研究SaaS模式基本思想 解决实际应用安全问题

来源:万方数据  
2011/2/23 10:15:22
研究了SaaS模式的基本思想.特点和典型的体系架构,在此基础上分析了SaaS在实际应用中存在的安全问题,并分别从物理安全、数据存储、数据传输和身份管理认证四个方面对Saas安全技术进行了研究。

本文关键字: 模式 安全 管理

4、SaaS安全技术

4.1物理安全

在SaaS系统中,用户的数据和资料等都保存在SaaS服务器端,服务器端一旦崩溃或存储数据的服务器遭到黑客攻击,这些数据的安全就会受到威胁,所以,硬件的安全是保证数据安全的基本需要。
(1)服务提供商可将服务器交给可信的第三方进行托管,保证用户对服务商的信任度;

(2)机房安装门禁系统,通过智能卡或指纹识别才可进入,同时可安装24小时的监控系统,防止人为地非法入侵和破坏机房设施或窥探核心信息;

(3)程序的所有调试和测试都在独立的研发服务器上进行,封装后分发到服务器上,使服务器卜软件的版本能够及时升级,同时也能保证机房内服务器的安全性。

4.2数据存储

SaaS应用使用户能通过网络集中存取数据,而数据又是用户的重要资产,为了发挥SaaS的优势,用户必须在一定程度上放弃对自身数据的控制,这就增加了用户数据的安全风险,所以,在数据存储方面,应采取如下措施:

(1)Web服务器、数据服务器、应用服务器等都要相瓦隔离,以减少单点攻击的漏洞。每个企业使用不同的服务器,保证各自数据库的安全。通过加装防火墙入侵检测系统等安全设备对数据库提供更进一步的安全保障;

(2)数据库服务器实现集群。在保证高可访问性和负载的同时,也保证了在数据遭到破坏的情况下,可通过备份信息来得以恢复;

(3)对数据加密存储。有些关键数据,如:个人身份信息、公司客户信息等不能以明文的形式存放于数据库中,盛须对数据进行加密处理,当有人通过非法手段得到数据库,通过加密的方式使关键数据得以保护。很多服务商采用具有加密功能的磁盘阵列来存储用户的数据。
4.3数据传输

用户在使用SaaS软件的过程中商业数据会在浏览器客户端和服务器端传输,采用传输协议加密能够保证数据传输过程中的安全性。

SSL(Secure Socket Layer,安全套接层)协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。在实际的数据传输前,通信双方进行身份认证、协商加密算法、交换加密密钥等。基于SSL协议的数据传输过程中,密钥库和数字证书可在服务端生成,如图2所示。

当客户端通过HTTPS协议向服务端发送请求时,服务端向客户端发送数字证书和公钥,客户端通过已安装的公共CA证书验证服务器的可信度。客户端通过服务端发来的公钥把自己的私钥加密传输给服务端,服务端用自己的私钥解密得到客户端的私钥,在建立连接以后的数据传输中用这个对称的私钥进行加密保护。

在数据的传输过程中,密钥应该定期更换;同时,自动运行的程序每天都要进行扫描并对日志进行审计,高优先级的条目应立即手动查看。如果要往服务端提交文件,应使用安全性高的PDF格式文档,而不使用内容易被修改的Word文档。

责编:张欢
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
专家专栏
许卫国SaaS营销陷入泥潭

纵观整个SaaS市场,今年的厂商确实更加务实,但同时SaaS厂商的营销问题却并没有得到解决,反而陷入了更深的泥潭。

李瑞祥SaaS厂商:当前需加强精准性营..

所选择的央视媒体受众过于宽泛,当前公司品牌和产品的市场认知度低,大量受众是非潜在用户,严重影响营销效果。

畅享
首页
返回
顶部
×
    信息化规划
    IT总包
    供应商选型
    IT监理
    开发维护外包
    评估维权
客服电话
400-698-9918
Baidu
map