• 关于我们 联系我们
当前位置:云计算行业动态 → 正文

从银行存钱看SaaS和云服务是否会出安全事故:CIO应该知道的四招

责任编辑:editor004 作者:曹开彬 |来源:企业网D1Net  2015-06-01 21:46:57 本文摘自:中国软件网

上周由于在忙于筹备我们中国软件网的产业投资基金,没有来得及写文章,偷懒了!但这几天却发生了几件很有影响力的大事:5月27日支付宝出现大规模用户无法登录和支付,持续时间2小时;5月28日携程官网和App出现瘫痪,持续时间12小时。(当然,还有娱乐界范冰冰和李晨成为“我们”。)事情现在已过去了,原因也找到了。但在我看来,这还远远没有过去。这是“我们”云计算业界的一件大事:为客户一直努力提供各种SaaS和云服务的“我们”,真的安全吗?如果你是一名在自己企业负责信息化的CIO,如果同时你又采用了某个公司的某种SaaS业务,你由这些大事想到了你所租用的系统也有可能会出现类似的安全事故吗?今天我想谈的话题就是,利用银行存钱的类比来看一个CIO如何判断SaaS或云服务的安全性。

SaaS安全的几个层次

银行存钱,在很多方面很像我们的SaaS或云服务;因此,我们用此来类比,看看如何保障我们所用SaaS或云服务的安全性。总体而言,SaaS的安全性包括两个层次,即系统安全和数据安全。系统安全是指要保证SaaS服务的正常运行,数据安全是指数据不能丢失。就像银行存钱,银行要保证安保严密,保证能正常运营;同时,银行要保证我们的钱不会遗失。

对银行而言,保证正常运营的安全措施有很多,从进门、办理业务到IT系统运维、现金保管、钞票运输等都有一整套的安全防护系统。对于SaaS和云服务而言,同样要有防火墙、防网络恶意攻击等足够完整全面的安全解决方案来保护系统安全,以确保系统能7X24小时正常运营。

相对系统安全,数据安全涉及内容较多,也较复杂,往往容易被CIO们所误解。就像我们在银行存钱,会涉及到四个关于钱本身的安全问题,即所存的数额是否准确、所存的钱能否安全取出到自己手上、取出的钱是否保证是真钞,自己的隐私能否得到保证。SaaS和云服务的数据安全问题也涉及四个问题,即数据的准确性、数据的不被泄漏性、数据的导入导出、数据的备份。SaaS的数据安全也可以从个环节去考量,即数据传输、数据存储和数据应用。SaaS和云服务商要在这三个环节都保证数据不丢失、不篡改、不泄密。

四招拷问SaaS安全

安全有时看不见摸不着,在出现问题之前还不知道情况到底怎样。因此,CIO往往很难判别一个SaaS或云服务商的安全性。银行存钱也一样,在钱出问题之前,谁也不知道会不会出问题。这儿给大家支四招。

第一招,看门脸。银行好不好,其网点、ATM机等形象的好坏是一个直观的判断标准。SaaS和云服务也一样,其网站、其APP做得怎样,也是一个直观的判断标准。如果网站做得很差,体验不友好,往往其安全水平也一般。当然,看门脸也包括从服务商的品牌来判断。品牌知名度越高、美誉度越好的厂商,其安全性较好。尤其是可以上网查查,这个服务商之前是否曾出现过类似的安全事故。出现之后,他们的响应速度、解决方案是什么。

第二招,看措施。银行好不好,其安保措施和业务规范性是很重要的指标。SaaS的安全性也一样,我们可以向SaaS和云服务提供商详细询问他们在系统安全、数据安全方面所采取的具体措施。例如,都采用了哪些信息安全工具和解决方案,公司内部采取了什么重要流程。这些解决方案中,用的是什么品牌,花了多少投资。这些问题都需要他们提供一个书面的材料。安全水平高的服务商,提供的材料往往非常专业。

第三招,看备份。一个银行网点的多少、准备金的多少,对保证储户享受到持续正常的服务非常重要。SaaS和云服务也一样,要非常重视备份的作用。备份包括两个层面,第一是系统的热备份,即所谓多活。正常使用的系统出现故障,备份系统能马上跟进,确保用户的正常使用。第二是数据的备份,即系统产生的数据是否拥有备份。更重要的是,还可以拷问是否拥有异地备份,或跨云备份。

第四招,看合同。银行存钱不用签订合同,但享用SaaS和云服务必须要签订正式合同。看其格式合同的规范性、内容是否完整,能看出很多端倪。(如果服务商连格式合同都没有,则其可靠性更值得怀疑。)合同中,要重点考察的一个条款是,如果不是天灾等不可抗拒因素造成SaaS和云服务系统不能正常运营、造成数据丢失等情况,服务商有何补偿措施。你会发现,这个条款千差万别,很多服务商都有不同的解读。非常有意思!

