《SaaS模式存在的安全隐患及对策研究.pdf》由会员分享,可在线阅读,更多相关《SaaS模式存在的安全隐患及对策研究.pdf(4页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、s Y ss E c u R I T Y系统安全l3 9S a a S 模式存在的安全隐患及对策研究刘飞张立涛张志慧(山东理工大学管理学院山东淄博2 5 5 0 4 9)摘要:S a a s 是S o f t w a r e a s a s e r v i c e(软件即服务)的简称,是通过I n t e m e t 提供软件的一种完全创新的软件应用模式。作为一种新兴的I T 服务模式,S a a S 有两面性,文章着重在S a a S 约安全方面剖析了存在的安全隐患,并针对这些问题从技术、运营和管理等方面提出了一系列的对策和建议。关键词:S a a S(软件即服务);安全风险;安全应对措施1
2、 引言随着互联网技术的高速发展,尤其是W e b 2 0 技术的兴起以及移动商务技术、协同技术的成熟,多种技术逐步趋于融合,为企业信息化建设奠定了基础。传统的企业客户为了减少运营成本、提高运营效率,而不再像以往那样,花费大量金钱在软硬件、技术人员及技术维护上,只需要支出一定的租赁服务费用,便可通过互联网享受到相应的硬件、软件和维护服务,享有软件使用权和不断的升级,这种模式就是互联网应用最新的最具效益的运营模式一S a a S。S a a S 是以软件租用、在线使用方式提供软件服务。软件厂商或供应商将应用软件统一部署在自己的服务器上,客户可以根据自己的实际需求,通过互联网向厂商定购所需的应用软件
3、服务,按定购的服务多少和时间长短向厂商支付费用,并通过互联网获得厂商提供的服务。用户不用再购买软件,而改用向提供商租用基于W e b 的软件来管理企业经营活动,且无需对软件进行维护。服务提供商会全权管理和维护软件,在向客户提供互联网应用的同时,服务商也提供软件的离线操作和本地数据存储,让用户随时随地都可以使用定购的软件和服务1 1 I。S a a S 与传统软件模式相比较,在成本、费用、风险、运行方式、人员等方面有着无可比拟的优势。尤其是进入2 0 0 9 年以来,经济危机风暴席卷全球,企业倒闭和大量裁员给众多的中小企业造成了巨大的经营压力,使他们在精打细算地节省开支的同时找到了一种新的I T
4、 工具。据I D G(美国国际数据集团)预测显示,未来两年内将有超过1 0 的E R P 软件转型为纯S a a S 模式,加上众多每题的热烈讨论,似乎S a a S 时代即将到来。国内外的众多I T 巨头也纷纷加入至l J S a a S 的行列中,如S a l e s f o r c e、X t o o l s、微软、0 r a c l e、用友、金蝶、阿里巴巴、神州数码、金算盘等都推出了自己的S a a S,E J E 务模式,以期在市场未成熟前抢占先机。但面对这美好憧憬的未来,在S a a S 头上却一直笼罩着一片乌云,那就是S a a S 的安全问题,这也是目前S a a S 在国内
5、外推广的最大障碍。2 S a a S 安全隐患剖析目前,随着加入S a a S 阵营的服务商越来越多,中小企业的选择范围也越来越大,但不管选择哪一家服务商,据I D G 调查报告显示,三分之二以上的用户都会把安全问题作为S a a S 产品选型时要重点考虑的因素1 2 1。因为在安全问题上,由于S a a S 的特殊服务模式,其安全风险一般会大于用户在组织内部自行架设软件,而且对企业内部I T 人员来说,外部式的S a a S 软件安全风险也颇难掌控。具体的,可以从以下几个方面来分析:(1)数据安全S a a S 提供的是一种数据托管服务,成千上万的企业将自己的信息托管于S a a S,E J
