日本-区二区三区免费精品_SaaS安全性的兩種聲音_CRM

SaaS安全性的兩種聲音

2007/12/12

　　隨著(zhù)SaaS（軟件即服務(wù)）越來(lái)越火熱，SaaS的安全性是成為被用戶(hù)、廠(chǎng)商和媒體激烈討論的話(huà)題。

安全性的兩種聲音：

　　有人說(shuō)：SaaS模式的數據存儲在公網(wǎng)上，掌握在SaaS服務(wù)商的手上。而且，黑客可能破解并進(jìn)入數據服務(wù)器，獲取數據，這聽(tīng)起來(lái)好像有些道理。有人甚至說(shuō)：使用SaaS軟件時(shí)，很容易把病毒帶到公司的內部網(wǎng)絡(luò )，甚至把病毒傳染到其他服務(wù)器，這無(wú)形中給公司內部網(wǎng)絡(luò )帶來(lái)隱患，這是“聳人聽(tīng)聞”嗎？

　　另外有一種聲音就是SaaS實(shí)際上提升了信息化系統的安全性，因為安裝在局域網(wǎng)的軟件系統也面臨一些安全的問(wèn)題，比如：

1、解決對軟件商、服務(wù)商的信任問(wèn)題。

　　大多數客戶(hù)不能完全百分之百的完成系統的維護，此時(shí)廠(chǎng)商提供服務(wù)時(shí)，廠(chǎng)商的技術(shù)人員一樣可以很方便的接觸到用戶(hù)數據。

　　另外，安裝在客戶(hù)局域網(wǎng)的系統升級的時(shí)候，都是由局域網(wǎng)內部服務(wù)器發(fā)起訪(fǎng)問(wèn)外網(wǎng)，此時(shí)內網(wǎng)外網(wǎng)對于開(kāi)發(fā)廠(chǎng)商來(lái)說(shuō)是透明的，這也存在用戶(hù)對軟件服務(wù)商的信任問(wèn)題。

　　據統計，信息化系統的安全威脅90%都來(lái)自局域網(wǎng)內部，可怕的黑客病毒或木馬程序的危害遠遠大于服務(wù)器被攻破；比如Arp欺騙導致內網(wǎng)全數據泄密，利用Arp欺騙而傳播的病毒，黑客可能能加容易進(jìn)入核心的數據服務(wù)器。

2、解決對內部信息系統維護人員的管理和信任問(wèn)題。

　　內網(wǎng)需要專(zhuān)門(mén)的人員和設備來(lái)解決信息化的問(wèn)題，因此存在系統維護和設備維護，一般來(lái)說(shuō)，內網(wǎng)系統由于人員上的安排和水平是否能做到很好的數據備份或異地數據備份呢？當發(fā)生重大惡性事故的時(shí)候（比如火災、病毒），數據被丟失的可能性很大。我們需要把專(zhuān)業(yè)的事情給專(zhuān)業(yè)的服務(wù)商去做。

　　既然要有人員來(lái)維護服務(wù)器，那么就會(huì )存在人員信任的問(wèn)題，在內網(wǎng)系統中一定是“管理員權限大于老板”；在一些公司信息化中，為了節省成本，很多系統被規劃到一臺服務(wù)器中，因此公司不同的技術(shù)人員都有可能在服務(wù)器上獲取數據。技術(shù)人員因為不滿(mǎn)足公司，而造成徹底毀損數據、泄漏數據、出賣(mài)數據的事件不在少數。

3、傳統軟件系統不能放在互聯(lián)網(wǎng)上。

　　很多客戶(hù)都有分支機構，而且老板有出差或在家中查看公司情況的需求，也就是說(shuō)存在使用互聯(lián)網(wǎng)訪(fǎng)問(wèn)系統的需求，如果一個(gè)原運行在內網(wǎng)的軟件放在公網(wǎng)上，沒(méi)有https加密傳輸協(xié)議和數字安全證書(shū)，很難說(shuō)這樣的系統是安全的，這僅僅是局域網(wǎng)系統放在互聯(lián)網(wǎng)上的眾多安全隱患之一。

我們應該相信誰(shuí)？

　　隨著(zhù)SaaS模式的軟件慢慢占領(lǐng)傳統軟件的市場(chǎng)，新生事物總會(huì )受到傳統事物的排擠，SaaS也不例外，就好比愛(ài)迪生發(fā)明的電燈泡在早期受到蠟燭廠(chǎng)商的排擠一樣，不排出一些人站在自己的利益角度攻擊SaaS的安全性。也不排除一些低劣的SaaS的服務(wù)廠(chǎng)商中，沒(méi)有利用更安全的技術(shù)，如何辨別具體的一種SaaS是否安全，需要把握以下幾點(diǎn)：

　　1、傳輸協(xié)議加密

　　首先，要看SaaS產(chǎn)品提供使用的協(xié)議，是https://還是一般的http://，別小看這個(gè)s，這表明所有的數據在傳輸過(guò)程中都是加密的。如果不加密，網(wǎng)上可能有很多“嗅探器”軟件能夠輕松的獲得您的數據，甚至是您的用戶(hù)名和密碼；實(shí)際上網(wǎng)上很多聊天軟件帳號被盜大多數都是遭到“嗅探器”的“招”了。

　　其次，傳輸協(xié)議加密還要看是否全程加密，即軟件的各個(gè)部分都是https://協(xié)議訪(fǎng)問(wèn)的，有部分軟件只做了登錄部分，這是遠遠不夠的。目前，Salesforce、XToolsCRM都是采取全程加密的。

