; information security

廣州市科技計劃項目；項目編號：201604010033。

鐘世敏（1979— ），男，廣東廣州，本科，技術(shù)工程師；研究方向：云計算安全理論與實踐。