SaaS軟件與企業(yè)數(shù)據(jù)安全能否兼得？

申請(qǐng)免費(fèi)試用、咨詢(xún)電話：400-8352-114

近幾年，由于SaaS(Software as a Service軟件即服務(wù))的出現(xiàn)，軟件行業(yè)正在經(jīng)歷一場(chǎng)深刻的變革。在中國(guó)，眾多傳統(tǒng)軟件開(kāi)發(fā)商，甚至電子商務(wù)服務(wù)商、電信運(yùn)營(yíng)商在看到了SaaS在低成本、跨地區(qū)使用等方面的巨大優(yōu)勢(shì)后，也逐漸認(rèn)識(shí)到這種軟件模式是未來(lái)軟件也發(fā)展的趨勢(shì)，紛紛涉足SaaS領(lǐng)域，國(guó)內(nèi)的SaaS軟件也雨后春筍般出現(xiàn)。

由于SaaS軟件通過(guò)互聯(lián)網(wǎng)交付使用，其鮮明的互聯(lián)網(wǎng)特性使得數(shù)據(jù)安全問(wèn)題成為橫在中小企業(yè)面前的一道巨大障礙，如何解決這一問(wèn)題也成為眾多SaaS軟件運(yùn)營(yíng)商面臨的一道課題。

SaaS的安全問(wèn)題真的難以解決么?

從SaaS軟件的整個(gè)使用過(guò)程來(lái)看，SaaS軟件安全問(wèn)題主要來(lái)自幾個(gè)方面：

首先，用戶(hù)在使用SaaS軟件的過(guò)程中商業(yè)數(shù)據(jù)會(huì)在瀏覽器客戶(hù)端和服務(wù)器端傳輸，如何保證數(shù)據(jù)傳輸過(guò)程中數(shù)據(jù)的安全性，成為用戶(hù)關(guān)注的焦點(diǎn)。

其次，SaaS運(yùn)營(yíng)商存儲(chǔ)數(shù)據(jù)的服務(wù)器有能力抵御互聯(lián)網(wǎng)黑客的攻擊么?這也是眾多企業(yè)關(guān)注的問(wèn)題。

另外，存放在SaaS運(yùn)營(yíng)商的客戶(hù)數(shù)據(jù)，如何在沒(méi)有客戶(hù)許可的情況下不被其他人窺探也是企業(yè)非常擔(dān)心的問(wèn)題。以上三方面問(wèn)題，是數(shù)據(jù)安全的軟肋，也是眾多SaaS運(yùn)營(yíng)商面臨的共性問(wèn)題。

廠家們?nèi)绾谓鉀Q這些問(wèn)題

作為國(guó)內(nèi)較早進(jìn)入SaaS領(lǐng)域的SaaS運(yùn)營(yíng)商，風(fēng)云網(wǎng)絡(luò)服務(wù)有限公司憑借其在SaaS技術(shù)上的多年積累，聯(lián)合國(guó)際上技術(shù)最雄厚的軟件廠商——微軟，打造的風(fēng)云在線(FW086.com)提供完整的SaaS安全解決方案，從技術(shù)上破解了SaaS使用過(guò)程的數(shù)據(jù)安全的難題。

針對(duì)SaaS安全的第一個(gè)問(wèn)題——數(shù)據(jù)傳輸安全問(wèn)題，風(fēng)云在線聯(lián)合微軟采取了六層數(shù)據(jù)安全防護(hù)體系，保障數(shù)據(jù)傳輸安全。

用戶(hù)登錄：安裝服務(wù)器證書(shū)，確保用戶(hù)輸入用戶(hù)名和密碼的服務(wù)器是用戶(hù)要訪問(wèn)的服務(wù)器。

SSL加密:與網(wǎng)上銀行同等安全級(jí)別的加密技術(shù)——多層敏感數(shù)據(jù)傳輸全程SSL加密進(jìn)一步降低數(shù)據(jù)被破解的可能性。

多層數(shù)據(jù)和參數(shù)傳送處理，以防跨站腳本和SQL注入攻擊。ISV 數(shù)據(jù)訪問(wèn)及數(shù)據(jù)傳送加密。數(shù)據(jù)庫(kù)中所有涉及用戶(hù)機(jī)密部分全部采用密文保存。統(tǒng)一安全管理，采用多層保護(hù)策略，保證核心應(yīng)用和關(guān)鍵數(shù)據(jù)的安全。

