【IT168 分析评论】

    SaaS与数据安全能否兼得？——解读风云网络破解SaaS安全难题

    近几年，由于SaaS(Software as a Service软件即服务)的出现，软件行业正在经历一场深刻的变革。

    在中国，众多传统软件开发商，甚至电子商务服务商、电信运营商在看到了SaaS在低成本、跨地区使用等方面的巨大优势后，也逐渐认识到这种软件模式是未来软件也发展的趋势，纷纷涉足SaaS领域，国内的SaaS软件也雨后春笋般出现。

    由于SaaS软件通过互联网交付使用，其鲜明的互联网特性使得数据安全问题成为横在中小企业面前的一道巨大障碍，如何解决这一问题也成为众多SaaS软件运营商面临的一道课题。

    SaaS的安全问题真的难以解决么？

    从SaaS软件的整个使用过程来看，SaaS软件安全问题主要来自几个方面：

    首先，用户在使用SaaS软件的过程中商业数据会在浏览器客户端和服务器端传输，如何保证数据传输过程中数据的安全性，成为用户关注的焦点。

    其次，SaaS运营商存储数据的服务器有能力抵御互联网黑客的攻击么？这也是众多企业关注的问题。

    另外，存放在SaaS运营商的客户数据，如何在没有客户许可的情况下不被其他人窥探也是企业非常担心的问题。以上三方面问题，是数据安全的软肋，也是众多SaaS运营商面临的共性问题。

    厂家们如何解决这些问题？

    笔者不久前获悉，作为国内较早进入SaaS领域的SaaS运营商，风云网络服务有限公司凭借其在SaaS技术上的多年积累，联合国际上技术最雄厚的软件厂商——微软，打造的风云在线(FW086.com)提供完整的SaaS安全解决方案，从技术上破解了SaaS使用过程的数据安全的难题。

    针对SaaS安全的第一个问题——数据传输安全问题，风云在线联合微软采取了六层数据安全防护体系，保障数据传输安全。

    用户登录：安装服务器证书，确保用户输入用户名和密码的服务器是用户要访问的服务器。

    SSL加密:与网上银行同等安全级别的加密技术——多层敏感数据传输全程SSL加密进一步降低数据被破解的可能性。

    多层数据和参数传送处理，以防跨站脚本和SQL注入攻击。ISV 数据访问及数据传送加密。数据库中所有涉及用户机密部分全部采用密文保存。统一安全管理，采用多层保护策略，保证核心应用和关键数据的安全。

    针对第二个问题——数据存储安全问题，风云网络采取服务器与数据隔离、业务连续和灾难恢复保障两大策略来解决。

    服务器和数据隔离安全策略

    网站服务器，运营服务器，业务系统服务器和域名完全隔离， 以减少单点攻击的漏洞。应用系统数据采用不同数据库或数据表存储，保障不同应用数据之间的安全。

    企业之间数据完全互相隔离，杜绝了企业间数据的渗透。业务连续和灾难恢复保障策略。数据保护，包括无中断备份和恢复过程。高可用性，系统无单点故障，并通过最大限度减少计划内和计划外停机时间来实现灾难异地恢复，解决数据恢复的问题。

    针对第三个问题——数据访问权限问题，风云网络有针对性的提供了严密的数据安全制度和身份权限访问体系。

    数据安全制度

    制定内部信息系统维护人员的管理体制，明确角色责任。

    数据库中所有涉及用户机密部分全部采用密文保存，即便系统管理人员也无法得到原文，密钥可由企业用户掌握。使用系统修复程序和安全更新维护。使用系统账号管理， 密码管理， 账号权限分配管理，账号管理审核，保障账号分配的权限。

    身份权限管理体系集中式SSO单点登录(Cookie/Token加密), 用户无缝登陆体验。用户登录后，系统根据用户的角色，权限集合配对其功能操作。ISV应用集中鉴权和授权体验。应用系统的数据库访问使用专署数据库帐户，并配置最小访问控制。

    以上诸多安全技术体系和制度，风云网络从不同角度、不同环节对SaaS软件用户的数据安全性进行了严密的防护，较好地解决了SaaS数据安全问题，已成为SaaS数据安全领域的典范，已得到了众多企业用户的认可。

    相信随着SaaS软件的发展，SaaS软件安全保障技术会更加完善，企业用户对SaaS软件的认可会越来越高， SaaS软件也将迎来飞速发展的金色春天。