一、国家对SAAS数据安全的重视
近年来,随着云计算技术的快速发展,软件即服务(SaaS)在各行业的应用逐渐增多。为保障SaaS服务的安全性,国家制定了相关标准,以确保云计算服务的安全性和合规性。中国通信标准化协会发布的T/CCSA 510-2024《云计算服务安全要求 第2部分:SaaS安全能力要求》团体标准,便是其中的重要举措之一。1.1 标准解读
T/CCSA 510-2024《云计算服务安全要求 第2部分:SaaS安全能力要求》规定了SaaS服务产品的安全能力基本要求,提出了SaaS服务产品安全功能的设计原则。该标准适用于SaaS服务商对SaaS服务产品安全功能的设计、实施和评估,具体内容包括以下几个方面:
1.1.1 访问控制
SaaS平台根据用户身份、数据对象以及行为活动的特征对用户的访问进行严格控制,确保只有经过授权的用户才能访问相关数据和资源。
1.1.2 身份鉴别
SaaS平台通过用户身份标识进行有效验证,以确保用户能够以其授权权限进行安全访问,防止未经授权的访问行为。
1.1.3 数据保护
SaaS平台针对存储和传输数据的机密性和完整性提供保护措施,确保数据在传输和存储过程中的安全性。
1.1.4 安全审计
SaaS平台记录用户的访问和操作行为,并进行异常检测,以提供实时告警和事后追溯功能,确保平台的安全运行。
1.1.5 安全运行
SaaS平台利用云计算平台的基础安全功能,确保其自身安全运行,提供稳定可靠的服务。
1.1.6 安全策略管理
SaaS平台管理自身安全设置和安全属性,确保安全策略的有效实施和管理。
该标准的发布和实施,标志着国家对SaaS服务数据安全的高度重视,为SaaS服务商提供了明确的安全能力要求和实施指南。
二、SAAS数据安全的优势
在企业数据管理方面,SaaS相较于本地部署具有明显的优势。通过探讨SaaS与本地部署在数据安全方面的不同,可以更好地理解SaaS的安全性。
2.1 存储位置与数据安全
数据的存储位置只是数据安全的一部分,真正决定数据安全的是企业的数据安全技术和业务场景中的数据链安全管理水平。企业在选择SaaS还是本地部署时,需综合考虑数据存储的安全性和管理的便捷性。
2.1.1 存储位置的误区
许多人认为数据存储在本地更安全,然而这种观点并不全面。数据安全不仅取决于存储位置,还包括数据传输、使用、管理等多个环节的安全措施。例如,银行的数据安全措施非常严格,但仍然会有客户数据泄露的事件发生。这说明,数据泄露往往与存储位置无关,而是与数据管理的全过程有关。
2.1.2 SAAS的安全优势
SaaS产品通常具备更高的数据安全技术和管理机制。成熟的SaaS厂商会对用户数据进行全生命周期管理,包括数据生产、使用、传输、交换、存储和销毁等环节。通过专业的网络安全团队和技术团队,SaaS厂商能够提供更严格的加密措施和安全管理。
再讲个冷知识:
SaaS 产品厂商没有员工可以看到客户企业的真实数据。
管理较成熟的 SaaS 厂商不仅对数据安全技术有非常严格的要求,比如有专业的网络安全团队和技术团队,有更加严格的加密措施等。
除此之外,在人员管理、公司制度、应急流程、日志审计方面也有专业团队进行设计与管理。
2.2 企业数据安全管理的重点
相较于担心企业数据存储在SaaS上的安全性,企业自身的技术能力和管理机制在业务场景中的数据安全管理反而更需要重视。企业需要关注数据安全的利益链条,制定严格的数据安全管理制度,确保数据在生产、使用、传输、存储等各个环节的安全性。
例如,在某次银行用户信息泄露事件中,导致数据泄露的原因是银行外包业务商对其可以接触到的数据进行窃取和滥用。这说明,数据安全不仅仅是技术问题,更涉及到人员管理、制度建设和流程合规等多方面的因素。
2.3 本地部署数据的局限性
企业自建本地机房的成本高昂,且在数据安全管理上存在诸多挑战。以下是本地部署数据安全管理的一些常见问题:
2.3.1 硬件成本
本地机房需要大量的硬件投入,包括服务器、路由器、防火墙、机柜、UPS电池等,这些硬件设备的采购和维护成本非常高昂。
2.3.2 软件成本
企业需要购买并持续更新数据管理软件、安全认证软件等,软件维护和升级费用也非常高。
2.3.3 员工成本
本地部署需要专业的运维工程师进行管理,这些员工的工资和培训费用也是一笔不小的开支。
2.3.4 其他成本
电费、网费、场地租金等日常运营费用,以及数据安全培训和认证费用,都是本地部署的额外负担。
相比之下,SaaS产品的数据安全管理费用通常包含在每年的账号费用中,企业无需额外支出。此外,SaaS产品由专业的服务商提供维护和升级,企业可以享受最新的安全技术和服务,避免了本地部署带来的高昂成本和管理难题。
三、奕亮科技在数据安全领域的优势
奕亮科技作为领先的保险科技公司,在数据安全领域具有显著优势。通过构建全面的系统信息安全体系,奕亮科技为客户提供了高水平的数据安全保障。
