钟世敏，李 尧，高智伟，程广明

（广州赛宝认证中心服务有限公司，广东 广州 510610）

基于信息安全选择企业级云服务商研究—以SaaS为例

钟世敏，李 尧，高智伟，程广明

（广州赛宝认证中心服务有限公司，广东 广州 510610）

文章着重研究了企业在选择SaaS服务时如何评估服务提供商的安全管理能力，旨在为企业选择各种SaaS服务时提供参考和指引。

云服务；SaaS；安全评估；信息安全

随着云计算关键技术的不断突破，中国企业级软件服务化（Software as a Service，SaaS）服务市场百花齐放，企业对SaaS服务的认可度进入快速上升的轨道，应用规模迅速扩大。然而，由于我国云计算标准体系尚不完备，保护个人隐私数据的法律法规、市场监管方式有待完善，各公司的SaaS产品的安全性参差不齐，部分SaaS产品存在较大的安全隐患。据易观智库2014年度的调查，在影响用户选择企业级SaaS服务的因素当中，产品的安全性和可靠性排名第二，比例高达87.2%[1]。

为了消除企业对SaaS云服务存在的安全风险顾虑，本文着重研究评估SaaS云服务及提供商的安全管理能力的第二方评估方法，旨在为企业选择SaaS服务时提供参考和指引。

1 用户主要关注的SaaS服务安全问题

用户关注的SaaS服务安全问题主要可以分为3类。首先是数据泄露或丢失问题。信息是企业的核心资产，如果发生数据泄露，公司可能遭受巨大损失、巨额罚款，还可能面临民事诉讼。因此，SaaS软件中的数据会不会丢失、被窃，会不会发生泄露是企业主要关注的问题之一。其次是云服务中断问题。企业将关键工作负载迁移到云中，云服务仅仅几分钟的宕机都可能会极大地损害企业与客户的关系，而停电、错误软件更新、服务器过载、数据库错误等都有可能导致云服务中断。最后是云服务可持续性问题。企业投入了大量的资源去学习SaaS软件、开发接口以实现系统间的集成，一旦云服务商停止对外提供服务将导致之前的系统集成投入归零。

2 从信息安全的视角选择SaaS服务

企业在选用SaaS服务时应当遵循最基本的底线—职责可以转移，但责任不可转移。在签署SaaS服务协议前应进行尽职调查，可以由IT部门对SaaS服务及提供商的安全管理能力进行评估。进行评估时，应以风险为导向，重点关注数据安全、应用安全，确保“数据不丢、应用不停、持续服务”。其中，“数据不丢”主要评估SaaS服务的租户身份识别和访问管理、数据加密管理、日志及审计管理；“应用不停”主要评估云服务数据中心安全、变更和配置管理、安全事件管理及供应链管理；“持续服务”主要评估业务连续性管理、公司的稳定性及增长性、可移植性和互操作性。最后，很重要的一点，将对SaaS服务商的服务水平要求、安全管控要求以及责任等落实到合同中。

具体来说，企业对SaaS服务及提供商的安全管理能力进行评估时，可参照以下安全域检查清单进行评估[2]。

（1）风险管理。每种环境都具有某种程度的脆弱性，都面临一定的威胁，关键在于识别这些威胁，评估它们实际发生的可能性以及可能造成的破坏，并采取适当的措施将环境中的风险降低到可接受范围。企业可以通过查阅服务商的风险管理程序和风险评估报告，判断云服务商的风险管理能力，例如对云服务风险和残余风险的可接受级别是否已定义，如何识别、分析威胁和脆弱性对资产的潜在影响，影响分析标准是否可测量、可重复执行，是否定期对SaaS服务运行的硬件和软件系统进行安全性检测等。

（2）身份识别和访问管理。身份识别和访问控制作为信息安全管理过程中的关键环节，在云计算环境下，面临着恶意的内部人员、不安全的应用程序接口等更复杂的风险。企业可以通过检查身份认证及访问控制程序，判断云服务商的身份识别和访问控制管理水平。例如在SaaS系统创建租户初始密码时是否随机生成租户默认密码，租户首次登陆系统时是否强制要求修改默认密码，密码是否有复杂度要求，能否支持双因子验证租户身份，能否检测租户异常登陆并通知等。

（3）数据加密管理。数据是企业的重要资产，云平台中的数据需要避免出现数据泄露、丢失、被窃等问题。通过加密来保证数据的机密性是云平台中数据保护的一项最佳实践，在某些情况下也是某些国家和地区的法律法规所强制要求的。企业可以通过检查密钥管理策略及加密管理程序，判断云服务商的数据保护水平，例如SaaS系统所使用的密钥能否进行生命周期统一管理，通过浏览器访问SaaS系统时能否支持安全传输协议，SaaS系统能否对租户数据加密，是否使用公开的标准加密算法等。

（4）日志及审计管理。审计工具会记录用户的登录和退出时间、用户角色、用户行为等信息。通过全面的系统日志，能及时发现各种安全威胁、异常行为事件，提供事件追责依据。企业可以通过检查安全审计管理策略，判断云服务商的安全审计水平，例如SaaS系统是否支持系统管理员、安全管理员、安全审计员三元分立，且系统中没有同时拥有3种权限的超级管理员，系统日志是否包括系统运行日志、系统管理员操作日志、租户登陆和使用云资源日志，如何确保日志的非授权删除、修改，能否支持实时监控收集到的各类日志等。

