專家訪談：羅海平談SaaS數(shù)據(jù)安全

作者：提康德羅加 2009-04-07 14:48:25

開發(fā)

云計算

SaaS SaaS這種通過互聯(lián)網(wǎng)交付的形式，其鮮明的互聯(lián)網(wǎng)特性使得SaaS數(shù)據(jù)安全的問題被推到輿論的風口浪尖。是否有技術(shù)力量能夠規(guī)避這些風險呢？SaaS軟件運營商們又如何解決？本次采訪將一一解答。

創(chuàng)新互聯(lián)是專業(yè)的庫爾勒網(wǎng)站建設公司，庫爾勒接單;提供成都網(wǎng)站制作、網(wǎng)站設計、外貿(mào)網(wǎng)站建設,網(wǎng)頁設計,網(wǎng)站設計,建網(wǎng)站,PHP網(wǎng)站建設等專業(yè)做網(wǎng)站服務;采用PHP框架,可快速的進行庫爾勒網(wǎng)站開發(fā)網(wǎng)頁制作和功能擴展;專業(yè)做搜索引擎喜愛的網(wǎng)站,專業(yè)的做網(wǎng)站團隊,希望更多企業(yè)前來合作!

51CTO正持續(xù)關(guān)注《SaaS時代的軟件開發(fā)》等SaaS熱點。據(jù)BBC報道：如果說2008年是高科技職業(yè)犯罪出露馬腳的一年,那么2009年則是這個噩夢的開始，地下經(jīng)濟正在蓬勃的發(fā)展，高科技犯罪分子不僅成立了多個組織,并且還相互合作以達到他們共有的最大的利益。近年高科技網(wǎng)絡犯罪呈現(xiàn)出職業(yè)化,攻擊手段多樣化的趨勢。目的也從簡單的病毒惡作劇演變成覬覦個人機密信息和商業(yè)秘密。電子商務的普及所帶來數(shù)據(jù)的海量增長，使無論是個人用戶還是企業(yè)用戶，現(xiàn)在比以往任何時候都更加依賴于數(shù)據(jù)信息，這使對于數(shù)據(jù)安全的保護成為人們最為關(guān)注的問題。

近幾年，由于SaaS(Software as a Service軟件即服務)的出現(xiàn)，從軟件交付模式到信息存儲管理均在經(jīng)歷一場深刻的變革。眾多傳統(tǒng)軟件開發(fā)商，甚至電子商務服務商、電信運營商在看到了SaaS在低成本、跨地區(qū)使用等方面的巨大優(yōu)勢的同時，也逐漸認識到這種軟件模式是未來軟件也發(fā)展的趨勢，紛紛涉足SaaS領(lǐng)域，國內(nèi)的SaaS軟件也雨后春筍般出現(xiàn)。而SaaS這種通過互聯(lián)網(wǎng)交付的形式，其鮮明的互聯(lián)網(wǎng)特性使得SaaS數(shù)據(jù)安全的問題被推到輿論的風口浪尖。是否有技術(shù)力量能夠規(guī)避這些風險呢？SaaS軟件運營商們又如何解決？作為國內(nèi)最早進入SaaS領(lǐng)域的SaaS平臺運營商，風云網(wǎng)絡憑借其在SaaS應用及孵化上的多年經(jīng)驗積累，與國際軟件巨頭微軟進行戰(zhàn)略合作，通過旗下SaaS運營平臺風云在線（www.FW086.com），向政府、企業(yè)用戶提供高效完整的SaaS安全解決方案，獲得了區(qū)域政府及大量企業(yè)用戶的青睞。記者帶著問題專訪了中國SaaS業(yè)界的領(lǐng)軍企業(yè)——江蘇風云網(wǎng)絡服務有限公司（下稱風云網(wǎng)絡）平臺開發(fā)部總監(jiān)羅海平先生。

記者：有些企業(yè)用戶會擔心，在使用SaaS軟件的過程中，公司的機密商業(yè)數(shù)據(jù)會在客戶端的瀏覽器和托管服務器之間傳輸，這樣一來傳輸過程中數(shù)據(jù)是否會被截??？

