SaaS系统如何保障数据安全?
SaaS(Software-as-a-Service)被译为软件即服务,是随着信息技术发展和应用软件成熟,在21世纪开始兴起的一种创新的,通过互联网提供软件的模式。供应商将应用软件统一部署在自己的服务器上,客户可以根据自己实际需求,通过互联网向供应商租用所需的应用软件服务,按使用量和时间长短向供应商支付费用。
由于使用SaaS服务的企业的数据信息都会被保存在云端,由SaaS供应商代为保管,在SaaS刚刚兴起的时候有相当多的人对其安全性持怀疑态度,小来今天就来说说SaaS安全问题。
一、SaaS系统真的不安全吗?
SaaS是一种服务方式,它是指厂商将应用软件统一部署在自己的服务器上,客户通过互联网向厂商定购所需的应用软件;
它与独立部署刚好相反。独立部署下,每个客户都需要自己单独购买服务器,然后再进行功能的定制和开发。
SaaS是否安全,首先考虑网络安全,包括从SaaS厂商服务端的网络安全到用户终端接入的网络安全都需要考虑,同时所有的数据都需要在互联网中传输,传输过程中的数据是否采用了安全的加密协议传输、数据安全协议的强度等也是保障SaaS安全与否的因素。
其次、SaaS用户的账户安全。用户在网上使用SaaS应用服务时,也可能面临账户被破解、拦截的风险。
最后、是企业最关心的数据安全问题。SaaS用户的数据都是储存在SaaS厂商的数据库中,厂商的数据管理和备份机制是否完善,安全管控是否严密,是保护用户数据安全的重要原因。
所以,SaaS系统的安全,要看厂商的技术实力和综合资质、基础设施的搭建和维护,还有运维人员权限管理等综合因素。
二、SaaS系统的数据如何保护?
前面我们讲到了,SaaS系统的数据集中厂商的服务器上,这个服务器可以是厂商自建,也可以是租用云服务商的数据库,上传到云。
一般来说,数据上云比企业自建更安全。
1、云上数据有备份功能,哪怕是删了数据,也能回滚到之前的某个时刻,把损失降到最低。
2、成熟的云计算服务商可以实现对安全事件的全面监控、告警、事后审计等功能。 其中,堡垒机结合人工智能技术,为企业提供运维人员操作审计,对异常行为进行告警,防止内部数据泄密。
3、公有云运营商会更重视保管数据的安全,会有更专业的团队来运维,数据往往会采用多副本的方式保存。阿里云、腾讯云和华为云等都是目前主流的云平台。
三、谁应该为SaaS应用和数据安全负责?
我国在网络安全政策上,主张“谁接入,谁负责”、“谁运营,谁负责”,“谁主管、谁负责”,强调网络运营者的“主体责任”,《网络安全法》对网络运营者承担的责任提出了明确要求。
1、基础设施损坏、网络中断带来的安全事件,租户(客户商家)使用了SaaS服务,责任方在公有云提供商;
2、因数据未加密(被盗链)、系统的漏洞(应用安全)带来的安全事件,租户(客户商家)使用了SaaS服务,责任方在SaaS应用提供商(厂商);
3、用户弱密码,身份被盗用(数据安全)带来的安全事件,用户身份和数据安全都由租户方用户管理负责。
技术是基础,管理和服务才是根本。既要有稳定的技术做支撑,更要有及时响应的服务做保证。同时,明晰权责,各自尽到应尽的责任和义务,才是合作经营、维护双方利益的长久之道。
<来客推(www.laiketui.com)是国内知名商城系统及商城网站建设提供商,为企业级商家提供零售商城、B2B2C多用户商城系统、社区团购商城系统、微信分销系统、小程序商城、微分销系统等多端商城网站建设解决方案>
申明:本网站部分文章和图片来源网络编辑,如有侵权及时沟通删除,来客电商原创文章,转载请注明来源。
