第一篇:电力企业信息安全等级保护定级
摘要:
随着现代化社会和工业化技术的不断发展,信息化也在不断的发展,其中最为重要并且发展效果最显著的便是电力行业。在电力行业的发展过程中,电力设计企业是电网合理设计的重要环节,对于开展信息系统安全等级保护工作有着非常重要的意义。本文详细分析电力设计企业信息安全等级保护定级方式。
关键词:
电力设计企业;信息安全等级;保护定级
随着我国智能电网的飞速发展以及电力信息的不断创新,电力设计企业信息系统是否能够稳定、持续、安全的运行将影响国家的能源系统的有序性,是确保国家发展的根本措施。依据国家与电力行业所开展的信息系统安全等级保护定级工作的实际标准,必须有序完成安全等级保护定级流程、定级对象、侵害程度、安全等级、信息系统备案等一系列项目工作。
1信息安全等级保护简介
电力设计企业信息安全等级保护主要是指企业法人、国家安全或其他类型的组织、公民享受的信息、公开信息的储存、传输以及处理这些信息的系统分等级实施安全保护。对信息系统当中所可能涉及的信息安全产品实行分等级的管理,对信息系统当中发生信息安全事件实施分等级受理、响应以及处理等综合性的安全防护工作。
2电力设计企业信息安全等级保护定级
2.1安全等级保护定级方式
信息系统的定级主要是由业务流程的完整性上实行整体化的分析、考虑,其具体的实施步骤为以下几步:①明确被定级的目标;②明确业务信息安全在遭受破坏后所侵害的客体或对客体形成的伤害程度;③明确业务信息安全的保护等级;④确定系统服务安全在遭受侵害之后对客体或对客体形成的伤害程度;⑤明确系统服务安全的保护等级;⑥由企业、法人或个人明确对定级系统的安全保护等级。
2.2安全保护定级对象
一般情况下,在信息系统分级过程中,应当按照信息系统的状况,综合分析信息系统的业务类型、责任单位、内容的重要性以及物理信息等各类型因素对信息系统进行正确的划分。电力设计企业信息安全等级之间的关联性,按照配置最佳优化方式、提高系统内部安全防护能力、通信网络安全防护以及本地使用与传输环境安全防护等定级原则,定级的信息系统在业务流程上需要具备较强的独立性和全面性。按照上述的方式和定级原则,企业基本上可以被确定为以下几项定级对象:①设计管理的系统主要包含综合性信息管理系统、三维设计系统、项目管理系统、经营管理系统以及图档信息管理系统;②外部信息主要包含邮件信息系统、企业各类型网站信息系统以及VPN网络信息系统;③营销、财务经济状况管理系统等。
2.3明确受破坏的程度以及客体
对客体的破坏程度对业务信息安全以及系统服务安全的影响,其中系统服务安全主要是保障整个信息系统的完整性、实用性等特点来实施的。业务信息安全主要可以借助完整性、可用性以及隐秘性等来实施。
2.4明确信息系统安全保护等级
信息系统的安全防护等级主要与业务信息的安全防护等级、系统的服务安全保护等级作为主要设立依据,一般情况下以等级较高决定。业务信息、系统服务安全保护等级。除此之外,还需要参考国家所出台的安全等级保护定级建议,并最终明确各类信息系统的安全保护等级。
3系统备案以及安全等级保护定级变更
3.1系统备案
电力设计企业信息安全系统应当结合使用单位而明确信息系统的安全保护等级之后,制作并填写相应的备案表,然后向上级部门审核内容,在经过审核批准之后将备案手续备案到公安机关,从而保障安全等级系统在公安部门有备案数据,保障企业利益。
3.2安全等级定级更变
在信息安全系统的工作过程中,信息安全系统的安全保护等级应当随着信息系统所对应的信息以及相应的业务形式等内容的变化而进行适当的变更,特别是工作状态变化较大或者变化形式导致业务信息安全或系统服务在遭受破坏之后形成较大影响时,必须要对安全保护等级重新实行相应的等级评定,在重新平定之后,仍然需要向相关公安机关重新申报备案。
4总结
综上所述,通过对信息系统定级以及备案的分析,能够清晰的掌握各个信息系统的重要性以及所需要的相应防护等级等信息,这些信息有利于电力设计企业对信息安全等级保护进行更加合理的定级,并实施相应的管理。随着电力设计企业的不断发展以及信息技术的不断创新,信息系统的安全防护等级必然也会随之而变。对此,就需要相关工作者按照自身的实际工作状况,结合安全防护以及项目变化状态不断的优化、改善安全防护等级,优化防护措施,确保电力系统的安全、稳定、持续运行。
作者:刘宏岭 汪江 单位:国网石嘴山供电公司
参考文献:
[1]于颖黎,吴建华,韩永兴.浅谈电力设计企业信息安全等级保护定级[J].民营科技,2014(9):30-30.
