近幾年,由于SaaS(Software as a Service軟件即服務)的出現(xiàn)�,軟件行業(yè)正在經(jīng)歷一場深刻的變革。在中國�,眾多傳統(tǒng)軟件開發(fā)商,甚至電子商務服務商��、電信運營商在看到了SaaS在低成本��、跨地區(qū)使用等方面的巨大優(yōu)勢后����,也逐漸認識到這種軟件模式是未來軟件也發(fā)展的趨勢,紛紛涉足SaaS領域����,國內的SaaS軟件也雨后春筍般出現(xiàn)。
由于SaaS軟件通過互聯(lián)網(wǎng)交付使用���,其鮮明的互聯(lián)網(wǎng)特性使得數(shù)據(jù)安全問題成為橫在中小企業(yè)面前的一道巨大障礙�,如何解決這一問題也成為眾多SaaS軟件運營商面臨的一道課題。
SaaS的安全問題真的難以解決么?
從SaaS軟件的整個使用過程來看�,SaaS軟件安全問題主要來自幾個方面:
首先����,用戶在使用SaaS軟件的過程中商業(yè)數(shù)據(jù)會在瀏覽器客戶端和服務器端傳輸,如何保證數(shù)據(jù)傳輸過程中數(shù)據(jù)的安全性����,成為用戶關注的焦點。
其次�,SaaS運營商存儲數(shù)據(jù)的服務器有能力抵御互聯(lián)網(wǎng)黑客的攻擊么?這也是眾多企業(yè)關注的問題。
另外�����,存放在SaaS運營商的客戶數(shù)據(jù)����,如何在沒有客戶許可的情況下不被其他人窺探也是企業(yè)非常擔心的問題。以上三方面問題����,是數(shù)據(jù)安全的軟肋,也是眾多SaaS運營商面臨的共性問題���。
廠家們如何解決這些問題
作為國內較早進入SaaS領域的SaaS運營商��,風云網(wǎng)絡服務有限公司憑借其在SaaS技術上的多年積累���,聯(lián)合國際上技術最雄厚的軟件廠商——微軟��,打造的風云在線(FW086.com)提供完整的SaaS安全解決方案���,從技術上破解了SaaS使用過程的數(shù)據(jù)安全的難題。
針對SaaS安全的第一個問題——數(shù)據(jù)傳輸安全問題�,風云在線聯(lián)合微軟采取了六層數(shù)據(jù)安全防護體系,保障數(shù)據(jù)傳輸安全��。
用戶登錄:安裝服務器證書�����,確保用戶輸入用戶名和密碼的服務器是用戶要訪問的服務器����。
SSL加密:與網(wǎng)上銀行同等安全級別的加密技術——多層敏感數(shù)據(jù)傳輸全程SSL加密進一步降低數(shù)據(jù)被破解的可能性。
多層數(shù)據(jù)和參數(shù)傳送處理�,以防跨站腳本和SQL注入攻擊。ISV 數(shù)據(jù)訪問及數(shù)據(jù)傳送加密�。數(shù)據(jù)庫中所有涉及用戶機密部分全部采用密文保存。統(tǒng)一安全管理,采用多層保護策略��,保證核心應用和關鍵數(shù)據(jù)的安全����。
針對第二個問題——數(shù)據(jù)存儲安全問題����,風云網(wǎng)絡采取服務器與數(shù)據(jù)隔離、業(yè)務連續(xù)和災難恢復保障兩大策略來解決����。
服務器和數(shù)據(jù)隔離安全策略
網(wǎng)站服務器,運營服務器�,業(yè)務系統(tǒng)服務器和域名完全隔離, 以減少單點攻擊的漏洞�����。應用系統(tǒng)數(shù)據(jù)采用不同數(shù)據(jù)庫或數(shù)據(jù)表存儲�����,保障不同應用數(shù)據(jù)之間的安全���。
企業(yè)之間數(shù)據(jù)完全互相隔離��,杜絕了企業(yè)間數(shù)據(jù)的滲透�。業(yè)務連續(xù)和災難恢復保障策略�����。數(shù)據(jù)保護�,包括無中斷備份和恢復過程����。高可用性���,系統(tǒng)無單點故障����,并通過最大限度減少計劃內和計劃外停機時間來實現(xiàn)災難異地恢復����,解決數(shù)據(jù)恢復的問題。
針對第三個問題——數(shù)據(jù)訪問權限問題���,風云網(wǎng)絡有針對性的提供了嚴密的數(shù)據(jù)安全制度和身份權限訪問體系���。
數(shù)據(jù)安全制度
制定內部信息系統(tǒng)維護人員的管理體制�,明確角色責任�����。
數(shù)據(jù)庫中所有涉及用戶機密部分全部采用密文保存,即便系統(tǒng)管理人員也無法得到原文��,密鑰可由企業(yè)用戶掌握。使用系統(tǒng)修復程序和安全更新維護�����。使用系統(tǒng)賬號管理���, 密碼管理, 賬號權限分配管理��,賬號管理審核�����,保障賬號分配的權限��。
身份權限管理體系集中式SSO單點登錄(Cookie/Token加密), 用戶無縫登陸體驗����。用戶登錄后����,系統(tǒng)根據(jù)用戶的角色,權限集合配對其功能操作�����。ISV應用集中鑒權和授權體驗���。應用系統(tǒng)的數(shù)據(jù)庫訪問使用專署數(shù)據(jù)庫帳戶,并配置最小訪問控制�。
以上諸多安全技術體系和制度,風云網(wǎng)絡從不同角度���、不同環(huán)節(jié)對SaaS軟件用戶的數(shù)據(jù)安全性進行了嚴密的防護����,較好地解決了SaaS數(shù)據(jù)安全問題,已成為SaaS數(shù)據(jù)安全領域的典范��,已得到了眾多企業(yè)用戶的認可����。
相信隨著SaaS軟件的發(fā)展����,SaaS軟件安全保障技術會更加完善����,企業(yè)用戶對SaaS軟件的認可會越來越高����, SaaS軟件也將迎來飛速發(fā)展的金色春天�����。
