首頁>>廠商>>CRM軟件廠商>>沃力森

SaaS安全性的兩種聲音

2007/12/12

  隨著SaaS(軟件即服務(wù))越來越火熱,SaaS的安全性是成為被用戶、廠商和媒體激烈討論的話題。

安全性的兩種聲音:

  有人說:SaaS模式的數(shù)據(jù)存儲(chǔ)在公網(wǎng)上,掌握在SaaS服務(wù)商的手上。而且,黑客可能破解并進(jìn)入數(shù)據(jù)服務(wù)器,獲取數(shù)據(jù),這聽起來好像有些道理。有人甚至說:使用SaaS軟件時(shí),很容易把病毒帶到公司的內(nèi)部網(wǎng)絡(luò),甚至把病毒傳染到其他服務(wù)器,這無形中給公司內(nèi)部網(wǎng)絡(luò)帶來隱患,這是“聳人聽聞”嗎?

  另外有一種聲音就是SaaS實(shí)際上提升了信息化系統(tǒng)的安全性,因?yàn)榘惭b在局域網(wǎng)的軟件系統(tǒng)也面臨一些安全的問題,比如:

1、解決對(duì)軟件商、服務(wù)商的信任問題。

  大多數(shù)客戶不能完全百分之百的完成系統(tǒng)的維護(hù),此時(shí)廠商提供服務(wù)時(shí),廠商的技術(shù)人員一樣可以很方便的接觸到用戶數(shù)據(jù)。

  另外,安裝在客戶局域網(wǎng)的系統(tǒng)升級(jí)的時(shí)候,都是由局域網(wǎng)內(nèi)部服務(wù)器發(fā)起訪問外網(wǎng),此時(shí)內(nèi)網(wǎng)外網(wǎng)對(duì)于開發(fā)廠商來說是透明的,這也存在用戶對(duì)軟件服務(wù)商的信任問題。

  據(jù)統(tǒng)計(jì),信息化系統(tǒng)的安全威脅90%都來自局域網(wǎng)內(nèi)部,可怕的黑客病毒或木馬程序的危害遠(yuǎn)遠(yuǎn)大于服務(wù)器被攻破;比如Arp欺騙導(dǎo)致內(nèi)網(wǎng)全數(shù)據(jù)泄密,利用Arp欺騙而傳播的病毒,黑客可能能加容易進(jìn)入核心的數(shù)據(jù)服務(wù)器。

2、解決對(duì)內(nèi)部信息系統(tǒng)維護(hù)人員的管理和信任問題。

  內(nèi)網(wǎng)需要專門的人員和設(shè)備來解決信息化的問題,因此存在系統(tǒng)維護(hù)和設(shè)備維護(hù),一般來說,內(nèi)網(wǎng)系統(tǒng)由于人員上的安排和水平是否能做到很好的數(shù)據(jù)備份或異地?cái)?shù)據(jù)備份呢?當(dāng)發(fā)生重大惡性事故的時(shí)候(比如火災(zāi)、病毒),數(shù)據(jù)被丟失的可能性很大。我們需要把專業(yè)的事情給專業(yè)的服務(wù)商去做。

  既然要有人員來維護(hù)服務(wù)器,那么就會(huì)存在人員信任的問題,在內(nèi)網(wǎng)系統(tǒng)中一定是“管理員權(quán)限大于老板”;在一些公司信息化中,為了節(jié)省成本,很多系統(tǒng)被規(guī)劃到一臺(tái)服務(wù)器中,因此公司不同的技術(shù)人員都有可能在服務(wù)器上獲取數(shù)據(jù)。技術(shù)人員因?yàn)椴粷M足公司,而造成徹底毀損數(shù)據(jù)、泄漏數(shù)據(jù)、出賣數(shù)據(jù)的事件不在少數(shù)。

3、傳統(tǒng)軟件系統(tǒng)不能放在互聯(lián)網(wǎng)上。

  很多客戶都有分支機(jī)構(gòu),而且老板有出差或在家中查看公司情況的需求,也就是說存在使用互聯(lián)網(wǎng)訪問系統(tǒng)的需求,如果一個(gè)原運(yùn)行在內(nèi)網(wǎng)的軟件放在公網(wǎng)上,沒有https加密傳輸協(xié)議和數(shù)字安全證書,很難說這樣的系統(tǒng)是安全的,這僅僅是局域網(wǎng)系統(tǒng)放在互聯(lián)網(wǎng)上的眾多安全隱患之一。

我們應(yīng)該相信誰?

  隨著SaaS模式的軟件慢慢占領(lǐng)傳統(tǒng)軟件的市場,新生事物總會(huì)受到傳統(tǒng)事物的排擠,SaaS也不例外,就好比愛迪生發(fā)明的電燈泡在早期受到蠟燭廠商的排擠一樣,不排出一些人站在自己的利益角度攻擊SaaS的安全性。也不排除一些低劣的SaaS的服務(wù)廠商中,沒有利用更安全的技術(shù),如何辨別具體的一種SaaS是否安全,需要把握以下幾點(diǎn):

  1、傳輸協(xié)議加密

  首先,要看SaaS產(chǎn)品提供使用的協(xié)議,是https://還是一般的http://,別小看這個(gè)s,這表明所有的數(shù)據(jù)在傳輸過程中都是加密的。如果不加密,網(wǎng)上可能有很多“嗅探器”軟件能夠輕松的獲得您的數(shù)據(jù),甚至是您的用戶名和密碼;實(shí)際上網(wǎng)上很多聊天軟件帳號(hào)被盜大多數(shù)都是遭到“嗅探器”的“招”了。

