400-888-5228

SaaS安全技術(shù)與_新進(jìn)展

SaaS安全技術(shù)與_新進(jìn)展

發(fā)布時(shí)間:2013.04.19

由 于SaaS(Software as a Service軟件作為服務(wù)、軟件即服務(wù))的出現(xiàn),軟件行業(yè)正在經(jīng)歷一場深刻的變革。SaaS在西方國家已經(jīng)流行并進(jìn)入了普及階段。在中國,雖然近年增長 迅速,但大多數(shù)企業(yè)對(duì)SaaS這種新的交付模式還缺乏認(rèn)識(shí). SaaS的安全技術(shù)日新月異, 越來越多的企業(yè)開始認(rèn)可SaaS安全性和可靠性。

SaaS的安全從機(jī)房開始。機(jī)房的安全性包括氣體滅火、恒溫恒濕、聯(lián)網(wǎng)電子鎖防盜、24小時(shí)專人和錄像監(jiān)控、網(wǎng)絡(luò)設(shè)備帶寬冗余、口令進(jìn)入機(jī)房等。服 務(wù)器和防火墻的負(fù)載平衡、數(shù)據(jù)庫集群和網(wǎng)絡(luò)存貯備份在近幾年也成為標(biāo)準(zhǔn)安全性技術(shù)。主流SaaS運(yùn)營商多采用雙數(shù)據(jù)中心運(yùn)營,其中一個(gè)機(jī)房數(shù)據(jù)中心為冗余 備份。多城市多機(jī)房的模式可提高訪問速度,但因大大增加安全管理隱患和維護(hù)成本,很少被成熟的SaaS企業(yè)采用。

伴隨著J2EE和.NET等基于互聯(lián)網(wǎng)瀏覽器軟件開發(fā)技術(shù)的誕生,真正意義上的SaaS模式企業(yè)管理軟件技術(shù)起始于2003年前后?;诨ヂ?lián)網(wǎng)的特點(diǎn),SaaS軟件有許多區(qū)別于前一代軟件的獨(dú)特性,從服務(wù)器端軟件和數(shù)據(jù)庫、數(shù)據(jù)傳輸、到客戶端瀏覽器都出現(xiàn)了許多新技術(shù)。

開發(fā) SaaS 軟件系統(tǒng)和開發(fā)傳統(tǒng)企業(yè)應(yīng)用系統(tǒng)之間有重要區(qū)別,標(biāo)準(zhǔn)SaaS 系統(tǒng)是多重租賃的(Multi-tenant),也就是一套軟件和數(shù)據(jù)庫平臺(tái),經(jīng)過軟件和數(shù)據(jù)庫的隔離及保密技術(shù),多個(gè)企業(yè)同時(shí)使用。雖然不是多重租賃的 SaaS產(chǎn)品不一定是“假SaaS”產(chǎn)品,多重租賃大大提高了運(yùn)營效率、穩(wěn)定性,降低運(yùn)營商的維護(hù)和升級(jí)成本,變相的說_終消費(fèi)者得到了價(jià)格上的實(shí)惠。其 他重要的 SaaS 需求,如自定義、SOA集成接口、離線客戶端等,也都會(huì)影響 SaaS 應(yīng)用程序的體系結(jié)構(gòu)。而國外的Salesforce的PaaS(Platform-as-a-Service)和國內(nèi)八百客公司的800APP PaaS代表了SaaS的主流架構(gòu)。

數(shù)據(jù)庫:

SaaS運(yùn)營商普遍采用大型商用關(guān)系型數(shù)據(jù)庫和集群技術(shù)。在數(shù)據(jù)庫的設(shè)計(jì)上,多重租賃的軟件會(huì)有三種設(shè)計(jì),每個(gè)客戶公司獨(dú)享一個(gè)數(shù)據(jù)庫 instance,或獨(dú)享一個(gè)數(shù)據(jù)庫instance中的一個(gè)schema, 或多客戶公司以隔離和保密技術(shù)原理共享一個(gè)數(shù)據(jù)庫instance的一個(gè)shema. 幾乎所有SaaS軟件開發(fā)商選擇后兩種方案,也就是說,所有公司共享一個(gè)數(shù)據(jù)庫license,從而降低了成本。