（5）数据中心安全。数据中心是组织信息系统的核心，通过网络系统向服务对象提供各种信息服务。与传统的数据中心相比，在云计算时代的数据中心的对安全的要求也在不断提高，包括高性能、弹性扩展、可靠性保障、虚拟化和可视化、立体安全防护等要求。企业可以通过检查数据中心管理策略，判断云服务商的数据中心管理水平，例如是否24小时持续看管，有没有部署安防监控系统、门禁系统，是否记录访问者的进入和离开日期、时间、进入理由，计算、存储、内存等资源池有多大，是否签署特定的服务水平协议（Service Level Agreement，SLA）等。

（6）变更和配置管理。云计算环境下计算资源被不同的组织共享，在带来便利的同时也增加资源分配的复杂度，如果未合理有序地处置变更请求，将对组织及云服务用户造成重大影响。企业可以通过检查变更管理程序，判断云服务商的变更配置管理水平，例如对现有系统进行升级时，是否已进行变更影响分析，质量测试是否包括的功能测试、兼容性测试及性能测试，新版本的发布是否采用灰度发布以实现平滑过渡等。

（7）安全事件管理。云计算按需自服务、资源池化、多租户等特性将使信息安全事件管理活动更具有直接的挑战。企业可以通过检查信息安全事件管理程序，判断云服务商的信息安全事件管理水平，例如云服务商是否建立了事故响应团队，能否提供事件响应的历史记录并协助查验，能否提供安全事件响应计划的测试记录等。

（8）供应商管理。随着云计算这种服务模型的应用，IT供应链已逐步从产品供应链向服务化供应链转变，产品服务化供应链管理的核心和关键问题是能力管理。企业可以通过检查供应商评估管理程序，判断云服务商的供应链管理水平，例如能否提供与重要供应商之间的供应链协议，与重要供应商之间的供应链协议中是否涉及用户数据保密内容及合作到期后用户数据处理方式，是否有对与上下游供应链之间的SLA进行持续的评审等。

（9）业务连续性管理。业务连续性目的是防止业务活动中断，保护关键业务过程免受信息系统重大失误或灾难的影响，并确保它们的及时恢复。企业可以通过检查业务连续性计划来判断云服务商的业务连续性管理水平，例如查看业务影响分析表，企业的关键业务过程和支持性业务过程识别是否清晰，查看业务连续性测试报告，有没有对测试的结果进行分析和评估，查看数据备份记录及数据备份恢复测试记录等。

（10）公司稳定性及增长性评估。这几年，经常有企业级SaaS服务商倒闭或被收购，公司一旦倒闭停止运营，用户应用及数据只能迁移或者丢失。企业可以通过调查云服务商的客户流失率、盈利性以及财务报告等资料判断云服务商的生存能力。

（11）可移植性和互操作性。如果存在可移植性与互操作性问题，租户迁移到SaaS环境后，数据被锁定在云平台。如果问题得到解决，将增强用户使用云服务的信心，且可方便用户进行迁移，因而可移植性与互操作性安全非常重要。企业可以通过检查云平台技术来判断云服务商的可移植性和互操作性水平，例如云服务商的应用程序编程接口是否采用公开的行业标准或国际标准，非结构化数据是否以行业标准向用户提供等。

（12）服务协议内容。由于SaaS服务商提供了设施、IT系统及应用系统，SaaS服务商不仅负责物理和环境安全控制，还应解决基础设施、应用和数据相关的安全控制，租户应该在服务合同中将服务等级、隐私保护、合规性、安全控制等内容进行约定，以确保安全需求在合同层面上是可强制执行的。

（13）第三方安全评估认证。评估SaaS服务信息安全是一项复杂综合的工作，企业往往不一定能够执行到所有方面的检查，此时采信专业的第三方安全评估认证是一个最佳的方式。企业可以选择通过建立了完整的信息安全管理体系的云服务商，尤其是通过了权威的云安全认证的服务商，如C-STAR、可信云[3]等第三方安全认证。

3 结语

信息安全是影响用户选择SaaS服务的重要因素，本文向企业提供了评估SaaS服务及提供商的安全管理能力的方法，为企业评估SaaS服务安全提供了参考依据，而当企业不具备完全的评估能力时，建议企业可直接采信主流的第三方云安全评估认证，尤其是通过了诸如C-STAR、可信云等权威评估认证的云安全服务商。

[1]易观国际.中国企业级SaaS市场年度综合报告[R].中国连锁，2014（5）：82-83.

[2]赵国祥，刘小茵，李尧，等.云计算信息安全管理—CSA C-STAR实施指南[M].北京：电子工业出版社，2015.

[3]栗蔚.可信云服务安全认证体系[J].电信网技术，2014（4）：5-7.

Research on selecting enterprise cloud service providers based on security of information: taking SaaS as an example

Zhong Shimin, Li Yao, Gao Zhiwei, Cheng Guangming
（Guangzhou CEPREI Certifcation Center Service Co. Ltd., Guangzhou 510610, China）

This paper focuses on analyzing how to assess the service provider’s security management ability when enterprises select SaaS service, aiming at providing reference and guidance for the enterprises when selecting various SaaS service.

cloud service; SaaS; security assessment; information security

广州市科技计划项目；项目编号：201604010033。

钟世敏（1979— ），男，广东广州，本科，技术工程师；研究方向：云计算安全理论与实践。