在線服務(wù)，如基于數(shù)據(jù)存儲的云，需要獲得特別的關(guān)注以便保障其安全。即便你認為自己的服務(wù)值得信賴，還是要向客戶提供安全保障，這樣才能使客戶更樂于接受產(chǎn)品。

“云”概念已經(jīng)逐漸成為一個非常流行的字眼。那些希望提供大型服務(wù)的小公司愈加意識到開發(fā) “云”服務(wù)，如Amazon的EC2和S3，可以為客戶提供更廉價的方式管理商業(yè)模型的技術(shù)后端。雖然具體的細節(jié)依據(jù)服務(wù)的類型和客戶的安全需求而有所改變，但是對于需要處理私密數(shù)據(jù)的在線服務(wù)而言，仍然有一些共同之處。

[[10704]]

下面就向大家介紹五種特征。此外，可能在具體案例中會出現(xiàn)其他的安全特性;找出你的服務(wù)中存在的安全問題有助于建立一個更好的，更安全的服務(wù)。

1、在架構(gòu)上管理真正的安全服務(wù)，且該架構(gòu)明顯有別于其他商業(yè)架構(gòu)。這樣能使有安全漏洞的架構(gòu)不輕易接受客戶數(shù)據(jù)，從而確保公司的其他IT架構(gòu)不受影響。

2、可能的話，在數(shù)據(jù)發(fā)送到服務(wù)前，就要在客戶端數(shù)據(jù)加密的地方為服務(wù)提供一些互動操作。這樣就能驗證客戶身份的合法性，使得非法身份或危害IT服務(wù)框架的人無法訪問未加密的客戶數(shù)據(jù)或是對數(shù)據(jù)進行解密。切莫忘記，隱私即安全。

3、不僅僅以二進制的方式提供客戶軟件，還要提供可以讓客戶編寫和使用的源代碼。這樣一來，就不會出現(xiàn)DRM源碼或商業(yè)機密的遺漏。客戶能確保源代碼無誤的唯一途徑是請專業(yè)技術(shù)人員來檢驗源代碼，這些技術(shù)人員會按照客戶使用的代碼進行檢驗以便讓客戶放心。雖然這類源代碼可以在非公開證書或協(xié)議的框架下提供，但是對于管理得當?shù)拈_源項目，如可視性安全，它還是有許多益處。

4、 創(chuàng)建一些安全方面的有利雙邊溝通的透明機制。以公共漏洞追蹤系統(tǒng)為例，這樣做為人們提供了一種簡便的方式來獲取技術(shù)信息，因此他們可以了解當前影響產(chǎn)品和客戶的因素是什么，也能跟進解決問題的步驟。如果你真正在意客戶在安全方面的需求，那么安全提醒應(yīng)該是透明的。

5、特別注意要確?？蛻糁獣匀绾尾拍馨踩僮鞣?wù)，還要為他們提供操作步驟，引導(dǎo)他們進行正確而安全的操作。界面設(shè)計同樣是一種安全設(shè)計。

如果你要提供的在線服務(wù)設(shè)計敏感數(shù)據(jù)，那么在設(shè)計這些服務(wù)的時候就應(yīng)該考慮上述幾個安全策略。如果你是一名服務(wù)供應(yīng)商，那么要謹記這幾點。如果你已經(jīng)有能力提供一個完備的服務(wù)，而這一服務(wù)的安全性是可以由客戶驗證的，千萬別忘記告訴你的客戶如何驗證其安全性。

【編輯推薦】

1. 云安全：數(shù)據(jù)中心安全防護新策略
2. 云安全服務(wù)小規(guī)模起步 醞發(fā)新商機
3. 金山毒霸通過OESIS OK國際認證 云安全殺軟再獲殊榮