日前,SaaS先锋dayHR获得国际安全行业领先企业赛门铁克颁发的Symantec SSL认证消息一出,随即在业内引起强烈反响,国内超20家主流媒体纷纷转载报道。一次安全认证为何这么“引人注目”?有人归结为国际权威认证机构的号召力,更多人则从中嗅到了网络信息安全与隐私危机的敏感气息。眼看着“伪基站短信诈骗”、“个人信息泄露”等甚嚣尘上,企业云服务信息安全问题也开始“蠢蠢欲动”。
仅凭云安全 耽误国内SaaS发展近10年?
有资料显示:SaaS刚在国际上崭露头角,2003年,国内就开始了这方面的探索。对比中外在互联网和移动互联网领域的发展速度,照理来说,10年之内在技术与服务上赶超国外绝对没有悬念。可是现实却骨感得很,几年之间,Salesforce估值超450亿美元,workday上市后市值破95亿美元,云ERP厂商NetSuite市值突破82.3亿美元,连后来居上的“独角兽”如Zenefits、slack等估值早已超数十亿美元。反观国内,SaaS在历经一段不温不火的发展后,还没能诞生出一个可以与Salesforce、workday等匹敌的品牌,倒是零星诞生了理才网、北森、浪潮、东软、今目标、纷享销客、销售易、金柚网等SaaS 云服务厂商。究竟是什么耽误了SaaS在国内发展的黄金十年?是技术实力滞后?涵盖面过少?收费门槛高?还是市场需求过小?可惜都不是,致命的短板其实在云安全上。
“安全问题是阻止企业选择SaaS的首要原因”Forrester分析师曾如是表示。SaaS起步之初,国内云主机资源匮乏,亚马逊云纵然享誉全球,飘扬过海,加上概率很低的服务中断和“信息门”安全事故,不少用户在选用SaaS软件服务时难免心生疑窦。当然,因为国内的互联网信用监管和法律不够完善,企业对互联网数据传输可能导致的商业机密泄露、黑客攻击、信息截流等难免多一层担忧。眼下阿里云、腾讯云、华为云、天翼云、搜狐云等云主机百花齐放,企业用户对云安全的顾虑少了许多,可总觉得还缺点什么。到底还缺什么?对比国外热门SaaS应用的“安全盾”,不少人顿有所悟:原来是第三方安全认证。以salesforces为例,在云安全上,salesforces早年便获得欧盟安全港标志的认证许可,为了凸显自己的国际化色彩,还因此遵循了美国- 欧盟和美国 -瑞士的安全港框架,加上TRUSTe 网络隐私标志的认证许可,等同于为用户打了一针“兴奋剂”。SaaS HR 领域,Workday在云安全上也没少下功夫。除了照搬salesforces的两重防护,Workday还获得AICPC美国注册会计师协会的服务组织控制(SOC)报告和ISO27001信息安全认证,为开拓中国市场提前铺路。可惜实力过硬的它在免费商业模式和“水土不服”综合症面前多次碰壁,目前在国内的接受度依然不高。其他如IBM、甲骨文公司等也有相应的部署。
实力过硬,为何还需要“认证招牌”来说话?除了行业缺乏统一的衡量标准和评判机制,认证机构的公信力和所能带来的实质性技术保障是重要原因。众所周知,云安全无外乎技术和非技术两大层面。眼下技术层面的安全防护快要触及天花板,非技术层面的第三方认证自然很快“上位”,成为完善企业信誉、产品评估、合约约束等的重要手段。
国内开展云服务安全认证的历史并不长,可是认可度与接受度颇高。以威瑞信(VeriSign SSL)为例,威瑞信目前属赛门铁克旗下,是较早进入国内市场的网络安全认证证书之一,在全球都具有颇高的知名度与公信力。据媒体报道:VeriSign SSL主打技术加密安全认证,目前超93%的财富500强企业,97%的世界100大银行以及全球50家最大电子商务网站中的47家都选择了该公司的数字认证服务,其震慑力可见一斑。2012年,在SaaS行业拥有7年资历的北森获得威瑞信认证,在崇尚“技术为王”、“野蛮生长”的业内带来一阵骚动,对SaaS的安全质疑也顿时瓦解不少。等到成立才1年多的理才网短时间内突破200万用户,还一举囊括VeriSign SSL安全认证,就不难理解为什么它能再次引起轰动了。目前,安全认证在行业兴起一股热潮。除了强化云安全的阿里云、华为云等,转型SaaS云服务的金蝶、八百客等也积极加快了第三方认证的步伐。随着企业拥抱互联网进程的加快,专家纷纷预言“成本低、升级快、功能全、灵活化”的SaaS云服务将主导企业应用的未来。不过在此之前,除了以上技术这等硬实力,安全指数的高级与否,或将迎来内部竞争的另一轮洗牌。毕竟,安全性素来都是企业重度决策的“终极参考”。
告别裸奔 SaaS云服务如何抵御内外攻击?
