惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

S
Securelist
有赞技术团队
有赞技术团队
WordPress大学
WordPress大学
V
V2EX
Google DeepMind News
Google DeepMind News
B
Blog RSS Feed
The Register - Security
The Register - Security
Recorded Future
Recorded Future
Y
Y Combinator Blog
小众软件
小众软件
Jina AI
Jina AI
V2EX - 技术
V2EX - 技术
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
P
Proofpoint News Feed
Engineering at Meta
Engineering at Meta
宝玉的分享
宝玉的分享
The Hacker News
The Hacker News
C
Cybersecurity and Infrastructure Security Agency CISA
K
Kaspersky official blog
博客园 - 三生石上(FineUI控件)
T
Threatpost
博客园 - 聂微东
Scott Helme
Scott Helme
IT之家
IT之家
N
Netflix TechBlog - Medium
T
The Exploit Database - CXSecurity.com
S
Schneier on Security
MongoDB | Blog
MongoDB | Blog
T
Tor Project blog
C
CXSECURITY Database RSS Feed - CXSecurity.com
A
About on SuperTechFans
酷 壳 – CoolShell
酷 壳 – CoolShell
C
CERT Recently Published Vulnerability Notes
P
Palo Alto Networks Blog
Spread Privacy
Spread Privacy
C
Check Point Blog
L
LINUX DO - 最新话题
D
Darknet – Hacking Tools, Hacker News & Cyber Security
Last Week in AI
Last Week in AI
Attack and Defense Labs
Attack and Defense Labs
T
Tailwind CSS Blog
罗磊的独立博客
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
Webroot Blog
Webroot Blog
Help Net Security
Help Net Security
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
爱范儿
爱范儿
PCI Perspectives
PCI Perspectives
Security Latest
Security Latest

博客园 - Arping.Net探索

自动发送TFS团队项目文件迁入迁出信息 自动发送TFS团队项目用户权限检查信息 MPSENG上 "MPFTranLogData with error code 80004005. "错误的处理 高强度磁铁靠近笔记本屏幕灯管附近黑屏的原因及解决办法 MS SQL Server 2005无数据库日志恢复 一个老土但是很重要的问题:SaaS到底怎么发音? IDC 双线技术引发的思考 Windows2003 远程桌面超过最大连接数解决办法 Multi App Data-Share Module(多应用数据共享模型) China First SaaS Application Demo:Crab 安装篇 Crab与SaaS (转自MSDN) SaaS应用成熟度模型 Microsoft SQL Server 2005 安装失败处理 - Integration Services安装失败的解决办法 SQL 2005中用存储过程调用Web Services Visual Studio 2008、SQL Server 2008和Windows Server 2008发布日期确定(跟着老盖要练凌波微步了) Hardware and Software Requirements for Installing SQL Server Katmai 今天天气好热,DIY了一个USB风扇 miniSAP 安装步骤(改进版,装得我好累啊) Ora9.2 NTFS 老问题:System.Data.OracleClinet requires Oracle client software version 8.1.7 or greater.
浅谈SaaS数据安全性
Arping.Net探索 · 2009-04-19 · via 博客园 - Arping.Net探索

http://developer.51cto.com/art/200903/117475.htm

51CTO正持续关注SaaS时代的软件开发等SaaS热点。据BBC报道:如果说2008年是高科技职业犯罪出露马脚的一年,那么2009年则是这个噩梦的开始,地下经济正在蓬勃的发展,高科技犯罪分子不仅成立了多个组织,并且还相互合作以达到他们共有的最大的利益。近年高科技网络犯罪呈现出职业化,攻击手段多样化的趋势。目的也从简单的病毒恶作剧演变成觊觎个人机密信息和商业秘密。电子商务的普及所带来数据的海量增长,使无论是个人用户还是企业用户,现在比以往任何时候都更加依赖于数据信息,这使对于数据安全的保护成为人们最为关注的问题。

