對話商湯田豐：SaaS平臺與云廠商，誰該為數(shù)據(jù)安全買單？

編者按：本文來自微信公眾號“底層設(shè)計(jì)師”（ID:Bottom-upDesigner），作者：陳伊凡，36氪經(jīng)授權(quán)發(fā)布。

數(shù)字化轉(zhuǎn)型中，SaaS廠商應(yīng)扮演什么角色；與云廠商之間保持怎樣的關(guān)系；上云成本和數(shù)據(jù)安全之間如何找到平衡點(diǎn)；在數(shù)字化轉(zhuǎn)型浪潮襲來之際，云廠商又該承擔(dān)怎樣的責(zé)任。

SaaS平臺與云廠商，誰該為數(shù)據(jù)安全買單？

在田豐看來，平臺上的企業(yè)和SaaS廠商，更像是信托和受托的關(guān)系。企業(yè)們將數(shù)據(jù)托付給SaaS廠商，受托人是第一責(zé)任人，有責(zé)任對數(shù)據(jù)的整個(gè)生命周期進(jìn)行管理。

而SaaS廠商一旦依附于一個(gè)大的云廠商，只需要負(fù)責(zé)應(yīng)用層面的數(shù)據(jù)安全，這能夠大大降低其數(shù)據(jù)安全的成本；底層數(shù)據(jù)架構(gòu)的安全可以交付于云廠商，二者的關(guān)系更像家電和發(fā)電廠。

近日，網(wǎng)絡(luò)安全行業(yè)發(fā)生了一件大事。

微信小程序頭部服務(wù)商——SaaS平臺微盟集團(tuán)（02013.HK）遭遇“刪庫”,系統(tǒng)宕機(jī)，影響百萬商戶。3月2日，微盟集團(tuán)公告稱，丟失數(shù)據(jù)已全面召回，并準(zhǔn)備了1.5億元賠付撥備金。

“微盟事件”觸發(fā)了對于SaaS平臺數(shù)據(jù)安全的思考。

加之疫情影響，原本在數(shù)字化轉(zhuǎn)型上懸而未決、猶豫不定的企業(yè)主們開始意識到，上云成為必須且緊迫的事情。數(shù)字化轉(zhuǎn)型中，SaaS廠商應(yīng)扮演什么角色；與云廠商之間保持怎樣的關(guān)系；上云成本和數(shù)據(jù)安全之間如何找到平衡點(diǎn)；在數(shù)字化轉(zhuǎn)型浪潮襲來之際，云廠商又該承擔(dān)怎樣的責(zé)任？

對此，商湯產(chǎn)業(yè)戰(zhàn)略研究院院長、阿里云研究院創(chuàng)始人田豐提出了“數(shù)據(jù)信托”的概念。

在田豐看來，平臺上的企業(yè)和SaaS廠商，更像是信托和受托的關(guān)系。企業(yè)們將數(shù)據(jù)托付給SaaS廠商，受托人是第一責(zé)任人，有責(zé)任對數(shù)據(jù)的整個(gè)生命周期進(jìn)行管理。

而SaaS廠商一旦依附于一個(gè)大的云廠商，只需要負(fù)責(zé)應(yīng)用層面的數(shù)據(jù)安全，這能夠大大降低其數(shù)據(jù)安全的成本；底層數(shù)據(jù)架構(gòu)的安全可以交付于云廠商，二者的關(guān)系更像家電和發(fā)電廠。

在企業(yè)們數(shù)字化、智能化轉(zhuǎn)型的過程中，云廠商們所承擔(dān)的責(zé)任更像是“企業(yè)數(shù)字化轉(zhuǎn)型的教練”，提供一項(xiàng)普惠技術(shù)，門檻低、成本低，幫助更多企業(yè)上云。