互联网安全一直是广大网民头疼的问题,即使有千万种杀毒软件、防火墙、网盾、安全认证轮番轰炸,很多人还是没法高枕无忧。牵涉到个人,尚且“战战兢兢,如履薄冰”;牵涉到企业机密,等同于身系上千亿资产,不用想,都知道高层们的决策得有多谨慎了。了解企业应用发展轨迹的人或多或少都知道局域网、广域网、互联网以及现在热门的SaaS、移动办公的那些事儿。几代更迭,产品在技术、服务、安全性等方面不断完善,不过某天看到信息安全事故频发,有人不禁怀念起“局域网”的好处来:局域网盛行的年代,外面的进不来,内部交互无碍。“世外桃源”的构想虽美,不过千万别因此将“封闭式网络”和“没风险”划上等号。对于当下的企业而言,“信息孤岛”比相对安全的互联网环境更为可怕,更何况内部泄密的危机根本没有解决。既想拥抱互联网,享受SaaS服务的实在好处,又想根除“内部安全危机”,两者如何实现?目前时下最盛行的方法莫过于权限分派和责任到人。选择满足企业需求的应用平台,根据操作者在公司中扮演的职能进行放权,操作历史与负责数据皆有章可循,可以规避一定商业风险。(很多新生代SaaS开发商都是这样做的,dayHR的全员化理念就源于这一原理,避开了传统超级管理员的僵化格局。)目前大多数互联网企业应用产品皆可实现核心内容加密、隐私密封、数据安全传输等选项,加之平台固有的隐私保密协议,暂时可以松口气。基于物理、网络、人员与流程管理、数据存储处理等多方位防护,照理来说,成本方面会是不小的负荷,不过互联网的边际成本远低于硬件布施的成本,眼下甚至还出现一批免费实用的云平台如美国Zenefits 、理才网dayHR、今目标等,安全成本几近于零,倒令不少企业“大喜过望”。
除了内部危机,DDoS、CC攻击、数据拦截、病毒等外部攻击也是企业用户普遍关注的话题。有数据显示:早在2012年,欧洲企业采用SaaS模式进行安全防护就已经高达33.18%,三分之一的企业通过SaaS模式做邮件保护。不过同年中国云安全调查的结果却显示:SaaS依然被27%的受访者认为是不安全的云计算模式,两者形成巨大反差。3年过后,SaaS迎来新一轮发展高潮,2015年间投融资金额稳居榜首,云安全的话题再度被提上日程显得并不意外。作为云安全的重要衡量指标,安全认证趁机火了一把。笔者了解到:目前主流信息安全认证集中在ISO信息安全认证、可信云服务认证、威瑞信、云安全国际认证、TRUSTe等上,其中威瑞信 SSL认证在国内备受推崇。SSL基于记录协议,不仅提供数据封装、压缩、加密等基本功能,同时兼具身份认证、数字签名、隐私保护、多重加密机制等。通过认证的域名呈浅绿色,浏览器显示出“锁”的安全标志,持续保障客户端和服务器间的安全通讯。据不完全统计:目前国内几大云主机厂商如阿里云、腾讯云、华为云等悉数加入了云安全认证阵容,云服务“裸奔”的年代逐渐走远。随着SaaS HR (如人才资本管理云平台dayHR)、SaaS CRM (如销售管理纷享销客)、SaaS OA (比如阿里的钉钉)等陆续通过认证,国内外SaaS产业的发展差距也在逐渐缩小,而这将成为国内诞生SaaS 巨头的契机也未可知。