SaaS應(yīng)用的安全風(fēng)險(xiǎn)對(duì)策

一個(gè)安全的SaaS應(yīng)用具備五個(gè)層面的安全性，分別是物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全和管理安全。針對(duì)上文中提到的安全風(fēng)險(xiǎn)問(wèn)題，提出一系列對(duì)策和建議，構(gòu)成一個(gè)完整的解決方案。

(1)物理安全控制策略

①建立硬件環(huán)境防范體系。服務(wù)商的系統(tǒng)硬件和運(yùn)行環(huán)境是SaaS應(yīng)用運(yùn)行的最基本要素，要保證存放SaaS服務(wù)器、通信設(shè)備等場(chǎng)地的安全，確保計(jì)算機(jī)的正常運(yùn)行。

②建立多層級(jí)備份機(jī)制。數(shù)據(jù)備份是為了防止系統(tǒng)操作錯(cuò)誤或系統(tǒng)故障而導(dǎo)致數(shù)據(jù)丟失的防護(hù)手段，可以確保在出現(xiàn)重大問(wèn)題時(shí)，用戶數(shù)據(jù)能夠迅速恢復(fù)且不被第三方截獲，保證運(yùn)營(yíng)服務(wù)系統(tǒng)的安全。

(2)網(wǎng)絡(luò)安全控制策略

①肩用防火墻。作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口，防火墻能根據(jù)網(wǎng)絡(luò)系統(tǒng)的安全策略控制出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力，有效地保證了內(nèi)部網(wǎng)絡(luò)的安全。

②啟用入侵檢測(cè)系統(tǒng)。這是防火墻之后的第二道安全閘門(mén)，能夠有效地防止黑客攻擊，在計(jì)算機(jī)網(wǎng)絡(luò)上實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)傳輸，分析來(lái)自網(wǎng)絡(luò)外部和內(nèi)部的入侵信號(hào)。在系統(tǒng)受到危害前發(fā)出警告，實(shí)時(shí)對(duì)攻擊做出反應(yīng)，并提供補(bǔ)救措施。

③實(shí)施網(wǎng)絡(luò)監(jiān)控。需要利用網(wǎng)絡(luò)監(jiān)控系統(tǒng)對(duì)網(wǎng)絡(luò)設(shè)備的運(yùn)行狀況進(jìn)行7×24小時(shí)實(shí)時(shí)監(jiān)控，使得網(wǎng)絡(luò)在出現(xiàn)故障的第一時(shí)間得到報(bào)警。

④數(shù)據(jù)傳輸控制。SaaS應(yīng)用完全基于互聯(lián)網(wǎng)，如果采用安全超文本協(xié)議HTTPS(HypertextTransferProtocoloverSecureSocketLayer)。

⑤聯(lián)手網(wǎng)絡(luò)通信商。通信運(yùn)營(yíng)商在網(wǎng)絡(luò)方面有排他性優(yōu)勢(shì)，可以提供軟件服務(wù)、服務(wù)器托管、網(wǎng)絡(luò)接入的一條龍服務(wù)，從而實(shí)現(xiàn)端到端的SEA(ServiceLevelAgreement)保障，打消客戶在網(wǎng)絡(luò)穩(wěn)定性方面的顧慮。

(3)系統(tǒng)安全控制策略

①系統(tǒng)加固。服務(wù)器的安全是SaaS廠商實(shí)力在用戶眼中最直觀的體現(xiàn)?？梢酝ㄟ^(guò)在SaaS應(yīng)用服務(wù)器前端部署負(fù)載均衡設(shè)備，以實(shí)現(xiàn)多臺(tái)應(yīng)用服務(wù)器之間的負(fù)載均衡和高可用性。

②漏洞掃描修復(fù)。無(wú)論是操作系統(tǒng)、瀏覽器還是其他應(yīng)用軟件都存在各種各樣的容易被黑客利用的漏洞，為此，要配置網(wǎng)站安全掃描平臺(tái)，實(shí)時(shí)監(jiān)測(cè)最新發(fā)現(xiàn)的漏洞和薄弱環(huán)節(jié)，并及時(shí)安裝補(bǔ)丁修復(fù)程序。