數(shù)據(jù)庫隔離的方式經(jīng)歷了instance隔離、schema隔離、partition隔離、數(shù)據(jù)表隔離、到在應(yīng)用程序的數(shù)據(jù)邏輯層提供根據(jù)共享數(shù)據(jù)庫進(jìn)行用戶數(shù)據(jù)增刪改授權(quán)的隔離機(jī)制, 從而在不影響安全性的前提下實(shí)現(xiàn)效率_大化。

應(yīng)用程序:

應(yīng)用程序的安全圍繞Web服務(wù)器展開,比如Apache、IIS等?;谶@些Web服務(wù)器,主流廠商多采用J2EE或.NET開發(fā)技術(shù)并會(huì)采用特殊 的Web服務(wù)器或服務(wù)器配置以優(yōu)化安全性并優(yōu)化訪問速度和可靠性。而有些廠商會(huì)采用PHP、Ruby等開發(fā)技術(shù),相比之下,J2EE和.NET集成了更多 更成熟的安全技術(shù)。同樣,Oracle、SQL Server和DB2在數(shù)據(jù)庫層面相比MySQL等數(shù)據(jù)庫也更加成熟。

身份驗(yàn)證和授權(quán)服務(wù)是系統(tǒng)安全性的起點(diǎn),J2EE和.NET自帶全面的安全服務(wù)。J2EE提供Servlet Presentation Framework, .NET 提供.NET Framework,并持續(xù)升級(jí),因多重租賃帶來的整體升級(jí)效應(yīng)使所有使用者共同受益并不需要支付額外的升級(jí)費(fèi)用。應(yīng)用程序通過調(diào)用安全服務(wù)的編程接口 (API),來對(duì)用戶進(jìn)行授權(quán)和上下文繼承。

在應(yīng)用程序的設(shè)計(jì)上,安全服務(wù)通過維護(hù)用戶訪問列表、應(yīng)用程序Session、數(shù)據(jù)庫訪問Session等進(jìn)行數(shù)據(jù)訪問控制。并需要建立嚴(yán)格的組織、組、用戶樹的建立和維護(hù)機(jī)制。

SaaS平臺(tái)是近年來的商業(yè)模式熱點(diǎn)。一種模式是單一廠商基于PaaS應(yīng)用程序平臺(tái)提供多種SaaS應(yīng)用,并通過Web Service接口提供與其他廠商產(chǎn)品集成。 另一種模式是SaaS運(yùn)營平臺(tái),平臺(tái)廠商提供用戶認(rèn)證,其他軟件廠商提供SaaS應(yīng)用程序。在安全性上,PaaS應(yīng)用程序平臺(tái)有著先天的優(yōu)勢(shì)。SaaS運(yùn) 營平臺(tái)的出現(xiàn),為應(yīng)用程序的開發(fā)帶來了新的挑戰(zhàn),產(chǎn)品的安全由平臺(tái)上SaaS軟件廠商鏈條中_弱的一個(gè)決定,也就是短板效應(yīng)。

平臺(tái)安全的核心是用戶權(quán)限的在各個(gè)SaaS應(yīng)用程序中的繼承,Salesforce或八百客等廠商的PaaS產(chǎn)品自帶成熟的權(quán)限樹繼承技術(shù),自 2006年以來已經(jīng)實(shí)現(xiàn)大規(guī)模商業(yè)運(yùn)營。而第二種運(yùn)營平臺(tái)模式類似的集成需要專業(yè)的定制開發(fā),相應(yīng)的中間件技術(shù)或SOA總線技術(shù)還未成熟。

ACL和密碼保護(hù)策略也是SaaS軟件成熟度的標(biāo)志??蛻艨稍谧约合到y(tǒng)中修改相關(guān)策略。有些廠商還推出了瀏覽器插件來保護(hù)客戶登錄安全。而在_近半 年,國外廠商頻繁地開始讓用戶登錄后回答自己預(yù)設(shè)的秘密保護(hù)問題和答案,也是一種為了安全的保護(hù)策略,因中國人對(duì)這種密碼保護(hù)策略沒有使用習(xí)慣,所以在國 內(nèi)還沒有廣泛的推廣開來。