對話田豐

MIR：面對數(shù)據(jù)安全，SaaS平臺應(yīng)承擔(dān)什么樣的責(zé)任？

田豐：數(shù)據(jù)必然有采集、清洗分析、中間傳輸和存儲(chǔ)這些環(huán)節(jié)，任何一個(gè)環(huán)節(jié)都有可能產(chǎn)生數(shù)據(jù)被篡改或泄露。在美國的數(shù)據(jù)產(chǎn)業(yè)鏈中，有人專門收集數(shù)據(jù)，如需要自動(dòng)駕駛的數(shù)據(jù)，可能借助民間力量，這就涉及到一些外部數(shù)據(jù)收集和分析的公司。

為此，我提出了“數(shù)據(jù)信托”的概念。企業(yè)或個(gè)人把數(shù)據(jù)托付給SaaS服務(wù)商，SaaS服務(wù)商就是第一責(zé)任人，有責(zé)任對數(shù)據(jù)的整個(gè)生命周期進(jìn)行管理，絕對不能外包或買賣數(shù)據(jù)。如今，在數(shù)據(jù)層面，大家的安全意識很強(qiáng)，數(shù)據(jù)只進(jìn)不出，因?yàn)橐坏┏鋈?huì)產(chǎn)生各種問題，無法受控。

MIR：業(yè)內(nèi)是否有針對SaaS平臺數(shù)據(jù)安全管理的標(biāo)準(zhǔn)或規(guī)范？

田豐：目前，有很多不同的法律規(guī)范對數(shù)據(jù)安全進(jìn)行保護(hù)，但還沒有一套專門針對SaaS平臺的統(tǒng)一標(biāo)準(zhǔn)，因?yàn)樯婕暗膶用嫣唷?/span>

但適用于SaaS廠商的法律很多，ISO27001是針對信息安全管理的標(biāo)準(zhǔn)，ISO20000是針對系統(tǒng)運(yùn)維的標(biāo)準(zhǔn)。此外，《網(wǎng)絡(luò)安全法》、《個(gè)人信息保護(hù)法》、歐盟的GDPR等都是對數(shù)據(jù)安全進(jìn)行規(guī)范和管理。

以前IT時(shí)代，數(shù)據(jù)刪除和篡改的風(fēng)險(xiǎn)很大，但數(shù)據(jù)泄漏的風(fēng)險(xiǎn)沒有互聯(lián)網(wǎng)時(shí)代大?，F(xiàn)在既要重視存儲(chǔ)的數(shù)據(jù)安全，還要看傳輸?shù)臄?shù)據(jù)安全，甚至在收集層面也要做到一定程度的脫敏和匿名化。

MIR：企業(yè)上SaaS平臺時(shí)會(huì)考慮成本，SaaS廠商如何在成本和安全間找到平衡？

田豐：要做到兩點(diǎn)平衡，SaaS廠商一定要依托一個(gè)強(qiáng)有力的云廠商。

數(shù)據(jù)防護(hù)分應(yīng)用層、中間層和底層。應(yīng)用層的數(shù)據(jù)防護(hù)主要看apsdk層面有沒有漏洞，有沒有可能在應(yīng)用層被人攻破或從內(nèi)部攻破。PaaS這一中間層，需要處理大量數(shù)據(jù)的分發(fā)、調(diào)度并進(jìn)行計(jì)算，中間層也有可能被人黑掉。在底層IaaS層面，就是我們理解云平臺是分布式存儲(chǔ)，傳統(tǒng)的數(shù)據(jù)中心是集中式存儲(chǔ)。

SaaS廠商需要選擇云廠商來保障底層和中間層，SaaS廠商只需要負(fù)責(zé)應(yīng)用層的數(shù)據(jù)應(yīng)用監(jiān)控，這樣成本就降下來了。

MIR：SaaS廠商與云廠商之間是什么關(guān)系？如果出現(xiàn)信息安全，云廠商應(yīng)承擔(dān)什么責(zé)任？

田豐：兩者的關(guān)系可以類比成發(fā)電廠與家電。如果我在家里私接一個(gè)功率很大的家電，導(dǎo)致家里整個(gè)電路短路，這個(gè)事情跟發(fā)電廠沒有關(guān)系。云廠商是技術(shù)提供者的角色，SaaS廠商基于其上進(jìn)行終端服務(wù)。