6、 虽务商。在信息输过程中极易丢失或被非法入侵主机的黑客篡改、窃取,为病毒所破坏或者因为程序的而不小心被其他使用者看到。众所周知,在网络环境中传播和存储,极易受到黑客、病毒攻击造成公文失密、信息被盗、被删除或被改写等严重后果。(2)网络及通讯安全由于互联网环境至今尚不完全成熟给基于互联网平台的s a a s 模式带来了安全性威胁,这里安全性主要是指稳定性。基于I n t e r n e t 能多方内外远程访问的万方数据4。ls Y ss E c u R。T Y系统安全s a a s 平台系统时刻遭遇着病毒、黑客甚至竞争对手获取、篡改和破坏的风险。稍有不慎,就会给用户带来重大风险损失。一旦服务器或
7、网络出现不可预知的故障,一些重要的数据,如财务数据和客户信息,就有可能面临丢失的风险。所以,保证网络通讯的安全与稳定在S a a S 模式中显得尤为重要。(3)垃圾邮件及邮件病毒病毒、蠕虫邮件在网络中传播大量占用用户网络带宽资源,企业中被感染的局域网用户机器被种植木马程序,可能导致敏感、机密信息数据泄露(如重要文件、账号密码等)。感染病毒的机器通过本地邮件服务器大量向外发大量的病毒、垃圾邮件,进而本地邮件服务器IP 地址被国内外互联网反垃圾邮件组织加入黑名单,终止其对外的任何邮件通信B J。(4)操作系统及I E 浏览器的安全漏洞由于目前操作系统、l E 浏览器漏洞较多,容易被病毒、木马程序等
8、破坏,而也就是因为这样用户口令丢失的事情时有发生,从而使得安全性得不到保障。(5)人员管理及制度管理的缺陷服务商的内部人员可能存有诚信、职业道德等方面的问题,造成内部滥用,发生操作失误、人为破坏、内部作案等重大问题。另外,相关安全法律制度不健全,保密规范和保密条款缺失,虽然反不正当竞争法提到了保护企业商业秘密的问题,但是没有具体的保护规定。出现了问题通过法律程序解决也将成为难事。(6)缺少第三方认证监督机制目前我国S a a S 模式尚缺第三方认证监督机制,这是一个较大安全保障问题。随着互联网快速渗透到社会的各个层面如何建立一套权威、公正、资信力强的S a a S 模式第三方认证监督机构及其规
9、范制度法令,将是通过互联网络进行s a a s 模式普及推广的可靠基础。第三方认证机构的可靠与否,对保证S a a s 模式的安全性及能否普及起着重要的作用1 4 J。S a a S 模式安全应对措施针对以上的S a a S 安全隐患分析,需相应的在以下几个方面加强安全防范技术部署和安全管理体系的建立。(1)建,i S i S 可信安全平台该平台应通过防火墙、入侵检测、病毒防治、权限控制及安全邮件等技术的充分结合,来保证网络传输时系统的应用和数据存储、传输的安全性。1)启动干兆级硬件防火墙:防火墙作为不同网络或网络安全域之间信息的出入口,能根据网络系统的安全策略控制出入网络的信息流,且本身具有
10、较强的抗攻击能力。有效地监控了不同网络之间的任何活动,保证了内部网络的安全。2)启用入侵检测系统:入侵检测被认为是防火墙之后的第二道安全闸门,能够有效地防止黑客攻击,在计算机网络上实时监控网络传输,分析来自网络外部和内部的入侵信号。在系统受到危害前发出警告,实时对攻击做出反应,并提供补救措施。3)建立防病毒解决方案:一定要通盘考虑,制定多层次、全方位的防毒策略,保证每台客户端计算机、应用服务器、网关服务器,都具备预防、检查和清除病毒的能力。在S a a S 模式中更需要采用网络防病毒产品,建立网络病毒防沪体系。4)权限控制:通过对信息及操作人员设置不同的权限及权限的组合形成多维的、多层次的、全
11、方位的对信息进行查看和操作的控制,最大保证S a a S 模式的安全和可靠。可采用访问控制列表(A L C)来界定谁能访问应用中的数据,以及能对数据进行哪些操作。5)安全邮件服务:安全电子邮件系统其优势主要来源于其集成了C A 认证与身份鉴别、智能卡加密和数字签名、邮件防病毒和反垃圾等信息安全和网络安全领域的多种先进技术。实现数字证书登录认证,替代传统的“用户名+口令”登录和W e b 方式的安全邮件收发。(2)数据存储与备份数据存储与备份要达到安全性与实时性相结合。数据存储系统使用双控制器来实现高可用性。服务器和存储级的硬件安全要通过设备冗余和负载均衡来解决。为各个环节做冗余设计,这样任何一