數(shù)據(jù)傳輸和客戶端:

SaaS通過互聯(lián)網(wǎng)而非企業(yè)局域網(wǎng)來傳輸數(shù)據(jù)和表格。SaaS和已經(jīng)普及的網(wǎng)上銀行和網(wǎng)銀支付都采用SSL加密技術(shù),加密位數(shù)隨著硬件速度的提升而提升。主流廠商通常也會(huì)花大筆資金購買專用SSL加密設(shè)備。八百客、金蝶等國內(nèi)廠商也提供類似網(wǎng)上銀行的U盾客戶端認(rèn)證技術(shù)。

SaaS軟件都采用瀏覽器來訪問使用,普遍采用的安全技術(shù)包括Cookie加密、URL隨機(jī)碼、SQL等代碼的注入防范等技術(shù)。當(dāng)然,瀏覽器及時(shí)升級(jí)也非常重要。

成熟SaaS廠商也推出了可離線使用的客戶端軟件。雖然Salesforce用“不用軟件”的口號(hào)吸引了很多關(guān)注,但其需要下載安裝的離線版也得到 了10%左右的使用率。 而像RightNow等其他廠商,在客戶端上做了更多的開發(fā)和實(shí)施工作。八百客的專用客戶端還做了呼叫中心、VOIP電話、短信、電子傳真和企業(yè)郵局的集 成。而這些專用客戶端多采用本地?cái)?shù)據(jù)加密,SSL傳輸加密等安全技術(shù)。

結(jié)語:

不論是SaaS軟件還是傳統(tǒng)軟件,企業(yè)安全事故多發(fā)生于在密碼安全管理松懈的企業(yè),雖然U盾會(huì)在會(huì)在很大程度上避免此類安全事故發(fā)生。

與網(wǎng)上銀行和郵件快遞服務(wù)類似,_SaaS服務(wù)商_的安全和可靠性也將被更多企業(yè)用戶接受。 安全是一個(gè)_SaaS廠商的長期_。

【艾威(中國)】簡介:

  艾威(AVTECH)總部 設(shè)在美國NEW JERSEY,是北美排行_的專業(yè)培訓(xùn)機(jī)構(gòu),設(shè)有4大分校,數(shù)十個(gè)培訓(xùn)點(diǎn)遍布北美、西歐和東亞;2000年進(jìn)入中國,以培養(yǎng)國際化的中高端信息人才為己任,專注于國際前沿的新技術(shù)研發(fā)與信息科技新興行業(yè)的開拓教育。

  艾威培訓(xùn)(Avtech Institute of Technology),源于美國,始于1998;是北美著名的培訓(xùn)機(jī)構(gòu),公司總部位于美國新澤西州,2000年進(jìn)入中國,以培養(yǎng)國際化的中高端信息人才為己任,專注于國際前沿的新技術(shù)研發(fā)新興行業(yè)的開拓教育,艾威主要的服務(wù)為培訓(xùn)與咨詢兩大類,目前培訓(xùn)的主要產(chǎn)品有:項(xiàng)目管理培訓(xùn)、IT管理培訓(xùn)、IT技術(shù)培訓(xùn)、云計(jì)算大數(shù)據(jù)培訓(xùn)、需求管理培訓(xùn)、產(chǎn)品管理培訓(xùn),信息安全類,AI人工智能等....近十類上幾百門的課程的培訓(xùn)與咨詢服務(wù)。
  艾威進(jìn)入中國這十八年來已經(jīng)服務(wù)了超過5000多家客戶,獲得了良好的口碑!也成為了眾多500強(qiáng)企業(yè)指定的培訓(xùn)服務(wù)供應(yīng)商.
  ● 艾威培訓(xùn)(Avtech Institute of Technology),源于美國,始于1998.
  ● 艾威培訓(xùn)(Avtech Institute of Technology)是Prometric,VUE,PSI等眾多國際認(rèn)證中心授權(quán)的考點(diǎn)

