1樓:瑞雲服務雲
SaaS模式下,企業使用者關心的是自己的資料能不能得到安全保護。由於SaaS服務模式的特殊性,使用者資料必須集中存放,由廠商統一管理。因此帶來的資料安全風險以及客戶信任問題成為了SaaS廠商最為頭疼的事情。
同時,隨著資訊保安越來越受重視,國家陸續出台了《網路安全法》等一系列法案。眾多法案的合規與風險規避,已經成為當下SaaS廠商必須要考慮的問題。
如果要使企業安心的接入SAAS服務,避免接入企業使用者對資料安全的擔憂,主要要從以下三個方面去進行資料安全建設:
一、許可權分配由企業自己掌握
一般開發的SAAS服務需要有完善的許可權管理功能,單獨為接入的企業提供許可權管理功能,接入企業可以根據實際需求給人員開放系統許可權,同時SAAS服務需要具備許可權功能修改、使用者訪問等審計功能,為接入企業提供系統操作日誌查詢功能,減少接入企業在資料安全方面的擔憂。
除許可權由接入企業使用者自行掌握外,我們提供的SAAS服務需要通過專業滲透測試服務商完成滲透測試,避免垂直越權、水平越權等許可權問題發生,由於接入企業都是同行業企業,如對外提供的SAAS服務有以上許可權問題發生時,也可能會使接入的企業資料被其他接入競爭公司所看到,為避免此類安全事件發生,SAAS服務上線前需要經過嚴格的安全測試,尤其重要的是系統中各類許可權的測試。
二、對資料進行資料加密
除了基本的在傳輸過程中通過https進行資料加密傳輸,防止被網路監聽竊取資料,同時為了減少接入企業對資料安全的擔憂,同時真正保護接入企業的資料安全,在我看來對資料進行資料加密是乙個比較行之有效的資料安全解決方案。
針對SAAS服務進行資料加密,(雲密碼機需通過國家密碼管理局檢測認證)可以稱得上最優的解決方案,雲密碼機天生就是為解決SAAS服務場景的資料加密而生的。基於完善的安全體系設計,使用者的應用金鑰具備完善的生命週期管理,除指定使用者以外的任何人都無法訪問。
SAAS服務商為接入SAAS服務的企業使用者分配VSM(虛擬密碼機,簡稱VSM,以下涉及虛擬密碼機均用VSM代替),分配VSM的同時也會為接入企業使用者提供管理ukey,通過管理ukey才有登入VSM及管理VSM的許可權。
這樣,通過VSM接入企業使用者就可以自己設定資料加密秘鑰,包括加密秘鑰長度、加密秘鑰演算法(支援國密、國際演算法)實現對企業使用者自己的資料進行資料加密,整個資料加密的秘鑰、密碼機的管理完全由接入企業使用者自己管理。在SAAS服務進行資料查詢時,從資料庫讀取的資料加密資料,需要SAAS服務呼叫VSM解密介面,通過VSM實現對資料解密,通過SAAS服務前台展示給使用者解密後的資料;在SAAS服務進行資料儲存時,需要SAAS服務呼叫VSM加密介面,通過VSM實現對資料加密,資料加密後儲存到資料庫;所以即使是SAAS服務提供商也無法看到資料庫中所存的資料的真實內容,這樣不論是攻擊業務系統的黑客、其它接入企業、SAAS服務提供商均不可能看到存在資料庫真實資料是什麼,因為資料庫存放的資料都是接入企業通過自己設定的加密秘鑰進行加密後的資料,秘鑰只有接入企業自己才會有,也只有業務系統或者通過接入企業的秘鑰才能看到資料庫中存放的真實資料內容。這樣不僅保證了接入企業使用者的資料安全,同時也可以避免接入企業使用者對資料安全性的擔憂。
三、資料操作可審計
只有SAAS服務系統的嚴格許可權管理、接入企業通過自己設定的加密秘鑰對資料加密可能還不夠,這時候接入企業同樣會問,如何確保其他接入企業、SAAS服務商沒有直連資料庫操作我們的資料?該如何解決接入企業在這方面的擔憂呢?
以上問題,需要構建完備的SAAS資料庫審計服務。通過SAAS資料庫審計服務,實現按接入企業進行資料庫審計,通過預先設定的資料庫審計規則(比如:指定的關鍵字、指定的資料庫例項等都可以)對針對接入該企業的所有資料庫庫操作進行審計,不論是來自業務系統的增、刪、改、查,還是直連資料庫的增、刪、改、查都會進行操作審計,所有的審計資料根據不同接入企業進行授權,每個接入企業可以隨時檢視對企業自身資料的所有操作記錄。
通過SAAS資料庫審計服務使接入企業可以隨時掌握資料庫的訪問情況,不僅可以看到訪問資料庫使用的使用者名稱、訪問的源IP位址、執行的SQL語句、執行的操作物件等資訊,同時也可以制定各類資料庫訪問情況分析報表推送到指定郵箱,便於接入企業進行資料訪問情況分析及統計。
通過嚴格的SAAS服務系統的嚴格許可權管理、接入企業通過自己設定的加密秘鑰對資料加密、完備的SAAS資料庫審計服務不僅可以保證醫療SAAS服務資料安全,同時也可以避免接入企業對資料安全的擔憂,而且也利於醫療SAAS服務的推廣。
來自一名深耕SaaS軟體13年的小兵【瑞雲服務雲】的分享。
2樓:售後易
這個很難說,這個需要看SAAS平台的企業安全管理的措施是否得當,使用的伺服器或者雲虛擬空間是否安全。SAAS平台是否通過網路安全等級保護測評,可以作為乙個考慮方向。但是要全面評估乙個SAAS平台是否安全,不是一件容易的事情。
外賣平台的抽成是不是很高?
要我說一點都不高,說高的真是的貪得無厭,請問沒有外賣平台你家店是不是早就關門了。我14 15年做的時候外賣平台沒有抽成,但同時專送也沒發展這麼好,經常發了單沒人接,自己雇人送,包吃住外加工資乙個人成本約合兩百一天,餐飲來單高峰期就那麼一會兒,乙個外送員根本不夠送,招了六個外送員,還要自己擔負電動車成...
你用什麼方式評判乙個專案經理是不是稱職?
放牛的星星 10年遊戲開發經驗,曾經的乙個專案裡有5個專案經理。他不用對專案中的每件事都知道該怎麼做,但是他必須知道,這件事應該由誰來做,什麼時候能做好,有哪些事情和這件事情相關,哪些人需要知會,哪些人需要深度參與,會不會有什麼風險,應該怎麼應對潛在的風險。他能迅速的和人拉進關係,能快速的推進協作,...
VRay是不是要涼涼了,是不是用Vray的人越來越少了?
高力 不請自來回答下這個問題,現在市面上的渲染器Vray,Corona最流行,Vray的模擬渲染肯定不如Corona的物理渲染,從光線上就可以看出。但是!在全世界都覺得Corona要取代Vray的時候,Vray的母公司ChaosGroup收購了Corona,Vray最近更新的5.0版本中混合燈光有很...