SaaS軟件與企業(yè)數(shù)據(jù)安全能否兼得？

申請免費試用、咨詢電話：400-8352-114

近幾年，由于SaaS(Software as a Service軟件即服務(wù))的出現(xiàn)，軟件行業(yè)正在經(jīng)歷一場深刻的變革。在中國，眾多傳統(tǒng)軟件開發(fā)商，甚至電子商務(wù)服務(wù)商、電信運營商在看到了SaaS在低成本、跨地區(qū)使用等方面的巨大優(yōu)勢后，也逐漸認(rèn)識到這種軟件模式是未來軟件也發(fā)展的趨勢，紛紛涉足SaaS領(lǐng)域，國內(nèi)的SaaS軟件也雨后春筍般出現(xiàn)。

由于SaaS軟件通過互聯(lián)網(wǎng)交付使用，其鮮明的互聯(lián)網(wǎng)特性使得數(shù)據(jù)安全問題成為橫在中小企業(yè)面前的一道巨大障礙，如何解決這一問題也成為眾多SaaS軟件運營商面臨的一道課題。

SaaS的安全問題真的難以解決么?

從SaaS軟件的整個使用過程來看，SaaS軟件安全問題主要來自幾個方面：

首先，用戶在使用SaaS軟件的過程中商業(yè)數(shù)據(jù)會在瀏覽器客戶端和服務(wù)器端傳輸，如何保證數(shù)據(jù)傳輸過程中數(shù)據(jù)的安全性，成為用戶關(guān)注的焦點。

其次，SaaS運營商存儲數(shù)據(jù)的服務(wù)器有能力抵御互聯(lián)網(wǎng)黑客的攻擊么?這也是眾多企業(yè)關(guān)注的問題。

另外，存放在SaaS運營商的客戶數(shù)據(jù)，如何在沒有客戶許可的情況下不被其他人窺探也是企業(yè)非常擔(dān)心的問題。以上三方面問題，是數(shù)據(jù)安全的軟肋，也是眾多SaaS運營商面臨的共性問題。

廠家們?nèi)绾谓鉀Q這些問題

作為國內(nèi)較早進(jìn)入SaaS領(lǐng)域的SaaS運營商，風(fēng)云網(wǎng)絡(luò)服務(wù)有限公司憑借其在SaaS技術(shù)上的多年積累，聯(lián)合國際上技術(shù)最雄厚的軟件廠商——微軟，打造的風(fēng)云在線(FW086.com)提供完整的SaaS安全解決方案，從技術(shù)上破解了SaaS使用過程的數(shù)據(jù)安全的難題。

針對SaaS安全的第一個問題——數(shù)據(jù)傳輸安全問題，風(fēng)云在線聯(lián)合微軟采取了六層數(shù)據(jù)安全防護(hù)體系，保障數(shù)據(jù)傳輸安全。

用戶登錄：安裝服務(wù)器證書，確保用戶輸入用戶名和密碼的服務(wù)器是用戶要訪問的服務(wù)器。

SSL加密:與網(wǎng)上銀行同等安全級別的加密技術(shù)——多層敏感數(shù)據(jù)傳輸全程SSL加密進(jìn)一步降低數(shù)據(jù)被破解的可能性。

多層數(shù)據(jù)和參數(shù)傳送處理，以防跨站腳本和SQL注入攻擊。ISV 數(shù)據(jù)訪問及數(shù)據(jù)傳送加密。數(shù)據(jù)庫中所有涉及用戶機(jī)密部分全部采用密文保存。統(tǒng)一安全管理，采用多層保護(hù)策略，保證核心應(yīng)用和關(guān)鍵數(shù)據(jù)的安全。

針對第二個問題——數(shù)據(jù)存儲安全問題，風(fēng)云網(wǎng)絡(luò)采取服務(wù)器與數(shù)據(jù)隔離、業(yè)務(wù)連續(xù)和災(zāi)難恢復(fù)保障兩大策略來解決。

服務(wù)器和數(shù)據(jù)隔離安全策略

網(wǎng)站服務(wù)器，運營服務(wù)器，業(yè)務(wù)系統(tǒng)服務(wù)器和域名完全隔離， 以減少單點攻擊的漏洞。應(yīng)用系統(tǒng)數(shù)據(jù)采用不同數(shù)據(jù)庫或數(shù)據(jù)表存儲，保障不同應(yīng)用數(shù)據(jù)之間的安全。

企業(yè)之間數(shù)據(jù)完全互相隔離，杜絕了企業(yè)間數(shù)據(jù)的滲透。業(yè)務(wù)連續(xù)和災(zāi)難恢復(fù)保障策略。數(shù)據(jù)保護(hù)，包括無中斷備份和恢復(fù)過程。高可用性，系統(tǒng)無單點故障，并通過最大限度減少計劃內(nèi)和計劃外停機(jī)時間來實現(xiàn)災(zāi)難異地恢復(fù)，解決數(shù)據(jù)恢復(fù)的問題。

針對第三個問題——數(shù)據(jù)訪問權(quán)限問題，風(fēng)云網(wǎng)絡(luò)有針對性的提供了嚴(yán)密的數(shù)據(jù)安全制度和身份權(quán)限訪問體系。

數(shù)據(jù)安全制度

制定內(nèi)部信息系統(tǒng)維護(hù)人員的管理體制，明確角色責(zé)任。

數(shù)據(jù)庫中所有涉及用戶機(jī)密部分全部采用密文保存，即便系統(tǒng)管理人員也無法得到原文，密鑰可由企業(yè)用戶掌握。使用系統(tǒng)修復(fù)程序和安全更新維護(hù)。使用系統(tǒng)賬號管理， 密碼管理， 賬號權(quán)限分配管理，賬號管理審核，保障賬號分配的權(quán)限。

身份權(quán)限管理體系集中式SSO單點登錄(Cookie/Token加密), 用戶無縫登陸體驗。用戶登錄后，系統(tǒng)根據(jù)用戶的角色，權(quán)限集合配對其功能操作。ISV應(yīng)用集中鑒權(quán)和授權(quán)體驗。應(yīng)用系統(tǒng)的數(shù)據(jù)庫訪問使用專署數(shù)據(jù)庫帳戶，并配置最小訪問控制。

以上諸多安全技術(shù)體系和制度，風(fēng)云網(wǎng)絡(luò)從不同角度、不同環(huán)節(jié)對SaaS軟件用戶的數(shù)據(jù)安全性進(jìn)行了嚴(yán)密的防護(hù)，較好地解決了SaaS數(shù)據(jù)安全問題，已成為SaaS數(shù)據(jù)安全領(lǐng)域的典范，已得到了眾多企業(yè)用戶的認(rèn)可。

相信隨著SaaS軟件的發(fā)展，SaaS軟件安全保障技術(shù)會更加完善，企業(yè)用戶對SaaS軟件的認(rèn)可會越來越高， SaaS軟件也將迎來飛速發(fā)展的金色春天。（比特網(wǎng)）