微盟被删库 会引发SaaS安全信任危机吗

微盟被删库 会引发SaaS安全信任危机吗

日前，香港主板上市公司微盟集团发布公告称，公司SaaS业务生产环境和数据遭运维员工的人为“删库”破坏，导致公司当前暂时无法向客户提供SaaS产品。

微盟创始人孙涛勇做出回应，“没有详细说明该员工删库的原因，是因为我们认为这是一个社会问题，不想放大。”

公告称，犯罪嫌疑人微盟研发中心运维部核心运维人员贺某，于2月23日晚18点56分登入公司内网跳板机，因个人精神、生活等原因对微盟线上生产环境进行了恶意的破坏。公司已向上海警方报案，该员工已被刑事拘留。

这虽然不是行业内发生的第一起“删库”网络安全事件，但是造成的损失和其他事件一样依然惊人。“公司要是把我逼急了，大不了我们‘删库跑路’”，作为程序员开玩笑经常说的一句玩笑话不仅变成现实，而且从2018年至今、在全球有记载的事件就发生了30多起。

接受记者采访的网络安全专家表示，虽然说“删库”是一个极端的网络安全破坏行为，但是绝不仅仅是一个社会问题，也是公司网络安全管理问题，更是一个网络安全问题。

在全面上云拐点已到，80%的企业有上云意愿的情况下，云安全特别是SaaS应用服务与数据安全成为最受关注的领域之一。事实上，微盟事件反而证明数据上云比企业自建系统更安全。

现在来看，微盟事件的直接影响涉及两个方面：

一方面是给SaaS公司敲响警钟，如何保障用户数据的安全，如何保护用户应用的安全?网络安全这个弦应该时刻绷紧。

另一方面是用户应用和数据究竟应不应该上云?在企业上云进程加快的关口，还是有大量的中小企业因为担心数据安全，而对应用和数据上云犹豫不决，微盟的事件给行业敲醒了警钟，自建反而会降低安全性，上云才是保证数据安全的正确方式。

01、SaaS应用和数据更安全?

Gartner分析师的调查结果预测，2019年将成为SaaS繁荣发展的一年，全球增长率为17.8%，市场规模为851亿美元。

海比研究预计，2019年中国SaaS市场规模将达到147.6亿元，2020年仍将保持高位增长，达到198.3亿元，增长率为34.3%，潜在市场发展空间巨大。

海比研究认为，企业上云已从教育起步阶段转向快速发展阶段，并将在2020年迎来发展拐点。企业上云模式多样化，IaaS、PaaS、SaaS多种方式齐上阵，SaaS在国内云计算总体市场中比例将会进一步提升。

Gartner认为，SaaS未来将是云计算市场最大的细分市场，企业希望将其应用平台转移到SaaS。但是核心是SaaS应用需要强调数据安全性和客户端对数据的控制。

尽管很多组织将数据与业务迁移到了云上，但仍有大量中小企业，甚至大型企业采用了自建的方式，微盟”删库”事件让行业重新思考自建和上云两种方式相应的安全级别究竟哪一个更保险。

市值过千亿美元、全球最大的SaaS CRM服务提供商Salesforce于2018年也因编程错误，向未经授权的用户泄露了客户数据!

美国科技巨头Facebook卷入数据泄露丑闻，一款大约30万人使用的随机测试应用程序，导致8700万Facebook用户信息泄露，其5000万用户数据被泄露给英国剑桥分析公司。

因此经常有中小企业的CIO发问， SaaS应用和数据安全吗?

先看微盟事故的核心原因，并不是因为云的问题。

微盟对媒体的质疑回复称，微盟采用的是混合云模式，部分自建，部分上云。

行业知情人士解释说：“微盟被删库的数据并没有上云，如果在云上，云数据库的备份功能，能够保证哪怕是删了数据，也能回滚到之前的某个时刻，把损失降到最低。”

“我们看到微盟作为一个注册商户300多万家、渠道代理商超过1600家的SaaS服务商，在2月23日19点删库后竟然要等到2月28日才能恢复数据，一定程度上说明没有对数据进行线上异地灾备。”

可见微盟遭遇的危机事件，是因人为破坏自建数据库，缺少备份导致业务恢复困难。

微盟表示：“我们会吸取这次的教训，全面反思我们在员工权限管理和线上运维的治理。”