[2]王伟,谢学富,杜志良.一种用于信息系统安全等级保护的定级技术[J].信息安全与技术,2015,6(7):16-17.
[3]高阳,王晓磊,尹蕊,等.安全技术在电力行业等级保护中的应用[J].中国科技博览,2014(3):624-624
第二篇:企业信息安全保密意识强化
随着综合国力的提高,我国已成为世界瞩目的中心。在经济活跃的大前提下,中国与世界各国发生着密集的信息交往,而各国也都在想方设法获取我方各类信息情报。在我国企业经济信息安全领域,窃密与反窃密的争斗日益激烈、复杂,层次日益提升,形势日益严峻,可以概括为:企业信息窃密无所不在,危害极其严重。
一、技术发展速度超乎想象
在20世纪,高技术窃密往往还只是各国家情报部门和间谍人员层级上的专业手段。而现在,随着信息技术的发展,大数据、智慧地球、移动互联、云计算等新技术领域业已形成,技术成果得到充分运用,信息存储和处理日益数字化,网络空间已成为窃密的新战场、泄密的新渠道。这种变化,使普通网民都有能力成为高技术窃密者,甚至拥有或超过专业间谍的能力。计算机病毒技术。据俄罗斯反病毒软件开发商卡巴斯基统计:1994年,他们每小时检测到1个新病毒;到2006年,每分钟检测到1个新病毒;到2011年,每秒钟检测到1个;到现在每天可检测到20多万个新病毒(每秒钟约2.4个)。目前,我国有超过24%的U盘被病毒感染。这些病毒既可以依附于软件,也可以固化在各类硬件之中;既可占用计算资源,影响信息利用,也可以用于盗取各种技术和经济数据。同时,我们也应当看到,在计算机及其网络中流行的病毒还并不太可怕,可以利用杀毒软件进行防治,而真正可怕的是一些组织或集团开发制作的特种用途程序(也可以称作病毒),不易发现、难以查杀,平时处于潜伏状态,一旦启动,造成的危害和损失不可估量,只有从源头上抓起才能有效防范。大数据技术。其发展和运用,使信息的获取、分析能力显著提高,使过去隐藏在幕后和后台的行为、信息无处遁形,给国家和企业的商业秘密,以及个人隐私保护带来严峻挑战。斯诺登曾曝料,像他这样的技术人员,可以做到在任何地点,锁定任何被选定的目标实施行动。有过网上购物经历的人,会有这样的体会:当你访问购物网站时,你会发现,网站随时在向你推送你过去想要的物品。这是因为网站在利用大数据技术,对你的上网偏好、购物喜好自动进行了统计分析,从而有针对性地为你提供服务。这只是大数据技术应用的一个极其简单的例子。企业工作人员的上网偏好,同样也可以反映企业关注的重点、发展方向,如果被竞争对手了解到,也可能带来商业竞争的被动。网络入侵技术。以往,网络入侵行为主要通过特殊的软件和工具,以直接接触方式,才能渗透到别的计算机或服务器。随着无线技术的广泛应用,网络入侵已突破物理界限,利用安装在USB和网络插头内的间谍设备,可以以其为天线,将目标设备的信号通过无线信号发射到周边的监测设备;通过无线局域网,可以攻击安装Windows和XP操作系统的计算机,远程激活无线设备并与周围的设备进行连接,从而突破内外网的物理隔离。
二、监控、窃密的强度不断加强
