如今,Saas已經(jīng)風(fēng)靡IT界。國外微軟、甲骨文、Salesforce互相掐架,國內(nèi)阿里云、神州云,百度云炒的不亦樂乎。這種軟件軟營模式大幅度降低了中小企業(yè)信息化改革門檻,節(jié)省了IT投入,帶來了諸多益處。但Saas軟件由于數(shù)據(jù)放在互聯(lián)網(wǎng)上,導(dǎo)致它的數(shù)據(jù)安全問題另中小企業(yè)非常擔(dān)憂,特別是財務(wù)、銷售、客戶信息等數(shù)據(jù)。
從SaaS軟件的整個使用過程來看,SaaS軟件安全問題主要來自幾個方面:
一:如何保證在互聯(lián)網(wǎng)上的傳輸?shù)臄?shù)據(jù)不被黑客截獲。
二:如何保證數(shù)據(jù)庫服務(wù)器不被攻擊。
三:如何讓客戶認(rèn)識到他的數(shù)據(jù)很安全,沒有客戶的許可,不會被任何人查看。
以上三方面問題,是數(shù)據(jù)安全的軟肋,也是眾多SaaS運營商面臨的共同問題。不過隨著行業(yè)的發(fā)展,SaaS安全技術(shù)已有了較大的突破。下面,我們以神州云產(chǎn)品CloudCC.com CRM為例,深入探討客戶關(guān)系管理軟件中采用的安全策略:
一、服務(wù)器安全認(rèn)證與身份認(rèn)證
服務(wù)器安全證書是用戶識別服務(wù)器身份的重要標(biāo)志,有些不正規(guī)的服務(wù)廠商并沒有使用全球認(rèn)證的服務(wù)器安全證書。CloudCC.com已獲得國際知名認(rèn)證機構(gòu)的服務(wù)器安全證書,用戶必須在安裝服務(wù)器證書后使用用戶名和密碼訪問服務(wù)器,從而確保用戶服務(wù)器登錄安全。
身份認(rèn)證:包括口令認(rèn)證(用戶登錄密碼采用SHA1技術(shù)金融級加密存儲)、IP地址認(rèn)證、數(shù)字證書認(rèn)證、U盾用戶接口認(rèn)證等多重技術(shù),最大保障用戶身份安全。
二、傳輸協(xié)議加密
CloudCC神州云產(chǎn)品采用SSL3.0雙向加密與全程加密、256位安全密匙、VPN訪問通道、重要數(shù)據(jù)信息二次加密等多項交互加密手段,確保數(shù)據(jù)在傳輸?shù)倪^程中萬無一失。
在訪問系統(tǒng)時,部分細(xì)心的用戶會發(fā)現(xiàn)IE狀態(tài)欄綠色鎖型安全圖標(biāo)以及https雙重傳輸加密標(biāo)志。
三、數(shù)據(jù)安全——字段級
神州云動中數(shù)據(jù)庫中所有涉及用戶機密部分全部采用密文保存,并采用多層保護策略,保證核心應(yīng)用和關(guān)鍵數(shù)據(jù)安全。其中,CloudCC.com CRM是中國首家做到字段級安全控制的客戶關(guān)系管理品牌。
在系統(tǒng)中,管理者將各項字段針對不同人員設(shè)置:可見隱藏、編輯只讀等權(quán)限,并利用字段信息修改追蹤功能,對字段的相關(guān)信息修改進行查詢,從而避免系統(tǒng)數(shù)據(jù)修改后,相關(guān)人員互相“扯皮”的現(xiàn)象。
四、信息批量導(dǎo)入、導(dǎo)出控制
對于客戶信息、聯(lián)系人信息等重要資料,用戶可以導(dǎo)出為EXCEL格式進行備份,但信息導(dǎo)入導(dǎo)出受到嚴(yán)格系統(tǒng)權(quán)限設(shè)置。系統(tǒng)自動數(shù)據(jù)導(dǎo)入導(dǎo)出日志,并記錄時間、導(dǎo)入內(nèi)容、IP地址等詳細(xì)信息,幫企業(yè)嚴(yán)格把好數(shù)據(jù)安全關(guān)。
五、法律安全:簽署合同安全協(xié)議
用戶簽訂租用合同時,會同時簽訂一份保密協(xié)議。通過這份保密協(xié)議,使我們對用戶的安全承諾具有法律保障,從根本上消除用戶的安全顧慮。此外,CloudCC.com神州云產(chǎn)品全面通過ISO9001、公安部、通信局等研發(fā)、安全及運營認(rèn)證。
六、制度安全
神州云動科技股份有限公司專設(shè)數(shù)據(jù)服務(wù)器管理專員、監(jiān)督專員數(shù)名,負(fù)責(zé)操作系統(tǒng)升級、安全補丁和日常安全檢查、定期安全評估,只有專員掌握服務(wù)器訪問路徑和用戶名密碼,專員對于服務(wù)器操作必須經(jīng)過嚴(yán)格的身旁流程,同時系統(tǒng)自動記錄操作日志。
在機房內(nèi)部,采用氣體滅火、恒溫恒濕、聯(lián)網(wǎng)電子鎖防盜、24小時專人和錄像監(jiān)控、網(wǎng)絡(luò)設(shè)備帶寬冗余、口令進入機房等機制確保服務(wù)器機房安全。
神州云動采用覆蓋全國的服務(wù)器集群保障客戶數(shù)據(jù)安全,用戶數(shù)據(jù)實行多點異地備份,即便發(fā)生地震、火災(zāi)等毀滅性災(zāi)害,也可在最短時間內(nèi)恢復(fù)數(shù)據(jù),確保用戶數(shù)據(jù)安全。
小結(jié):SaaS安全問題既是技術(shù)問題,同時也是法律、制度、管理問題。以上諸多安全技術(shù)體系和制度,神州云動從不同角度、不同環(huán)節(jié)對SaaS軟件用戶的數(shù)據(jù)安全性進行了嚴(yán)密的防護,采用多重安全機制全面覆蓋CRM產(chǎn)品生命周期,較好地解決了SaaS數(shù)據(jù)安全問題,成為SaaS數(shù)據(jù)安全領(lǐng)域的典范。
京公網(wǎng)安備 11010502049343號