對于SaaS廠商而言，不能將安全權(quán)限過于集中在某一個(gè)人手里，很多數(shù)據(jù)刪除的操作，至少需要兩個(gè)系統(tǒng)管理員的密碼。

平臺所能保證的是基礎(chǔ)架構(gòu)和數(shù)據(jù)架構(gòu)的安全，應(yīng)用層需要靠SaaS廠商自己。SaaS廠商要?jiǎng)?chuàng)新自己的應(yīng)用層，做好防護(hù)。從數(shù)據(jù)防護(hù)的全流程來說，SaaS廠商需要保證的就是其中大約30%的安全，其它70%的安全交給云廠商。

MIR：如何理解“企業(yè)上云后，數(shù)據(jù)都掌握在云廠商手里”這種擔(dān)心？

田豐：十年前大家都在熱議這個(gè)問題，那時(shí)大家對云計(jì)算都不太了解，但現(xiàn)在這已經(jīng)是非常成熟的產(chǎn)業(yè)。阿里云已經(jīng)成立十年，騰訊云也成立了6-7年，整個(gè)產(chǎn)業(yè)是非常規(guī)范的。

我之所以提出“數(shù)據(jù)信托”這個(gè)概念，是因?yàn)椴还茉谀膫€(gè)云上，數(shù)據(jù)始終是客戶的，如果想做更多開發(fā)，一定要和客戶商談。而且，現(xiàn)在云計(jì)算廠商主要做技術(shù)類服務(wù)，對數(shù)據(jù)沒有興趣。如一些公司跟某些保險(xiǎn)公司做數(shù)據(jù)共創(chuàng)和服務(wù)，那是業(yè)務(wù)層的協(xié)議，跟底下云技術(shù)服務(wù)協(xié)沒關(guān)系的，后者掙的是工具類的錢，而不是數(shù)據(jù)的錢。我覺得目前來講，中國、美國、歐洲在數(shù)據(jù)層面，都有高度的防護(hù)意識和安全意識。

MIR：在數(shù)據(jù)安全保護(hù)上，未來法律法規(guī)的方向是什么？

田豐：我們建議的方向是促發(fā)展、保底線。不能一味嚴(yán)防死守，都不能做，產(chǎn)業(yè)就無法發(fā)展。目前，歐洲原來嚴(yán)防死守的法律也有所松動(dòng)，開始向不同行業(yè)授權(quán)，培養(yǎng)自己的數(shù)字產(chǎn)業(yè)，如數(shù)字歐洲方案、地平線的歐洲方案、歐洲中小企業(yè)戰(zhàn)略等。

MIR：大型云廠商在數(shù)字化上應(yīng)該扮演什么角色？

田豐：需要提供一項(xiàng)普惠技術(shù)，一是降低技術(shù)門檻，不需要學(xué)習(xí)太長時(shí)間，減輕企業(yè)上云門檻；二是價(jià)格不能太貴，否則中小企業(yè)用不起?？萍紡恼Q生到全面普及有一個(gè)S曲線，逐漸坡爬到過程，技術(shù)越成熟，成本越低，人群越廣。

目前，云計(jì)算已經(jīng)相對成熟，大的云計(jì)算廠商應(yīng)扮演企業(yè)數(shù)字化轉(zhuǎn)型教練的角色。我更傾向于將其稱之為智能化轉(zhuǎn)型，只有智能化才能解互聯(lián)網(wǎng)下半場的難題。那么多數(shù)據(jù)收回來，一定要通過機(jī)器學(xué)習(xí)等技術(shù)，發(fā)現(xiàn)數(shù)據(jù)背后的商機(jī)規(guī)律。國外頭部SaaS廠家Salesforce做得很好，這家企業(yè)成立于1999年，幫助企業(yè)做ERP系統(tǒng)等服務(wù)。Salesforce最早是一個(gè)通用型的在線CRM平臺（客戶關(guān)系管理），后來逐漸沉淀出自己的PaaS平臺。