SaaS應用的安全風險對策
一個安全的SaaS應用具備五個層面的安全性,分別是物理安全、網絡安全、系統安全、應用安全和管理安全。針對上文中提到的安全風險問題,提出一系列對策和建議,構成一個完整的解決方案。
(1)物理安全控制策略。
①建立硬件環境防范體系。服務商的系統硬件和運行環境是SaaS應用運行的最基本要素,要保證存放SaaS服務器、通信設備等場地的安全,確保計算機的正常運行。
②建立多層級備份機制。數據備份是為了防止系統操作錯誤或系統故障而導致數據丟失的防護手段,可以確保在出現重大問題時,用戶數據能夠迅速恢復且不被第三方截獲,保證運營服務系統的安全。
(2)網絡安全控制策略。
①肩用防火墻。作為不同網絡或網絡安全域之間信息的出入口,防火墻能根據網絡系統的安全策略控制出入網絡的信息流,且本身具有較強的抗攻擊能力,有效地保證了內部網絡的安全。
②啟用入侵檢測系統。這是防火墻之后的第二道安全閘門,能夠有效地防止黑客攻擊,在計算機網絡上實時監控網絡傳輸,分析來自網絡外部和內部的入侵信號。在系統受到危害前發出警告,實時對攻擊做出反應,并提供補救措施。
③實施網絡監控。需要利用網絡監控系統對網絡設備的運行狀況進行7×24小時實時監控,使得網絡在出現故障的第一時間得到報警。
④數據傳輸控制。SaaS應用完全基于互聯網,如果采用安全超文本協議HTTPS(Hypertext Transfer Protocol overSecureSocket Layer)。
⑤聯手網絡通信商。通信運營商在網絡方面有排他性優勢,可以提供軟件服務、服務器托管、網絡接入的一條龍服務,從而實現端到端的SEA(Service Level Agreement)保障,打消客戶在網絡穩定性方面的顧慮。
(3)系統安全控制策略。
①系統加固。服務器的安全是SaaS廠商實力在用戶眼中最直觀的體現。可以通過在SaaS應用服務器前端部署負載均衡設備,以實現多臺應用服務器之間的負載均衡和高可用性。
②漏洞掃描修復。無論是操作系統、瀏覽器還是其他應用軟件都存在各種各樣的容易被黑客利用的漏洞,為此,要配置網站安全掃描平臺,實時監測最新發現的漏洞和薄弱環節,并及時安裝補丁修復程序。
③病毒防護。通盤考慮,制定多層次、全方位的防毒策略,通過應用網絡防病毒產品、關閉系統中不必要的應用程序以及做好移動硬盤、u盤等沒備使用前的掃描殺毒工作建立網絡病毒防護體系。
(4)應用安全控制策略。
①數據隔離。軟件提供商為了保證系統的實施成本最低,在數據隔離方案上通常選擇共享數據庫、共享數據模式方式,因此必須采用數據隔離的方法來保證用戶數據仍然像使用獨立數據庫一樣安全。
②數據加密。SaaS應用的數據庫是由運營商管理,運營商及數據庫管理員并不完全值得信任。對于一些敏感數據,例如公司的財務數據,可以考慮加密。
③權限控制。可采用訪問控制列表(ALC)來界定訪問權限,以及對數據操作,保證有效用戶正常使用系統。
④身份認證。多數中小型用戶目前沒有自己專門的身份認證中心,因此用戶級控制策略的認證適合采用集中式認證,防止非法用戶使用系統。
(5)管理安全控制策略。
①選擇合適的SaaS服務提供商。企業應根據SaaS模式業務特點需要、預定目標設定選擇標準以及企業成本控制,慎重地保證了內部地選擇供應商。相對于價格,安全性和服務保障更為重要。
②完善安全管理制度。企業應按照計算機信息安全的有關要求,按責、權、利相結合的原則,建立健全SaaS系統崗位責任制度、安全日志制度等,做到有章可循、有法可依。
③人員安全管理。提高安全意識是保證SaaS服務安全的重要前提,應加強對系統維護人員和技術支持人員的安全教育和技術培訓。信息安全管理的根本立足點是規范企業員工的行為,增強操作人員的安全管理意識,培育提高人員的誠信和道德水平,以及應急事件處理能力。
④建立監彈監督制度。SaaS的用戶可能對SaaS應用實施過程與標準不甚了解,可以利用第三方監理這種社會化、科學化、公平化和專業化的監督機制來輔助實施與管理,確保SaaS應用模式更合理、有效地運行和發展下去。
京公網安備 11010502049343號