針對(duì)第二個(gè)問(wèn)題——數(shù)據(jù)存儲(chǔ)安全問(wèn)題，風(fēng)云網(wǎng)絡(luò)采取服務(wù)器與數(shù)據(jù)隔離、業(yè)務(wù)連續(xù)和災(zāi)難恢復(fù)保障兩大策略來(lái)解決。

服務(wù)器和數(shù)據(jù)隔離安全策略

網(wǎng)站服務(wù)器，運(yùn)營(yíng)服務(wù)器，業(yè)務(wù)系統(tǒng)服務(wù)器和域名完全隔離， 以減少單點(diǎn)攻擊的漏洞。應(yīng)用系統(tǒng)數(shù)據(jù)采用不同數(shù)據(jù)庫(kù)或數(shù)據(jù)表存儲(chǔ)，保障不同應(yīng)用數(shù)據(jù)之間的安全。

企業(yè)之間數(shù)據(jù)完全互相隔離，杜絕了企業(yè)間數(shù)據(jù)的滲透。業(yè)務(wù)連續(xù)和災(zāi)難恢復(fù)保障策略。數(shù)據(jù)保護(hù)，包括無(wú)中斷備份和恢復(fù)過(guò)程。高可用性，系統(tǒng)無(wú)單點(diǎn)故障，并通過(guò)最大限度減少計(jì)劃內(nèi)和計(jì)劃外停機(jī)時(shí)間來(lái)實(shí)現(xiàn)災(zāi)難異地恢復(fù)，解決數(shù)據(jù)恢復(fù)的問(wèn)題。

針對(duì)第三個(gè)問(wèn)題——數(shù)據(jù)訪問(wèn)權(quán)限問(wèn)題，風(fēng)云網(wǎng)絡(luò)有針對(duì)性的提供了嚴(yán)密的數(shù)據(jù)安全制度和身份權(quán)限訪問(wèn)體系。

數(shù)據(jù)安全制度

制定內(nèi)部信息系統(tǒng)維護(hù)人員的管理體制，明確角色責(zé)任。

數(shù)據(jù)庫(kù)中所有涉及用戶(hù)機(jī)密部分全部采用密文保存，即便系統(tǒng)管理人員也無(wú)法得到原文，密鑰可由企業(yè)用戶(hù)掌握。使用系統(tǒng)修復(fù)程序和安全更新維護(hù)。使用系統(tǒng)賬號(hào)管理， 密碼管理， 賬號(hào)權(quán)限分配管理，賬號(hào)管理審核，保障賬號(hào)分配的權(quán)限。

身份權(quán)限管理體系集中式SSO單點(diǎn)登錄(Cookie/Token加密), 用戶(hù)無(wú)縫登陸體驗(yàn)。用戶(hù)登錄后，系統(tǒng)根據(jù)用戶(hù)的角色，權(quán)限集合配對(duì)其功能操作。ISV應(yīng)用集中鑒權(quán)和授權(quán)體驗(yàn)。應(yīng)用系統(tǒng)的數(shù)據(jù)庫(kù)訪問(wèn)使用專(zhuān)署數(shù)據(jù)庫(kù)帳戶(hù)，并配置最小訪問(wèn)控制。

以上諸多安全技術(shù)體系和制度，風(fēng)云網(wǎng)絡(luò)從不同角度、不同環(huán)節(jié)對(duì)SaaS軟件用戶(hù)的數(shù)據(jù)安全性進(jìn)行了嚴(yán)密的防護(hù)，較好地解決了SaaS數(shù)據(jù)安全問(wèn)題，已成為SaaS數(shù)據(jù)安全領(lǐng)域的典范，已得到了眾多企業(yè)用戶(hù)的認(rèn)可。

相信隨著SaaS軟件的發(fā)展，SaaS軟件安全保障技術(shù)會(huì)更加完善，企業(yè)用戶(hù)對(duì)SaaS軟件的認(rèn)可會(huì)越來(lái)越高， SaaS軟件也將迎來(lái)飛速發(fā)展的金色春天。（比特網(wǎng)）