中国IDC圈2016年9月6日报道，9月1日由工业和信息化部指导，中国信息通信研究院、中国通信标准化协会主办，数据中心联盟承办的“2016可信云大会”在京隆重召开。在可信云企业级 SaaS和桌面云分论坛上，中国信息通信研究院技术与标准研究所工程师陈文弢对可信云企业级SaaS评估方法进行了介绍。以下是演讲全文：

中国信息通信研究院技术与标准研究所工程师 陈文弢 

谢谢大家。刚才来自浪潮、联想还有保利威视的领导介绍了各自的产品，我给大家介绍一下企业级SaaS评估的标准和方法。先给大家介绍可信云服务认证，2013年数据中心联盟设立这么一项认证工作，从最开始可信云服务认证包括可信云服务的评估，只涉及到云主机、存储这么几个比较窄的方面。经过三年发展，已经形成一个比较完善的体系，既包括可信云的服务评估，又包括了专项评估，还有云保险的评估，还有开源云解决方案评估。可信云服务评估包括IaaS和PaaS，云主机还有全球负载均衡等等，还有SaaS、桌面云、云分发、云备份涵盖所有的云计算的服务。

企业级面向的是企业客户，比如服务商需要向企业客户提供企业级SaaS服务。他要具备一定规模，我们这边经过一些调研，具备服务能力是这样要求的。为全行业提供服务的话，他需要有一千家以上客户，垂直行业用户两百家，也有一些比较特殊的情况，比如金融行业全国银行加一块两百家出点头，我们要求他们的规模物理CPU达到240核以上。

对于SaaS这些方面我们OA应用类，网盘类、CRM类、ERP类、安全类还有在线数据分析、客户服务等等基本涵盖了所有SaaS服务。

SaaS评估的指标就是这个，先说一下这个是根据可信云服务认证评估方法来的。可信云服务认证评估分为三方面，第一方面是材料审查、运维审查还有技术测试，还有包括性能检测。材料审查我们要求企业提供他的企业基本信息，包括他的营业执照、ICP资质，它的社保证明，他的一些其他一些通过认证的情况，这是对企业的信誉和他们的规模进行初评。运维审查这块我们要求对企业的运维能力进行评估，这个我们通过现场查看一下企业一些运维方面方针，指导性文件。最后还是现场看一下他使用的运维系统，包括运维系统是否能监测到所有资源，运维系统是否能及时发现故障，发现故障之后及时告警。

系统测试这块我们通过远程一些技术测试，提交的服务里面有一些服务协议，承诺只是他的功能，他的可用性是否能够满足他这方面的要求，满足他服务协议的承诺。可以看左边的具体评估项，这是可行性服务认证的评估项。在此基础之上，我们对企业级SaaS服务最关心的两个问题或者新加的指标，一个是服务安全性还有用户的体验性能。服务安全性我们会在运维审查还有技术测试中进行审查。最终结果我们会提交给可信云服务认证的专家组，由他们来看一下这个结果是否能够通过。

下面跟大家说一下技术测试的方法，技术测试首先是数据可迁移性，主要是看的是数据导入和导出，这套下面写的方法仅限于标准数据格式，非标准数据格式会要求企业提供他是不是格式转化的能力，他会不会协助迁移。

导入这块我们会根据服务商给我们开设的测试帐号，结合他的生产环境，会不会把我们的数据导进去，看他数据是否一致完整。导出他们把数据，提供SaaS服务导出来看是否完整。数据私密性主要看他在不同用户之间数据内容内网不可互访，要求企业提高他的数据私密性的说明文档，说明他的隔离方法。

服务功能这块测试也比较简单，服务深给我们提供一个说明文档，看一下他提供的服务都具体有什么功能，登录、修改密码、开通什么服务，进行审查。服务资源调配能力这块结合服务商在它的对外的承诺值，我们会根据十几个情况看它是否能达到他承诺的值。

网络接入性能，我们会用第三方测试软件和测试工具看一下他的响应速度，最终我们在实际测试中会选取北上广三个比较用户比较多的点，得出用户实际访问的平均值。

服务质量准确性，看服务商提供这个服务到底有没有准确的计量计费系统，他的服务是否有计费日志，计费日志保留多长时间，是否能够与实际使用情况一致的。

第三块就刚才提到我们特有的指标服务安全性。这块我们通过四个方面，应用层安全、代码层安全、数据安全、管理安全这四个方面进行测试。应用层安全首先需要包括身份认证，看用户登录的时候是什么情况？用户授权我们需要看服务商对用户权限划分是否合理。密码管理包括密码锁定策略、密码强度、密码找回策略，密码修改策略等。安全审计我们就要看一下服务商他对于用户异常登录和异常操作是否有这种识别。对于邮件类的应用还会看一下垃圾邮件的审计和处理机制，看一下这个机制是否是有效。对于支付类应用还会看支付提现行为是否采取安全有效的身份认证。代码层安全主要是看代码漏洞，是不是具有他现在已经公开的企业漏洞。一方面自己进行测试，另一方面要求企业提交他们测试报告。

对于数据安全我们从传输、存储、备份还有删除这四个方面作出一个要求。首先在传输过程当中加密传输，看他的加密方式。存储过程中需要看他的存储和加密方式。数据备份看一下服务商备份策略，是几份备份还是冷备和热备和其他的方法。数据删除包括看用户数据删除还有存储介质删除，看他删除之后数据是否不可以恢复。管理安全方面看服务商对密钥的管理能力，密钥的有效周期。

第四部分是用户体验性能是SaaS特有的指标，基本指标是对于所有SaaS应用都适用的。包括下载10K所需时长，还有他平均下载速度，投影TCP时间，投影响应时间。对页面类指标，从开始浏览，进入应用到渲染出600象素高度范围之间的时间差。对流媒体指标要求他首次缓冲时长。最后APP类的指标，从点击APP开始正常启动这个周期是多长时间。

截止到目前我们现在已经有这么多家厂商通过了服务认证，包括上面演讲浪潮、联想还有的保利威视，说明现在这些服务他们几家服务商已经具备较高的服务能力。后面SaaS认证还有讲到桌面云还有云分发等等可信云服务认证的咨询报名都可以联系我。这是我的联系方式，希望有更多的服务商参与我们的认证，支持我们工作，谢谢大家。