作者:!LEO 来源:博客园 酷勤网收集 2008-05-24
近来Saas已经风靡IT界,微软、SAP、阿里巴巴等厂商大力普及Saas,国内也有了不少Saas的软件,多为软件厂商与电信厂商合作。Saas为中小企业降低了成本,方便了软件提供商维护软件。带来了很多益处。但Saas软件由于数据放在互联网上,导致它的数据安全问题另中小企业非常担忧。特别像财务、销售、CRM这种系统,更是对数据非常敏感。Saas带来的安全问题总结如下:
一:如何保证在互联网上的传输的数据不被黑客截获。
二:如何保证数据库服务器不被攻击。
三:如何让客户认识到他的数据很安全,没有客户的许可,不会被任何人查看。
第一个问题可以用数字证书等技术来解决。
第二个问题就需要更安全的网络设备和更专业的网络安全的人才。
关键是第三个问题,如何保证没有客户的许可,软件开发商是不能查看或更改数据的。我想,以现在的技术很难解决。这个问题我也一直在思考。昨天突然有了“Saas数据库”的构想。数据库开发商作为第三方保证并提供数据库的安全性问题,这种数据库只有在客户许可的情况下,软件开发商才可以查看或更改数据。如果没有客户的许可(这种方式可以是临时生成的许可文件),任何人都无法查看数据库。而且软件开发商在得到许可维护数据后,会生成一个日志记录发送给客户。我想这样,客户会对安全问题更加放心。Saas的普及也会更好更快。如果这种“Saas”数据库诞生出来,相信会有更多的Saas开发商优先考虑使用,如果Sqlserver或oracle开发出了Saas数据库,这将会是他们数据库的又一大优势。可能在不远的将来,MS会打出旗号,声称“SQLServer 2010完全支持Saas”。
在baidu、google上搜了一下Saas安全性问题,大多是在提出问题,并没有解决方案。非常高兴能和大家一起讨论这个问题。
Feedback
#1楼 2008-05-23 13:53 Zhongkeruanjian
晕倒。软件开发商直接用ADO.NET看数据修改不就得了,不一定要跑到数据库里。
#2楼 2008-05-23 13:57 Sheldonnihao
晕,“Saas”数据库的管理者还是可以看到的!
不好操作吧?
1,3 → 数字证书
如果厂商都不能看到的数据,那用户一定也是看不到的!
就说密码,在登录画面截获一下,还管什么哈希
把自己的财务、客户等重要数据放到开放商或运营商那里,估计任何一个企业都会慎重考虑的,这也是Saas的问题所在,弄不好就会出现类似“CGX事件”的问题。
SaaS 也只能是借助法律,提高开发商运营商的门槛,形成有效的监管制度才行 。
@LeadNT
这种方法也可以,但是安全性不是很高,
主要的是要与用户之间有一个什么约定的
就好办了哟
有意思,值得深思,看好SAAS
#10楼 2008-05-24 00:33 Inrie(洪晓军)
对于第三种方式,楼主提到的这个“客户的许可”肯定也是软件厂商提供的吧?因为你提到的“SAAS数据库”肯定也是软件厂商在管理的吧?不可能用户自己去通过这个“SAAS数据库”去生成这个“客户的许可文件”的吧。
OK。楼主在文章中提到了“这种数据库只有在客户许可的情况下,软件开发商才可以查看或更改数据。”。你这边考虑对软件开发商也做控制,是感觉对软件开发商还有存在信任的问题吧?那是不是在知道客户许可的情况下,就可以查看或是修改数据了?关键的一点是这个客户许可可是软件厂商给客户的,软件厂商自己也可以获取得到啊。他要想做什么还是都可以做到啊。
我觉得控制软件厂商不能看数据这个方面倒是不需要考虑,而且事实上也很不好做到,也不是很有必要。就算是做到了,到时候跟客户这样说,十有八九的客户都会将信将疑的,因为所有程序和数据库你都可以控制到,这些数据难道你就看不到?
而且其实他们不会去很介意这些数据会被软件厂商看到,倒是比较介意被其他竞争对手公司或是有不良动机的人看到。所以主要注意力应该是放在如何防止被有不良动机的人看到,通过在数据体系结构和服务安全性方面做更多的文章。
#11楼 2008-05-24 06:04 tianyamoon
基本的信任都没有就不要考虑什么saas了。
就像你做公车整天担心有人偷你东西,那你还是步行好了。
来自:Saas安全性问题讨论