C114讯 7月27日消息(南山)在昨日举办的“2017可信云大会”上,中国信息通信研究院工程师闫丹介绍了可信云的企业级SaaS评估体系。据悉,信通院2015年对在线应用评估进行修订,更名为SaaS服务评估,在2017年通过跟专家讨论,将SaaS服务正式更名为企业级SaaS评估服务。截止目前,一共有30家云服务商的35项云服务通过可信云SaaS服务评估。
可信云企业级SaaS评估是指通过互联网方式,向企业级客户提供软件的服务,服务厂商将应用软件统一部署在云平台服务端,企业客户根据自己的实际需求,向厂商订购所需的应用软件服务,按订购的服务内容、时间、用户量等形式向厂商支付费用,通过浏览器、客户端或者移动客户端获得厂商提供的在线服务。目前信通院的分类在全行业有客户关系管理类等,垂直行业主要包括政府、金融医疗、制造、教育、能源等几大行业。
.jpg)
要求用户规模
根据评估细则,信通院到云服务商现场进行实际查看运维操作系统,以及运维操作规范是否合乎要求。另外是专家评审,邀请业内权威专家对参评企业从架构、服务各个方面进行评审与询问。在企业和服务基本信息审查方面,企业基本信息审查主要包括八个部分:ICP牌照审查,经营牌照审查,规模审查,资金审查,组织机构审查,以及通过哪些权威认证,纳税证明,股权结构。
服务基本信息审查,主要是要衡量企业级SaaS目前拥有的用户数,产品服务名称,运行起止时间,要求是半年以上;此外还有业务功能、服务支付方式、业务采用的软硬件。“这里特别强调一下,我们对于参评服务的用户数和规模数是有要求的,对于全行业企业级SaaS,我们要求To B客户数在2000家以上,如果面向超大型客户,我们要求终端用户数也要达到一定规模。对于垂直行业,要求To B客户在两千家以上或者达到一定行业占有率,或者虚拟CPU核数达到一定要求。”闫丹表示。
详解评估指标
闫丹介绍,企业级SaaS服务具体评估指标,首先是基础云服务评估指标,包括十六大项,数据存储持久性,私密性、知情权、可审查性、服务功能、服务可用性、服务资源调配能力,网络接入能力等。在数据迁移性方面,主要测试用户数据导入导出能力,比如像办公协同类软件,我要求能够进行相关文档数据和用户资料数据的导入和导出,便于用户迁移,这里要求能够提供标准的数据格式的导入导出。这部分数据可迁移性目前来说,参评服务应该在这方面做得都比较好,没有太大的问题。
数据私密性这个指标主要考虑不同用户之间的数据能够不可互访,这里不同用户指的是统一公司下不同用户的数据是不允许互访的,不同企业间的数据是坚决不能互访,我们是通过相关技术测试手段,测试他们不同用户数据之间确实能够保障数据间的隔离。
服务功能方面,目前采取测试方式是根据服务商提供用户手册逐条进行测试,保证服务商承诺每一项功能都能够真实可用。服务资源调配能力,主要考察如果用户使用七天想要增加或者减少一些资源,能够进行自由调配。目前来说,企业级SaaS都是以签订线下合同为主,所以调配能力目前达到实时性的会比较找一些。网络接入性能,主要测试云服务访问响应速度、丢包率等等,在北上广深我们在各个地区,对云服务接入能力进行测试,并提供相应测试报告。
服务计量准确性方面,信通院要求服务商为客户提供详细的计费说明以及计费日志。在计费说明方面,目前企业级SaaS还是以签订线下合同为主,所以信通院是承认线下的合同,但是一定要提供线上能够证明用户使用量线上的界面和操作日志。在服务安全性评估方面,主要包括四个层面,一是用户层安全,二是代码层安全,三是数据层安全,四是管理层安全。服务安全性是在前面十六个指标项下的补充,所以用户层安全主要对用户身份认证,用户授权,密码管理,安全审计,以及对于邮件类我们会考察他们的垃圾邮件处理机制。对于支付类会考察他们支付和提现行为安全性。代码安全方面,会对参评服务进行要求其提供详细的logo扫描,近期logo扫描报告,包括软件自身代码漏洞,协议漏洞以及软件框架漏洞,并保证没有高危和中危漏洞。在数据安全方面,主要考察数据传输的加密,数据存储加密,数据备份和数据保护。
因为之前运维管理审查已经很详细了,所以增加了密钥管理。目前参评服务安全性总体来说还是做得比较好的,但是密码管理方面,可能还有所欠缺,经过我们的要求,必须是能够进行有密码锁定策略,并且对密码长度和复杂度策略进行一定限制,这个是很多企业级SaaS初评没有过的原因。另外在数据传输加密,信通院会对数据传输过程进行分析,查看具体内容是不是真的,进行加密传输,但不会明文进行传输。数据存储我们也会通过运维审查方式,对后台数据进行查看,保证后台数据都是密文存储的。
在用户体验性能方面,主要考察基础指标、页面类指标、流媒体指标、App指标。基础指标考察首先是100K耗时,平均下载速度,投影DCP时间,投影响应时间,它能够准确反映用户的体验,更能真实客观反映用户的体验。信通院也采取了测试工具,对相关指标进行测试。
即将细化标准
闫丹还介绍了今年的评估标准升级。如果面向大型客户提供服务,信通院要求面向大型客户提供可定制化,可集成能力,客户成功服务能力。在可定制化方面,要求能够提供定制化产品和服务。可集成能力主要解决的是两点,一方面要解决与其他服务在数据层之间的互联问题,另外是单点登录问题。客户成功服务能力,主要考察云服务商对于大型客户信息化服务运营能力,实现精准服务,帮助用户最快化实现企业级SaaS服务的价值。主要考察有三个方面,一是专业实时服务,第二是及时客户支持,第三是为客户提供以客户目标为目的,为客户提供贴身式的主动客户服务。
闫丹最后表示,虽然今年建立了面向大客户的客户成功评估体系,包括三大类指标,但是也看到目前企业级SaaS评估有一些不足的地方,针对每个细类可能有各自本身的特点没有照顾到。所以在未来,信通院会为企业级SaaS服务邮件类、协同办公类、客户管理类入手,细化各类服务标准,对各类服务针对其特点提出相应的具体指标项。希望有兴趣的企业可以参与,这项工作会在八月份左右开展,一起建立企业级SaaS评估的标准。 