近几年,由于SaaS(Software as a Service软件即服务)的出现,从软件交付模式到信息存储管理均在经历一场深刻的变革。众多传统软件开发商,甚至电子商务服务商、电信运营商在看到了SaaS在低成本、跨地区使用等方面的巨大优势的同时,也逐渐认识到这种软件模式是未来软件也发展的趋势,纷纷涉足SaaS领域,国内的SaaS软件也雨后春笋般出现。而SaaS这种通过互联网交付的形式,其鲜明的互联网特性使得SaaS数据安全的问题被推到舆论的风口浪尖。是否有技术力量能够规避这些风险呢?SaaS软件运营商们又如何解决?作为国内最早进入SaaS领域的SaaS平台运营商,风云网络凭借其在SaaS应用及孵化上的多年经验积累,与国际软件巨头微软进行战略合作,通过旗下SaaS运营平台风云在线(www.FW086.com),向政府、企业用户提供高效完整的SaaS安全解决方案,获得了区域政府及大量企业用户的青睐。记者带着问题专访了中国SaaS业界的领军企业——江苏风云网络服务有限公司(下称风云网络)平台开发部总监罗海平先生。

记者:有些企业用户会担心,在使用SaaS软件的过程中,公司的机密商业数据会在客户端的浏览器和托管服务器之间传输,这样一来传输过程中数据是否会被截取?

罗海平:针对SaaS安全的数据传输安全方面,风云在线联合微软采取了六层数据安全防护体系,保障数据传输安全。在用户登录上,我们安装了证书服务器,并要求客户使用数字证书访问,确保用户输入用户名和密码的服务器是用户要访问的服务器。并且通过SSL加密,与网上银行同等安全级别的加密技术——多层敏感数据传输全程SSL加密进一步降低数据被窃取的可能性。多层数据和参数传送处理,以防止跨站脚本和SQL注入攻击。对每个ISV 数据访问及数据传送采用独立密钥加密,确保ISV之间的数据在没有授权的情况下互相不可见。数据库中所有涉及用户机密部分全部采用密文保存。统一安全管理,采用多层保护策略,保证核心应用和关键数据的安全。

记者:曾经有用户把SaaS误以为是云计算,造成这种误解的一个重要原因是云计算的三层原理:基础架构,包括硬件、服务器等物理资源;中间平台及应用和服务。这与SaaS的服务原理颇为相似,都具备大量的外来数据存储设备,但恰恰是这种托管存储数据的服务,让企业不放心。SaaS运营商存储数据的服务器对互联网攻击的防御能力到底有多强?

罗海平:针对数据存储安全方面,风云网络采取服务器与数据隔离、业务连续和灾难恢复保障两大策略来解决。

第一是服务器和数据隔离安全策略。对Web服务器、应用服务器、接口服务器、业务系统服务器和域名完全隔离, 以减少单点攻击的漏洞。对应用系统数据采用不同数据库或数据表存储,保障不同应用数据之间的安全。企业之间数据完全互相隔离,杜绝了企业间数据的渗透。

第二是业务连续和灾难恢复保障策略。数据保护方面,包括无中断备份和恢复过程。高可用性,采用多机冗余,保障系统无单点故障,并通过最大限度减少计划内和计划外停机时间来实现。并且支持灾难异地恢复,解决数据恢复的问题。

记者:存放在SaaS运营商的客户数据,如何在没有客户许可的情况下不被其他人窥探,也是企业非常担心问题,对于这点风云在线是如何解决的呢?。
罗海平:针对数据访问权限方面,风云网络有针对性的提供了严密的数据安全制度和身份权限访问体系。
在数据安全制度方面,我们为企业制定内部信息系统维护人员的管理体制,明确角色责任。数据库中所有涉及用户机密部分全部采用密文保存,即便系统管理人员也无法得到原文,密钥可由企业用户掌握。并且使用系统修复程序和安全更新维护。使用系统账号管理, 密码管理, 账号权限分配管理,账号管理审核,保障账号分配的权限。
在身份权限管理方面,我们通过集中式SSO单点登录(Cookie/Token加密), 用户无缝登陆体验。用户登录后,系统根据用户的角色,权限集合配对其功能操作。ISV应用集中鉴权和授权体验。应用系统的数据库访问使用专署数据库帐户,并配置最小访问控制。
以上诸多安全技术体系和制度,风云网络从不同角度、不同环节对SaaS软件用户的数据安全性进行了严密的防护,较好地解决了SaaS数据安全问题,已成为SaaS数据安全领域的典范,已得到了众多企业用户的认可,从根本上解决了企业的后顾之忧。

记者认为相信随着SaaS软件的发展,SaaS软件安全保障技术会更加完善,企业用户对SaaS软件的认可会越来越高, SaaS软件也将迎来飞速发展的金色春天。