世界各主要经济体的经济监控活动由来已久且发展迅速。从斯诺登披露的材料看,美国已经建立了全方位、系统化、网络化的监控系统。在监控手段上,美国已建立了覆盖全球的信号情报监控网;在监控对象上,既包括针对骨干网络、产品供应商和服务商的“中间”监控,也包括针对特定对象的“终点”监控;在攻击对象上,既包括服务器、路由器、基站、防火墙等典型的网络设备,也包括计算机、打印机、手机等普通用户的终端。例如,利用“棱镜”项目,美国政府可以直接访问微软、雅虎、谷歌、脸谱、苹果等美国九大互联网服务器,获取邮件、网络通话、即时信息、视频会议、存储的数据等。在强大的技术优势面前,只要企业或者个人成了关注重点、窃密对象,在互联网内就没有秘密可保,也没有隐私可言。除技术窃密外,各主要经济体的商业间谍活动也很猖獗,金钱、美色、威逼利诱,无所不用其极,并且往往是直接的、赤裸裸的,对一些意志薄弱的人员很容易奏效,因而也成了获取商业秘密的重要手段。
三、观念认知误区
在企业商业秘密的保护问题上,一些企业工作者的意识中或多或少存在这样几种模糊认识,如果不澄清和克服,是非常危险的。其一,误以为自己不掌握企业核心技术,不参与重大决策,保守秘密与己无关。一条绳子所能承受的拉力,是由应力最小的部分决定的。历史反复告诫我们,防线往往是从内部突破的。在一个保密防范严密的企业,由于核心人员的安全保密观念强,手段有力,往往不易被攻破。然而,非核心人员却可能成为获取核心商业秘密的迂回渠道。企业如不注重全员防范,个人警惕性不高,那些不把保密作为己任的人员,可能会成为窃取企业秘密的工具,被对手所利用。其二,误以为自己是专家,自己的防范措施无懈可击。企业在信息安全上盲目自信,或者心存侥幸都是非常危险的。世间没有攻不破的防护手段,突破防线只是时间和投入问题。真正的高手,是总会有危机感的。企业信息安全工作的攻与防,从来是对立统一的两个主体,无论你站在哪一方,都要感受到来自另一方的潜在威胁,都要清醒地意识到问题的另一面。越是企业信息专家,越是要更加小心,因为你是技术高手,也就有人希望与你过招;因为你掌握企业的商业秘密,你也就成了窃密的重点。企业要树立严谨科学的防范意识,为企业经济信息安全打造人防、物防、技防和制度防的综合防护系统,决不能给苍蝇留下侵入的缝隙。其三,误以为写的材料不标示密级就不属于秘密。特别是涉及国家秘密的材料,企业工作者们要认识到:是否属于国家秘密,不是以标示形式确定的,而是以内容是否涉及到国家秘密来确定的。国家秘密范围是法定的,只要涉及到这些特定的内容,不管你标不标识,它就是秘密。进一步讲,定密还分为原始定密和派生定密。通俗地说,原始定密是指所处理的事项和产生的信息都属原创,但属于法定的国家秘密范围的,就需要按照相应密级做出标识,并采取相应的保密措施;派生定密是指引用的内容来自于秘密资料,这就要根据所引用资料的密级和引用的内容来确定新材料的密级,并采取相应的保密措施。因此,无论是摘抄还是复印涉及企业技术和商业秘密资料,或者引用了涉密数据,都应该做出明确标示,一方面是落实保密法规制度,另一方面也是给接触者一个警示和提醒,让企业工作人员更好地保管有关材料,防止随意传播、丢弃,造成无意泄密。其四,误以为网络是法外之地,自己使用的是匿名,在网上干些什么、说些什么都没人知道。这种认识是完全错误的。事实上,在上网时,虽然IP地址的获取是随机的,但在某个时段、某个IP地址是何用户使用的,在服务器中记录得清清楚楚,网上的任何信息都可以追根溯源,任何行为都会留下电子信息。其五,误以为信息被删除了,就真的不存在了。在计算机里,删除信息通常有两种方式:一种是直接删除,并从回收站里清除;另一种是利用粉碎工具粉碎。这两种方式其实都是可以恢复的。因为前一种只是删了文件名,后一种只是采取了数据覆盖的方式,它可以对付一般恢复技术,但对专业人员一点用都没有。