從銀行存錢看SaaS和云服務是否會出安全事故:CIO應該知道的四招

責任編輯:editor004

作者:曹開彬

2015-06-01 21:46:57

摘自:中國軟件網(wǎng)

今天我想談的話題就是,利用銀行存錢的類比來看一個CIO如何判斷SaaS或云服務的安全性。就像銀行存錢,銀行要保證安保嚴密,保證能正常運營;同時,銀行要保證我們的錢不會遺失。通過這個四招,你心中就能對這個SaaS和云服務商的安全性做出一個初步的判斷。

上周由于在忙于籌備我們中國軟件網(wǎng)的產業(yè)投資基金,沒有來得及寫文章,偷懶了!但這幾天卻發(fā)生了幾件很有影響力的大事:5月27日支付寶出現(xiàn)大規(guī)模用戶無法登錄和支付,持續(xù)時間2小時;5月28日攜程官網(wǎng)和App出現(xiàn)癱瘓,持續(xù)時間12小時。(當然,還有娛樂界范冰冰和李晨成為“我們”。)事情現(xiàn)在已過去了,原因也找到了。但在我看來,這還遠遠沒有過去。這是“我們”云計算業(yè)界的一件大事:為客戶一直努力提供各種SaaS和云服務的“我們”,真的安全嗎?如果你是一名在自己企業(yè)負責信息化的CIO,如果同時你又采用了某個公司的某種SaaS業(yè)務,你由這些大事想到了你所租用的系統(tǒng)也有可能會出現(xiàn)類似的安全事故嗎?今天我想談的話題就是,利用銀行存錢的類比來看一個CIO如何判斷SaaS或云服務的安全性。

SaaS安全的幾個層次

銀行存錢,在很多方面很像我們的SaaS或云服務;因此,我們用此來類比,看看如何保障我們所用SaaS或云服務的安全性??傮w而言,SaaS的安全性包括兩個層次,即系統(tǒng)安全和數(shù)據(jù)安全。系統(tǒng)安全是指要保證SaaS服務的正常運行,數(shù)據(jù)安全是指數(shù)據(jù)不能丟失。就像銀行存錢,銀行要保證安保嚴密,保證能正常運營;同時,銀行要保證我們的錢不會遺失。

對銀行而言,保證正常運營的安全措施有很多,從進門、辦理業(yè)務到IT系統(tǒng)運維、現(xiàn)金保管、鈔票運輸?shù)榷加幸徽椎陌踩雷o系統(tǒng)。對于SaaS和云服務而言,同樣要有防火墻、防網(wǎng)絡惡意攻擊等足夠完整全面的安全解決方案來保護系統(tǒng)安全,以確保系統(tǒng)能7X24小時正常運營。

相對系統(tǒng)安全,數(shù)據(jù)安全涉及內容較多,也較復雜,往往容易被CIO們所誤解。就像我們在銀行存錢,會涉及到四個關于錢本身的安全問題,即所存的數(shù)額是否準確、所存的錢能否安全取出到自己手上、取出的錢是否保證是真鈔,自己的隱私能否得到保證。SaaS和云服務的數(shù)據(jù)安全問題也涉及四個問題,即數(shù)據(jù)的準確性、數(shù)據(jù)的不被泄漏性、數(shù)據(jù)的導入導出、數(shù)據(jù)的備份。SaaS的數(shù)據(jù)安全也可以從個環(huán)節(jié)去考量,即數(shù)據(jù)傳輸、數(shù)據(jù)存儲和數(shù)據(jù)應用。SaaS和云服務商要在這三個環(huán)節(jié)都保證數(shù)據(jù)不丟失、不篡改、不泄密。

四招拷問SaaS安全

安全有時看不見摸不著,在出現(xiàn)問題之前還不知道情況到底怎樣。因此,CIO往往很難判別一個SaaS或云服務商的安全性。銀行存錢也一樣,在錢出問題之前,誰也不知道會不會出問題。這兒給大家支四招。

