在昨日舉辦的“2017可信云大會”上,中國信息通信研究院工程師閆丹介紹了可信云的企業(yè)級SaaS評估體系。據(jù)悉,信通院2015年對在線應用評估進行修訂,更名為SaaS服務評估,在2017年通過跟專家討論,將SaaS服務正式更名為企業(yè)級SaaS評估服務。截止目前,一共有30家云服務商的35項云服務通過可信云SaaS服務評估。
可信云企業(yè)級SaaS評估是指通過互聯(lián)網(wǎng)方式,向企業(yè)級客戶提供軟件的服務,服務廠商將應用軟件統(tǒng)一部署在云平臺服務端,企業(yè)客戶根據(jù)自己的實際需求,向廠商訂購所需的應用軟件服務,按訂購的服務內容、時間、用戶量等形式向廠商支付費用,通過瀏覽器、客戶端或者移動客戶端獲得廠商提供的在線服務。目前信通院的分類在全行業(yè)有客戶關系管理類等,垂直行業(yè)主要包括政府、金融醫(yī)療、制造、教育、能源等幾大行業(yè)。
要求用戶規(guī)模
根據(jù)評估細則,信通院到云服務商現(xiàn)場進行實際查看運維操作系統(tǒng),以及運維操作規(guī)范是否合乎要求。另外是專家評審,邀請業(yè)內權威專家對參評企業(yè)從架構、服務各個方面進行評審與詢問。在企業(yè)和服務基本信息審查方面,企業(yè)基本信息審查主要包括八個部分:ICP牌照審查,經營牌照審查,規(guī)模審查,資金審查,組織機構審查,以及通過哪些權威認證,納稅證明,股權結構。
服務基本信息審查,主要是要衡量企業(yè)級SaaS目前擁有的用戶數(shù),產品服務名稱,運行起止時間,要求是半年以上;此外還有業(yè)務功能、服務支付方式、業(yè)務采用的軟硬件。“這里特別強調一下,我們對于參評服務的用戶數(shù)和規(guī)模數(shù)是有要求的,對于全行業(yè)企業(yè)級SaaS,我們要求To B客戶數(shù)在2000家以上,如果面向超大型客戶,我們要求終端用戶數(shù)也要達到一定規(guī)模。對于垂直行業(yè),要求To B客戶在兩千家以上或者達到一定行業(yè)占有率,或者虛擬CPU核數(shù)達到一定要求。”閆丹表示。
詳解評估指標
閆丹介紹,企業(yè)級SaaS服務具體評估指標,首先是基礎云服務評估指標,包括十六大項,數(shù)據(jù)存儲持久性,私密性、知情權、可審查性、服務功能、服務可用性、服務資源調配能力,網(wǎng)絡接入能力等。在數(shù)據(jù)遷移性方面,主要測試用戶數(shù)據(jù)導入導出能力,比如像辦公協(xié)同類軟件,我要求能夠進行相關文檔數(shù)據(jù)和用戶資料數(shù)據(jù)的導入和導出,便于用戶遷移,這里要求能夠提供標準的數(shù)據(jù)格式的導入導出。這部分數(shù)據(jù)可遷移性目前來說,參評服務應該在這方面做得都比較好,沒有太大的問題。
數(shù)據(jù)私密性這個指標主要考慮不同用戶之間的數(shù)據(jù)能夠不可互訪,這里不同用戶指的是統(tǒng)一公司下不同用戶的數(shù)據(jù)是不允許互訪的,不同企業(yè)間的數(shù)據(jù)是堅決不能互訪,我們是通過相關技術測試手段,測試他們不同用戶數(shù)據(jù)之間確實能夠保障數(shù)據(jù)間的隔離。