12、个硬件或软件的单点故障都不会影响到整个S a a S 应用的运营。建立多层备份机制。分层次地采用服务器双机热备份、R A I D 镜像技术、财务及管理软件系统自动备份等多种保护方式。尤其要指出的是必须定期将必要的备份数据刻录到光盘中,保证数据在损坏后可以及时恢复。另外,配备多台服务器通过磁盘阵列柜组成群集热备系统,保证了数据备份的实时性。(3)操作系统及I E 浏览器安全要选择主流稳定的操作系统,安装最新补丁或及时更新。使用漏洞扫描系统,定期对操作系统和I E 浏览器进行扫描与修补。并使用漏洞扫描工具进行安全评估,及时发现系统安全隐患而定制开发的专用网络安全设备,产品的性能将直接影响到系统安全
13、评估的万方数据准确性。同时启用防病毒网关。(4)服务器、客户端双重安全保障首先,客户端的安全不容忽视。对于客户端采用H T T P S 协议(如通过S S L N 务器端证书),所有传输的数据都是加密的,这些信息即使被窃听也是不可还原阅读的,这样就保证了数据的传输安全。在身份认证方面一般采用基于精密时间同步的O T P 或存储证书的U S BK E Y 的方式,这种身份认证方式是S a a S 应用可选项,可以有效唯一识别客户身份,使用者在知晓用户名、密码的同时,必须同时拥有一个唯一性的硬件K e y,才能登录到系统,从而对数据操作起到保护作用I b J。其次,服务器安全更加重要。在S a a
14、 S 应用服务器前端可部署负载均衡设备,如A l t e o n 交换机,以实现多台应用服务器之间的负载均衡和高可用性。当一台应用服务器宕机时,其它的同级服务器可以自动接管,使服务不会中断。也可设置备份应用服务器,可以在特殊时候切换成应用服务器来替换任意一台出问题的服务器。(5)选择可靠的安全服务供应商选择专业的S a a S N 务供应商,相比较价格因素,安全性和服务保障更为重要。首先,S a a S 安全服务本质上还是基于安全技术和产品,所以安全服务提供商应该具有业界领先、成熟的安全技术。比如S a a S 安全邮件服务提供商应该具有领先、成熟的防病毒、反垃圾邮件技术。其次,S a a S
15、 安全服务提供商应该拥有这些核心技术的知识产权,以确保后续技术支持的延续性。第三,S a a S 安全服务提供商应该具有业界公认的安全服务资质和良好的公司信誉,以保障服务的可靠性和可信度。最后,S a a S 安全服务提供商还应该具有较强的本地技术支持能力,以提供及时的支持服务和有效的客户化能力1 3 o(6)与通信运营商联手运营提升安全质量通信运营商拥有的庞大资源和实力使其在S a a S 产业中具备天然的优势。品牌资源。利用运营商长期积累的良好信誉辅以严格的信息管理机制和完善的网络安全技术,容灾备份、防火墙、防病毒等相关设施和计划都非常完备,可打消客户在信息安全和后续支撑服务上的顾虑。网络
16、资源。通信运营商在网络方面有排他性优势,可以提供软件服务、服务器托管、网络接人的一条龙服务,从而实现端到端的S L A 保障,打消客户在应用稳定性方面的顾虑1 6 j。(7)安全管理对于信息系统的安全来说,安全管理绝对不能忽视,主要包括:s Y ss E c u R I T Y 系统安全|4,1)建立第三方监理制度。应利用第三方监理这种社会化、科学化、公平化和专业化的监督机制确保s a a 应用模式更合理、有效地运行和发展下去。2)安全制度。S a a S 模式要想成功运营关键是要建立买方和卖方之间的诚信体制,这就对外部的法律制度环境提出了很高的要求,要使不法分子有所畏惧,使泄露客户商业机密的
17、行为受到严惩。“良好的社会信用机制是S a a S 能在国外快速发展的关键因素”,星际网络技术有限公司的C E O 陈成强说1 7 J。3)物理环境安全。数据中心需拥有恒温恒湿、防尘防静电等环境保障,要具备双路供电,并有大型发电机组提供后备电源;机房提供7 2 4 dx 时保安监控系统,只有通过注册的维护工程师可以进入;机房建筑采用防火构架及材料,建筑抗震能力符合国家标准等。4)人员管理。加强人员技术知识培训及应急事件处理能力的培养,增强操作人员的安全管理意识,制定严格的纪律和行为规范,印发安全手册,对于泄露、丢失机密数据的人员进行严厉处分。4 结束语S a a S 独有的多租户共享模式及顺应
