日前��,SaaS先鋒dayHR獲得國際安全行業(yè)領(lǐng)先企業(yè)賽門鐵克頒發(fā)的Symantec SSL認證消息一出���,隨即在業(yè)內(nèi)引起強烈反響����,國內(nèi)超20家主流媒體紛紛轉(zhuǎn)載報道。
日前���,SaaS先鋒dayHR獲得國際安全行業(yè)領(lǐng)先企業(yè)賽門鐵克頒發(fā)的Symantec SSL認證消息一出����,隨即在業(yè)內(nèi)引起強烈反響���,國內(nèi)超20家主流媒體紛紛轉(zhuǎn)載報道���。一次安全認證為何這么“引人注目”?有人歸結(jié)為國際權(quán)威認證機構(gòu)的號召力,更多人則從中嗅到了網(wǎng)絡(luò)信息安全與隱私危機的敏感氣息����。眼看著“偽基站短信詐騙”、“個人信息泄露”等甚囂塵上����,企業(yè)云服務(wù)信息安全問題也開始“蠢蠢欲動”。
僅憑云安全 耽誤國內(nèi)SaaS發(fā)展近10年�?
有資料顯示:SaaS剛在國際上嶄露頭角,2003年����,國內(nèi)就開始了這方面的探索。對比中外在互聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)領(lǐng)域的發(fā)展速度�,照理來說,10年之內(nèi)在技術(shù)與服務(wù)上趕超國外絕對沒有懸念����。可是現(xiàn)實卻骨感得很�,幾年之間,Salesforce估值超450億美元���,workday上市后市值破95億美元����,云ERP廠商NetSuite市值突破82.3億美元��,連后來居上的“獨角獸”如Zenefits�、slack等估值早已超數(shù)十億美元。反觀國內(nèi)�,SaaS在歷經(jīng)一段不溫不火的發(fā)展后,還沒能誕生出一個可以與Salesforce��、workday等匹敵的品牌�,倒是零星誕生了理才網(wǎng)���、北森、浪潮����、東軟、今目標�、紛享銷客、銷售易���、金柚網(wǎng)等SaaS 云服務(wù)廠商�。究竟是什么耽誤了SaaS在國內(nèi)發(fā)展的黃金十年?是技術(shù)實力滯后?涵蓋面過少?收費門檻高?還是市場需求過小?可惜都不是�����,致命的短板其實在云安全上��。
“安全問題是阻止企業(yè)選擇SaaS的首要原因”Forrester分析師曾如是表示���。SaaS起步之初����,國內(nèi)云主機資源匱乏����,亞馬遜云縱然享譽全球�,飄揚過海�,加上概率很低的服務(wù)中斷和“信息門”安全事故,不少用戶在選用SaaS軟件服務(wù)時難免心生疑竇��。當然����,因為國內(nèi)的互聯(lián)網(wǎng)信用監(jiān)管和法律不夠完善��,企業(yè)對互聯(lián)網(wǎng)數(shù)據(jù)傳輸可能導(dǎo)致的商業(yè)機密泄露���、黑客攻擊���、信息截流等難免多一層擔憂。眼下阿里云���、騰訊云����、華為云�、天翼云��、搜狐云等云主機百花齊放���,企業(yè)用戶對云安全的顧慮少了許多,可總覺得還缺點什么�����。到底還缺什么?對比國外熱門SaaS應(yīng)用的“安全盾”����,不少人頓有所悟:原來是第三方安全認證。