为此,企业应当加强对处理过的技术和商业秘密的存储介质的管理,决不能因信息清除不彻底而造成泄密。其六,误以为拔掉网线不上网,处理涉密信息后再拷出来并删掉就不会泄密。这种认识是不对的,如果计算机或者移动外接设备(移动硬盘、U盘)被植入了专用木马(习惯上称为摆渡工具),它就会在使用者毫无察觉的情况下,把涉密信息临时储存在计算机内。当你再次上互联网时,它又会在不知不觉中将这些信息传到特定的服务器。企业必须加强内网管理,内部网络设备必须专用,要采取行政和技术手段杜绝在互联网上交叉使用,以确保内外网的物理隔离。其七,误以为信息在网上了就是信息公开,也就不涉密了。解密分为两种,一是按照保密期限或者解密条件解密。定密要确定保密期限或者解密条件,当到期或者解密条件具备后,定密机关或者企业单位没有异议的,就视为解密。另一种是决定解密,也就是机关、企业单位在决定和处理事项工作中确定需要保密的事项,根据工作需要决定公开的,正式公布即视为解密。这种解密是由原定密机关单位决定的,那种非正式渠道或者非定密机关、企业单位擅自公布的是泄密,而非解密。个人或企业单位擅自转载会造成秘密在更大范围内扩散,因此企业官网或者个人转载信息,要看信息机关和部门是否具备和解密的资格、信息是否权威。
四、几点建议
1.企业的计算机无论涉密与否都要设密码。设密码不是为了防范企业内部人员,而是防止本企业以外的人员利用企业的计算机来胡作非为。如果企业的上网计算机不设密码,那就等于对网上所有人士开放了最高权限,略懂网络技术的人就可以随意访问企业计算机,调取企业信息资料,或者上传与企业无关的信息资料,或者把企业的计算机作为跳板,也就是通常所说的“中间机”,对其它计算机发起攻击,而被攻击对象一旦发起追溯,这台“中间机”就成为攻击者的替罪羊。所以,为了企业信息的自身安全,为了避免可能引起的不必要的麻烦,最好是设上密码。还要注意:不要用某人的生日来作密码,这是“撞库”攻击最为常用的密码。
2.企业的涉密计算机和设备坚决不能接入互联网。这里说的“接入”是指以下两种行为:一是将企业的涉密计算机直接连接互联网;二是将企业的涉密设备(如移动硬盘、U盘以及其它具有存储功能的设备)在企业的涉密计算机和上网联网的计算机之间交叉使用。如果接入互联网,便有两个危害:首先是违规,说得严重一点是犯法。我国《保密法》第24条明确规定,不得“将涉密计算机、涉密存储设备接入互联网及其它公共信息网络”。一旦接了,就是违法行为;其次,如果企业的计算机被人控制了,这些信息就可能被人浏览、窃走,从而造成泄密。什么是泄密呢?秘密信息失去控制,而又无法证明不被不得知悉的人知悉了,就可以认定为泄密。企业工作人员一旦把带有企业涉密信息的设备连接到上互联网的计算机,严格来讲,这种行为就已经造成了信息失控,认定泄密并不冤枉。
3.传递涉密信息要选择正确的渠道。这里要特别提醒的是:企业不能用普通电子邮件和邮政、快递传递涉密信息或载体。电子邮件的存在背景就是互联网,是绝对不允许的。但邮局、快递呢?也是不允许的。企业工作人员一定要注意:传递涉密信息,电子方式的要使用专用加密设备;光盘和纸质的信息载体,要么选择机要交通,要么安排专人传送,其它途径都是不允许的,更不允许擅自携带涉密载体出国境,或者将涉密信息、载体邮寄或传递到国境外。
4.企业处理涉密信息要用专用计算机和存储介质。企业如需处理涉密信息,就要配备专用计算机、移动硬盘等工具,且确保这些工具只用于处理涉密信息和涉密事项,绝对不能“使用非涉密计算机、非涉密存储设备存储、处理国家秘密信息”以及企业重要经济信息。