羅海平：針對SaaS安全的數(shù)據(jù)傳輸安全方面，風云在線聯(lián)合微軟采取了六層數(shù)據(jù)安全防護體系，保障數(shù)據(jù)傳輸安全。在用戶登錄上，我們安裝了證書服務器，并要求客戶使用數(shù)字證書訪問，確保用戶輸入用戶名和密碼的服務器是用戶要訪問的服務器。并且通過SSL加密，與網(wǎng)上銀行同等安全級別的加密技術(shù)——多層敏感數(shù)據(jù)傳輸全程SSL加密進一步降低數(shù)據(jù)被竊取的可能性。多層數(shù)據(jù)和參數(shù)傳送處理，以防止跨站腳本和SQL注入攻擊。對每個ISV 數(shù)據(jù)訪問及數(shù)據(jù)傳送采用獨立密鑰加密，確保ISV之間的數(shù)據(jù)在沒有授權(quán)的情況下互相不可見。數(shù)據(jù)庫中所有涉及用戶機密部分全部采用密文保存。統(tǒng)一安全管理，采用多層保護策略，保證核心應用和關(guān)鍵數(shù)據(jù)的安全。

記者：曾經(jīng)有用戶把SaaS誤以為是云計算，造成這種誤解的一個重要原因是云計算的三層原理：基礎(chǔ)架構(gòu)，包括硬件、服務器等物理資源;中間平臺及應用和服務。這與SaaS的服務原理頗為相似，都具備大量的外來數(shù)據(jù)存儲設備，但恰恰是這種托管存儲數(shù)據(jù)的服務，讓企業(yè)不放心。SaaS運營商存儲數(shù)據(jù)的服務器對互聯(lián)網(wǎng)攻擊的防御能力到底有多強？

羅海平：針對數(shù)據(jù)存儲安全方面，風云網(wǎng)絡采取服務器與數(shù)據(jù)隔離、業(yè)務連續(xù)和災難恢復保障兩大策略來解決。

第一是服務器和數(shù)據(jù)隔離安全策略。對Web服務器、應用服務器、接口服務器、業(yè)務系統(tǒng)服務器和域名完全隔離， 以減少單點攻擊的漏洞。對應用系統(tǒng)數(shù)據(jù)采用不同數(shù)據(jù)庫或數(shù)據(jù)表存儲，保障不同應用數(shù)據(jù)之間的安全。企業(yè)之間數(shù)據(jù)完全互相隔離，杜絕了企業(yè)間數(shù)據(jù)的滲透。

第二是業(yè)務連續(xù)和災難恢復保障策略。數(shù)據(jù)保護方面，包括無中斷備份和恢復過程。高可用性，采用多機冗余，保障系統(tǒng)無單點故障，并通過最大限度減少計劃內(nèi)和計劃外停機時間來實現(xiàn)。并且支持災難異地恢復，解決數(shù)據(jù)恢復的問題。

記者：存放在SaaS運營商的客戶數(shù)據(jù)，如何在沒有客戶許可的情況下不被其他人窺探，也是企業(yè)非常擔心問題，對于這點風云在線是如何解決的呢？。
羅海平：針對數(shù)據(jù)訪問權(quán)限方面，風云網(wǎng)絡有針對性的提供了嚴密的數(shù)據(jù)安全制度和身份權(quán)限訪問體系。
在數(shù)據(jù)安全制度方面，我們?yōu)槠髽I(yè)制定內(nèi)部信息系統(tǒng)維護人員的管理體制，明確角色責任。數(shù)據(jù)庫中所有涉及用戶機密部分全部采用密文保存，即便系統(tǒng)管理人員也無法得到原文，密鑰可由企業(yè)用戶掌握。并且使用系統(tǒng)修復程序和安全更新維護。使用系統(tǒng)賬號管理， 密碼管理， 賬號權(quán)限分配管理，賬號管理審核，保障賬號分配的權(quán)限。
在身份權(quán)限管理方面，我們通過集中式SSO單點登錄(Cookie/Token加密), 用戶無縫登陸體驗。用戶登錄后，系統(tǒng)根據(jù)用戶的角色，權(quán)限集合配對其功能操作。ISV應用集中鑒權(quán)和授權(quán)體驗。應用系統(tǒng)的數(shù)據(jù)庫訪問使用專署數(shù)據(jù)庫帳戶，并配置最小訪問控制。
以上諸多安全技術(shù)體系和制度，風云網(wǎng)絡從不同角度、不同環(huán)節(jié)對SaaS軟件用戶的數(shù)據(jù)安全性進行了嚴密的防護，較好地解決了SaaS數(shù)據(jù)安全問題，已成為SaaS數(shù)據(jù)安全領(lǐng)域的典范，已得到了眾多企業(yè)用戶的認可，從根本上解決了企業(yè)的后顧之憂。

記者認為相信隨著SaaS軟件的發(fā)展，SaaS軟件安全保障技術(shù)會更加完善，企業(yè)用戶對SaaS軟件的認可會越來越高， SaaS軟件也將迎來飛速發(fā)展的金色春天。

本文名稱：專家訪談：羅海平談SaaS數(shù)據(jù)安全
文章路徑：http://www.dlmjj.cn/article/djjicds.html