3.1 安全认证与技术实力
奕亮科技通过了国家三级信息系统安全等级保护备案以及ISO27001信息安全管理体系认证,并部署了堡垒机、防火墙等设备,以保护系统程序及数据的安全。这些认证和技术措施确保了奕亮科技在数据安全管理方面的领先地位。
3.2 数据分类与分级管理
奕亮科技建立了公共数据、企业数据、个人数据的分类分级确权授权制度,遵循“用户授权、安全合规、分类施策、最小够用、可用不可见”等原则,规范自身的数据采集、存储和使用行为。
3.3 多租户技术规则
奕亮科技的耍保SaaS平台应用多租户技术规则,为普通客户提供共享数据库隔离数据架构,为定制客户提供独立数据库,确保不同公司客户的数据实现访问逻辑隔离,加强用户权限管理,合理配置用户权限,以保障平台内部数据安全。
3.4 技术赋能金融监管
奕亮科技通过技术赋能金融监管部门,作为行业数据的入口,为保险行业和监管机构提供基础数据,帮助完善数据要素市场体系。通过系统部署中银保信私有云,在监管层面为中银保信为主的保险监管体系提供数据支持,促进政务的数字化和高效协同,实现数据的可查和可追溯。
3.5 全面的数据安全管理
奕亮科技在人员管理、公司制度、应急流程、日志审计等方面也进行了专业设计与管理,确保数据安全的全方位保障。例如,在整个实施和运维过程中,通过不同的租户沙箱来隔离测试环境与正式环境,实施过程中不允许顾问接触企业真实的组织人员数据。此外,由于数据存储多级加密,即使系统产品开发人员和运维人员也无法看到企业存储的明文数据。
这些措施使奕亮科技在数据安全领域具备了显著的优势,确保客户数据在整个生命周期中的安全性和隐私保护。
四、SAAS数据安全合规资质
在选择一个成熟的SaaS产品时,企业还需要考虑其数据安全合规资质。以下是一些常见的国际和国内认证,这些认证可以帮助企业评估SaaS厂商的数据安全管理能力。
4.1 国际认证
– **ISO27001 信息安全管理体系**:国际公认的信息安全管理体系标准,确保企业的信息安全管理符合全球标准。
– **ISO27018 公有云个人信息保护体系**:针对公有云个人可识别信息(PII)提供安全控制实施指南。
– **ISO27701 隐私信息管理体系**:扩展了ISO27001和27002标准,详细规定了隐私信息管理系统的建立、实施、维护和改进。
– **ISO27017 云安全管理体系**:提供特定于云的信息安全控制建议,补充了ISO27002和ISO27001标准。
– **ISO22301 业务连续性管理体系**:确保企业在面对外部威胁时仍能继续运营。
– **ISO9001 质量管理体系**:国际质量管理体系标准,确保企业的质量管理达到全球认可的标准。
– **ISO20000 信息技术服务管理体系**:面向机构的IT服务管理标准,确保IT服务管理的标准化。
– **ISO 14001 环境管理体系**:帮助企业建立环境管理体系,提高资源利用率,减少污染。
– **ISO 45001 职业健康安全管理体系**:国际职业健康安全管理体系标准,确保企业的职业健康安全。
– **SOC1 与用户机构财务报告内部控制相关的服务机构控制检查报告**:基于SSAE 18和ISAE 3402标准的独立第三方鉴证报告。
– **SOC2 与安全性、可用性、保密性及隐私性相关的服务机构控制检查报告**:基于信托服务标准的独立第三方鉴证报告。
– **SOC3 与安全性、可用性、保密性及隐私性相关的服务机构控制公开检查报告**:基于信托服务标准的独立第三方鉴证报告。
– **CSA STAR**:由云安全联盟发布的云安全框架,评估云服务供应商的安全控制。
4.2 国内认证
– **网络安全等级保护三级以上**:包括定级备案、等级测评和监管检查,是我国网络安全保障的一项基本制度。
– **办公即时通信软件安全能力(卓越级)**:最高安全等级的即时通信软件安全认证。
– **可信云**:由中国信息通信研究院组织的云计算服务和软件评估体系,覆盖基础云服务、私有云软件、安全及风险管理能力等领域。
– **CMMI 5级**:全球范围内软件行业的认证,评估企业的软件开发过程是否规范、可重复、可管理、可持续。
– **ITSS-SaaS 三级以上**:信息技术服务标准,确保云服务集成运维和企业上云的标准化。
– **通信网络安全防护三级以上**:工信部主管的通信网络安全防护定级备案,确保通信网络的安全运行。
随着国家对SaaS数据安全的重视和相关标准的出台,SaaS产品在数据安全方面的优势愈发明显。奕亮科技作为保险科技领域的领先企业,通过严格的数据安全管理措施和全面的系统信息安全体系,为客户提供了高水平的数据安全保障。在未来,奕亮科技将继续致力于技术创新和安全管理,为客户提供更安全、更高效的SaaS服务,推动保险科技行业的发展与进步。