CIAPH 第八届医药健康行业信息化高峰论坛
SaaS模式下的信息安全探讨
2014-03-04  作者:万方数据 

  1Saas的概念


  SaaS是Software-as-a-Service(软件即服务)的简称,它是一种通过Internet提供软件的服务模式和运作平台,SaaS服务提供商将应用软件统一部署在自己的服务器上,客户可以根据自己实际需求,通过互联网向服务提供商定购所需的应用软件服务,按定购的服务多少和时间长短向服务提供商支付费用,并通过互联网获得服务提供商提供的服务。用户不用再购买软件、建设机房和招聘相关的技术人员,且无需对软件进行维护,服务提供商会全权管理和维护软件,服务提供商在向客户提供互联网应用的同时,也提供软件的离线操作和本地数据存储,让客户随时随地都可以使用其定购的软件和服务。


  2Saas商业樽式的特点


  SaaS商业模式的优势体现在以下几个方面:


  2.1低风险,一旦部署立即使用


  SaaS以托管模式来提供服务,使企业免去了漫长的软件开发过程和由于软件开发的失败带来的巨大风险。大多数SaaS提供商可以利用其在特定行业领域掌握着大量相关软件的优点,能提供具有高度可复制的“标准化”的解决方案。而企业要自行开发这样的解决方案需要很长时间,冒巨大的风险。


  2.2前期投入资金少,有利于中小企业的发展


  SaaS不仅减少了传统的一次性软件授权费用,而且客户将应用软件部署在SaaS服务提供商统一的服务器上,免除了最终客户的服务器硬件、网络安全设备和软件升级维护的支出。客户不需要前期大量一次性投资就可以通过互联网获得所需要软件和服务。尤其在全球金融危机的今天这点尤为重要。


  2.3中期的维护、升级成本低


  企业无需再配备庞大的系统维护人员队伍,不需要支持高额的维护成本和因为需求的变更而带来的额外成本。同时又能得到最新的技术应用和服务支持。很大程度上缓解企业在人力、财力上的压力,使其能够集中资金对核心业务进行有效的运营。


  3Saas商业模式的不足


  SaaS成为了流行的趋势,越来越多的各种规模的企业发现了SaaS的优点,SaaS的普及也代表着未来网络应用的发展方向,但我们也必须清楚的看到SaaS还存在着一些问题。


  3.1安全性


  安全与保密问题,是SaaS商业模式面对的首要问题:对于企业来说,数据的安全性至关重要,尤其是财务数据和客户信息,这些数据是一个企业的核心机密,将这些至关重要的核心数据放在第三方(SaaS服务提供商)的服务器上,对于大部分企业来说是很难接受的。特别是最近曝光了一些个人信息泄漏事件更使客户对服务提供商产生怀疑。


  3.2可靠性


  服务对于客户是否能保持有效,也就是在预定的启动时间中,系统真正可用并且完全运行时间所占的百分比,服务提供商和网络传输故障,可能给客户带来重大的经济损失。因为有些SaaS应用功能对公司业务极为关键,哪怕SaaS服务中断一小时,也可能造成很严重的业务损失。


  3.3性能


  在考虑利用SaaS模式部署企业应用时,还要考虑的就是网络传输的问题,因为有些应用软件无法容忍网络引起的延迟,例如那种对实时性要求很高的应用软件。但是SaaS服务提供商为了节约成本。普遍采用大型商用关系犁数据库和集群技术。在数据库的设计上,使多个或所有公司共享一个数据库,这势必增加响应延迟。所以在决定应用SaaS模式之前,一定要搞清楚企业应用系统的性能要求。


  4SaaS商业模式下信息安全措施


  4.1安全技术手段


  4.1.1物理设备的安全


  保证存放SaaS服务器、通信设备等场地的安全,防火、防盗、防静电,有温度和湿度控制设备,并且电源安全符合网络设备要求。


  4.1.2身份认证和访问控制


  在客户使用浏览器访问SaaS服务器时,会在客户端和服务器之间建立安全的SSL(SeeureSocketLayer)Jfli道。在SSL会话产生时:首先,服务器会传送它的服务器证书,客户端会自动的分析服务器证书,来验证服务器的身份。其次,服务器会要求用户出示客户端证书(即用户证书),服务器完成客户端证书的验证,来对用户进行身份认证。对客户端证书的验证包括验证客户端证书是否由服务器信任的证书颁发机构颁发、客户端证书是否在有效期内、客户端证书是否有效(即是否被窜改等)和客户端证书是否被吊销等。验证通过后,服务器会解析客户端证书,获取用户信息,并根据用户信息查询访问控制列表来决定是否授权访问。保证信息不被非法用户访问和越权访问。


  4.1.3数据加密


  数据加密是对网络中传输的数据进行加密。到达目的地后再解密还原为原始数据,目的是防止非法用户截获后盗用数据信息。数据加密是保证信息在传输过程中安全的重要手段,数据加密系统使用方便。且系统的保密不依赖于对加密算法和解密算法的保密,而只依赖密钥的保密,因此,即使密文被人截获后仍不能读懂其含义。


  4.1.4服务器和防火墙的负载平衡


  SaaS服务商采用双数据中心运营,其中一个机房数据中心为冗余备份。当主服务器出现故障.备用服务器自动接管所有服务;待主服务器恢复,备用服务器自动交还服务。避免了因服务器或防火墙故障问题而停止服务,保证网络的关键部分尤单点故障。


  4.1.5数据备份


  数据的安全性和可用性都离不开良好的数据备份工作。数据备份是在SaaS数据库服务器发生灾难性事件如硬盘损坏、数据大量丢失时快速恢复数据的方法。可以减少系统恢复时间,快速恢复业务服务。一个良好的数据备份体系应该是规范而高效的,需要针对不同的情况认真的制订备份策略。


  4.2制度管理手段


  4.2.1建立健全信息安全管理制度


  制定、实施信息安全管理制度。企业应按照计算机信息安全的有关要求,按责、权、利相结合的原则,建立健全SaaS系统岗位责任制度、安伞日志制度等,要制定统管全局的信息安全制度,统筹规范信息安全的管理,做到有章可循、有法可依。


  4.2.2安全防范意识


  提高安全意识是保证SaaS服务安全的重要前提.加强对系统维护人员和技术支持人员的安全教育和培训。信息安全管理的根本立足点,不只是对设备的保护,也不只是对数据的看守,而是规范企业员工的行为,这是上升到对人的管理。安全设备的建立只是企业信息安全的第一步。如何在信息安全体系中有效贯彻安全制度,以及不断深化全员信息安全意识才是关键所在。光依靠技术不能完全解决信息安全问题.因为过了一段时间,一些先进的技术可能就过时。


  5结束语


  SaaS通过在线租赁的使用方式,改变了企业使用应用软件成本高和维护难的问题.在中小企业的运营过程中体现出明显的优势。随着SaaS模式的发展,涌现出越来越多的SaaS应用,但对于SaaS服务提供商来说,如何加强专业化应用软件建设,建立诚信体系,加强数据信息安全是不可回避的问题。只有扎扎实实地树立服务于企业的思想,才能切实的提高服务水平.更加高效的实施推动信息化的建设。