③病毒防護(hù)。通盤(pán)考慮，制定多層次、全方位的防毒策略，通過(guò)應(yīng)用網(wǎng)絡(luò)防病毒產(chǎn)品、關(guān)閉系統(tǒng)中不必要的應(yīng)用程序以及做好移動(dòng)硬盤(pán)、u盤(pán)等沒(méi)備使用前的掃描殺毒工作建立網(wǎng)絡(luò)病毒防護(hù)體系。

(4)應(yīng)用安全控制策略

①數(shù)據(jù)隔離。軟件提供商為了保證系統(tǒng)的實(shí)施成本最低，在數(shù)據(jù)隔離方案上通常選擇共享數(shù)據(jù)庫(kù)、共享數(shù)據(jù)模式方式，因此必須采用數(shù)據(jù)隔離的方法來(lái)保證用戶數(shù)據(jù)仍然像使用獨(dú)立數(shù)據(jù)庫(kù)一樣安全。

②數(shù)據(jù)加密。SaaS應(yīng)用的數(shù)據(jù)庫(kù)是由運(yùn)營(yíng)商管理，運(yùn)營(yíng)商及數(shù)據(jù)庫(kù)管理員并不完全值得信任。對(duì)于一些敏感數(shù)據(jù)，例如公司的財(cái)務(wù)數(shù)據(jù)，可以考慮加密。

③權(quán)限控制。可采用訪問(wèn)控制列表(ALC)來(lái)界定訪問(wèn)權(quán)限，以及對(duì)數(shù)據(jù)操作，保證有效用戶正常使用系統(tǒng)。

④身份認(rèn)證。多數(shù)中小型用戶目前沒(méi)有自己專門(mén)的身份認(rèn)證中心，因此用戶級(jí)控制策略的認(rèn)證適合采用集中式認(rèn)證，防止非法用戶使用系統(tǒng)。

(5)管理安全控制策略

①選擇合適的SaaS服務(wù)提供商。企業(yè)應(yīng)根據(jù)SaaS模式業(yè)務(wù)特點(diǎn)需要、預(yù)定目標(biāo)設(shè)定選擇標(biāo)準(zhǔn)以及企業(yè)成本控制，慎重地保證了內(nèi)部地選擇供應(yīng)商。相對(duì)于價(jià)格，安全性和服務(wù)保障更為重要。

②完善安全管理制度。企業(yè)應(yīng)按照計(jì)算機(jī)信息安全的有關(guān)要求，按責(zé)、權(quán)、利相結(jié)合的原則，建立健全SaaS系統(tǒng)崗位責(zé)任制度、安全日志制度等，做到有章可循、有法可依。

③人員安全管理。提高安全意識(shí)是保證SaaS服務(wù)安全的重要前提，應(yīng)加強(qiáng)對(duì)系統(tǒng)維護(hù)人員和技術(shù)支持人員的安全教育和技術(shù)培訓(xùn)。信息安全管理的根本立足點(diǎn)是規(guī)范企業(yè)員工的行為，增強(qiáng)操作人員的安全管理意識(shí)，培育提高人員的誠(chéng)信和道德水平，以及應(yīng)急事件處理能力。

④建立監(jiān)彈監(jiān)督制度。SaaS的用戶可能對(duì)SaaS應(yīng)用實(shí)施過(guò)程與標(biāo)準(zhǔn)不甚了解，可以利用第三方監(jiān)理這種社會(huì)化、科學(xué)化、公平化和專業(yè)化的監(jiān)督機(jī)制來(lái)輔助實(shí)施與管理，確保SaaS應(yīng)用模式更合理、有效地運(yùn)行和發(fā)展下去。

【編輯推薦】

1. 網(wǎng)絡(luò)化設(shè)備管理引發(fā)的安全性挑戰(zhàn)
2. 五大質(zhì)問(wèn)SaaS供應(yīng)商的云安全問(wèn)題
3. 網(wǎng)絡(luò)安全SaaS可以提供實(shí)時(shí)保護(hù)應(yīng)用
4. 企業(yè)SaaS選型面臨安全問(wèn)題總結(jié)