  其次,傳輸協(xié)議加密還要看是否全程加密,即軟件的各個(gè)部分都是https://協(xié)議訪問的,有部分軟件只做了登錄部分,這是遠(yuǎn)遠(yuǎn)不夠的。目前,Salesforce、XToolsCRM都是采取全程加密的。

  2、服務(wù)器安全證書

  服務(wù)器安全證書是用戶識(shí)別服務(wù)器身份的重要標(biāo)示,有些不正規(guī)的服務(wù)廠商并沒有使用全球認(rèn)證的服務(wù)器安全證書。用戶對(duì)服務(wù)器安全證書的確認(rèn),表示服務(wù)器確實(shí)是用戶訪問的服務(wù)器,此時(shí)可以放心的輸入用戶名和密碼,徹底避免“釣魚”型網(wǎng)站,大多數(shù)銀行卡密碼泄漏都是被“釣魚”站釣上的。

  3、URL數(shù)據(jù)訪問安全碼技術(shù)

  對(duì)于一般用戶來說,復(fù)雜的URL看起來只是一串沒有意義的字符而已。但是對(duì)于一些IT高手來說,這些字符串中可能隱藏著一些有關(guān)于數(shù)據(jù)訪問的秘密,通過修改URL,很多黑客可以通過諸如SQL注入等方式攻入系統(tǒng),獲取用戶數(shù)據(jù)。XToolsCRM采用安全碼技術(shù)對(duì)傳入的數(shù)據(jù)進(jìn)行驗(yàn)證,使URL更為安全。

  4、數(shù)據(jù)的管理和備份機(jī)制

  SaaS服務(wù)商的數(shù)據(jù)備份應(yīng)該是完善的,用戶必須了解自己服務(wù)商為您提供了什么樣的數(shù)據(jù)備份機(jī)制,一旦出現(xiàn)重大問題,如何恢復(fù)數(shù)據(jù)等。服務(wù)商在內(nèi)部管理上如何保證用戶數(shù)據(jù)不被服務(wù)商所泄露,也是需要用戶和服務(wù)商溝通的。

  5、運(yùn)營服務(wù)系統(tǒng)的安全

  在評(píng)估SaaS產(chǎn)品安全度的時(shí)侯,最重要的是看公司對(duì)于服務(wù)器格局的設(shè)置,只有這樣的格局才是可以信任的,包括:運(yùn)營服務(wù)器與網(wǎng)站服務(wù)器分離。

  服務(wù)器的專用是服務(wù)器安全最重要的保證。試想,如果一臺(tái)服務(wù)器安裝了SaaS系統(tǒng),但同時(shí)又安裝了網(wǎng)站系統(tǒng)、郵件系統(tǒng)、論壇系統(tǒng)……,他還能安全嗎?在黑客角度來說,越多的系統(tǒng)就意味著越多的漏洞,況且大多數(shù)網(wǎng)站使用的網(wǎng)站系統(tǒng)、郵件系統(tǒng)和論壇系統(tǒng)都是在網(wǎng)上能夠找到源代碼的免費(fèi)產(chǎn)品,有了源代碼,黑客就可以很容易攻入。很多網(wǎng)站被攻入都是因?yàn)檎搲到y(tǒng)的漏洞。

  因此,一個(gè)優(yōu)秀的軟件SaaS運(yùn)營商,運(yùn)營服務(wù)器和網(wǎng)站服務(wù)器應(yīng)該完全隔離的,甚至域名也應(yīng)該分開。

  6、重視廠商的歷史和專業(yè)性,有助于建立信任關(guān)系。

  專業(yè)的SaaS廠商可能比用戶更加注重安全,因?yàn)镾aaS的“安全性”就是廠商的“飯碗”。就像在網(wǎng)上買東西,我們用戶需要看看廠商獲得用戶方面的評(píng)價(jià),和媒體的口碑,看看是否專業(yè)和專注SaaS。有些廠商僅僅把SaaS產(chǎn)品作為炒作的噱頭,可能危害的就是用戶。

結(jié)束語:

  這樣看起來,無論是傳統(tǒng)的局域網(wǎng)信息化系統(tǒng),還是SaaS模式的信息化系統(tǒng),都會(huì)讓客戶關(guān)注數(shù)據(jù)安全。但如果我們有標(biāo)準(zhǔn)來衡量信息化系統(tǒng)的安全性,或者我們提前知曉這些風(fēng)險(xiǎn)的存在,對(duì)于用戶來說是有利的。

CTI論壇編輯


相關(guān)鏈接:
許衛(wèi)國看營銷(一):SaaS營銷陷入泥潭 2009-09-22
SaaS趨勢:今目標(biāo)“創(chuàng)新”PK“XTools”易用 2009-09-21
在線CRM弱化企業(yè)競爭差距之一:小企業(yè)大軟件 2009-09-18
客戶管理的三種境界:讓客戶口碑傳播是最高境界 2009-09-11
SaaS規(guī);l(fā)展需要標(biāo)準(zhǔn)化產(chǎn)品和服務(wù) 2009-09-11

分類信息: