首頁>>廠商>>CRM軟件廠商>>沃力森

SaaS安全性的兩種聲音

2007/12/12

  隨著SaaS(軟件即服務)越來越火熱,SaaS的安全性是成為被用戶、廠商和媒體激烈討論的話題。

安全性的兩種聲音:

  有人說:SaaS模式的數(shù)據(jù)存儲在公網(wǎng)上,掌握在SaaS服務商的手上。而且,黑客可能破解并進入數(shù)據(jù)服務器,獲取數(shù)據(jù),這聽起來好像有些道理。有人甚至說:使用SaaS軟件時,很容易把病毒帶到公司的內(nèi)部網(wǎng)絡,甚至把病毒傳染到其他服務器,這無形中給公司內(nèi)部網(wǎng)絡帶來隱患,這是“聳人聽聞”嗎?

  另外有一種聲音就是SaaS實際上提升了信息化系統(tǒng)的安全性,因為安裝在局域網(wǎng)的軟件系統(tǒng)也面臨一些安全的問題,比如:

1、解決對軟件商、服務商的信任問題。

  大多數(shù)客戶不能完全百分之百的完成系統(tǒng)的維護,此時廠商提供服務時,廠商的技術人員一樣可以很方便的接觸到用戶數(shù)據(jù)。

  另外,安裝在客戶局域網(wǎng)的系統(tǒng)升級的時候,都是由局域網(wǎng)內(nèi)部服務器發(fā)起訪問外網(wǎng),此時內(nèi)網(wǎng)外網(wǎng)對于開發(fā)廠商來說是透明的,這也存在用戶對軟件服務商的信任問題。

  據(jù)統(tǒng)計,信息化系統(tǒng)的安全威脅90%都來自局域網(wǎng)內(nèi)部,可怕的黑客病毒或木馬程序的危害遠遠大于服務器被攻破;比如Arp欺騙導致內(nèi)網(wǎng)全數(shù)據(jù)泄密,利用Arp欺騙而傳播的病毒,黑客可能能加容易進入核心的數(shù)據(jù)服務器。

2、解決對內(nèi)部信息系統(tǒng)維護人員的管理和信任問題。

  內(nèi)網(wǎng)需要專門的人員和設備來解決信息化的問題,因此存在系統(tǒng)維護和設備維護,一般來說,內(nèi)網(wǎng)系統(tǒng)由于人員上的安排和水平是否能做到很好的數(shù)據(jù)備份或異地數(shù)據(jù)備份呢?當發(fā)生重大惡性事故的時候(比如火災、病毒),數(shù)據(jù)被丟失的可能性很大。我們需要把專業(yè)的事情給專業(yè)的服務商去做。

  既然要有人員來維護服務器,那么就會存在人員信任的問題,在內(nèi)網(wǎng)系統(tǒng)中一定是“管理員權限大于老板”;在一些公司信息化中,為了節(jié)省成本,很多系統(tǒng)被規(guī)劃到一臺服務器中,因此公司不同的技術人員都有可能在服務器上獲取數(shù)據(jù)。技術人員因為不滿足公司,而造成徹底毀損數(shù)據(jù)、泄漏數(shù)據(jù)、出賣數(shù)據(jù)的事件不在少數(shù)。

3、傳統(tǒng)軟件系統(tǒng)不能放在互聯(lián)網(wǎng)上。

  很多客戶都有分支機構(gòu),而且老板有出差或在家中查看公司情況的需求,也就是說存在使用互聯(lián)網(wǎng)訪問系統(tǒng)的需求,如果一個原運行在內(nèi)網(wǎng)的軟件放在公網(wǎng)上,沒有https加密傳輸協(xié)議和數(shù)字安全證書,很難說這樣的系統(tǒng)是安全的,這僅僅是局域網(wǎng)系統(tǒng)放在互聯(lián)網(wǎng)上的眾多安全隱患之一。

我們應該相信誰?

