近幾年���,由于SaaS(Software as a Service軟件即服務(wù))的出現(xiàn),軟件行業(yè)正在經(jīng)歷一場(chǎng)深刻的變革��。
在中國(guó)���,眾多傳統(tǒng)軟件開(kāi)發(fā)商���,甚至電子商務(wù)服務(wù)商�、電信運(yùn)營(yíng)商在看到了SaaS在低成本����、跨地區(qū)使用等方面的巨大優(yōu)勢(shì)后,也逐漸認(rèn)識(shí)到這種軟件模式是未來(lái)軟件也發(fā)展的趨勢(shì)���,紛紛涉足SaaS領(lǐng)域�,國(guó)內(nèi)的SaaS軟件也雨后春筍般出現(xiàn)�����。
由于SaaS軟件通過(guò)互聯(lián)網(wǎng)交付使用�����,其鮮明的互聯(lián)網(wǎng)特性使得數(shù)據(jù)安全問(wèn)題成為橫在中小企業(yè)面前的一道巨大障礙�����,如何解決這一問(wèn)題也成為眾多SaaS軟件運(yùn)營(yíng)商面臨的一道課題�����。
SaaS的安全問(wèn)題真的難以解決么��?
從SaaS軟件的整個(gè)使用過(guò)程來(lái)看���,SaaS軟件安全問(wèn)題主要來(lái)自幾個(gè)方面:
首先�,用戶在使用SaaS軟件的過(guò)程中商業(yè)數(shù)據(jù)會(huì)在瀏覽器客戶端和服務(wù)器端傳輸�����,如何保證數(shù)據(jù)傳輸過(guò)程中數(shù)據(jù)的安全性����,成為用戶關(guān)注的焦點(diǎn)。
其次���,SaaS運(yùn)營(yíng)商存儲(chǔ)數(shù)據(jù)的服務(wù)器有能力抵御互聯(lián)網(wǎng)黑客的攻擊么���?這也是眾多企業(yè)關(guān)注的問(wèn)題。
另外��,存放在SaaS運(yùn)營(yíng)商的客戶數(shù)據(jù)����,如何在沒(méi)有客戶許可的情況下不被其他人窺探也是企業(yè)非常擔(dān)心的問(wèn)題���。
以上三方面問(wèn)題,是數(shù)據(jù)安全的軟肋�,也是眾多SaaS運(yùn)營(yíng)商面臨的共性問(wèn)題。
廠家們?nèi)绾谓鉀Q這些問(wèn)題�����?
筆者不久前獲悉�,作為國(guó)內(nèi)較早進(jìn)入SaaS領(lǐng)域的SaaS運(yùn)營(yíng)商,風(fēng)云網(wǎng)絡(luò)服務(wù)有限公司憑借其在SaaS技術(shù)上的多年積累����,聯(lián)合國(guó)際上技術(shù)最雄厚的軟件廠商——微軟,打造的風(fēng)云在線(FW086.com)提供完整的SaaS安全解決方案��,從技術(shù)上破解了SaaS使用過(guò)程的數(shù)據(jù)安全的難題��。
針對(duì)SaaS安全的第一個(gè)問(wèn)題——數(shù)據(jù)傳輸安全問(wèn)題����,風(fēng)云在線聯(lián)合微軟采取了六層數(shù)據(jù)安全防護(hù)體系,保障數(shù)據(jù)傳輸安全。
用戶登錄:安裝服務(wù)器證書��,確保用戶輸入用戶名和密碼的服務(wù)器是用戶要訪問(wèn)的服務(wù)器�����。
SSL加密:與網(wǎng)上銀行同等安全級(jí)別的加密技術(shù)——多層敏感數(shù)據(jù)傳輸全程SSL加密進(jìn)一步降低數(shù)據(jù)被破解的可能性���。
多層數(shù)據(jù)和參數(shù)傳送處理,以防跨站腳本和SQL注入攻擊�。
ISV 數(shù)據(jù)訪問(wèn)及數(shù)據(jù)傳送加密。
數(shù)據(jù)庫(kù)中所有涉及用戶機(jī)密部分全部采用密文保存����。
