公告加載中...
設為首頁 加入收藏 聯系我們
登陸加載中...
隨心工作室 - 專注于軟件實用化與簡單化
分類導航
超級搜索
熱點新聞
 查看方式: 查看:[ 大字 中字 小字 ]
SaaS安全性的兩種聲音
來源: 互聯網 作者:匿名 發表日期: 2007-12-12 23:17:17 閱讀次數: 16192 查看權限: 普通新聞
隨著SaaS(軟件即服務)越來越火熱,SaaS的安全性是成為被用戶、廠商和媒體激烈討論的話題。

  安全性的兩種聲音:

  有人說:SaaS模式的數據存儲在公網上,掌握在SaaS服務商的手上。而且,黑客可能破解并進入數據服務器,獲取數據,這聽起來好像有些道理。有人甚至說:使用SaaS軟件時,很容易把病毒帶到公司的內部網絡,甚至把病毒傳染到其他服務器,這無形中給公司內部網絡帶來隱患,這是“聳人聽聞”嗎?

  另外有一種聲音就是SaaS實際上提升了信息化系統的安全性,因為安裝在局域網的軟件系統也面臨一些安全的問題,比如:

  1、解決對軟件商、服務商的信任問題。

  大多數客戶不能完全百分之百的完成系統的維護,此時廠商提供服務時,廠商的技術人員一樣可以很方便的接觸到用戶數據。

  另外,安裝在客戶局域網的系統升級的時候,都是由局域網內部服務器發起訪問外網,此時內網外網對于開發廠商來說是透明的,這也存在用戶對軟件服務商的信任問題。

  據統計,信息化系統的安全威脅90%都來自局域網內部,可怕的黑客病毒或木馬程序的危害遠遠大于服務器被攻破;比如Arp欺騙導致內網全數據泄密,利用Arp欺騙而傳播的病毒,黑客可能能加容易進入核心的數據服務器。

  2、解決對內部信息系統維護人員的管理和信任問題。

  內網需要專門的人員和設備來解決信息化的問題,因此存在系統維護和設備維護,一般來說,內網系統由于人員上的安排和水平是否能做到很好的數據備份或異地數據備份呢?當發生重大惡性事故的時候(比如火災、病毒),數據被丟失的可能性很大。我們需要把專業的事情給專業的服務商去做。

  既然要有人員來維護服務器,那么就會存在人員信任的問題,在內網系統中一定是“管理員權限大于老板”;在一些公司信息化中,為了節省成本,很多系統被規劃到一臺服務器中,因此公司不同的技術人員都有可能在服務器上獲取數據。技術人員因為不滿足公司,而造成徹底毀損數據、泄漏數據、出賣數據的事件不在少數。

  3、傳統軟件系統不能放在互聯網上。

  很多客戶都有分支機構,而且老板有出差或在家中查看公司情況的需求,也就是說存在使用互聯網訪問系統的需求,如果一個原運行在內網的軟件放在公網上,沒有https加密傳輸協議和數字安全證書,很難說這樣的系統是安全的,這僅僅是局域網系統放在互聯網上的眾多安全隱患之一。

  我們應該相信誰?

  隨著SaaS模式的軟件慢慢占領傳統軟件的市場,新生事物總會受到傳統事物的排擠,SaaS也不例外,就好比愛迪生發明的電燈泡在早期受到蠟燭廠商的排擠一樣,不排出一些人站在自己的利益角度攻擊SaaS的安全性。也不排除一些低劣的SaaS的服務廠商中,沒有利用更安全的技術,如何辨別具體的一種SaaS是否安全,需要把握以下幾點:

  1、傳輸協議加密

  首先,要看SaaS產品提供使用的協議,是https://還是一般的http://,別小看這個s,這表明所有的數據在傳輸過程中都是加密的。如果不加密,網上可能有很多“嗅探器”軟件能夠輕松的獲得您的數據,甚至是您的用戶名和密碼;實際上網上很多聊天軟件帳號被盜大多數都是遭到“嗅探器”的“招”了。

  其次,傳輸協議加密還要看是否全程加密,即軟件的各個部分都是https://協議訪問的,有部分軟件只做了登錄部分,這是遠遠不夠的。目前,Salesforce、XToolsCRM都是采取全程加密的。

  2、服務器安全證書

  服務器安全證書是用戶識別服務器身份的重要標示,有些不正規的服務廠商并沒有使用全球認證的服務器安全證書。用戶對服務器安全證書的確認,表示服務器確實是用戶訪問的服務器,此時可以放心的輸入用戶名和密碼,徹底避免“釣魚”型網站,大多數銀行卡密碼泄漏都是被“釣魚”站釣上的。

  3、URL數據訪問安全碼技術

  對于一般用戶來說,復雜的URL看起來只是一串沒有意義的字符而已。但是對于一些IT高手來說,這些字符串中可能隱藏著一些有關于數據訪問的秘密,通過修改URL,很多黑客可以通過諸如SQL注入等方式攻入系統,獲取用戶數據。XToolsCRM采用安全碼技術對傳入的數據進行驗證,使URL更為安全。

  4、數據的管理和備份機制

  SaaS服務商的數據備份應該是完善的,用戶必須了解自己服務商為您提供了什么樣的數據備份機制,一旦出現重大問題,如何恢復數據等。服務商在內部管理上如何保證用戶數據不被服務商所泄露,也是需要用戶和服務商溝通的。

  5、運營服務系統的安全

  在評估SaaS產品安全度的時侯,最重要的是看公司對于服務器格局的設置,只有這樣的格局才是可以信任的,包括:運營服務器與網站服務器分離。

  服務器的專用是服務器安全最重要的保證。試想,如果一臺服務器安裝了SaaS系統,但同時又安裝了網站系統、郵件系統、論壇系統……,他還能安全嗎?在黑客角度來說,越多的系統就意味著越多的漏洞,況且大多數網站使用的網站系統、郵件系統和論壇系統都是在網上能夠找到源代碼的免費產品,有了源代碼,黑客就可以很容易攻入。很多網站被攻入都是因為論壇系統的漏洞。

  因此,一個優秀的軟件SaaS運營商,運營服務器和網站服務器應該完全隔離的,甚至域名也應該分開。

  6、重視廠商的歷史和專業性,有助于建立信任關系。

  專業的SaaS廠商可能比用戶更加注重安全,因為SaaS的“安全性”就是廠商的“飯碗”。就像在網上買東西,我們用戶需要看看廠商獲得用戶方面的評價,和媒體的口碑,看看是否專業和專注SaaS。有些廠商僅僅把SaaS產品作為炒作的噱頭,可能危害的就是用戶。

  這樣看起來,無論是傳統的局域網信息化系統,還是SaaS模式的信息化系統,都會讓客戶關注數據安全。但如果我們有標準來衡量信息化系統的安全性,或者我們提前知曉這些風險的存在,對于用戶來說是有利的。
【公共評論】 發表評論
評論加載中...
[共0條]【相關軟件】
 暫 無 相 關 內 容
[共0條]【相關新聞】
 暫 無 相 關 內 容
3d近10期开机号