5.企业要按规定物理销毁报废的涉密载体和设备。企业处理过涉密信息的计算机、移动存储介质报废后,要按照企业相关规定,按程序报批后,采取物理销毁的方式实施销毁,绝对不能“赠送、出售、丢弃或者改作他用”。
6.企业要组织员工加强《保密法》的学习。5800多字的《保密法》,不仅是我们处理涉密问题的基本依据,更是保护我国企业健康安全发展的护身符。中国企业正在“走出去”,在“一带一路”以及更加广阔的国际经济合作中发挥作用。科学有效地保护企业商业信息,防范企业的专有技术、专利成果、重大商业信息等无形资产不致遭遇风险,特别是把防范工作做在事前,对迅速发展着的中国企业至关重要。企业要积极组织全体员工认真学习《保密法》,从保护企业信息安全的高度出发,树立新形安全文化意识,加强企业信息安全警示教育,加大信息安全投入,常抓不懈。
作者:尹新建 单位:北京市思想政治工作研究会
第三篇:企业级云服务商信息安全研究
摘要:
文章着重研究了企业在选择SaaS服务时如何评估服务提供商的安全管理能力,旨在为企业选择各种SaaS服务时提供参考和指引。
关键词:
云服务;SaaS;安全评估;信息安全
随着云计算关键技术的不断突破,中国企业级软件服务化(SoftwareasaService,SaaS)服务市场百花齐放,企业对SaaS服务的认可度进入快速上升的轨道,应用规模迅速扩大。然而,由于我国云计算标准体系尚不完备,保护个人隐私数据的法律法规、市场监管方式有待完善,各公司的SaaS产品的安全性参差不齐,部分SaaS产品存在较大的安全隐患。据易观智库2014年度的调查,在影响用户选择企业级SaaS服务的因素当中,产品的安全性和可靠性排名第二,比例高达87.2%[1]。为了消除企业对SaaS云服务存在的安全风险顾虑,本文着重研究评估SaaS云服务及提供商的安全管理能力的第二方评估方法,旨在为企业选择SaaS服务时提供参考和指引。
1用户主要关注的SaaS服务安全问题
用户关注的SaaS服务安全问题主要可以分为3类。首先是数据泄露或丢失问题。信息是企业的核心资产,如果发生数据泄露,公司可能遭受巨大损失、巨额罚款,还可能面临民事诉讼。因此,SaaS软件中的数据会不会丢失、被窃,会不会发生泄露是企业主要关注的问题之一。其次是云服务中断问题。企业将关键工作负载迁移到云中,云服务仅仅几分钟的宕机都可能会极大地损害企业与客户的关系,而停电、错误软件更新、服务器过载、数据库错误等都有可能导致云服务中断。最后是云服务可持续性问题。企业投入了大量的资源去学习SaaS软件、开发接口以实现系统间的集成,一旦云服务商停止对外提供服务将导致之前的系统集成投入归零。
2从信息安全的视角选择SaaS服务
企业在选用SaaS服务时应当遵循最基本的底线—职责可以转移,但责任不可转移。在签署SaaS服务协议前应进行尽职调查,可以由IT部门对SaaS服务及提供商的安全管理能力进行评估。进行评估时,应以风险为导向,重点关注数据安全、应用安全,确保“数据不丢、应用不停、持续服务”。其中,“数据不丢”主要评估SaaS服务的租户身份识别和访问管理、数据加密管理、日志及审计管理;“应用不停”主要评估云服务数据中心安全、变更和配置管理、安全事件管理及供应链管理;“持续服务”主要评估业务连续性管理、公司的稳定性及增长性、可移植性和互操作性。最后,很重要的一点,将对SaaS服务商的服务水平要求、安全管控要求以及责任等落实到合同中。具体来说,企业对SaaS服务及提供商的安全管理能力进行评估时,可参照以下安全域检查清单进行评估[2]。