服務功能方面,目前采取測試方式是根據(jù)服務商提供用戶手冊逐條進行測試,保證服務商承諾每一項功能都能夠真實可用。服務資源調配能力,主要考察如果用戶使用七天想要增加或者減少一些資源,能夠進行自由調配。目前來說,企業(yè)級SaaS都是以簽訂線下合同為主,所以調配能力目前達到實時性的會比較找一些。網(wǎng)絡接入性能,主要測試云服務訪問響應速度、丟包率等等,在北上廣深我們在各個地區(qū),對云服務接入能力進行測試,并提供相應測試報告。
服務計量準確性方面,信通院要求服務商為客戶提供詳細的計費說明以及計費日志。在計費說明方面,目前企業(yè)級SaaS還是以簽訂線下合同為主,所以信通院是承認線下的合同,但是一定要提供線上能夠證明用戶使用量線上的界面和操作日志。在服務安全性評估方面,主要包括四個層面,一是用戶層安全,二是代碼層安全,三是數(shù)據(jù)層安全,四是管理層安全。服務安全性是在前面十六個指標項下的補充,所以用戶層安全主要對用戶身份認證,用戶授權,密碼管理,安全審計,以及對于郵件類我們會考察他們的垃圾郵件處理機制。對于支付類會考察他們支付和提現(xiàn)行為安全性。代碼安全方面,會對參評服務進行要求其提供詳細的logo掃描,近期logo掃描報告,包括軟件自身代碼漏洞,協(xié)議漏洞以及軟件框架漏洞,并保證沒有高危和中危漏洞。在數(shù)據(jù)安全方面,主要考察數(shù)據(jù)傳輸?shù)募用埽瑪?shù)據(jù)存儲加密,數(shù)據(jù)備份和數(shù)據(jù)保護。
因為之前運維管理審查已經很詳細了,所以增加了密鑰管理。目前參評服務安全性總體來說還是做得比較好的,但是密碼管理方面,可能還有所欠缺,經過我們的要求,必須是能夠進行有密碼鎖定策略,并且對密碼長度和復雜度策略進行一定限制,這個是很多企業(yè)級SaaS初評沒有過的原因。另外在數(shù)據(jù)傳輸加密,信通院會對數(shù)據(jù)傳輸過程進行分析,查看具體內容是不是真的,進行加密傳輸,但不會明文進行傳輸。數(shù)據(jù)存儲我們也會通過運維審查方式,對后臺數(shù)據(jù)進行查看,保證后臺數(shù)據(jù)都是密文存儲的。
在用戶體驗性能方面,主要考察基礎指標、頁面類指標、流媒體指標、App指標?;A指標考察首先是100K耗時,平均下載速度,投影DCP時間,投影響應時間,它能夠準確反映用戶的體驗,更能真實客觀反映用戶的體驗。信通院也采取了測試工具,對相關指標進行測試。
即將細化標準
閆丹還介紹了今年的評估標準升級。如果面向大型客戶提供服務,信通院要求面向大型客戶提供可定制化,可集成能力,客戶成功服務能力。在可定制化方面,要求能夠提供定制化產品和服務??杉赡芰χ饕鉀Q的是兩點,一方面要解決與其他服務在數(shù)據(jù)層之間的互聯(lián)問題,另外是單點登錄問題。客戶成功服務能力,主要考察云服務商對于大型客戶信息化服務運營能力,實現(xiàn)精準服務,幫助用戶最快化實現(xiàn)企業(yè)級SaaS服務的價值。主要考察有三個方面,一是專業(yè)實時服務,第二是及時客戶支持,第三是為客戶提供以客戶目標為目的,為客戶提供貼身式的主動客戶服務。
閆丹最后表示,雖然今年建立了面向大客戶的客戶成功評估體系,包括三大類指標,但是也看到目前企業(yè)級SaaS評估有一些不足的地方,針對每個細類可能有各自本身的特點沒有照顧到。所以在未來,信通院會為企業(yè)級SaaS服務郵件類、協(xié)同辦公類、客戶管理類入手,細化各類服務標準,對各類服務針對其特點提出相應的具體指標項。希望有興趣的企業(yè)可以參與,這項工作會在八月份左右開展,一起建立企業(yè)級SaaS評估的標準。