第一招,看門臉。銀行好不好,其網(wǎng)點、ATM機等形象的好壞是一個直觀的判斷標準。SaaS和云服務也一樣,其網(wǎng)站、其APP做得怎樣,也是一個直觀的判斷標準。如果網(wǎng)站做得很差,體驗不友好,往往其安全水平也一般。當然,看門臉也包括從服務商的品牌來判斷。品牌知名度越高、美譽度越好的廠商,其安全性較好。尤其是可以上網(wǎng)查查,這個服務商之前是否曾出現(xiàn)過類似的安全事故。出現(xiàn)之后,他們的響應速度、解決方案是什么。

第二招,看措施。銀行好不好,其安保措施和業(yè)務規(guī)范性是很重要的指標。SaaS的安全性也一樣,我們可以向SaaS和云服務提供商詳細詢問他們在系統(tǒng)安全、數(shù)據(jù)安全方面所采取的具體措施。例如,都采用了哪些信息安全工具和解決方案,公司內部采取了什么重要流程。這些解決方案中,用的是什么品牌,花了多少投資。這些問題都需要他們提供一個書面的材料。安全水平高的服務商,提供的材料往往非常專業(yè)。

第三招,看備份。一個銀行網(wǎng)點的多少、準備金的多少,對保證儲戶享受到持續(xù)正常的服務非常重要。SaaS和云服務也一樣,要非常重視備份的作用。備份包括兩個層面,第一是系統(tǒng)的熱備份,即所謂多活。正常使用的系統(tǒng)出現(xiàn)故障,備份系統(tǒng)能馬上跟進,確保用戶的正常使用。第二是數(shù)據(jù)的備份,即系統(tǒng)產生的數(shù)據(jù)是否擁有備份。更重要的是,還可以拷問是否擁有異地備份,或跨云備份。

第四招,看合同。銀行存錢不用簽訂合同,但享用SaaS和云服務必須要簽訂正式合同??雌涓袷胶贤囊?guī)范性、內容是否完整,能看出很多端倪。(如果服務商連格式合同都沒有,則其可靠性更值得懷疑。)合同中,要重點考察的一個條款是,如果不是天災等不可抗拒因素造成SaaS和云服務系統(tǒng)不能正常運營、造成數(shù)據(jù)丟失等情況,服務商有何補償措施。你會發(fā)現(xiàn),這個條款千差萬別,很多服務商都有不同的解讀。非常有意思!

通過這個四招,你心中就能對這個SaaS和云服務商的安全性做出一個初步的判斷。

SaaS安全的新趨勢

在所謂“云物移大智”的新形勢下,SaaS和云服務的安全面臨三個新趨勢。首當其沖的便是移動互聯(lián)網(wǎng)帶來新的安全風險。由于很多企業(yè)采用的都是BYOD,因此移動終端的數(shù)據(jù)泄密和漏洞攻擊的風險極大增加?,F(xiàn)在,很多SaaS和云服務都有了移動客戶端,但與之相應的安全管理卻沒有得到加強。

第二,“內鬼”做案的機率在增加。目前90%的安全手段和工具都是用來防止“外鬼”和意外事故,但防止內鬼的手段和措施較少。對于這方面的風險,需要服務商做好防范。關鍵是做好流程的規(guī)范性、數(shù)據(jù)的加密。

第三,逐漸會出現(xiàn)安全扯皮?,F(xiàn)在SaaS和IaaSPaaS的結合越來越緊密,尤其是和IaaS的結合,已成為新推出SaaS的首選部署方式。哪些安全是SaaS提供商應該負責,哪些是IaaS廠商應該負責,兩者的分工與責任如何擔當,需要了解清楚。

一個建議

對于CIO而言,我們一旦選擇了某個廠商的SaaS或云服務,則是將自己的“身家性命”交給他了。系統(tǒng)使用狀況如何,我們自己基本使不上勁,完全交由提供商處理了。

因此,我的建議是,在選擇SaaS或云服務商時,一定要做好一個最壞的打算:即提供商破產了、系統(tǒng)根本不能用了,我們怎么辦?事實上,沒有什么非常好的解決方案,最根本的一點是,選擇可靠的、負責任的提供商做合作伙伴!另外,就是要做好充分的數(shù)據(jù)備份。當需要重新再來、東山再起時,有再來的基礎。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號