通过这个四招,你心中就能对这个SaaS和云服务商的安全性做出一个初步的判断。

SaaS安全的新趋势

在所谓“云物移大智”的新形势下,SaaS和云服务的安全面临三个新趋势。首当其冲的便是移动互联网带来新的安全风险。由于很多企业采用的都是BYOD,因此移动终端的数据泄密和漏洞攻击的风险极大增加。现在,很多SaaS和云服务都有了移动客户端,但与之相应的安全管理却没有得到加强。

第二,“内鬼”做案的机率在增加。目前90%的安全手段和工具都是用来防止“外鬼”和意外事故,但防止内鬼的手段和措施较少。对于这方面的风险,需要服务商做好防范。关键是做好流程的规范性、数据的加密

第三,逐渐会出现安全扯皮。现在SaaS和IaaSPaaS的结合越来越紧密,尤其是和IaaS的结合,已成为新推出SaaS的首选部署方式。哪些安全是SaaS提供商应该负责,哪些是IaaS厂商应该负责,两者的分工与责任如何担当,需要了解清楚。

一个建议

对于CIO而言,我们一旦选择了某个厂商的SaaS或云服务,则是将自己的“身家性命”交给他了。系统使用状况如何,我们自己基本使不上劲,完全交由提供商处理了。

因此,我的建议是,在选择SaaS或云服务商时,一定要做好一个最坏的打算:即提供商破产了、系统根本不能用了,我们怎么办?事实上,没有什么非常好的解决方案,最根本的一点是,选择可靠的、负责任的提供商做合作伙伴!另外,就是要做好充分的数据备份。当需要重新再来、东山再起时,有再来的基础。

关键字:SaaSCIO银行存钱支付宝

本文摘自:中国软件网

x 从银行存钱看SaaS和云服务是否会出安全事故:CIO应该知道的四招 扫一扫
分享本文到朋友圈
当前位置:云计算行业动态 → 正文

从银行存钱看SaaS和云服务是否会出安全事故:CIO应该知道的四招

责任编辑:editor004 作者:曹开彬 |来源:企业网D1Net  2015-06-01 21:46:57 本文摘自:中国软件网

上周由于在忙于筹备我们中国软件网的产业投资基金,没有来得及写文章,偷懒了!但这几天却发生了几件很有影响力的大事:5月27日支付宝出现大规模用户无法登录和支付,持续时间2小时;5月28日携程官网和App出现瘫痪,持续时间12小时。(当然,还有娱乐界范冰冰和李晨成为“我们”。)事情现在已过去了,原因也找到了。但在我看来,这还远远没有过去。这是“我们”云计算业界的一件大事:为客户一直努力提供各种SaaS和云服务的“我们”,真的安全吗?如果你是一名在自己企业负责信息化的CIO,如果同时你又采用了某个公司的某种SaaS业务,你由这些大事想到了你所租用的系统也有可能会出现类似的安全事故吗?今天我想谈的话题就是,利用银行存钱的类比来看一个CIO如何判断SaaS或云服务的安全性。

SaaS安全的几个层次

银行存钱,在很多方面很像我们的SaaS或云服务;因此,我们用此来类比,看看如何保障我们所用SaaS或云服务的安全性。总体而言,SaaS的安全性包括两个层次,即系统安全和数据安全。系统安全是指要保证SaaS服务的正常运行,数据安全是指数据不能丢失。就像银行存钱,银行要保证安保严密,保证能正常运营;同时,银行要保证我们的钱不会遗失。

对银行而言,保证正常运营的安全措施有很多,从进门、办理业务到IT系统运维、现金保管、钞票运输等都有一整套的安全防护系统。对于SaaS和云服务而言,同样要有防火墙、防网络恶意攻击等足够完整全面的安全解决方案来保护系统安全,以确保系统能7X24小时正常运营。

相对系统安全,数据安全涉及内容较多,也较复杂,往往容易被CIO们所误解。就像我们在银行存钱,会涉及到四个关于钱本身的安全问题,即所存的数额是否准确、所存的钱能否安全取出到自己手上、取出的钱是否保证是真钞,自己的隐私能否得到保证。SaaS和云服务的数据安全问题也涉及四个问题,即数据的准确性、数据的不被泄漏性、数据的导入导出、数据的备份。SaaS的数据安全也可以从个环节去考量,即数据传输、数据存储和数据应用。SaaS和云服务商要在这三个环节都保证数据不丢失、不篡改、不泄密。

