日前,SaaS先鋒dayHR獲得國際安全行業領先企業賽門鐵克頒發的Symantec SSL認證消息一出,隨即在業內引起強烈反響,國內超20家主流媒體紛紛轉載報道。一次安全認證為何這么“引人注目”?有人歸結為國際權威認證機構的號召力,更多人則從中嗅到了網絡信息安全與隱私危機的敏感氣息。眼看著“偽基站短信詐騙”、“個人信息泄露”等甚囂塵上,企業云服務信息安全問題也開始“蠢蠢欲動”。
僅憑云安全 耽誤國內SaaS發展近10年?
有資料顯示:SaaS剛在國際上嶄露頭角,2003年,國內就開始了這方面的探索。對比中外在互聯網和移動互聯網領域的發展速度,照理來說,10年之內在技術與服務上趕超國外絕對沒有懸念。可是現實卻骨感得很,幾年之間,Salesforce估值超450億美元,workday上市后市值破95億美元,云ERP廠商NetSuite市值突破82.3億美元,連后來居上的“獨角獸”如Zenefits、slack等估值早已超數十億美元。反觀國內,SaaS在歷經一段不溫不火的發展后,還沒能誕生出一個可以與Salesforce、workday等匹敵的品牌,倒是零星誕生了理才網、北森、浪潮、東軟、今目標、紛享銷客、銷售易、金柚網等SaaS 云服務廠商。究竟是什么耽誤了SaaS在國內發展的黃金十年?是技術實力滯后?涵蓋面過少?收費門檻高?還是市場需求過小?可惜都不是,致命的短板其實在云安全上。
“安全問題是阻止企業選擇SaaS的首要原因”Forrester分析師曾如是表示。SaaS起步之初,國內云主機資源匱乏,亞馬遜云縱然享譽全球,飄揚過海,加上概率很低的服務中斷和“信息門”安全事故,不少用戶在選用SaaS軟件服務時難免心生疑竇。當然,因為國內的互聯網信用監管和法律不夠完善,企業對互聯網數據傳輸可能導致的商業機密泄露、黑客攻擊、信息截流等難免多一層擔憂。眼下阿里云、騰訊云、華為云、天翼云、搜狐云等云主機百花齊放,企業用戶對云安全的顧慮少了許多,可總覺得還缺點什么。到底還缺什么?對比國外熱門SaaS應用的“安全盾”,不少人頓有所悟:原來是第三方安全認證。以salesforces為例,在云安全上,salesforces早年便獲得歐盟安全港標志的認證許可,為了凸顯自己的國際化色彩,還因此遵循了美國- 歐盟和美國 - 瑞士的安全港框架,加上TRUSTe 網絡隱私標志的認證許可,等同于為用戶打了一針“興奮劑”。SaaS HR 領域,Workday在云安全上也沒少下功夫。除了照搬salesforces的兩重防護,Workday還獲得AICPC美國注冊會計師協會的服務組織控制(SOC)報告和ISO27001信息安全認證,為開拓中國市場提前鋪路。可惜實力過硬的它在免費商業模式和“水土不服”綜合癥面前多次碰壁,目前在國內的接受度依然不高。其他如IBM、甲骨文公司等也有相應的部署。
實力過硬,為何還需要“認證招牌”來說話?除了行業缺乏統一的衡量標準和評判機制,認證機構的公信力和所能帶來的實質性技術保障是重要原因。眾所周知,云安全無外乎技術和非技術兩大層面。眼下技術層面的安全防護快要觸及天花板,非技術層面的第三方認證自然很快“上位”,成為完善企業信譽、產品評估、合約約束等的重要手段。
國內開展云服務安全認證的歷史并不長,可是認可度與接受度頗高。以威瑞信(VeriSign SSL)為例,威瑞信目前屬賽門鐵克旗下,是較早進入國內市場的網絡安全認證證書之一,在全球都具有頗高的知名度與公信力。據媒體報道:VeriSign SSL主打技術加密安全認證,目前超93%的財富500強企業,97%的世界100大銀行以及全球50家最大電子商務網站中的47家都選擇了該公司的數字認證服務,其震懾力可見一斑。2012年,在SaaS行業擁有7年資歷的北森獲得威瑞信認證,在崇尚“技術為王”、“野蠻生長”的業內帶來一陣騷動,對SaaS的安全質疑也頓時瓦解不少。等到成立才1年多的理才網短時間內突破200萬用戶,還一舉囊括VeriSign SSL安全認證,就不難理解為什么它能再次引起轟動了。目前,安全認證在行業興起一股熱潮。除了強化云安全的阿里云、華為云等,轉型SaaS云服務的金蝶、八百客等也積極加快了第三方認證的步伐。隨著企業擁抱互聯網進程的加快,專家紛紛預言“成本低、升級快、功能全、靈活化”的SaaS云服務將主導企業應用的未來。不過在此之前,除了以上技術這等硬實力,安全指數的高級與否,或將迎來內部競爭的另一輪洗牌。畢竟,安全性素來都是企業重度決策的“終極參考”。
告別裸奔 SaaS云服務如何抵御內外攻擊?