(1)风险管理。每种环境都具有某种程度的脆弱性,都面临一定的威胁,关键在于识别这些威胁,评估它们实际发生的可能性以及可能造成的破坏,并采取适当的措施将环境中的风险降低到可接受范围。企业可以通过查阅服务商的风险管理程序和风险评估报告,判断云服务商的风险管理能力,例如对云服务风险和残余风险的可接受级别是否已定义,如何识别、分析威胁和脆弱性对资产的潜在影响,影响分析标准是否可测量、可重复执行,是否定期对SaaS服务运行的硬件和软件系统进行安全性检测等。
(2)身份识别和访问管理。身份识别和访问控制作为信息安全管理过程中的关键环节,在云计算环境下,面临着恶意的内部人员、不安全的应用程序接口等更复杂的风险。企业可以通过检查身份认证及访问控制程序,判断云服务商的身份识别和访问控制管理水平。例如在SaaS系统创建租户初始密码时是否随机生成租户默认密码,租户首次登陆系统时是否强制要求修改默认密码,密码是否有复杂度要求,能否支持双因子验证租户身份,能否检测租户异常登陆并通知等。
(3)数据加密管理。数据是企业的重要资产,云平台中的数据需要避免出现数据泄露、丢失、被窃等问题。通过加密来保证数据的机密性是云平台中数据保护的一项最佳实践,在某些情况下也是某些国家和地区的法律法规所强制要求的。企业可以通过检查密钥管理策略及加密管理程序,判断云服务商的数据保护水平,例如SaaS系统所使用的密钥能否进行生命周期统一管理,通过浏览器访问SaaS系统时能否支持安全传输协议,SaaS系统能否对租户数据加密,是否使用公开的标准加密算法等。
(4)日志及审计管理。审计工具会记录用户的登录和退出时间、用户角色、用户行为等信息。通过全面的系统日志,能及时发现各种安全威胁、异常行为事件,提供事件追责依据。企业可以通过检查安全审计管理策略,判断云服务商的安全审计水平,例如SaaS系统是否支持系统管理员、安全管理员、安全审计员三元分立,且系统中没有同时拥有3种权限的超级管理员,系统日志是否包括系统运行日志、系统管理员操作日志、租户登陆和使用云资源日志,如何确保日志的非授权删除、修改,能否支持实时监控收集到的各类日志等。
(5)数据中心安全。数据中心是组织信息系统的核心,通过网络系统向服务对象提供各种信息服务。与传统的数据中心相比,在云计算时代的数据中心的对安全的要求也在不断提高,包括高性能、弹性扩展、可靠性保障、虚拟化和可视化、立体安全防护等要求。企业可以通过检查数据中心管理策略,判断云服务商的数据中心管理水平,例如是否24小时持续看管,有没有部署安防监控系统、门禁系统,是否记录访问者的进入和离开日期、时间、进入理由,计算、存储、内存等资源池有多大,是否签署特定的服务水平协议(ServiceLevelAgreement,SLA)等。
(6)变更和配置管理。云计算环境下计算资源被不同的组织共享,在带来便利的同时也增加资源分配的复杂度,如果未合理有序地处置变更请求,将对组织及云服务用户造成重大影响。企业可以通过检查变更管理程序,判断云服务商的变更配置管理水平,例如对现有系统进行升级时,是否已进行变更影响分析,质量测试是否包括的功能测试、兼容性测试及性能测试,新版本的是否采用灰度以实现平滑过渡等。
