新闻链接http://netsecurity.51cto.com/art/201308/406443.htm
新闻时间2013-08-08 09:47

     根据IT研究公司Gartner最新报告显示，在数据保密性、数据完整性和数据丢失事件后的恢复等方面，软件即服务(SaaS)合同往往有些含糊不清的条款，这导致云服务用户的不满。商业云服务(特别是SaaS)买家发现这些安全条款模糊不清，这些条款也使得服务提供商难以管理风险和应对审计师和监管员。

Gartner称：SaaS合同歧义引发安全隐忧

该报告指出，云服务用户至少应该确保SaaS合同允许接受第三方的年底安全审查和认证，并且，在安全泄露事故中，如果供应商未能提供任何措施，用户应该有权终止合同。

“在从潜在供应商和现有服务供应商获得透明度的程度和形式方面，我们总是看到云服务用户遇到挫折，”Gartner副总裁兼著名分析师Alexa Bona表示，“随着越来越多的买家要求透明度，以及随着标准越来越成熟，以各种方式执行评估将会变得越来越普遍，包括查看问卷调查结果，查看第三方审计报告，执行现场审核和/或监控云服务供应商。”

Gartner预测，到2015年，80%的IT采购人员将仍然会对合同中与安全相关的条款和保护感到不满。旨在推动云计算的非营利组织云安全联盟(CSA)有一个电子表格形式的云控制矩阵，其中包含CSA参与者认为重要的云计算控制目标，这种举措将帮助改善云服务服务合同。

“无论供应商使用什么术语来描述服务水平协议的具体细则，IT采购人员都希望他们的数据能够抵御攻击，或者能够从事故中恢复，这些采购人员必须确保其供应商在合同上满足这些预期要求，”Bona表示，“我们建议他们还应该在SLA中涵盖恢复时间和恢复点目标，以及数据完整性，如果这些没有实现的话，应该有处罚。”

此外，对于安全事故，服务或数据损失，云服务合同中往往缺乏相应的资金赔偿，这也代表着SaaS合同中存在一定风险。该报告称，用户应该确保某种服务形式(例如对来自第三方的未经授权访问的保护)年度认证符合安全标准，以及定期漏洞测试，以书面的形式体现。另外，SaaS用户还应该协商24到36个月的费用赔偿责任限额，而不是12个月，以及额外的责任保险—在可能的情况下。

“对于云计算的风险的担忧，正在激励着安全、连续性、恢复、隐私和合规管理人员参与到由IT采购人员负责的采购过程中，”Bona表示，“他们应该定期检查其云计算合同保护，以确保IT采购人员的采购活动包含足够的风险缓解保护。”

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！