  隨著SaaS模式的軟件慢慢占領傳統(tǒng)軟件的市場,新生事物總會受到傳統(tǒng)事物的排擠,SaaS也不例外,就好比愛迪生發(fā)明的電燈泡在早期受到蠟燭廠商的排擠一樣,不排出一些人站在自己的利益角度攻擊SaaS的安全性。也不排除一些低劣的SaaS的服務廠商中,沒有利用更安全的技術,如何辨別具體的一種SaaS是否安全,需要把握以下幾點:

  1、傳輸協(xié)議加密

  首先,要看SaaS產(chǎn)品提供使用的協(xié)議,是https://還是一般的http://,別小看這個s,這表明所有的數(shù)據(jù)在傳輸過程中都是加密的。如果不加密,網(wǎng)上可能有很多“嗅探器”軟件能夠輕松的獲得您的數(shù)據(jù),甚至是您的用戶名和密碼;實際上網(wǎng)上很多聊天軟件帳號被盜大多數(shù)都是遭到“嗅探器”的“招”了。

  其次,傳輸協(xié)議加密還要看是否全程加密,即軟件的各個部分都是https://協(xié)議訪問的,有部分軟件只做了登錄部分,這是遠遠不夠的。目前,Salesforce、XToolsCRM都是采取全程加密的。

  2、服務器安全證書

  服務器安全證書是用戶識別服務器身份的重要標示,有些不正規(guī)的服務廠商并沒有使用全球認證的服務器安全證書。用戶對服務器安全證書的確認,表示服務器確實是用戶訪問的服務器,此時可以放心的輸入用戶名和密碼,徹底避免“釣魚”型網(wǎng)站,大多數(shù)銀行卡密碼泄漏都是被“釣魚”站釣上的。

  3、URL數(shù)據(jù)訪問安全碼技術

  對于一般用戶來說,復雜的URL看起來只是一串沒有意義的字符而已。但是對于一些IT高手來說,這些字符串中可能隱藏著一些有關于數(shù)據(jù)訪問的秘密,通過修改URL,很多黑客可以通過諸如SQL注入等方式攻入系統(tǒng),獲取用戶數(shù)據(jù)。XToolsCRM采用安全碼技術對傳入的數(shù)據(jù)進行驗證,使URL更為安全。

  4、數(shù)據(jù)的管理和備份機制

  SaaS服務商的數(shù)據(jù)備份應該是完善的,用戶必須了解自己服務商為您提供了什么樣的數(shù)據(jù)備份機制,一旦出現(xiàn)重大問題,如何恢復數(shù)據(jù)等。服務商在內(nèi)部管理上如何保證用戶數(shù)據(jù)不被服務商所泄露,也是需要用戶和服務商溝通的。

  5、運營服務系統(tǒng)的安全

  在評估SaaS產(chǎn)品安全度的時侯,最重要的是看公司對于服務器格局的設置,只有這樣的格局才是可以信任的,包括:運營服務器與網(wǎng)站服務器分離。

  服務器的專用是服務器安全最重要的保證。試想,如果一臺服務器安裝了SaaS系統(tǒng),但同時又安裝了網(wǎng)站系統(tǒng)、郵件系統(tǒng)、論壇系統(tǒng)……,他還能安全嗎?在黑客角度來說,越多的系統(tǒng)就意味著越多的漏洞,況且大多數(shù)網(wǎng)站使用的網(wǎng)站系統(tǒng)、郵件系統(tǒng)和論壇系統(tǒng)都是在網(wǎng)上能夠找到源代碼的免費產(chǎn)品,有了源代碼,黑客就可以很容易攻入。很多網(wǎng)站被攻入都是因為論壇系統(tǒng)的漏洞。

  因此,一個優(yōu)秀的軟件SaaS運營商,運營服務器和網(wǎng)站服務器應該完全隔離的,甚至域名也應該分開。

  6、重視廠商的歷史和專業(yè)性,有助于建立信任關系。

  專業(yè)的SaaS廠商可能比用戶更加注重安全,因為SaaS的“安全性”就是廠商的“飯碗”。就像在網(wǎng)上買東西,我們用戶需要看看廠商獲得用戶方面的評價,和媒體的口碑,看看是否專業(yè)和專注SaaS。有些廠商僅僅把SaaS產(chǎn)品作為炒作的噱頭,可能危害的就是用戶。

結(jié)束語:

  這樣看起來,無論是傳統(tǒng)的局域網(wǎng)信息化系統(tǒng),還是SaaS模式的信息化系統(tǒng),都會讓客戶關注數(shù)據(jù)安全。但如果我們有標準來衡量信息化系統(tǒng)的安全性,或者我們提前知曉這些風險的存在,對于用戶來說是有利的。

CTI論壇編輯


相關鏈接:
許衛(wèi)國看營銷(一):SaaS營銷陷入泥潭 2009-09-22
SaaS趨勢:今目標“創(chuàng)新”PK“XTools”易用 2009-09-21
在線CRM弱化企業(yè)競爭差距之一:小企業(yè)大軟件 2009-09-18
客戶管理的三種境界:讓客戶口碑傳播是最高境界 2009-09-11
SaaS規(guī);l(fā)展需要標準化產(chǎn)品和服務 2009-09-11

分類信息: