数据存储SaaS上服务商如何保障数据安全
2010-09-26 it168网站 编辑:紫甘蓝
中国软件产业正经历着向SaaS (软件即服务)的转变,SaaS取得了飞速发展,服务品类和用户数量快速增长。当众多的国际IT厂商和国内IT厂商共同将目光瞄向这个领域的时候,SaaS开始在这样一个备受关注的时刻、在人们的无限期待中蓄势爆发。
在众多SaaS产品中,管理型SaaS凭借性价比高、功能模块组织灵活、更符合中小企业使用习惯等特点,成为企业互联网化的成功“利器”,市场需求异常旺盛。管理型SaaS已对企业不同类型商业流程的不同环节进行替换、优化和创新,因此,在金融危机的大背景下反而获得了大幅度增长,增长迅速在众多SaaS产品中遥遥领先。
客户管理在企业管理中应该是一个核心,在线CRM也成为管理软件的核心,作为平台厂商,或者全程电子商务厂商,他们都把在线CRM作为必争之地,因为“在线CRM”是联系前端销售机会和后端支付和交付等的关键链条。 正因为如此,在线CRM推动了其他SaaS应用的发展。
在线CRM是SaaS的最重要的一种形式,企业在线应用CRM,不需要自己搭建服务器,不需要购买软件,企业按月付费,这也就是目前热门的SaaS(软件即服务)模式,但是很多人说:“数据存储在SaaS服务商的服务器上,不放心”
XTools公司谢亿民认为,“数据安全是SaaS模式服务的一部分,如果缺少数据安全保障,那就不叫SaaS了,在线CRM的服务提供方需要有严密的数据安全保障体系,来运营这种模式。”
关于数据安全,在线CRM需要做到一下几方面:
第一、服务稳定
评价在线CRM的系统稳定来自于两个方面:第一:连接速度;第二:连接连通率。在连通率上一般的数据中心都能保障达到99.9%,而在速度上,各家的在线CRM却良莠不齐。
所以在试用过程中需要关注访问速度。XTools在全国南北等地分布了很多服务器,用户可以根据自己的测试速度登录最快的服务器,也就是假定一个有全国分支机构的公司员工,能够分别登录自己测速最快的服务器,录入和读取的数据也是即时和同步的。
第二、登录安全
如何防止木马等黑客程序给用户登录密码带来威胁,一直是网络安全界讨论的话题,无论网上银行系统还是国家保密部门,都离不开几种方式:证书登录、动态密码OTP登录、USB钥匙登录。
SaaS的在线CRM登录也需要关注于登录的安全,一些优秀的SaaS厂商目前也采取了登录的措施,比如加长主密码位数、提供USBkey登录、OTPkey登录等,以避免客户在登录CRM系统时密码泄露的风险。
第三、传输安全
SSL 广泛用于浏览器中,以便向客户端(用户端)证明服务的身份,并且随后向通道提供保密性(加密传输)。
客户端(用户端)和网站(在线CRM网站)之间的数据交流使用加密规则,以便对传输的数据进行加密和解密。如果没有SSL加密传输,就可以视同在数据传输过程中,包括用户名、密码在内的重要数据存在被窃听的风险。
第四、存储安全
目前云存储成为最为尖端的存储和备份方式,这种方式能够最大限度保障客户数据不被意外情况(包括不可抗力的灾害)所破坏,并实现数据快速恢复。
云存储是在云计算(cloud computing)概念上延伸和发展出来的一个新的概念,是指通过集群应用、网格技术或分布式文件系统等功能,将网络中大量各种不同类型的存储设备通过应用软件集合起来协同工作,共同对外提供数据存储和业务访问功能的一个系统。
第五、系统安全
系统安全包括的面很广,安全风险包括:
对URL规则的分析后,就可以通过修改URL中各种数据参数,并合成伪造成新的URL,然后直接访问服务器。这个过程的产生的后果是:可以绕开系统本身的权限体系,而直接从数据库中读取数据。就像是虽然门口装了重重铁锁,但是围墙很低,很容易翻越,根本不用通过大门进入。防止URL伪造与合成欺骗成为在线CRM重要工作。
对于在线系统来说,出现这种漏洞是致命的。XTools的总工程师李亚平说:“经过我们的安全工程师检测,目前国内很多在线服务系统均没有解决这个漏洞,这对于客户的数据安全来说,风险很大。”
相对于前面的两种风险,SQL注入可能会产生更为严重的恶果。数据访问程序编写的不规范、权限系统不完善,或者URL漏洞,给破坏者带来使用SQL注入的可乘之机。SQL是数据库访问的语言标准,通过SQL注入,入侵者可能会实现对数据的整体删除,数据的整体复制或者全面读取。如果发生这种情况,对于客户来说,简直就是灾难。
以上仅仅是系统安全的两个例子,系统安全也包括操作系统和应用系统是否存在漏洞,服务器端口安全、应用系统的接口安全、系统的访问压力监控等等。专业的SaaS厂商应该对系统的安全定期检查,和用户对数据安全要求达成一致。
第六、五年以上SaaS运营经验
对于在线CRM的安全和稳定运营,需要有一个专业的团队,通过采访,记者觉得,如果只有通过五年以上的SaaS运营实战经验,安全才能有所保障,稳定性才能得到用户口碑认可。因为,处理SaaS运营中的一些不确定因素的经验是需要长期服务才能获得的。
结束语
要让客户买单,在线CRM服务的提供者需要拿出一个数据安全的解决方案,那些隐晦的如何保障数据安全的回答只能让客户对数据安全更加担心,经验告诉我们:一定需要拿出一个全面的数据安全方案。