上周由于在忙于籌備我們中國軟件網的產業投資基金,沒有來得及寫文章,偷懶了!但這幾天卻發生了幾件很有影響力的大事:5月27日支付寶出現大規模用戶無法登錄和支付,持續時間2小時;5月28日攜程官網和App出現癱瘓,持續時間12小時。(當然,還有娛樂界范冰冰和李晨成為“我們”。)事情現在已過去了,原因也找到了。但在我看來,這還遠遠沒有過去。這是“我們”云計算業界的一件大事:為客戶一直努力提供各種SaaS和云服務的“我們”,真的安全嗎?如果你是一名在自己企業負責信息化的CIO,如果同時你又采用了某個公司的某種SaaS業務,你由這些大事想到了你所租用的系統也有可能會出現類似的安全事故嗎?今天我想談的話題就是,利用銀行存錢的類比來看一個CIO如何判斷SaaS或云服務的安全性。
SaaS安全的幾個層次
銀行存錢,在很多方面很像我們的SaaS或云服務;因此,我們用此來類比,看看如何保障我們所用SaaS或云服務的安全性。總體而言,SaaS的安全性包括兩個層次,即系統安全和數據安全。系統安全是指要保證SaaS服務的正常運行,數據安全是指數據不能丟失。就像銀行存錢,銀行要保證安保嚴密,保證能正常運營;同時,銀行要保證我們的錢不會遺失。
對銀行而言,保證正常運營的安全措施有很多,從進門、辦理業務到IT系統運維、現金保管、鈔票運輸等都有一整套的安全防護系統。對于SaaS和云服務而言,同樣要有防火墻、防網絡惡意攻擊等足夠完整全面的安全解決方案來保護系統安全,以確保系統能7X24小時正常運營。
相對系統安全,數據安全涉及內容較多,也較復雜,往往容易被CIO們所誤解。就像我們在銀行存錢,會涉及到四個關于錢本身的安全問題,即所存的數額是否準確、所存的錢能否安全取出到自己手上、取出的錢是否保證是真鈔,自己的隱私能否得到保證。SaaS和云服務的數據安全問題也涉及四個問題,即數據的準確性、數據的不被泄漏性、數據的導入導出、數據的備份。SaaS的數據安全也可以從個環節去考量,即數據傳輸、數據存儲和數據應用。SaaS和云服務商要在這三個環節都保證數據不丟失、不篡改、不泄密。
四招拷問SaaS安全
安全有時看不見摸不著,在出現問題之前還不知道情況到底怎樣。因此,CIO往往很難判別一個SaaS或云服務商的安全性。銀行存錢也一樣,在錢出問題之前,誰也不知道會不會出問題。這兒給大家支四招。
第一招,看門臉。銀行好不好,其網點、ATM機等形象的好壞是一個直觀的判斷標準。SaaS和云服務也一樣,其網站、其APP做得怎樣,也是一個直觀的判斷標準。如果網站做得很差,體驗不友好,往往其安全水平也一般。當然,看門臉也包括從服務商的品牌來判斷。品牌知名度越高、美譽度越好的廠商,其安全性較好。尤其是可以上網查查,這個服務商之前是否曾出現過類似的安全事故。出現之后,他們的響應速度、解決方案是什么。
第二招,看措施。銀行好不好,其安保措施和業務規范性是很重要的指標。SaaS的安全性也一樣,我們可以向SaaS和云服務提供商詳細詢問他們在系統安全、數據安全方面所采取的具體措施。例如,都采用了哪些信息安全工具和解決方案,公司內部采取了什么重要流程。這些解決方案中,用的是什么品牌,花了多少投資。這些問題都需要他們提供一個書面的材料。安全水平高的服務商,提供的材料往往非常專業。
第三招,看備份。一個銀行網點的多少、準備金的多少,對保證儲戶享受到持續正常的服務非常重要。SaaS和云服務也一樣,要非常重視備份的作用。備份包括兩個層面,第一是系統的熱備份,即所謂多活。正常使用的系統出現故障,備份系統能馬上跟進,確保用戶的正常使用。第二是數據的備份,即系統產生的數據是否擁有備份。更重要的是,還可以拷問是否擁有異地備份,或跨云備份。
第四招,看合同。銀行存錢不用簽訂合同,但享用SaaS和云服務必須要簽訂正式合同。看其格式合同的規范性、內容是否完整,能看出很多端倪。(如果服務商連格式合同都沒有,則其可靠性更值得懷疑。)合同中,要重點考察的一個條款是,如果不是天災等不可抗拒因素造成SaaS和云服務系統不能正常運營、造成數據丟失等情況,服務商有何補償措施。你會發現,這個條款千差萬別,很多服務商都有不同的解讀。非常有意思!
通過這個四招,你心中就能對這個SaaS和云服務商的安全性做出一個初步的判斷。
SaaS安全的新趨勢
在所謂“云物移大智”的新形勢下,SaaS和云服務的安全面臨三個新趨勢。首當其沖的便是移動互聯網帶來新的安全風險。由于很多企業采用的都是BYOD,因此移動終端的數據泄密和漏洞攻擊的風險極大增加。現在,很多SaaS和云服務都有了移動客戶端,但與之相應的安全管理卻沒有得到加強。
第二,“內鬼”做案的機率在增加。目前90%的安全手段和工具都是用來防止“外鬼”和意外事故,但防止內鬼的手段和措施較少。對于這方面的風險,需要服務商做好防范。關鍵是做好流程的規范性、數據的加密。
第三,逐漸會出現安全扯皮。現在SaaS和IaaS、PaaS的結合越來越緊密,尤其是和IaaS的結合,已成為新推出SaaS的首選部署方式。哪些安全是SaaS提供商應該負責,哪些是IaaS廠商應該負責,兩者的分工與責任如何擔當,需要了解清楚。
一個建議
對于CIO而言,我們一旦選擇了某個廠商的SaaS或云服務,則是將自己的“身家性命”交給他了。系統使用狀況如何,我們自己基本使不上勁,完全交由提供商處理了。
因此,我的建議是,在選擇SaaS或云服務商時,一定要做好一個最壞的打算:即提供商破產了、系統根本不能用了,我們怎么辦?事實上,沒有什么非常好的解決方案,最根本的一點是,選擇可靠的、負責任的提供商做合作伙伴!另外,就是要做好充分的數據備份。當需要重新再來、東山再起時,有再來的基礎。
京公網安備 11010502049343號