專家訪談:羅海平談SaaS數據安全
51CTO正持續關注《SaaS時代的軟件開發》等SaaS熱點。據BBC報道:如果說2008年是高科技職業犯罪出露馬腳的一年,那么2009年則是這個噩夢的開始,地下經濟正在蓬勃的發展,高科技犯罪分子不僅成立了多個組織,并且還相互合作以達到他們共有的最大的利益。近年高科技網絡犯罪呈現出職業化,攻擊手段多樣化的趨勢。目的也從簡單的病毒惡作劇演變成覬覦個人機密信息和商業秘密。電子商務的普及所帶來數據的海量增長,使無論是個人用戶還是企業用戶,現在比以往任何時候都更加依賴于數據信息,這使對于數據安全的保護成為人們最為關注的問題。
近幾年,由于SaaS(Software as a Service軟件即服務)的出現,從軟件交付模式到信息存儲管理均在經歷一場深刻的變革。眾多傳統軟件開發商,甚至電子商務服務商、電信運營商在看到了SaaS在低成本、跨地區使用等方面的巨大優勢的同時,也逐漸認識到這種軟件模式是未來軟件也發展的趨勢,紛紛涉足SaaS領域,國內的SaaS軟件也雨后春筍般出現。而SaaS這種通過互聯網交付的形式,其鮮明的互聯網特性使得SaaS數據安全的問題被推到輿論的風口浪尖。是否有技術力量能夠規避這些風險呢?SaaS軟件運營商們又如何解決?作為國內最早進入SaaS領域的SaaS平臺運營商,風云網絡憑借其在SaaS應用及孵化上的多年經驗積累,與國際軟件巨頭微軟進行戰略合作,通過旗下SaaS運營平臺風云在線(www.FW086.com),向政府、企業用戶提供高效完整的SaaS安全解決方案,獲得了區域政府及大量企業用戶的青睞。記者帶著問題專訪了中國SaaS業界的領軍企業——江蘇風云網絡服務有限公司(下稱風云網絡)平臺開發部總監羅海平先生。
記者:有些企業用戶會擔心,在使用SaaS軟件的過程中,公司的機密商業數據會在客戶端的瀏覽器和托管服務器之間傳輸,這樣一來傳輸過程中數據是否會被截取?
羅海平:針對SaaS安全的數據傳輸安全方面,風云在線聯合微軟采取了六層數據安全防護體系,保障數據傳輸安全。在用戶登錄上,我們安裝了證書服務器,并要求客戶使用數字證書訪問,確保用戶輸入用戶名和密碼的服務器是用戶要訪問的服務器。并且通過SSL加密,與網上銀行同等安全級別的加密技術——多層敏感數據傳輸全程SSL加密進一步降低數據被竊取的可能性。多層數據和參數傳送處理,以防止跨站腳本和SQL注入攻擊。對每個ISV 數據訪問及數據傳送采用獨立密鑰加密,確保ISV之間的數據在沒有授權的情況下互相不可見。數據庫中所有涉及用戶機密部分全部采用密文保存。統一安全管理,采用多層保護策略,保證核心應用和關鍵數據的安全。
記者:曾經有用戶把SaaS誤以為是云計算,造成這種誤解的一個重要原因是云計算的三層原理:基礎架構,包括硬件、服務器等物理資源;中間平臺及應用和服務。這與SaaS的服務原理頗為相似,都具備大量的外來數據存儲設備,但恰恰是這種托管存儲數據的服務,讓企業不放心。SaaS運營商存儲數據的服務器對互聯網攻擊的防御能力到底有多強?
羅海平:針對數據存儲安全方面,風云網絡采取服務器與數據隔離、業務連續和災難恢復保障兩大策略來解決。
第一是服務器和數據隔離安全策略。對Web服務器、應用服務器、接口服務器、業務系統服務器和域名完全隔離, 以減少單點攻擊的漏洞。對應用系統數據采用不同數據庫或數據表存儲,保障不同應用數據之間的安全。企業之間數據完全互相隔離,杜絕了企業間數據的滲透。
第二是業務連續和災難恢復保障策略。數據保護方面,包括無中斷備份和恢復過程。高可用性,采用多機冗余,保障系統無單點故障,并通過最大限度減少計劃內和計劃外停機時間來實現。并且支持災難異地恢復,解決數據恢復的問題。
記者:存放在SaaS運營商的客戶數據,如何在沒有客戶許可的情況下不被其他人窺探,也是企業非常擔心問題,對于這點風云在線是如何解決的呢?。
羅海平:針對數據訪問權限方面,風云網絡有針對性的提供了嚴密的數據安全制度和身份權限訪問體系。
在數據安全制度方面,我們為企業制定內部信息系統維護人員的管理體制,明確角色責任。數據庫中所有涉及用戶機密部分全部采用密文保存,即便系統管理人員也無法得到原文,密鑰可由企業用戶掌握。并且使用系統修復程序和安全更新維護。使用系統賬號管理, 密碼管理, 賬號權限分配管理,賬號管理審核,保障賬號分配的權限。
在身份權限管理方面,我們通過集中式SSO單點登錄(Cookie/Token加密), 用戶無縫登陸體驗。用戶登錄后,系統根據用戶的角色,權限集合配對其功能操作。ISV應用集中鑒權和授權體驗。應用系統的數據庫訪問使用專署數據庫帳戶,并配置最小訪問控制。
以上諸多安全技術體系和制度,風云網絡從不同角度、不同環節對SaaS軟件用戶的數據安全性進行了嚴密的防護,較好地解決了SaaS數據安全問題,已成為SaaS數據安全領域的典范,已得到了眾多企業用戶的認可,從根本上解決了企業的后顧之憂。
記者認為相信隨著SaaS軟件的發展,SaaS軟件安全保障技術會更加完善,企業用戶對SaaS軟件的認可會越來越高, SaaS軟件也將迎來飛速發展的金色春天。
【編輯推薦】
