2014 相信自己能做的更好

---------------------------------------------------------------------------------------------------------
Everything is possible    Nothing is Impossible     
posts - 53, comments - 135, trackbacks - 0, articles - 22
  博客园 :: 首页 :: 新随笔 :: 联系 :: 订阅 订阅 :: 管理

公告

浅谈SaaS数据安全性

Posted on 2009-04-19 02:42 Arping.Net探索 阅读(...) 评论(...) 编辑 收藏

http://developer.51cto.com/art/200903/117475.htm

51CTO正持续关注SaaS时代的软件开发等SaaS热点。据BBC报道:如果说2008年是高科技职业犯罪出露马脚的一年,那么2009年则是这个噩梦的开始,地下经济正在蓬勃的发展,高科技犯罪分子不仅成立了多个组织,并且还相互合作以达到他们共有的最大的利益。近年高科技网络犯罪呈现出职业化,攻击手段多样化的趋势。目的也从简单的病毒恶作剧演变成觊觎个人机密信息和商业秘密。电子商务的普及所带来数据的海量增长,使无论是个人用户还是企业用户,现在比以往任何时候都更加依赖于数据信息,这使对于数据安全的保护成为人们最为关注的问题。

近几年,由于SaaS(Software as a Service软件即服务)的出现,从软件交付模式到信息存储管理均在经历一场深刻的变革。众多传统软件开发商,甚至电子商务服务商、电信运营商在看到了SaaS在低成本、跨地区使用等方面的巨大优势的同时,也逐渐认识到这种软件模式是未来软件也发展的趋势,纷纷涉足SaaS领域,国内的SaaS软件也雨后春笋般出现。而SaaS这种通过互联网交付的形式,其鲜明的互联网特性使得SaaS数据安全的问题被推到舆论的风口浪尖。是否有技术力量能够规避这些风险呢?SaaS软件运营商们又如何解决?作为国内最早进入SaaS领域的SaaS平台运营商,风云网络凭借其在SaaS应用及孵化上的多年经验积累,与国际软件巨头微软进行战略合作,通过旗下SaaS运营平台风云在线(www.FW086.com),向政府、企业用户提供高效完整的SaaS安全解决方案,获得了区域政府及大量企业用户的青睐。记者带着问题专访了中国SaaS业界的领军企业——江苏风云网络服务有限公司(下称风云网络)平台开发部总监罗海平先生。

记者:有些企业用户会担心,在使用SaaS软件的过程中,公司的机密商业数据会在客户端的浏览器和托管服务器之间传输,这样一来传输过程中数据是否会被截取?

罗海平:针对SaaS安全的数据传输安全方面,风云在线联合微软采取了六层数据安全防护体系,保障数据传输安全。在用户登录上,我们安装了证书服务器,并要求客户使用数字证书访问,确保用户输入用户名和密码的服务器是用户要访问的服务器。并且通过SSL加密,与网上银行同等安全级别的加密技术——多层敏感数据传输全程SSL加密进一步降低数据被窃取的可能性。多层数据和参数传送处理,以防止跨站脚本和SQL注入攻击。对每个ISV 数据访问及数据传送采用独立密钥加密,确保ISV之间的数据在没有授权的情况下互相不可见。数据库中所有涉及用户机密部分全部采用密文保存。统一安全管理,采用多层保护策略,保证核心应用和关键数据的安全。

记者:曾经有用户把SaaS误以为是云计算,造成这种误解的一个重要原因是云计算的三层原理:基础架构,包括硬件、服务器等物理资源;中间平台及应用和服务。这与SaaS的服务原理颇为相似,都具备大量的外来数据存储设备,但恰恰是这种托管存储数据的服务,让企业不放心。SaaS运营商存储数据的服务器对互联网攻击的防御能力到底有多强?

罗海平:针对数据存储安全方面,风云网络采取服务器与数据隔离、业务连续和灾难恢复保障两大策略来解决。

第一是服务器和数据隔离安全策略。对Web服务器、应用服务器、接口服务器、业务系统服务器和域名完全隔离, 以减少单点攻击的漏洞。对应用系统数据采用不同数据库或数据表存储,保障不同应用数据之间的安全。企业之间数据完全互相隔离,杜绝了企业间数据的渗透。

第二是业务连续和灾难恢复保障策略。数据保护方面,包括无中断备份和恢复过程。高可用性,采用多机冗余,保障系统无单点故障,并通过最大限度减少计划内和计划外停机时间来实现。并且支持灾难异地恢复,解决数据恢复的问题。

记者:存放在SaaS运营商的客户数据,如何在没有客户许可的情况下不被其他人窥探,也是企业非常担心问题,对于这点风云在线是如何解决的呢?。
罗海平:针对数据访问权限方面,风云网络有针对性的提供了严密的数据安全制度和身份权限访问体系。
在数据安全制度方面,我们为企业制定内部信息系统维护人员的管理体制,明确角色责任。数据库中所有涉及用户机密部分全部采用密文保存,即便系统管理人员也无法得到原文,密钥可由企业用户掌握。并且使用系统修复程序和安全更新维护。使用系统账号管理, 密码管理, 账号权限分配管理,账号管理审核,保障账号分配的权限。
在身份权限管理方面,我们通过集中式SSO单点登录(Cookie/Token加密), 用户无缝登陆体验。用户登录后,系统根据用户的角色,权限集合配对其功能操作。ISV应用集中鉴权和授权体验。应用系统的数据库访问使用专署数据库帐户,并配置最小访问控制。
以上诸多安全技术体系和制度,风云网络从不同角度、不同环节对SaaS软件用户的数据安全性进行了严密的防护,较好地解决了SaaS数据安全问题,已成为SaaS数据安全领域的典范,已得到了众多企业用户的认可,从根本上解决了企业的后顾之忧。

记者认为相信随着SaaS软件的发展,SaaS软件安全保障技术会更加完善,企业用户对SaaS软件的认可会越来越高, SaaS软件也将迎来飞速发展的金色春天。