微盟被删库，会引发SaaS安全信任危机吗？

发布时间：2020-03-04 00:16:38 所属栏目：经验来源：中国软件网

导读：副标题#e# 日前，香港主板上市公司微盟集团发布公告称，公司SaaS业务生产环境和数据遭运维员工的人为删库破坏，导致公司当前暂时无法向客户提供SaaS产品。微盟创始人孙涛勇做出回应，没有详细说明该员工删库的原因，是因为我们认为这是一个社会问题，不想

那么，如果SaaS服务商把数据切到了云上，谁应该为云上SaaS用户的数据负责?是IaaS等公有云的服务商，还是SaaS提供商，是用户，还是提供云安全服务的网络安全公司?

中关村网络安全与信息化产业联盟

企业移动计算工作组(EMCG)组长王克

中关村网络安全与信息化产业联盟企业移动计算工作组(EMCG)组长王克告诉中国软件网记者，我国在网络安全政策上主张“谁接入，谁负责”、“谁运营，谁负责”，“谁主管、谁负责”，强调网络运营者的“主体责任”，《网安全法》对网络运营者承担的责任提出了明确要求。

在企业办公等SaaS应用场景中，网络运维者包括云服务商、SaaS系统提供(运维)者以及企业用户。应该在SaaS提供服务前进行责任划分，当数据安全出现问题后应具体分析、划清三者的责任。

云计算公司往往会提供IaaS、PaaS及SaaS三个层级中的一个或多个层级的服务。如微盟这样SaaS类公司，通常会选择可提供IaaS、PaaS的上游服务商，将重要的数据存在云上，并在此基础上，为下游的商户提供开通、运维微信小程序等服务。

目前，安全责任共担模式在业界已经达成共识，亚马逊AWS、微软Azure、阿里云、腾讯云等均已经形成了明确的安全责任划分标准，不同的安全事件，由不同的对象承担责任。同时，采用了必要的安全措施，并与SaaS、云安全服务商、用户共同构建安全策略，共担风险。

例如，基础设施损坏、网络中断带来的安全事件，租户使用了SaaS服务，责任方在公有云提供商;

因数据未加密(被盗链)、系统的漏洞(应用安全)带来的安全事件，租户使用了SaaS服务，责任方在SaaS应用提供商;

用户弱密码，身份被盗用(数据安全)带来的安全事件，用户身份和数据安全都由租户方用户管理负责。

但这几年云服务商意外事件导致数据丢失的案例层出不穷，对于重要的数据，用户仍需要考虑数据的安全备份。

腾讯云的技术专家告诉中国软件网记者，通过梳理近年来层出不穷的数据安全事件，不难发现：既有黑客的攻击，也有内部工作人员的信息贩卖、离职员工的删库、开发测试人员误操作等，多种原因导致的数据安全事件背后折射出的是，仅仅依靠单点防护难以达到真正的安全防护效果，而构建基于全生命周期的安全防护成为必然选择。