中小企业应用SaaS的安全风险与对策探究
CIO时代 12年03月15日 14:54 【转载】 作者:佚名 责任编辑:周晓丽
SaaS是Software aa Service(软件即服务)的简称,是一种通过Internet提供软件服务的模式。在这一模式下,SaaS提供商为企业搭建信息化所需要的所有网络基础设施及软件、硬件运作平台,并负责所有前期的实施、后期的维护等一系列服务,企业不需要购置额外的硬件设备、软件许可证,也不需要安装、维护软件系统和招聘IT人员。
1.运用SaaS的意义
按照现在SaaS的发展,可以认为SaaS是专门为中小公司而准备的一项技术,无论是从运行体制,还是费用收取,都非常适合中小公司。低廉的费用以及灵活的付费方式,减轻了中小企业的资金压力;日益完善的网络环境和技术保证了信息化的有效性和安全性;专业的服务提供商保证了服务的可靠性,同时又节省了中小企业在IT人员上的投入;将不擅长的信息化建设交给专业的软件服务商,降低了管理成本和研发风险,使得企业更加关注自己的核心业务。
2.SaaS应用的安全风险
SaaS应用的安全风险是指企业在开展SaaS应用过程中,由于人为或自然的威胁利用系统存在的脆弱性而导致机密数据丢失的可能性,或者在物理上、运行机制上以及资金财务上受到损害的可能性。
(1)数据安全风险。
SaaS应用中用户的数据保存在远端软件服务商的服务器中,用户对数据的直接控制能力有限,而且所有数据都是通过网络传输,然而网络的不成熟和病毒、黑客的恶意攻击使得企业数据面临丢失、泄漏风险。
①数据丢失的风险。由于SaaS软件在服务商和使用方物理上的隔离,软件和数据保存在SaaS服务商,存在企业用户对数据失去控制的可能,用于存放数据的服务器,由于各种原因而造成信息数据丢失给企业带来的风险。
②数据泄漏的风险。企业商业秘密或所有权信息泄漏给竞争对手或其他人,而给企业带来利益上的损失和影响的风险。
(2)网络安全风险。
由于网络线缆中断以及网络连接中窃听、病毒等因素造成服务中断或信息泄露而给企业带来损失的风险。
①网络的不稳定性风险。不同于传统软件运行在局域网或单机上,SaaS是实时应用在互联网上,其应用的在线化使得其对网络产生了严重依赖,离开了网络,企业就不能正常获得服务,严重影响企业的运营管理。
②信息传输风险。SaaS应用中所有与数据库的交互数据都是通过网络传输,而从技术上说,任何传输线路都是可能被窃听的,因此当数据通过网络在服务端与客户端之间通讯时,都有可能被截获、读取、篡改、删除而给企业带来损失。
③病毒入侵风险。由于SaaS使用的是公用通信线路,一些人可能出于各种目的,损坏网络设备,在网络上对系统进行黑客程序的测试运行等人侵活动,对系统造成较大破坏。
腾讯微博
新浪微博