四招拷问SaaS安全

安全有时看不见摸不着,在出现问题之前还不知道情况到底怎样。因此,CIO往往很难判别一个SaaS或云服务商的安全性。银行存钱也一样,在钱出问题之前,谁也不知道会不会出问题。这儿给大家支四招。

第一招,看门脸。银行好不好,其网点、ATM机等形象的好坏是一个直观的判断标准。SaaS和云服务也一样,其网站、其APP做得怎样,也是一个直观的判断标准。如果网站做得很差,体验不友好,往往其安全水平也一般。当然,看门脸也包括从服务商的品牌来判断。品牌知名度越高、美誉度越好的厂商,其安全性较好。尤其是可以上网查查,这个服务商之前是否曾出现过类似的安全事故。出现之后,他们的响应速度、解决方案是什么。

第二招,看措施。银行好不好,其安保措施和业务规范性是很重要的指标。SaaS的安全性也一样,我们可以向SaaS和云服务提供商详细询问他们在系统安全、数据安全方面所采取的具体措施。例如,都采用了哪些信息安全工具和解决方案,公司内部采取了什么重要流程。这些解决方案中,用的是什么品牌,花了多少投资。这些问题都需要他们提供一个书面的材料。安全水平高的服务商,提供的材料往往非常专业。

第三招,看备份。一个银行网点的多少、准备金的多少,对保证储户享受到持续正常的服务非常重要。SaaS和云服务也一样,要非常重视备份的作用。备份包括两个层面,第一是系统的热备份,即所谓多活。正常使用的系统出现故障,备份系统能马上跟进,确保用户的正常使用。第二是数据的备份,即系统产生的数据是否拥有备份。更重要的是,还可以拷问是否拥有异地备份,或跨云备份。

第四招,看合同。银行存钱不用签订合同,但享用SaaS和云服务必须要签订正式合同。看其格式合同的规范性、内容是否完整,能看出很多端倪。(如果服务商连格式合同都没有,则其可靠性更值得怀疑。)合同中,要重点考察的一个条款是,如果不是天灾等不可抗拒因素造成SaaS和云服务系统不能正常运营、造成数据丢失等情况,服务商有何补偿措施。你会发现,这个条款千差万别,很多服务商都有不同的解读。非常有意思!

通过这个四招,你心中就能对这个SaaS和云服务商的安全性做出一个初步的判断。

SaaS安全的新趋势

在所谓“云物移大智”的新形势下,SaaS和云服务的安全面临三个新趋势。首当其冲的便是移动互联网带来新的安全风险。由于很多企业采用的都是BYOD,因此移动终端的数据泄密和漏洞攻击的风险极大增加。现在,很多SaaS和云服务都有了移动客户端,但与之相应的安全管理却没有得到加强。

第二,“内鬼”做案的机率在增加。目前90%的安全手段和工具都是用来防止“外鬼”和意外事故,但防止内鬼的手段和措施较少。对于这方面的风险,需要服务商做好防范。关键是做好流程的规范性、数据的加密

第三,逐渐会出现安全扯皮。现在SaaS和IaaSPaaS的结合越来越紧密,尤其是和IaaS的结合,已成为新推出SaaS的首选部署方式。哪些安全是SaaS提供商应该负责,哪些是IaaS厂商应该负责,两者的分工与责任如何担当,需要了解清楚。

一个建议

对于CIO而言,我们一旦选择了某个厂商的SaaS或云服务,则是将自己的“身家性命”交给他了。系统使用状况如何,我们自己基本使不上劲,完全交由提供商处理了。

因此,我的建议是,在选择SaaS或云服务商时,一定要做好一个最坏的打算:即提供商破产了、系统根本不能用了,我们怎么办?事实上,没有什么非常好的解决方案,最根本的一点是,选择可靠的、负责任的提供商做合作伙伴!另外,就是要做好充分的数据备份。当需要重新再来、东山再起时,有再来的基础。

关键字:SaaSCIO银行存钱支付宝

本文摘自:中国软件网

电子周刊
回到顶部
网站地图

企业网D1Net 信众智-CIO社交平台 第1培训-企业数字化培训平台 会展活动

CIO 数字化转型 云计算 数据中心 大数据 元宇宙 物联网 人工智能 安全

移动办公 服务器 存储 访谈 区块链 数据网络 智慧城市 视频会议 芯片

统一通信 企业应用软件 创新技术 新闻中心

联系我们:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

投稿信箱:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^