构建安全可靠的SAAS服务SAAS服务的三个关键点。企业通过购买SAAS服务,避免了采购软硬件、建设机房、招聘IT人员等诸多工作。他们可以安心专注于业务领域,无需再为底层网络架构、信息系统建设、信息系统维护操心。总是有优点和缺点。虽然SAAS服务有很多优势,但是如何保证自身数据的安全一直是企业最担心的问题。一些企业用户在推广SAAS服务项目时,会质疑SAAS服务数据的安全性,比如如何保证企业用户数据不被SAAS服务商看到,如何保证企业用户数据不被其他企业用户看到等。谁访问,如何随时查看数据库运维记录等,那么面对这些问题,信息安全支撑部门如何解决访问企业用户担心的数据安全问题?保障企业数据安全,基础安全建设不可或缺,比如下一代防火墙、DDOS防护、WAF等,这些基础安全建设先不分析。笔者认为,企业要想安心接入SAAS服务,避免接入企业用户对数据安全的担忧,数据安全建设应主要从以下三个方面进行:1、权限分配由企业自己控制.一般开发的SAAS服务都需要有完善的权限管理功能,单独为连接的企业提供权限管理功能。接入企业可根据实际需要对人员开放系统权限。同时,SAAS服务需要具备权限功能修改、用户访问权限等审计功能。入驻企业提供系统运行日志查询功能,减少入驻企业对数据安全的顾虑。除了权限受接入企业用户控制外,我们提供的SAAS服务还需要通过专业的渗透测试服务商进行渗透测试,避免纵向和横向权限越界等权限问题的发生。当提供的SAAS服务存在上述权限问题时,也可能导致被访问的企业数据被其他访问的竞争企业看到。为了避免此类安全事件的发生,SAAS服务在上线前需要经过严格的安全测试,尤其重要的是对系统中各种权限的测试。2、对数据进行数据加密除了在传输过程中通过https进行基本的数据加密传输,防止数据被网络截获和窃取,同时为了减少接入企业对数据安全的顾虑,同时真正保护接入企业的数据安全,在我看来,对数据进行数据加密是一种更有效的数据安全解决方案。针对SAAS服务的数据加密,(云密码机需要通过国家密码管理局的检测认证)堪称最优方案,而云密码机就是为解决SAAS服务场景的数据加密而生。基于完善的安全体系设计,对用户的应用密钥进行了完整的生命周期管理,除指定用户外,任何人都无法访问。SAAS服务提供商为访问SAAS服务的企业用户分配VSM(virtualciphermachine,简称VSM,以下虚拟密码机均由VSM代替)。在分配VSM时,还为接入的企业用户提供管理ukey。通过管理ukey才能登录VSM,对VSM进行管理。这样接入VSM的企业用户可以设置自己的数据加密密钥,包括加密密钥长度、加密密钥算法(支持国密和国际算法)实现对企业用户自身数据的数据加密,对整个数据进行加密。私钥和密码机的管理完全由接入企业用户自己管理。SAAS服务进行数据查询时,从数据库读取的加密数据需要SAAS服务调用VSM解密接口,通过VSM实现数据解密,并通过SAAS服务前台将解密后的数据展示给用户;将数据存储在SAAS服务中当SAAS服务需要调用VSM加密接口时,通过VSM对数据进行加密,将数据加密存储在数据库中;所以即便是SAAS服务商也无法看到数据库中存储的数据的真实内容,所以无论是对业务系统的攻击,还是黑客、其他接入公司、SAAS服务商都不可能看到数据库中的真实数据是什么数据库是,因为存储在数据库中的数据是访问公司通过自己的加密密钥加密的。只有接入企业自己才会拥有,只有接入企业的业务系统或私钥才能看到数据库中存储的真实数据内容。这样既保证了接入企业用户的数据安全,又避免了接入企业用户对数据安全的顾虑。3、数据操作可审计。仅仅SAAS服务系统严格的权限管理,接入企业可能不足以通过自己设置的加密密钥对数据进行加密。这时候接入企业也会问如何保证其他接入企业,SAAS服务商不直接连接数据库操作我们的数据?如何解决接入企业在这方面的顾虑?以上问题需要构建完整的SAAS数据库审计服务。通过SAAS数据库审计服务,根据接入企业实施数据库审计,通过预先设定的数据库审计规则(如:指定关键字、指定数据库实例等)对接入企业进行所有数据库操作。)进行审计,无论是来自业务系统的增删改查,还是直连数据库的增删改查,所有的审计数据都会根据不同的接入公司进行授权,并且每个接入企业都可以随时查看自己数据的所有操作记录。通过SAAS数据库审计服务,接入企业可以随时掌握数据库的访问情况,不仅可以看到用于访问数据库的用户名、访问的源IP地址、执行的SQL语句、执行的操作对象等信息,还可以制定各种数据库访问分析报告,推送到指定邮箱,方便访问企业进行数据访问分析统计。通过严密的SAAS服务体系严格的权限管理,接入企业通过自己设置的加密密钥对数据进行加密,完善的SAAS数据库审计服务,既可以保证医疗SAAS服务数据的安全,又可以防止数据泄露。接入企业免于接入数据的安全顾虑,也有利于医疗SAAS服务的推广。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