18、潮流的互联网访问方式给中小企业的信息化建设带来了很多有利之处,但作为一种新兴技术,伴随优势的同时也产生了巨大的挑战。其中不可忽视的是安全问题,它是阻碍S a a S 推广应用的主要障碍。因此,本文综合多方面因素,分析问题所在,提出一系列行之有效的安全保障措施,使S a a S 安全性得到保障。只有这样,才能使S a a S 得到更多用户的认可,前景更加广阔,最终使得用户与运营商实现双赢。钓参考文献【1】孙志永什么是s aa s【J 1 信息系统工程,2 0 0 6(10 1:2 2 2 8【2】赛迪咨询S a a S E R P 龟型遭受六大安全问题拷问】信息系统工程,2 0 0 9(3):5
19、 9-6 1【3】3 宋国江s a a S 一信息安全新途径-I 1 软件世界,2 0 0 7(8):7 9-8 0【4】昊勇毅S a a S 渐进电子政务U】信息系统工程,2 0 0 8(3):1 0 1 1(5 J 范春莹s a a s 可信平台的搭建U】程序员,2 0 0 8(8):5 5-5 7【6】张锦红,龙志勇S a a S 打开中小企业信息化大门的金钥匙U】电信网技术。2 0 0 8(2):2 1 2 4【7】栾杰S a a S 厕L 暴袭来】现代商业,2 0 0 7(1 0):4 7-4 9 万方数据SaaS模式存在的安全隐患及对策研究SaaS模式存在的安全隐患及对策研究作者:
20、刘飞,张立涛,张志慧作者单位:山东理工大学管理学院,山东淄博,255049刊名:信息系统工程英文刊名:CHINA CIONEWS年,卷(期):2010,(3)被引用次数:0次 参考文献(7条)参考文献(7条)1.什么是SaaS?期刊论文-信息系统工程 2006(10)2.赛迪咨询 SaaSERP选型遭受六大安全问题拷问 2009(3)3.宋国江 SaaS-信息安全新途径 2007(8)4.吴勇毅 SaaS渐进电子政务期刊论文-信息系统工程 2008(3)5.范春莹 SaaS可信平台的搭建 2008(8)6.张锦红.龙志勇 SaaS打开中小企业信息化大门的金钥匙期刊论文-电信网技术 2008(2
21、)7.栾杰 SaaS风暴袭来期刊论文-现代商业 2007(28)相似文献(1条)相似文献(1条)1.学位论文 叶利娜 基于SaaS模式的工艺设计服务研究 2010 SaaS(软件即服务:Software as a Service)模式是随着互联网技术的发展和应用软件的成熟,而开始兴起的一种完全创新的软件应用模式。SaaS模式下的应用服务是在应用服务端完成软件部署,由服务提供商负责应用服务开发维护及安全保障,用户只需一台个人电脑通过网络链接到服务平台,就可以较低费用定制适合自己的应用服务,节省了资金成本。且SaaS模式是面向整个区域的分布式应用服务,可以充分实现区域内的制造资源的共享,解决制造资
22、源不完备的问题。因此SaaS模式为中小企业区域集群实现全面信息化提供了一条解决之路。本文主要针对永康区域内的中小制造企业集群中单个企业缺乏专业的服务维护技术人员和完全的制造资源,在深入研究SaaS模式的特性基础上,提出了基于SaaS模式的工艺设计服务,为区域内每个用户提供依据喜好设定界面和工艺设计应用服务;提供丰富的工艺知识与工艺方案,辅助工艺设计人员进行工艺决策;提供面向区域内的企业集群的制造资源,支持并促进区域内企业之间的制造协作和资源共享。本文首先提出了基于SaaS模式的工艺设计服务体系架构,再在服务中分析实现SaaS模式的主要特性。针对区域企业集群的多用户特点,设计共享数据库独立架构的多用户数据管理模式,以元数据实现数据模型的可扩展性,及以负载均衡策略保障并发访问的高效性;设计基于元数据的可配置服务,满足用户应用服务和界面的不同需求,实现SaaS模式以单一实例为多个用户服务的特性。最后分析了当前服务可能存在的安全风险,有针对性的解决这些安全威胁,设计建立了相应的安全服务机制。本文链接:http:/