(7)安全事件管理。云计算按需自服务、资源池化、多租户等特性将使信息安全事件管理活动更具有直接的挑战。企业可以通过检查信息安全事件管理程序,判断云服务商的信息安全事件管理水平,例如云服务商是否建立了事故响应团队,能否提供事件响应的历史记录并协助查验,能否提供安全事件响应计划的测试记录等。
(8)供应商管理。随着云计算这种服务模型的应用,IT供应链已逐步从产品供应链向服务化供应链转变,产品服务化供应链管理的核心和关键问题是能力管理。企业可以通过检查供应商评估管理程序,判断云服务商的供应链管理水平,例如能否提供与重要供应商之间的供应链协议,与重要供应商之间的供应链协议中是否涉及用户数据保密内容及合作到期后用户数据处理方式,是否有对与上下游供应链之间的SLA进行持续的评审等。
(9)业务连续性管理。业务连续性目的是防止业务活动中断,保护关键业务过程免受信息系统重大失误或灾难的影响,并确保它们的及时恢复。企业可以通过检查业务连续性计划来判断云服务商的业务连续性管理水平,例如查看业务影响分析表,企业的关键业务过程和支持性业务过程识别是否清晰,查看业务连续性测试报告,有没有对测试的结果进行分析和评估,查看数据备份记录及数据备份恢复测试记录等。
(10)公司稳定性及增长性评估。这几年,经常有企业级SaaS服务商倒闭或被收购,公司一旦倒闭停止运营,用户应用及数据只能迁移或者丢失。企业可以通过调查云服务商的客户流失率、盈利性以及财务报告等资料判断云服务商的生存能力。
(11)可移植性和互操作性。如果存在可移植性与互操作性问题,租户迁移到SaaS环境后,数据被锁定在云平台。如果问题得到解决,将增强用户使用云服务的信心,且可方便用户进行迁移,因而可移植性与互操作性安全非常重要。企业可以通过检查云平台技术来判断云服务商的可移植性和互操作性水平,例如云服务商的应用程序编程接口是否采用公开的行业标准或国际标准,非结构化数据是否以行业标准向用户提供等。
(12)服务协议内容。由于SaaS服务商提供了设施、IT系统及应用系统,SaaS服务商不仅负责物理和环境安全控制,还应解决基础设施、应用和数据相关的安全控制,租户应该在服务合同中将服务等级、隐私保护、合规性、安全控制等内容进行约定,以确保安全需求在合同层面上是可强制执行的。
(13)第三方安全评估认证。评估SaaS服务信息安全是一项复杂综合的工作,企业往往不一定能够执行到所有方面的检查,此时采信专业的第三方安全评估认证是一个最佳的方式。企业可以选择通过建立了完整的信息安全管理体系的云服务商,尤其是通过了权威的云安全认证的服务商,如C-STAR、可信云[3]等第三方安全认证。
3结语
信息安全是影响用户选择SaaS服务的重要因素,本文向企业提供了评估SaaS服务及提供商的安全管理能力的方法,为企业评估SaaS服务安全提供了参考依据,而当企业不具备完全的评估能力时,建议企业可直接采信主流的第三方云安全评估认证,尤其是通过了诸如C-STAR、可信云等权威评估认证的云安全服务商。
作者:钟世敏 李尧 高智伟 程广明 单位:广州赛宝认证中心服务有限公司
[参考文献]
[1]易观国际.中国企业级SaaS市场年度综合报告[R].中国连锁,2014(5):82-83.
[2]赵国祥,刘小茵,李尧,等.云计算信息安全管理—CSAC-STAR实施指南[M].北京:电子工业出版社,2015.
[3]栗蔚.可信云服务安全认证体系[J].电信网技术,2014(4):5-7.