【IT168专稿】随着SaaS(软件即服务)越来越火热,SaaS的安全性是成为被用户、厂商和媒体激烈讨论的话题。
安全性的两种声音
有人说:SaaS模式的数据存储在公网上,掌握在SaaS服务商的手上。而且,黑客可能破解并进入数据服务器,获取数据,这听起来好像有些道理。有人甚至说:使用SaaS软件时,很容易把病毒带到公司的内部网络,甚至把病毒传染到其他服务器,这无形中给公司内部网络带来隐患,这是“耸人听闻”吗?
另外有一种声音就是SaaS实际上提升了信息化系统的安全性,因为安装在局域网的软件系统也面临一些安全的问题,比如:
1、解决对软件商、服务商的信任问题。
大多数客户不能完全百分之百的完成系统的维护,此时厂商提供服务时,厂商的技术人员一样可以很方便的接触到用户数据。
另外,安装在客户局域网的系统升级的时候,都是由局域网内部服务器发起访问外网,此时内网外网对于开发厂商来说是透明的,这也存在用户对软件服务商的信任问题。
据统计,信息化系统的安全威胁90%都来自局域网内部,可怕的黑客病毒或木马程序的危害远远大于服务器被攻破;比如Arp欺骗导致内网全数据泄密,利用Arp欺骗而传播的病毒,黑客可能能加容易进入核心的数据服务器。
2、解决对内部信息系统维护人员的管理和信任问题。
内网需要专门的人员和设备来解决信息化的问题,因此存在系统维护和设备维护,一般来说,内网系统由于人员上的安排和水平是否能做到很好的数据备份或异地数据备份呢?当发生重大恶性事故的时候(比如火灾、病毒),数据被丢失的可能性很大。我们需要把专业的事情给专业的服务商去做。
既然要有人员来维护服务器,那么就会存在人员信任的问题,在内网系统中一定是“管理员权限大于老板”;在一些公司信息化中,为了节省成本,很多系统被规划到一台服务器中,因此公司不同的技术人员都有可能在服务器上获取数据。技术人员因为不满足公司,而造成彻底毁损数据、泄漏数据、出卖数据的事件不在少数。
3、传统软件系统不能放在互联网上。
很多客户都有分支机构,而且老板有出差或在家中查看公司情况的需求,也就是说存在使用互联网访问系统的需求,如果一个原运行在内网的软件放在公网上,没有https加密传输协议和数字安全证书,很难说这样的系统是安全的,这仅仅是局域网系统放在互联网上的众多安全隐患之一。
我们应该相信谁?
随着SaaS模式的软件慢慢占领传统软件的市场,新生事物总会受到传统事物的排挤,SaaS也不例外,就好比爱迪生发明的电灯泡在早期受到蜡烛厂商的排挤一样,不排出一些人站在自己的利益角度攻击SaaS的安全性。也不排除一些低劣的SaaS的服务厂商中,没有利用更安全的技术,如何辨别具体的一种SaaS是否安全,需要把握以下几点:
1、传输协议加密
首先,要看SaaS产品提供使用的协议,是https://还是一般的http://,别小看这个s,这表明所有的数据在传输过程中都是加密的。如果不加密,网上可能有很多“嗅探器”软件能够轻松的获得您的数据,甚至是您的用户名和密码;实际上网上很多聊天软件帐号被盗大多数都是遭到“嗅探器”的“招”了。
其次,传输协议加密还要看是否全程加密,即软件的各个部分都是https://协议访问的,有部分软件只做了登录部分,这是远远不够的。目前,Salesforce、XToolsCRM都是采取全程加密的。
2、服务器安全证书
服务器安全证书是用户识别服务器身份的重要标示,有些不正规的服务厂商并没有使用全球认证的服务器安全证书。用户对服务器安全证书的确认,表示服务器确实是用户访问的服务器,此时可以放心的输入用户名和密码,彻底避免“钓鱼”型网站,大多数银行卡密码泄漏都是被“钓鱼”站钓上的。
3、URL数据访问安全码技术
对于一般用户来说,复杂的URL看起来只是一串没有意义的字符而已。但是对于一些IT高手来说,这些字符串中可能隐藏着一些有关于数据访问的秘密,通过修改URL,很多黑客可以通过诸如SQL注入等方式攻入系统,获取用户数据。
4、数据的管理和备份机制
SaaS服务商的数据备份应该是完善的,用户必须了解自己服务商为您提供了什么样的数据备份机制,一旦出现重大问题,如何恢复数据等。服务商在内部管理上如何保证用户数据不被服务商所泄露,也是需要用户和服务商沟通的。
5、运营服务系统的安全
在评估SaaS产品安全度的时侯,最重要的是看公司对于服务器格局的设置,只有这样的格局才是可以信任的,包括:运营服务器与网站服务器分离。
服务器的专用是服务器安全最重要的保证。试想,如果一台服务器安装了SaaS系统,但同时又安装了网站系统、邮件系统、论坛系统……,他还能安全吗?在黑客角度来说,越多的系统就意味着越多的漏洞,况且大多数网站使用的网站系统、邮件系统和论坛系统都是在网上能够找到源代码的免费产品,有了源代码,黑客就可以很容易攻入。很多网站被攻入都是因为论坛系统的漏洞。
因此,一个优秀的软件SaaS运营商,运营服务器和网站服务器应该完全隔离的,甚至域名也应该分开。
6、重视厂商的历史和专业性,有助于建立信任关系
专业的SaaS厂商可能比用户更加注重安全,因为SaaS的“安全性”就是厂商的“饭碗”。就像在网上买东西,我们用户需要看看厂商获得用户方面的评价,和媒体的口碑,看看是否专业和专注SaaS。有些厂商仅仅把SaaS产品作为炒作的噱头,可能危害的就是用户。
这样看起来,无论是传统的局域网信息化系统,还是SaaS模式的信息化系统,都会让客户关注数据安全。但如果我们有标准来衡量信息化系统的安全性,或者我们提前知晓这些风险的存在,对于用户来说是有利的。