SaaS应用安全风险问题所面对的五个层面

日期: 2012-02-19 来源:TechTarget中国 英文

  一个安全的SaaS应用具备五个层面的安全性,分别是物理安全、网络安全、系统安全、应用安全和管理安全。针对SaaS应用安全风险问题,提出一系列对策和建议,构成一个完整的解决方案。

  (1)物理安全控制策略。

  ①建立硬件环境防范体系。服务商的系统硬件和运行环境是SaaS应用运行的最基本要素,要保证存放SaaS服务器、通信设备等场地的安全,确保计算机的正常运行。

  ②建立多层级备份机制。数据备份是为了防止系统操作错误或系统故障而导致数据丢失的防护手段,可以确保在出现重大问题时,用户数据能够迅速恢复且不被第三方截获,保证运营服务系统的安全。

  (2)网络安全控制策略。

  ①肩用防火墙。作为不同网络或网络安全域之间信息的出入口,防火墙能根据网络系统的安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力,有效地保证了内部网络的安全。

  ②启用入侵检测系统。这是防火墙之后的第二道安全闸门,能够有效地防止黑客攻击,在计算机网络上实时监控网络传输,分析来自网络外部和内部的入侵信号。在系统受到危害前发出警告,实时对攻击做出反应,并提供补救措施。

  ③实施网络监控。需要利用网络监控系统对网络设备的运行状况进行7×24小时实时监控,使得网络在出现故障的第一时间得到报警。

  ④数据传输控制。SaaS应用完全基于互联网,如果采用安全超文本协议HTTPS(Hypertext Transfer Protocol overSecureSocket Layer)。

  ⑤联手网络通信商。通信运营商在网络方面有排他性优势,可以提供软件服务、服务器托管、网络接入的一条龙服务,从而实现端到端的SEA(Service Level Agreement)保障,打消客户在网络稳定性方面的顾虑。

  (3)系统安全控制策略。

  ①系统加固。服务器的安全是SaaS厂商实力在用户眼中最直观的体现。可以通过在SaaS应用服务器前端部署负载均衡设备,以实现多台应用服务器之间的负载均衡和高可用性。

  ②漏洞扫描修复。无论是操作系统、浏览器还是其他应用软件都存在各种各样的容易被黑客利用的漏洞,为此,要配置网站安全扫描平台,实时监测最新发现的漏洞和薄弱环节,并及时安装补丁修复程序。

  ③病毒防护。通盘考虑,制定多层次、全方位的防毒策略,通过应用网络防病毒产品、关闭系统中不必要的应用程序以及做好移动硬盘、u盘等没备使用前的扫描杀毒工作建立网络病毒防护体系。

  (4)应用安全控制策略。

  ①数据隔离。软件提供商为了保证系统的实施成本最低,在数据隔离方案上通常选择共享数据库、共享数据模式方式,因此必须采用数据隔离的方法来保证用户数据仍然像使用独立数据库一样安全。

  ②数据加密。SaaS应用的数据库是由运营商管理,运营商及数据库管理员并不完全值得信任。对于一些敏感数据,例如公司的财务数据,可以考虑加密。

  ③权限控制。可采用访问控制列表(ALC)来界定访问权限,以及对数据操作,保证有效用户正常使用系统。

  ④身份认证。多数中小型用户目前没有自己专门的身份认证中心,因此用户级控制策略的认证适合采用集中式认证,防止非法用户使用系统。

  (5)管理安全控制策略。

  ①选择合适的SaaS服务提供商。企业应根据SaaS模式业务特点需要、预定目标设定选择标准以及企业成本控制,慎重地保证了内部地选择供应商。相对于价格,安全性和服务保障更为重要。

  ②完善安全管理制度。企业应按照计算机信息安全的有关要求,按责、权、利相结合的原则,建立健全SaaS系统岗位责任制度、安全日志制度等,做到有章可循、有法可依。

  ③人员安全管理。提高安全意识是保证SaaS服务安全的重要前提,应加强对系统维护人员和技术支持人员的安全教育和技术培训。信息安全管理的根本立足点是规范企业员工的行为,增强操作人员的安全管理意识,培育提高人员的诚信和道德水平,以及应急事件处理能力。

  ④建立监弹监督制度。SaaS的用户可能对SaaS应用实施过程与标准不甚了解,可以利用第三方监理这种社会化、科学化、公平化和专业化的监督机制来辅助实施与管理,确保SaaS应用模式更合理、有效地运行和发展下去。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 混合IT环境需要混合网络安全

    随着越来越多的企业转向云和本地的组合系统,保护混合IT环境中的数据,需要重新审视网络安全战略。

  • 公司网络安全:别忽略数据

    分析师可以帮助决定什么企业信息是最易受攻击的,哪里有安全流程漏洞,以及员工数据保护培训是如何缺乏的。

  • 互联汽车面临的网络安全问题

    近年来,物联网的应用逐渐扩散到消费领域,汽车工业就是一例。汽车制造商不断改进技术,完善互联汽车的效能,并让驾驶者能够及时获知潜在的危险。

  • 网络安全投资商业案例

    在数字化时代,数据已经和现金一样具有价值,而不断增加的网络犯罪的威胁则迫使企业重新思考安全流程来保护他们的信息资产。