  ● 2003年成為國際項(xiàng)目管理協(xié)會(huì)PMI授權(quán)的全球(PMP,PGMP,ACP,PBA)教育機(jī)構(gòu)
  ● 2008年成為國際需求管理協(xié)會(huì)IIBA授權(quán)的全球(CCBA,CBAP)教育機(jī)構(gòu)
  ● 2012年成為IT服務(wù)管理官方EXIN授權(quán)的ITIL,ITIL EXPERT,Prince2,EXIN Agile Scrum Master教育機(jī)構(gòu)
  ● 2016年成為國際信息審計(jì)協(xié)會(huì)ISACA授權(quán)的CISA,CISM,CRISC,CGEIT,COBIT教育機(jī)構(gòu)
  ● 2017年成為The Open Group授權(quán)的TOGAF企業(yè)架構(gòu)的官方培訓(xùn)機(jī)構(gòu)。
  ● 2017年成為EPI 授權(quán)的數(shù)據(jù)中心CDCP培訓(xùn)機(jī)構(gòu),華東地區(qū)_CDCP授權(quán)培訓(xùn)機(jī)構(gòu),同時(shí)也是CDCP認(rèn)證考試考場。
  ● 2017年成為國際外包專業(yè)協(xié)會(huì)(IAOP)_授權(quán)外包治理國際認(rèn)證SGF(Sourcing GovernanceFoundation)。

本文來自于艾威培訓(xùn)

轉(zhuǎn)載請(qǐng)注明:http://m.c-d21.com/news/73.html

上一篇:云計(jì)算和SaaS是一回事嗎?二者的區(qū)別
下一篇:關(guān)于外包與內(nèi)包
 

發(fā)表回復(fù)

您的電子郵箱地址不會(huì)被公開。 必填項(xiàng)已用*標(biāo)注

  • 2024-09-26 20:00
    職場故事:從戰(zhàn)略規(guī)劃到項(xiàng)目管理交付
  • 2024-10-10 20:00
    解決方案評(píng)價(jià):評(píng)估解決方案的高效績效工具
  • 2024-10-15 20:00
    研發(fā)績效管理:組織戰(zhàn)略如何解碼到績效指標(biāo)?組織績效與個(gè)人績效管理
  • 2024-10-17 20:00
    科學(xué)的降本增效
  • 2024-10-22 20:00
    職場故事:“煉金術(shù)”與數(shù)字的交響曲:一位化學(xué)研發(fā)工程師的職業(yè)升級(jí)之旅
  • 2024-10-24 20:00
    助力財(cái)務(wù)運(yùn)營自動(dòng)化:機(jī)器人流程自動(dòng)化(RPA)技術(shù)的實(shí)際應(yīng)用
  • 2024-10-29 20:00
    職場故事:從在日工作的經(jīng)驗(yàn)教訓(xùn)談職場需要的技能
  • 2024-10-30 20:00
    嚴(yán)謹(jǐn)求實(shí):安全評(píng)估和測(cè)試
  • 2024-10-31 20:00
    什么是數(shù)據(jù)標(biāo)準(zhǔn)?如何制定數(shù)據(jù)標(biāo)準(zhǔn)?這份指南送上
  • 更多直播講座
    小艾老師還在安排中…
查看全部 >

掃碼一鍵預(yù)約全部

查看更多 > 查看更多 >

數(shù)字化轉(zhuǎn)型8大核心認(rèn)證

  1. PMP項(xiàng)目管理認(rèn)證

    艾威最近一期班: 針對(duì)2025年03月考試
  2. CBAP業(yè)務(wù)分析認(rèn)證

    艾威最近一期班·開課時(shí)間: 2024-11-23
  3. CBPP流程管理認(rèn)證

    艾威最近一期班·開課時(shí)間: 2024-12-07
  4. ITIL4 IT管理認(rèn)證

    艾威最近一期班·開課時(shí)間: 2024-10-26
  5. TOGAF企業(yè)架構(gòu)認(rèn)證

    艾威最近一期班·開課時(shí)間: 2024-11-02
  6. CDMP數(shù)據(jù)管理認(rèn)證

    艾威最近一期班·開課時(shí)間: 2024-11-23
  7. CISA信息安全審計(jì)師認(rèn)證

    艾威最近一期班·開課時(shí)間: 2024-12-01
  8. CISSP信息安全專家認(rèn)證

    艾威最近一期班·開課時(shí)間: 2024-11-16
近期課程安排