SaaS數(shù)據(jù)安全 居安思危還是因噎廢食

申請免費試用、咨詢電話：400-8352-114

隨著SaaS（軟件即服務）越來越火熱，SaaS的安全性是成為被用戶、廠商和媒體激烈討論的話題。

安全性的兩種聲音：

有人說：SaaS模式的數(shù)據(jù)存儲在公網(wǎng)上，掌握在SaaS服務商的手上。而且，黑客可能破解并進入數(shù)據(jù)服務器，獲取數(shù)據(jù)，這聽起來好像有些道理。有人甚至說：使用SaaS軟件時，很容易把病毒帶到公司的內(nèi)部網(wǎng)絡，甚至把病毒傳染到其他服務器，這無形中給公司內(nèi)部網(wǎng)絡帶來隱患，這是“聳人聽聞”嗎？

另外有一種聲音就是SaaS實際上提升了信息化系統(tǒng)的安全性，因為安裝在局域網(wǎng)的軟件系統(tǒng)也面臨一些安全的問題，比如：

1、 解決對軟件商、服務商的信任問題。

大多數(shù)客戶不能完全百分之百的完成系統(tǒng)的維護，此時廠商提供服務時，廠商的技術(shù)人員一樣可以很方便的接觸到用戶數(shù)據(jù)。

另外，安裝在客戶局域網(wǎng)的系統(tǒng)升級的時候，都是由局域網(wǎng)內(nèi)部服務器發(fā)起訪問外網(wǎng)，此時內(nèi)網(wǎng)外網(wǎng)對于開發(fā)廠商來說是透明的，這也存在用戶對軟件服務商的信任問題。

據(jù)統(tǒng)計，信息化系統(tǒng)的安全威脅90%都來自局域網(wǎng)內(nèi)部，可怕的黑客病毒或木馬程序的危害遠遠大于服務器被攻破；比如Arp欺騙導致內(nèi)網(wǎng)全數(shù)據(jù)泄密，利用Arp欺騙而傳播的病毒，黑客可能能加容易進入核心的數(shù)據(jù)服務器。

2、 解決對內(nèi)部信息系統(tǒng)維護人員的管理和信任問題。

內(nèi)網(wǎng)需要專門的人員和設備來解決信息化的問題，因此存在系統(tǒng)維護和設備維護，一般來說，內(nèi)網(wǎng)系統(tǒng)由于人員上的安排和水平是否能做到很好的數(shù)據(jù)備份或異地數(shù)據(jù)備份呢？當發(fā)生重大惡性事故的時候（比如火災、病毒），數(shù)據(jù)被丟失的可能性很大。我們需要把專業(yè)的事情給專業(yè)的服務商去做。

既然要有人員來維護服務器，那么就會存在人員信任的問題，在內(nèi)網(wǎng)系統(tǒng)中一定是“管理員權(quán)限大于老板”；在一些公司信息化中，為了節(jié)省成本，很多系統(tǒng)被規(guī)劃到一臺服務器中，因此公司不同的技術(shù)人員都有可能在服務器上獲取數(shù)據(jù)。技術(shù)人員因為不滿足公司，而造成徹底毀損數(shù)據(jù)、泄漏數(shù)據(jù)、出賣數(shù)據(jù)的事件不在少數(shù)。

3、 傳統(tǒng)軟件系統(tǒng)不能放在互聯(lián)網(wǎng)上。

很多客戶都有分支機構(gòu)，而且老板有出差或在家中查看公司情況的需求，也就是說存在使用互聯(lián)網(wǎng)訪問系統(tǒng)的需求，如果一個原運行在內(nèi)網(wǎng)的軟件放在公網(wǎng)上，沒有https加密傳輸協(xié)議和數(shù)字安全證書，很難說這樣的系統(tǒng)是安全的，這僅僅是局域網(wǎng)系統(tǒng)放在互聯(lián)網(wǎng)上的眾多安全隱患之一。

我們應該相信誰？

隨著SaaS模式的軟件慢慢占領(lǐng)傳統(tǒng)軟件的市場，新生事物總會受到傳統(tǒng)事物的排擠，SaaS也不例外，就好比愛迪生發(fā)明的電燈泡在早期受到蠟燭廠商的排擠一樣，不排出一些人站在自己的利益角度攻擊SaaS的安全性。也不排除一些低劣的SaaS的服務廠商中，沒有利用更安全的技術(shù)，如何辨別具體的一種SaaS是否安全，需要把握以下幾點：

1、傳輸協(xié)議加密

首先，要看SaaS產(chǎn)品提供使用的協(xié)議，是https://還是一般的http://，別小看這個s，這表明所有的數(shù)據(jù)在傳輸過程中都是加密的。如果不加密，網(wǎng)上可能有很多“嗅探器”軟件能夠輕松的獲得您的數(shù)據(jù)，甚至是您的用戶名和密碼；實際上網(wǎng)上很多聊天軟件帳號被盜大多數(shù)都是遭到“嗅探器”的“招”了。

其次，傳輸協(xié)議加密還要看是否全程加密，即軟件的各個部分都是https://協(xié)議訪問的，有部分軟件只做了登錄部分，這是遠遠不夠的。目前，Salesforce、XToolsCRM都是采取全程加密的。