简析中小SaaS服务商的安全管理

摘要

随着企业数字化建设的深入，“信息安全”在我们日常生活中出现的频次越来越多，且听到的更多是负面信息，尤其黑产完整的产业链条形成后，时常听到部分企业中招勒索病毒，数据丢失失、业务中断带来巨大的财产损失，让众多企业，尤其是提供SaaS服务的企业左右为难，既要保证数据的安全，业务的稳定，同时需要考虑在安全方面的投入，何去何从，什么才是适合企业的信息安全方案是一众CTO甚至企业老板关注的焦点。笔者希望本文能给大家一些思路，探索适合自己的数字安全之路。

信息安全的话题非常大，最近和很多厂商同行进行交流，大家普遍共识的认知有两点，一个是信息安全的投入是没有上线的，二是安全是相对的没有绝对的安全。换句话说，在信息安全方面，投入的再多也做不到绝对的安全，我们需要找到适合企业当下的安全规划及建设方案，并随着业务的需要、企业的变化适时调整。

本文从生产环境的安全、开发管理的安全以及安全认证体系几个角度对企业安全管理平台的建设进行阐述。希望能对大家在梳理自己安全建设方面相关思路能有帮助。

一、生产环境的安全

1、机房（云平台）安全

不管是自建机房还是使用云平台、租建IDC，都可能会出现环境问题，最为人熟知的是美国的911，大部分企业在大楼被