本報記者 陳伊凡 上海報道 近日,網絡安全行業發生了一件大事。
微信小程序頭部服務商——SaaS平臺微盟集團(02013.HK)遭遇“刪庫”,系統宕機,影響百萬商戶。3月2日,微盟集團公告稱,丟失數據已全面召回,並準備了1.5億元賠付撥備金。
“微盟事件”觸發了對於SaaS平臺數據安全的思考。
加之疫情影響,原本在數字化轉型上懸而未決、猶豫不定的企業主們開始意識到,上雲成為必須且緊迫的事情。數字化轉型中,SaaS廠商應扮演什麼角色;與雲廠商之間保持怎樣的關係;上雲成本和數據安全之間如何找到平衡點;在數字化轉型浪潮襲來之際,雲廠商又該承擔怎樣的責任?
對此,商湯產業戰略研究院院長、阿里雲研究院創始人田豐提出了“數據信託”的概念。
在田豐看來,平臺上的企業和SaaS廠商,更像是信託和受託的關係。企業們將數據託付給SaaS廠商,受託人是第一責任人,有責任對數據的整個生命週期進行管理。
而SaaS廠商一旦依附於一個大的雲廠商,只需要負責應用層面的數據安全,這能夠大大降低其數據安全的成本;底層數據架構的安全可以交付於雲廠商,二者的關係更像家電和發電廠。
在企業們數字化、智能化轉型的過程中,雲廠商們所承擔的責任更像是“企業數字化轉型的教練”,提供一項普惠技術,門檻低、成本低,幫助更多企業上雲。
訪談:
經濟觀察報:面對數據安全,SaaS平臺應承擔什麼樣的責任?
田豐:數據必然有采集、清洗分析、中間傳輸和存儲這些環節,任何一個環節都有可能產生數據被篡改或洩露。在美國的數據產業鏈中,有人專門收集數據,如需要自動駕駛的數據,可能借助民間力量,這就涉及到一些外部數據收集和分析的公司。
為此,我提出了“數據信託”的概念。企業或個人把數據託付給SaaS服務商,SaaS服務商就是第一責任人,有責任對數據的整個生命週期進行管理,絕對不能外包或買賣數據。如今,在數據層面,大家的安全意識很強,數據只進不出,因為一旦出去會產生各種問題,無法受控。
經濟觀察報:業內是否有針對SaaS平臺數據安全管理的標準或規範?
田豐:目前,有很多不同的法律規範對數據安全進行保護,但還沒有一套專門針對SaaS平臺的統一標準,因為涉及的層面太多。
但適用於SaaS廠商的法律很多,ISO27001是針對信息安全管理的標準,ISO20000是針對系統運維的標準。此外,《網絡安全法》、《個人信息保護法》、歐盟的GDPR等都是對數據安全進行規範和管理。
以前IT時代,數據刪除和篡改的風險很大,但數據洩漏的風險沒有互聯網時代大。現在既要重視存儲的數據安全,還要看傳輸的數據安全,甚至在收集層面也要做到一定程度的脫敏和匿名化。
經濟觀察報:企業上SaaS平臺時會考慮成本,SaaS廠商如何在成本和安全間找到平衡?
田豐:要做到兩點平衡,SaaS廠商一定要依託一個強有力的雲廠商。
數據防護分應用層、中間層和底層。應用層的數據防護主要看apsdk層面有沒有漏洞,有沒有可能在應用層被人攻破或從內部攻破。PaaS這一中間層,需要處理大量數據的分發、調度並進行計算,中間層也有可能被人黑掉。在底層IaaS層面,就是我們理解雲平臺是分佈式存儲,傳統的數據中心是集中式存儲。
SaaS廠商需要選擇雲廠商來保障底層和中間層,SaaS廠商只需要負責應用層的數據應用監控,這樣成本就降下來了。
經濟觀察報:SaaS廠商與雲廠商之間是什麼關係?如果出現信息安全,雲廠商應承擔什麼責任?
田豐:兩者的關係可以類比成發電廠與家電。如果我在家裡私接一個功率很大的家電,導致家裡整個電路短路,這個事情跟發電廠沒有關係。雲廠商是技術提供者的角色,SaaS廠商基於其上進行終端服務。
對於SaaS廠商而言,不能將安全權限過於集中在某一個人手裡,很多數據刪除的操作,至少需要兩個系統管理員的密碼。
平臺所能保證的是基礎架構和數據架構的安全,應用層需要靠SaaS廠商自己。SaaS廠商要創新自己的應用層,做好防護。從數據防護的全流程來說,SaaS廠商需要保證的就是其中大約30%的安全,其它70%的安全交給雲廠商。
經濟觀察報:如何理解“企業上雲後,數據都掌握在雲廠商手裡”這種擔心?
田豐:十年前大家都在熱議這個問題,那時大家對雲計算都不太瞭解,但現在這已經是非常成熟的產業。阿里雲已經成立十年,騰訊雲也成立了6-7年,整個產業是非常規範的。
我之所以提出“數據信託”這個概念,是因為不管在哪個雲上,數據始終是客戶的,如果想做更多開發,一定要和客戶商談。而且,現在雲計算廠商主要做技術類服務,對數據沒有興趣。如一些公司跟某些保險公司做數據共創和服務,那是業務層的協議,跟底下雲技術服務協沒關係的,後者掙的是工具類的錢,而不是數據的錢。我覺得目前來講,中國、美國、歐洲在數據層面,都有高度的防護意識和安全意識。
經濟觀察報:在數據安全保護上,未來法律法規的方向是什麼?
田豐:我們建議的方向是促發展、保底線。不能一味嚴防死守,都不能做,產業就無法發展。目前,歐洲原來嚴防死守的法律也有所鬆動,開始向不同行業授權,培養自己的數字產業,如數字歐洲方案、地平線的歐洲方案、歐洲中小企業戰略等。
經濟觀察報:大型雲廠商在數字化上應該扮演什麼角色?
田豐:需要提供一項普惠技術,一是降低技術門檻,不需要學習太長時間,減輕企業上雲門檻;二是價格不能太貴,否則中小企業用不起。科技從誕生到全面普及有一個S曲線,逐漸坡爬到過程,技術越成熟,成本越低,人群越廣。
目前,雲計算已經相對成熟,大的雲計算廠商應扮演企業數字化轉型教練的角色。我更傾向於將其稱之為智能化轉型,只有智能化才能解互聯網下半場的難題。那麼多數據收回來,一定要通過機器學習等技術,發現數據背後的商機規律。國外頭部SaaS廠家Salesforce做得很好,這家企業成立於1999年,幫助企業做ERP系統等服務。Salesforce最早是一個通用型的在線CRM平臺(客戶關係管理),後來逐漸沉澱出自己的PaaS平臺。
閱讀更多 經濟觀察報 的文章