統(tǒng)一安全管理,采用多層保護(hù)策略��,保證核心應(yīng)用和關(guān)鍵數(shù)據(jù)的安全��。
針對(duì)第二個(gè)問(wèn)題——數(shù)據(jù)存儲(chǔ)安全問(wèn)題�,風(fēng)云網(wǎng)絡(luò)采取服務(wù)器與數(shù)據(jù)隔離、業(yè)務(wù)連續(xù)和災(zāi)難恢復(fù)保障兩大策略來(lái)解決�����。
服務(wù)器和數(shù)據(jù)隔離安全策略
網(wǎng)站服務(wù)器,運(yùn)營(yíng)服務(wù)器�����,業(yè)務(wù)系統(tǒng)服務(wù)器和域名完全隔離���, 以減少單點(diǎn)攻擊的漏洞��。
應(yīng)用系統(tǒng)數(shù)據(jù)采用不同數(shù)據(jù)庫(kù)或數(shù)據(jù)表存儲(chǔ)�����,保障不同應(yīng)用數(shù)據(jù)之間的安全
企業(yè)之間數(shù)據(jù)完全互相隔離��,杜絕了企業(yè)間數(shù)據(jù)的滲透
業(yè)務(wù)連續(xù)和災(zāi)難恢復(fù)保障策略
數(shù)據(jù)保護(hù)���,包括無(wú)中斷備份和恢復(fù)過(guò)程
高可用性,系統(tǒng)無(wú)單點(diǎn)故障�,并通過(guò)最大限度減少計(jì)劃內(nèi)和計(jì)劃外停機(jī)時(shí)間來(lái)實(shí)現(xiàn)
災(zāi)難異地恢復(fù),解決數(shù)據(jù)恢復(fù)的問(wèn)題���。
針對(duì)第三個(gè)問(wèn)題——數(shù)據(jù)訪問(wèn)權(quán)限問(wèn)題�����,風(fēng)云網(wǎng)絡(luò)有針對(duì)性的提供了嚴(yán)密的數(shù)據(jù)安全制度和身份權(quán)限訪問(wèn)體系��。
數(shù)據(jù)安全制度
制定內(nèi)部信息系統(tǒng)維護(hù)人員的管理體制�,明確角色責(zé)任。
數(shù)據(jù)庫(kù)中所有涉及用戶機(jī)密部分全部采用密文保存��,即便系統(tǒng)管理人員也無(wú)法得到原文�����,密鑰可由企業(yè)用戶掌握�����。
使用系統(tǒng)修復(fù)程序和安全更新維護(hù)�����。
使用系統(tǒng)賬號(hào)管理��, 密碼管理��, 賬號(hào)權(quán)限分配管理���,賬號(hào)管理審核,保障賬號(hào)分配的權(quán)限。
身份權(quán)限管理體系
集中式SSO單點(diǎn)登錄(Cookie/Token加密), 用戶無(wú)縫登陸體驗(yàn)�����。
用戶登錄后��,系統(tǒng)根據(jù)用戶的角色�,權(quán)限集合配對(duì)其功能操作。
ISV應(yīng)用集中鑒權(quán)和授權(quán)體驗(yàn)��。
應(yīng)用系統(tǒng)的數(shù)據(jù)庫(kù)訪問(wèn)使用專署數(shù)據(jù)庫(kù)帳戶���,并配置最小訪問(wèn)控制��。
以上諸多安全技術(shù)體系和制度��,風(fēng)云網(wǎng)絡(luò)從不同角度��、不同環(huán)節(jié)對(duì)SaaS軟件用戶的數(shù)據(jù)安全性進(jìn)行了嚴(yán)密的防護(hù)�,較好地解決了SaaS數(shù)據(jù)安全問(wèn)題�,已成為SaaS數(shù)據(jù)安全領(lǐng)域的典范,已得到了眾多企業(yè)用戶的認(rèn)可����。
相信隨著SaaS軟件的發(fā)展���,SaaS軟件安全保障技術(shù)會(huì)更加完善,企業(yè)用戶對(duì)SaaS軟件的認(rèn)可會(huì)越來(lái)越高�����,SaaS軟件也將迎來(lái)飛速發(fā)展的金色春天���。