相反，相对传统IT，云计算给用户与应用提供了更多的安全保护措施，云计算与其安全服务让SaaS应用和数据更安全。

腾讯云技术人员在回复中国软件网的采访时认为，在全面上云的趋势下，云计算厂商在多年的实践中积累了丰富的数据安全防护经验，并正在通过产品化输出到公有云上，企业用户可以拿来即用。

同样，腾讯云数据安全产品系列可以实现对安全事件的全面监控、告警、事后审计等功能。其中，堡垒机结合人工智能技术，为企业提供运维人员操作审计，对异常行为进行告警，防止内部数据泄密。

浪潮云ERP技术总监郑伟波认为，公有云运营商会更重视保管数据的安全，会有更专业的团队来运维，数据往往会采用多副本的方式保存，所以也可以理解为“钱放在银行还是家里更安全”。只要在选型时慎重，风险就可以保持到最低，体验新技术带来的能力与便利。

Fortinet中国区技术总监张略接受记者采访时认为，从云安全防护来看，很多组织对于云上的安全构建缺乏足够的了解，并且对云安全威胁缺乏足够的可视性与自动化的防御手段，导致难以实现对于云安全威胁的有效控制。随着混合IT模式逐渐成为主流，缺乏对混合IT环境的统一安全态势感知与控制，将可能导致整体威胁防御体系的失效。

02、谁应该为SaaS应用和数据安全责任?

在疫情的特殊时期，打破时间和空间限制的远程移动办公模式，加快了复工复产的进程，大量的SaaS应用需求增长。但是在不知不觉中，SaaS应用扩大了用户的受攻击面，模糊了安全边界。身份冒用、信息泄露、病毒感染、链路入侵等基础网络安全问题，不但给远程办公等SaaS应用和数据安全带来挑战，更让远程IT运维工作面临更多考验。

接受中国软件网记者采访的神州云动CloudCC CEO孙满弟认为，由于Saas服务本身是基于互联网的，面临的安全威胁首先是网络安全，从SaaS厂商服务端的网络安全到用户终端接入的网络安全都需要考虑，同时所有的数据都需要在互联网中传输，传输过程中的数据是否采用了安全的加密协议传输、数据安全协议的强度等需要考虑。

其次SaaS用户的账户安全，SaaS服务本身都是在网上运行的，账户面临被破解、拦截的风险。

最后，也是企业最关心的就是存储在云端的企业数据的安全，这些数据都是托管在SaaS厂商的云端，数据的容灾备份机制、针对云资源的安全管控等都是SaaS应用面临的安全威胁。

那么，如果SaaS服务商把数据切到了云上，谁应该为云上SaaS用户的数据负责?是IaaS等公有云的服务商，还是SaaS提供商，是用户，还是提供云安全服务的网络安全公司?

中关村网络安全与信息化产业联盟

企业移动计算工作组(EMCG)组长王克

中关村网络安全与信息化产业联盟企业移动计算工作组(EMCG)组长王克告诉中国软件网记者，我国在网络安全政策上主张“谁接入，谁负责”、“谁运营，谁负责”，“谁主管、谁负责”，强调网络运营者的“主体责任”，《网安全法》对网络运营者承担的责任提出了明确要求。

在企业办公等SaaS应用场景中，网络运维者包括云服务商、SaaS系统提供(运维)者以及企业用户。应该在SaaS提供服务前进行责任划分，当数据安全出现问题后应具体分析、划清三者的责任。

云计算公司往往会提供IaaS、PaaS及SaaS三个层级中的一个或多个层级的服务。如微盟这样SaaS类公司，通常会选择可提供IaaS、PaaS的上游服务商，将重要的数据存在云上，并在此基础上，为下游的商户提供开通、运维微信小程序等服务。

目前，安全责任共担模式在业界已经达成共识，亚马逊AWS、微软Azure、阿里云、腾讯云等均已经形成了明确的安全责任划分标准，不同的安全事件，由不同的对象承担责任。同时，采用了必要的安全措施，并与SaaS、云安全服务商、用户共同构建安全策略，共担风险。

例如，基础设施损坏、网络中断带来的安全事件，租户使用了SaaS服务，责任方在公有云提供商;

因数据未加密(被盗链)、系统的漏洞(应用安全)带来的安全事件，租户使用了SaaS服务，责任方在SaaS应用提供商;