以salesforces為例��,在云安全上�,salesforces早年便獲得歐盟安全港標志的認證許可,為了凸顯自己的國際化色彩��,還因此遵循了美國- 歐盟和美國 -瑞士的安全港框架�����,加上TRUSTe 網(wǎng)絡(luò)隱私標志的認證許可�����,等同于為用戶打了一針“興奮劑”。SaaS HR 領(lǐng)域��,Workday在云安全上也沒少下功夫�。除了照搬salesforces的兩重防護,Workday還獲得AICPC美國注冊會計師協(xié)會的服務(wù)組織控制(SOC)報告和ISO27001信息安全認證���,為開拓中國市場提前鋪路�����。可惜實力過硬的它在免費商業(yè)模式和“水土不服”綜合癥面前多次碰壁����,目前在國內(nèi)的接受度依然不高。其他如IBM�、甲骨文公司等也有相應(yīng)的部署。
實力過硬�,為何還需要“認證招牌”來說話?除了行業(yè)缺乏統(tǒng)一的衡量標準和評判機制,認證機構(gòu)的公信力和所能帶來的實質(zhì)性技術(shù)保障是重要原因���。眾所周知���,云安全無外乎技術(shù)和非技術(shù)兩大層面�����。眼下技術(shù)層面的安全防護快要觸及天花板�,非技術(shù)層面的第三方認證自然很快“上位”����,成為完善企業(yè)信譽、產(chǎn)品評估���、合約約束等的重要手段��。
國內(nèi)開展云服務(wù)安全認證的歷史并不長�,可是認可度與接受度頗高��。以威瑞信(VeriSign SSL)為例����,威瑞信目前屬賽門鐵克旗下,是較早進入國內(nèi)市場的網(wǎng)絡(luò)安全認證證書之一���,在全球都具有頗高的知名度與公信力��。據(jù)媒體報道:VeriSign SSL主打技術(shù)加密安全認證��,目前超93%的財富500強企業(yè)���,97%的世界100大銀行以及全球50家最大電子商務(wù)網(wǎng)站中的47家都選擇了該公司的數(shù)字認證服務(wù)���,其震懾力可見一斑。2012年�,在SaaS行業(yè)擁有7年資歷的北森獲得威瑞信認證,在崇尚“技術(shù)為王”�、“野蠻生長”的業(yè)內(nèi)帶來一陣騷動,對SaaS的安全質(zhì)疑也頓時瓦解不少����。等到成立才1年多的理才網(wǎng)短時間內(nèi)突破200萬用戶����,還一舉囊括VeriSign SSL安全認證,就不難理解為什么它能再次引起轟動了���。目前��,安全認證在行業(yè)興起一股熱潮��。除了強化云安全的阿里云����、華為云等,轉(zhuǎn)型SaaS云服務(wù)的金蝶����、八百客等也積極加快了第三方認證的步伐。隨著企業(yè)擁抱互聯(lián)網(wǎng)進程的加快���,專家紛紛預(yù)言“成本低�����、升級快����、功能全��、靈活化”的SaaS云服務(wù)將主導(dǎo)企業(yè)應(yīng)用的未來�����。不過在此之前�����,除了以上技術(shù)這等硬實力,安全指數(shù)的高級與否���,或?qū)⒂瓉韮?nèi)部競爭的另一輪洗牌�����。畢竟����,安全性素來都是企業(yè)重度決策的“終極參考”����。
告別裸奔 SaaS云服務(wù)如何抵御內(nèi)外攻擊?