　　2、服務(wù)器安全證書(shū)

　　服務(wù)器安全證書(shū)是用戶(hù)識別服務(wù)器身份的重要標示，有些不正規的服務(wù)廠(chǎng)商并沒(méi)有使用全球認證的服務(wù)器安全證書(shū)。用戶(hù)對服務(wù)器安全證書(shū)的確認，表示服務(wù)器確實(shí)是用戶(hù)訪(fǎng)問(wèn)的服務(wù)器，此時(shí)可以放心的輸入用戶(hù)名和密碼，徹底避免“釣魚(yú)”型網(wǎng)站，大多數銀行卡密碼泄漏都是被“釣魚(yú)”站釣上的。

　　3、URL數據訪(fǎng)問(wèn)安全碼技術(shù)

　　對于一般用戶(hù)來(lái)說(shuō)，復雜的URL看起來(lái)只是一串沒(méi)有意義的字符而已。但是對于一些IT高手來(lái)說(shuō)，這些字符串中可能隱藏著(zhù)一些有關(guān)于數據訪(fǎng)問(wèn)的秘密，通過(guò)修改URL，很多黑客可以通過(guò)諸如SQL注入等方式攻入系統，獲取用戶(hù)數據。XToolsCRM采用安全碼技術(shù)對傳入的數據進(jìn)行驗證，使URL更為安全。

　　4、數據的管理和備份機制

　　SaaS服務(wù)商的數據備份應該是完善的，用戶(hù)必須了解自己服務(wù)商為您提供了什么樣的數據備份機制，一旦出現重大問(wèn)題，如何恢復數據等。服務(wù)商在內部管理上如何保證用戶(hù)數據不被服務(wù)商所泄露，也是需要用戶(hù)和服務(wù)商溝通的。

　　5、運營(yíng)服務(wù)系統的安全

　　在評估SaaS產(chǎn)品安全度的時(shí)侯，最重要的是看公司對于服務(wù)器格局的設置，只有這樣的格局才是可以信任的，包括：運營(yíng)服務(wù)器與網(wǎng)站服務(wù)器分離。

　　服務(wù)器的專(zhuān)用是服務(wù)器安全最重要的保證。試想，如果一臺服務(wù)器安裝了SaaS系統，但同時(shí)又安裝了網(wǎng)站系統、郵件系統、論壇系統……，他還能安全嗎?在黑客角度來(lái)說(shuō)，越多的系統就意味著(zhù)越多的漏洞，況且大多數網(wǎng)站使用的網(wǎng)站系統、郵件系統和論壇系統都是在網(wǎng)上能夠找到源代碼的免費產(chǎn)品，有了源代碼，黑客就可以很容易攻入。很多網(wǎng)站被攻入都是因為論壇系統的漏洞。

　　因此，一個(gè)優(yōu)秀的軟件SaaS運營(yíng)商，運營(yíng)服務(wù)器和網(wǎng)站服務(wù)器應該完全隔離的，甚至域名也應該分開(kāi)。

　　6、重視廠(chǎng)商的歷史和專(zhuān)業(yè)性，有助于建立信任關(guān)系。

　　專(zhuān)業(yè)的SaaS廠(chǎng)商可能比用戶(hù)更加注重安全，因為SaaS的“安全性”就是廠(chǎng)商的“飯碗”。就像在網(wǎng)上買(mǎi)東西，我們用戶(hù)需要看看廠(chǎng)商獲得用戶(hù)方面的評價(jià)，和媒體的口碑，看看是否專(zhuān)業(yè)和專(zhuān)注SaaS。有些廠(chǎng)商僅僅把SaaS產(chǎn)品作為炒作的噱頭，可能危害的就是用戶(hù)。

結束語(yǔ)：

　　這樣看起來(lái)，無(wú)論是傳統的局域網(wǎng)信息化系統，還是SaaS模式的信息化系統，都會(huì )讓客戶(hù)關(guān)注數據安全。但如果我們有標準來(lái)衡量信息化系統的安全性，或者我們提前知曉這些風(fēng)險的存在，對于用戶(hù)來(lái)說(shuō)是有利的。

CTI論壇編輯

SaaS趨勢：今目標“創(chuàng )新”P(pán)K“XTools”易用 2009-09-21

在線(xiàn)CRM弱化企業(yè)競爭差距之一：小企業(yè)大軟件 2009-09-18

客戶(hù)管理的三種境界：讓客戶(hù)口碑傳播是最高境界 2009-09-11

SaaS規模化發(fā)展需要標準化產(chǎn)品和服務(wù) 2009-09-11

分類(lèi)信息:
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩澄江县| 格尔木市| 方山县| 晋江市| 资中县| 泾川县| 甘德县| 疏勒县| 庆元县| 隆尧县| 汉川市| 肃北| 广州市| 额尔古纳市| 凤台县| 娱乐| 蒙城县| 兴业县| 古交市| 肥东县| 南陵县| 北票市| 吉林省| 栾城县| 乡城县| 上思县| 涪陵区| 玉林市| 嘉善县| 滦南县| 电白县| 宁武县| 阳新县| 土默特右旗| 揭西县| 丹阳市| 久治县| 大丰市| 临沂市| 武山县| 台州市| http://444 http://444 http://444 http://444 http://444 http://444