用户弱密码，身份被盗用(数据安全)带来的安全事件，用户身份和数据安全都由租户方用户管理负责。

但这几年云服务商意外事件导致数据丢失的案例层出不穷，对于重要的数据，用户仍需要考虑数据的安全备份。

腾讯云的技术专家告诉中国软件网记者，通过梳理近年来层出不穷的数据安全事件，不难发现：既有黑客的攻击，也有内部工作人员的信息贩卖、离职员工的删库、开发测试人员误操作等，多种原因导致的数据安全事件背后折射出的是，仅仅依靠单点防护难以达到真正的安全防护效果，而构建基于全生命周期的安全防护成为必然选择。

值得一提的是，企业上云大潮的趋势下，讨论数据安全绝大部分要从云环境出发，云原生的数据保护技术和策略也将成为当下及未来的主要手段。

03、SaaS服务商的安全“担当”

介于公有云服务与用户之间的SaaS服务商，在保障SaaS应用和用户数据安全方面，都颇有建树

神州云动CloudCC CTO 张长文介绍了公司保证自己用户SaaS应用安全的几个动作，包括：在网络传输层面，全面采用了高强度的HTTPS加密传输，使用目前最新的TLS1.2传输协议，保证了数据在网络传输过程中的安全。

从登录账户层面，用户可以设置高安全级别的密码策略，防暴力破解密码锁定、验证码，还可以结合移动设备扫码登录，企业可以设定账户的登录时间段，以及绑定IP的登录设备等来保证用户的账户安全。

在SaaS服务端，神州云动与阿里云、AWS等一流云厂商合作，保证SaaS服务可以安全稳定的运行，所有服务均采用多可用区部署，高可用高安全，解决异地容灾的问题，与阿里云、亚马逊AWS等云厂商安全责任共担。

浪潮云会计事业部总经理李民给记者介绍了一个SaaS应用安全案例。某代账企业购买使用浪潮的云会计，将某员工账号设置为管理员，因企业内部问题导致该员工离职并拒绝恢复密码。

该企业CIO利用产品功能快速进行本地备份，与该员工交涉的同时联系云会计要求恢复管理员默认密码。云会计快速进行客户数据备份，在可接受时间内联系客户出具纸质证明资料，完全核对企业信息、法人信息及密码恢复授权书后，帮助企业恢复了密码。

另外，SaaS应用都要获得必要的安全认证，这是用户选型的重要依据。阿里钉钉介绍，钉钉已获得包括SOC2Type1、ISO27001、ISO27018和中国公安部“信息系统安全等级保护”三级认证在内的权威安全资质“大满贯”，标志着钉钉的用户数据和隐私保护水平已达到超一流国际标准。

当然，用户自己得为自己的云上数据安全负责。

Gartner的调研认为，大多数用户的安全事件并不是因为云服务商本身的安全问题导致的。几乎所有的云安全事件都是由客户自己原因，如配置错误，屡见不鲜。用户要解决网络安全问题，就需要选择云上的网络安全服务。

云计算、大数据、移动互联等新兴技术引领当前IT环境发展和变迁，安全威胁与入侵事件比以往更加复杂，网络安全的传统保障技术和产品难以满足社会需求，单纯卖硬件和软件已经沦为价值链的末端。以云上的网络安全服务为抓手，提供简单易用的综合解决方案，成为行业发展的首选。

同时，全面上云拐点的到来和用户需求的增长，也让云安全服务市场规模快速增长。云安全在整个网络安全中所占比重逐年提高，Gartner预计，到2020年以服务形式交付的安全软件将至少占到50%。云管理和安全服务未来5年复合增长率会达到15%以上。

中国在云安全方面的投资增速领先全球。中商产业研究院数据显示，2018年中国云安全市场规模达37.76亿元，增长45%。到2021年，预计我国云安全市场规模将超100亿元。

面对潜力巨大的云安全服务需求，公有云服务商大力发展自己的网络安全云服务，如AWS、阿里云、腾讯云等安全云服务与云计算业务一样快速增长。

网络安全公司加快云转型，网络安全公司提供的云安全技术与服务都登上阿里云和AWS等云平台，为用户开始提供安全服务。

SaaS服务需求爆发，“删库”给SaaS服务商敲响了警钟，越来越多的用户会对SaaS服务行业的应用和数据安全提出更高要求。

同样，在网络安全方面，用户、SaaS服务商、公有云服务商、网络安全服务商一个都不能少!