SaaS數(shù)據(jù)安全 居安思危還是因噎廢食

申請(qǐng)免費(fèi)試用、咨詢(xún)電話：400-8352-114

隨著SaaS（軟件即服務(wù)）越來(lái)越火熱，SaaS的安全性是成為被用戶、廠商和媒體激烈討論的話題。

安全性的兩種聲音：

有人說(shuō)：SaaS模式的數(shù)據(jù)存儲(chǔ)在公網(wǎng)上，掌握在SaaS服務(wù)商的手上。而且，黑客可能破解并進(jìn)入數(shù)據(jù)服務(wù)器，獲取數(shù)據(jù)，這聽(tīng)起來(lái)好像有些道理。有人甚至說(shuō)：使用SaaS軟件時(shí)，很容易把病毒帶到公司的內(nèi)部網(wǎng)絡(luò)，甚至把病毒傳染到其他服務(wù)器，這無(wú)形中給公司內(nèi)部網(wǎng)絡(luò)帶來(lái)隱患，這是“聳人聽(tīng)聞”嗎？

另外有一種聲音就是SaaS實(shí)際上提升了信息化系統(tǒng)的安全性，因?yàn)榘惭b在局域網(wǎng)的軟件系統(tǒng)也面臨一些安全的問(wèn)題，比如：

1、 解決對(duì)軟件商、服務(wù)商的信任問(wèn)題。

大多數(shù)客戶不能完全百分之百的完成系統(tǒng)的維護(hù)，此時(shí)廠商提供服務(wù)時(shí)，廠商的技術(shù)人員一樣可以很方便的接觸到用戶數(shù)據(jù)。

另外，安裝在客戶局域網(wǎng)的系統(tǒng)升級(jí)的時(shí)候，都是由局域網(wǎng)內(nèi)部服務(wù)器發(fā)起訪問(wèn)外網(wǎng)，此時(shí)內(nèi)網(wǎng)外網(wǎng)對(duì)于開(kāi)發(fā)廠商來(lái)說(shuō)是透明的，這也存在用戶對(duì)軟件服務(wù)商的信任問(wèn)題。

據(jù)統(tǒng)計(jì)，信息化系統(tǒng)的安全威脅90%都來(lái)自局域網(wǎng)內(nèi)部，可怕的黑客病毒或木馬程序的危害遠(yuǎn)遠(yuǎn)大于服務(wù)器被攻破；比如Arp欺騙導(dǎo)致內(nèi)網(wǎng)全數(shù)據(jù)泄密，利用Arp欺騙而傳播的病毒，黑客可能能加容易進(jìn)入核心的數(shù)據(jù)服務(wù)器。

2、 解決對(duì)內(nèi)部信息系統(tǒng)維護(hù)人員的管理和信任問(wèn)題。

內(nèi)網(wǎng)需要專(zhuān)門(mén)的人員和設(shè)備來(lái)解決信息化的問(wèn)題，因此存在系統(tǒng)維護(hù)和設(shè)備維護(hù)，一般來(lái)說(shuō)，內(nèi)網(wǎng)系統(tǒng)由于人員上的安排和水平是否能做到很好的數(shù)據(jù)備份或異地?cái)?shù)據(jù)備份呢？當(dāng)發(fā)生重大惡性事故的時(shí)候（比如火災(zāi)、病毒），數(shù)據(jù)被丟失的可能性很大。我們需要把專(zhuān)業(yè)的事情給專(zhuān)業(yè)的服務(wù)商去做。

既然要有人員來(lái)維護(hù)服務(wù)器，那么就會(huì)存在人員信任的問(wèn)題，在內(nèi)網(wǎng)系統(tǒng)中一定是“管理員權(quán)限大于老板”；在一些公司信息化中，為了節(jié)省成本，很多系統(tǒng)被規(guī)劃到一臺(tái)服務(wù)器中，因此公司不同的技術(shù)人員都有可能在服務(wù)器上獲取數(shù)據(jù)。技術(shù)人員因?yàn)椴粷M足公司，而造成徹底毀損數(shù)據(jù)、泄漏數(shù)據(jù)、出賣(mài)數(shù)據(jù)的事件不在少數(shù)。

3、 傳統(tǒng)軟件系統(tǒng)不能放在互聯(lián)網(wǎng)上。

很多客戶都有分支機(jī)構(gòu)，而且老板有出差或在家中查看公司情況的需求，也就是說(shuō)存在使用互聯(lián)網(wǎng)訪問(wèn)系統(tǒng)的需求，如果一個(gè)原運(yùn)行在內(nèi)網(wǎng)的軟件放在公網(wǎng)上，沒(méi)有https加密傳輸協(xié)議和數(shù)字安全證書(shū)，很難說(shuō)這樣的系統(tǒng)是安全的，這僅僅是局域網(wǎng)系統(tǒng)放在互聯(lián)網(wǎng)上的眾多安全隱患之一。

我們應(yīng)該相信誰(shuí)？

隨著SaaS模式的軟件慢慢占領(lǐng)傳統(tǒng)軟件的市場(chǎng)，新生事物總會(huì)受到傳統(tǒng)事物的排擠，SaaS也不例外，就好比愛(ài)迪生發(fā)明的電燈泡在早期受到蠟燭廠商的排擠一樣，不排出一些人站在自己的利益角度攻擊SaaS的安全性。也不排除一些低劣的SaaS的服務(wù)廠商中，沒(méi)有利用更安全的技術(shù)，如何辨別具體的一種SaaS是否安全，需要把握以下幾點(diǎn)：

1、傳輸協(xié)議加密

首先，要看SaaS產(chǎn)品提供使用的協(xié)議，是https://還是一般的http://，別小看這個(gè)s，這表明所有的數(shù)據(jù)在傳輸過(guò)程中都是加密的。如果不加密，網(wǎng)上可能有很多“嗅探器”軟件能夠輕松的獲得您的數(shù)據(jù)，甚至是您的用戶名和密碼；實(shí)際上網(wǎng)上很多聊天軟件帳號(hào)被盜大多數(shù)都是遭到“嗅探器”的“招”了。

其次，傳輸協(xié)議加密還要看是否全程加密，即軟件的各個(gè)部分都是https://協(xié)議訪問(wèn)的，有部分軟件只做了登錄部分，這是遠(yuǎn)遠(yuǎn)不夠的。目前，Salesforce、XToolsCRM都是采取全程加密的。