SaaS白皮书:SaaS安全性问题依然不容忽视SaaS

2010-04-29    来源:比特网    编辑:海比研究
数据安全分为两个层面,一个是技术层面,一个是管理层面,二者需要结合起来。 SaaS白皮书:SaaS安全性问题依然不容忽视

  4月28日,比特网联合德赛网联合发布了《2009SaaS白皮书》,在随后的SaaS产业研讨会中,与会专家在谈及SaaS安全性问题时认为,虽然安全性不足以制约整个产业的发展,但这一产业要想实现快速发展,安全性问题仍需要重点关注。

  有参会嘉宾表示,数据安全分为两个层面,一个是技术层面,一个是管理层面,二者需要结合起来。但在技术上,目前安全厂商与SaaS厂商并没有建立起有效的合作关系,而用户和SaaS企业也之间也没有建立起保障数据安全的有效机制和相互信任的关系。

  对此,有专家表示,SaaS企业应该通过一些安全领域的行业标准来提升自己在安全上的能力,或者依托安全资质较高的机构实现SaaS服务的托管。而政府也需要尽快制定和落实有关的法律法规,创造良好的社会大环境。

  客户实际上目前最担心的是商业数据一旦存储在第三方的平台上,自己就失去了控制,一是担心被拿来销售给一些公司作为营销和销售的信息资料,公司需要频频应对这些无关的推销。二是担心被竞争对手所掌握后,会带来更多的经营损失。但泄密问题不仅涉及到厂商,而且与整个社会大环境有关系,也不是一朝一夕可以根治的,厂商对此无法控制。另外一个方面,目前的产品和服务提供的价值还不足以让客户平衡安全风险造成的可能损失水平,这是限制用户使用SaaS服务的最核心考量依据。

  信任度建立主要是靠客户和厂商的相互了解,随着合作的时间延长,信任度不断提升,客户对此会慢慢放心,而厂商也会通过不断的制度完善和实际行动让客户体会到厂商的信用。而技术方面则需要厂商不断加强,从各个方面不断应用安全技术手段,通过合作和联盟的方式,与安全解决方案提供商建立业务层面的合作关系,让产品和服务的安全性能更高。

  目前,安全的SaaS模式依靠三种基本方式实现出色的安全性,一是过滤,在用户和数据源之间建立有效的中间层,二是权限,采用访问控制列表来决定访问级别,三是加密,对每个用户的数据进行加密处理,防止被其他人访问。这些技术方法完全可以通过联盟合作的方式来实现,不需要厂商自己开发,也不需要用户自己来一个个的解决。另外,SaaS良好的扩展性可以与用户自己的软件建立联系,与用户实现共同管理,也是有效提升安全性能,降低用户顾虑的方向。

1
3