互聯網安全一直是廣大網民頭疼的問題,即使有千萬種殺毒軟件、防火墻、網盾、安全認證輪番轟炸,很多人還是沒法高枕無憂。牽涉到個人,尚且“戰戰兢兢,如履薄冰”;牽涉到企業機密,等同于身系上千億資產,不用想,都知道高層們的決策得有多謹慎了。了解企業應用發展軌跡的人或多或少都知道局域網、廣域網、互聯網以及現在熱門的SaaS、移動辦公的那些事兒。幾代更迭,產品在技術、服務、安全性等方面不斷完善,不過某天看到信息安全事故頻發,有人不禁懷念起“局域網”的好處來:局域網盛行的年代,外面的進不來,內部交互無礙。“世外桃源”的構想雖美,不過千萬別因此將“封閉式網絡”和“沒風險”劃上等號。對于當下的企業而言,“信息孤島”比相對安全的互聯網環境更為可怕,更何況內部泄密的危機根本沒有解決。既想擁抱互聯網,享受SaaS服務的實在好處,又想根除“內部安全危機”,兩者如何實現?目前時下最盛行的方法莫過于權限分派和責任到人。選擇滿足企業需求的應用平臺,根據操作者在公司中扮演的職能進行放權,操作歷史與負責數據皆有章可循,可以規避一定商業風險。(很多新生代SaaS開發商都是這樣做的,dayHR的全員化理念就源于這一原理,避開了傳統超級管理員的僵化格局。)目前大多數互聯網企業應用產品皆可實現核心內容加密、隱私密封、數據安全傳輸等選項,加之平臺固有的隱私保密協議,暫時可以松口氣。基于物理、網絡、人員與流程管理、數據存儲處理等多方位防護,照理來說,成本方面會是不小的負荷,不過互聯網的邊際成本遠低于硬件布施的成本,眼下甚至還出現一批免費實用的云平臺如美國Zenefits 、理才網dayHR、今目標等,安全成本幾近于零,倒令不少企業“大喜過望”。
除了內部危機,DDoS、CC攻擊、數據攔截、病毒等外部攻擊也是企業用戶普遍關注的話題。有數據顯示:早在2012年,歐洲企業采用SaaS模式進行安全防護就已經高達33.18%,三分之一的企業通過SaaS模式做郵件保護。不過同年中國云安全調查的結果卻顯示:SaaS依然被27%的受訪者認為是不安全的云計算模式,兩者形成巨大反差。3年過后,SaaS迎來新一輪發展高潮,2015年間投融資金額穩居榜首,云安全的話題再度被提上日程顯得并不意外。作為云安全的重要衡量指標,安全認證趁機火了一把。筆者了解到:目前主流信息安全認證集中在ISO信息安全認證、可信云服務認證、威瑞信、云安全國際認證、TRUSTe等上,其中威瑞信 SSL認證在國內備受推崇。SSL基于記錄協議,不僅提供數據封裝、壓縮、加密等基本功能,同時兼具身份認證、數字簽名、隱私保護、多重加密機制等。通過認證的域名呈淺綠色,瀏覽器顯示出“鎖”的安全標志,持續保障客戶端和服務器間的安全通訊。據不完全統計:目前國內幾大云主機廠商如阿里云、騰訊云、華為云等悉數加入了云安全認證陣容,云服務“裸奔”的年代逐漸走遠。隨著SaaS HR (如人才資本管理云平臺dayHR)、SaaS CRM (如銷售管理紛享銷客)、SaaS OA (比如阿里的釘釘)等陸續通過認證,國內外SaaS產業的發展差距也在逐漸縮小,而這將成為國內誕生SaaS 巨頭的契機也未可知。
京公網安備 11010502049343號