解析SaaS安全策略

責(zé)任編輯:editor001

2012-12-13 10:10:23

摘自:中國(guó)商業(yè)電訊

如今,Saas已經(jīng)風(fēng)靡IT界。國(guó)外微軟、甲骨文、Salesforce互相掐架,國(guó)內(nèi)阿里云、神州云,百度云炒的不亦樂(lè)乎。

如今,Saas已經(jīng)風(fēng)靡IT界。國(guó)外微軟、甲骨文、Salesforce互相掐架,國(guó)內(nèi)阿里云、神州云,百度云炒的不亦樂(lè)乎。這種軟件軟營(yíng)模式大幅度降低了中小企業(yè)信息化改革門(mén)檻,節(jié)省了IT投入,帶來(lái)了諸多益處。但Saas軟件由于數(shù)據(jù)放在互聯(lián)網(wǎng)上,導(dǎo)致它的數(shù)據(jù)安全問(wèn)題另中小企業(yè)非常擔(dān)憂,特別是財(cái)務(wù)、銷售、客戶信息等數(shù)據(jù)。

從SaaS軟件的整個(gè)使用過(guò)程來(lái)看,SaaS軟件安全問(wèn)題主要來(lái)自幾個(gè)方面:

一:如何保證在互聯(lián)網(wǎng)上的傳輸?shù)臄?shù)據(jù)不被黑客截獲。

二:如何保證數(shù)據(jù)庫(kù)服務(wù)器不被攻擊。

三:如何讓客戶認(rèn)識(shí)到他的數(shù)據(jù)很安全,沒(méi)有客戶的許可,不會(huì)被任何人查看。

以上三方面問(wèn)題,是數(shù)據(jù)安全的軟肋,也是眾多SaaS運(yùn)營(yíng)商面臨的共同問(wèn)題。不過(guò)隨著行業(yè)的發(fā)展,SaaS安全技術(shù)已有了較大的突破。下面,我們以神州云產(chǎn)品CloudCC.com CRM為例,深入探討客戶關(guān)系管理軟件中采用的安全策略:

一、服務(wù)器安全認(rèn)證與身份認(rèn)證

服務(wù)器安全證書(shū)是用戶識(shí)別服務(wù)器身份的重要標(biāo)志,有些不正規(guī)的服務(wù)廠商并沒(méi)有使用全球認(rèn)證的服務(wù)器安全證書(shū)。CloudCC.com已獲得國(guó)際知名認(rèn)證機(jī)構(gòu)的服務(wù)器安全證書(shū),用戶必須在安裝服務(wù)器證書(shū)后使用用戶名和密碼訪問(wèn)服務(wù)器,從而確保用戶服務(wù)器登錄安全。

身份認(rèn)證:包括口令認(rèn)證(用戶登錄密碼采用SHA1技術(shù)金融級(jí)加密存儲(chǔ))、IP地址認(rèn)證、數(shù)字證書(shū)認(rèn)證、U盾用戶接口認(rèn)證等多重技術(shù),最大保障用戶身份安全。

二、傳輸協(xié)議加密

CloudCC神州云產(chǎn)品采用SSL3.0雙向加密與全程加密、256位安全密匙、VPN訪問(wèn)通道、重要數(shù)據(jù)信息二次加密等多項(xiàng)交互加密手段,確保數(shù)據(jù)在傳輸?shù)倪^(guò)程中萬(wàn)無(wú)一失。

在訪問(wèn)系統(tǒng)時(shí),部分細(xì)心的用戶會(huì)發(fā)現(xiàn)IE狀態(tài)欄綠色鎖型安全圖標(biāo)以及https雙重傳輸加密標(biāo)志。

三、數(shù)據(jù)安全——字段級(jí)

神州云動(dòng)中數(shù)據(jù)庫(kù)中所有涉及用戶機(jī)密部分全部采用密文保存,并采用多層保護(hù)策略,保證核心應(yīng)用和關(guān)鍵數(shù)據(jù)安全。其中,CloudCC.com CRM是中國(guó)首家做到字段級(jí)安全控制的客戶關(guān)系管理品牌。

在系統(tǒng)中,管理者將各項(xiàng)字段針對(duì)不同人員設(shè)置:可見(jiàn)隱藏、編輯只讀等權(quán)限,并利用字段信息修改追蹤功能,對(duì)字段的相關(guān)信息修改進(jìn)行查詢,從而避免系統(tǒng)數(shù)據(jù)修改后,相關(guān)人員互相“扯皮”的現(xiàn)象。

四、信息批量導(dǎo)入、導(dǎo)出控制

對(duì)于客戶信息、聯(lián)系人信息等重要資料,用戶可以導(dǎo)出為EXCEL格式進(jìn)行備份,但信息導(dǎo)入導(dǎo)出受到嚴(yán)格系統(tǒng)權(quán)限設(shè)置。系統(tǒng)自動(dòng)數(shù)據(jù)導(dǎo)入導(dǎo)出日志,并記錄時(shí)間、導(dǎo)入內(nèi)容、IP地址等詳細(xì)信息,幫企業(yè)嚴(yán)格把好數(shù)據(jù)安全關(guān)。

五、法律安全:簽署合同安全協(xié)議

用戶簽訂租用合同時(shí),會(huì)同時(shí)簽訂一份保密協(xié)議。通過(guò)這份保密協(xié)議,使我們對(duì)用戶的安全承諾具有法律保障,從根本上消除用戶的安全顧慮。此外,CloudCC.com神州云產(chǎn)品全面通過(guò)ISO9001、公安部、通信局等研發(fā)、安全及運(yùn)營(yíng)認(rèn)證。

六、制度安全

神州云動(dòng)科技股份有限公司專設(shè)數(shù)據(jù)服務(wù)器管理專員、監(jiān)督專員數(shù)名,負(fù)責(zé)操作系統(tǒng)升級(jí)、安全補(bǔ)丁和日常安全檢查、定期安全評(píng)估,只有專員掌握服務(wù)器訪問(wèn)路徑和用戶名密碼,專員對(duì)于服務(wù)器操作必須經(jīng)過(guò)嚴(yán)格的身旁流程,同時(shí)系統(tǒng)自動(dòng)記錄操作日志。

在機(jī)房?jī)?nèi)部,采用氣體滅火、恒溫恒濕、聯(lián)網(wǎng)電子鎖防盜、24小時(shí)專人和錄像監(jiān)控、網(wǎng)絡(luò)設(shè)備帶寬冗余、口令進(jìn)入機(jī)房等機(jī)制確保服務(wù)器機(jī)房安全。

神州云動(dòng)采用覆蓋全國(guó)的服務(wù)器集群保障客戶數(shù)據(jù)安全,用戶數(shù)據(jù)實(shí)行多點(diǎn)異地備份,即便發(fā)生地震、火災(zāi)等毀滅性災(zāi)害,也可在最短時(shí)間內(nèi)恢復(fù)數(shù)據(jù),確保用戶數(shù)據(jù)安全。

小結(jié):SaaS安全問(wèn)題既是技術(shù)問(wèn)題,同時(shí)也是法律、制度、管理問(wèn)題。以上諸多安全技術(shù)體系和制度,神州云動(dòng)從不同角度、不同環(huán)節(jié)對(duì)SaaS軟件用戶的數(shù)據(jù)安全性進(jìn)行了嚴(yán)密的防護(hù),采用多重安全機(jī)制全面覆蓋CRM產(chǎn)品生命周期,較好地解決了SaaS數(shù)據(jù)安全問(wèn)題,成為SaaS數(shù)據(jù)安全領(lǐng)域的典范。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)