互聯(lián)網(wǎng)安全一直是廣大網(wǎng)民頭疼的問題�,即使有千萬種殺毒軟件、防火墻����、網(wǎng)盾��、安全認證輪番轟炸����,很多人還是沒法高枕無憂��。牽涉到個人�,尚且“戰(zhàn)戰(zhàn)兢兢��,如履薄冰”;牽涉到企業(yè)機密�����,等同于身系上千億資產(chǎn)����,不用想,都知道高層們的決策得有多謹慎了�����。了解企業(yè)應(yīng)用發(fā)展軌跡的人或多或少都知道局域網(wǎng)��、廣域網(wǎng)��、互聯(lián)網(wǎng)以及現(xiàn)在熱門的SaaS���、移動辦公的那些事兒�。幾代更迭,產(chǎn)品在技術(shù)�����、服務(wù)�����、安全性等方面不斷完善�����,不過某天看到信息安全事故頻發(fā)�����,有人不禁懷念起“局域網(wǎng)”的好處來:局域網(wǎng)盛行的年代�����,外面的進不來��,內(nèi)部交互無礙�。“世外桃源”的構(gòu)想雖美���,不過千萬別因此將“封閉式網(wǎng)絡(luò)”和“沒風險”劃上等號�。對于當下的企業(yè)而言,“信息孤島”比相對安全的互聯(lián)網(wǎng)環(huán)境更為可怕�,更何況內(nèi)部泄密的危機根本沒有解決。既想擁抱互聯(lián)網(wǎng)�,享受SaaS服務(wù)的實在好處,又想根除“內(nèi)部安全危機”�,兩者如何實現(xiàn)?目前時下最盛行的方法莫過于權(quán)限分派和責任到人。選擇滿足企業(yè)需求的應(yīng)用平臺����,根據(jù)操作者在公司中扮演的職能進行放權(quán),操作歷史與負責數(shù)據(jù)皆有章可循���,可以規(guī)避一定商業(yè)風險���。(很多新生代SaaS開發(fā)商都是這樣做的,dayHR的全員化理念就源于這一原理�,避開了傳統(tǒng)超級管理員的僵化格局。)目前大多數(shù)互聯(lián)網(wǎng)企業(yè)應(yīng)用產(chǎn)品皆可實現(xiàn)核心內(nèi)容加密�、隱私密封、數(shù)據(jù)安全傳輸?shù)冗x項�����,加之平臺固有的隱私保密協(xié)議,暫時可以松口氣�����?�;谖锢?��、網(wǎng)絡(luò)���、人員與流程管理、數(shù)據(jù)存儲處理等多方位防護�,照理來說,成本方面會是不小的負荷���,不過互聯(lián)網(wǎng)的邊際成本遠低于硬件布施的成本����,眼下甚至還出現(xiàn)一批免費實用的云平臺如美國Zenefits ����、理才網(wǎng)dayHR、今目標等,安全成本幾近于零����,倒令不少企業(yè)“大喜過望”����。
除了內(nèi)部危機,DDoS�����、CC攻擊���、數(shù)據(jù)攔截��、病毒等外部攻擊也是企業(yè)用戶普遍關(guān)注的話題����。有數(shù)據(jù)顯示:早在2012年�,歐洲企業(yè)采用SaaS模式進行安全防護就已經(jīng)高達33.18%,三分之一的企業(yè)通過SaaS模式做郵件保護���。不過同年中國云安全調(diào)查的結(jié)果卻顯示:SaaS依然被27%的受訪者認為是不安全的云計算模式����,兩者形成巨大反差。3年過后��,SaaS迎來新一輪發(fā)展高潮�����,2015年間投融資金額穩(wěn)居榜首�,云安全的話題再度被提上日程顯得并不意外。作為云安全的重要衡量指標��,安全認證趁機火了一把����。筆者了解到:目前主流信息安全認證集中在ISO信息安全認證、可信云服務(wù)認證�、威瑞信、云安全國際認證��、TRUSTe等上���,其中威瑞信 SSL認證在國內(nèi)備受推崇���。SSL基于記錄協(xié)議���,不僅提供數(shù)據(jù)封裝、壓縮��、加密等基本功能��,同時兼具身份認證���、數(shù)字簽名、隱私保護���、多重加密機制等����。通過認證的域名呈淺綠色����,瀏覽器顯示出“鎖”的安全標志,持續(xù)保障客戶端和服務(wù)器間的安全通訊��。據(jù)不完全統(tǒng)計:目前國內(nèi)幾大云主機廠商如阿里云����、騰訊云���、華為云等悉數(shù)加入了云安全認證陣容,云服務(wù)“裸奔”的年代逐漸走遠����。隨著SaaS HR (如人才資本管理云平臺dayHR)、SaaS CRM (如銷售管理紛享銷客)�����、SaaS OA (比如阿里的釘釘)等陸續(xù)通過認證�����,國內(nèi)外SaaS產(chǎn)業(yè)的發(fā)展差距也在逐漸縮小����,而這將成為國內(nèi)誕生SaaS 巨頭的契機也未可知。
