2023年确保ＳａａＳ数据的安全确保数据安全.docx

确保ＳａａＳ数据的平安|确保数据平安 在线存储和在线备份解决了局部中小企业在数据保存和备份方面的难题，但同时也引出了另外的问题：数据保存在供应商那里是否平安。它们有哪些手段保证数据的平安。 softwareasaservice（saas）如今已经变成了一个很流行的词汇。根据定义，前期无需投资购置任何效劳器和软件、可以通过互联网接入和访问的应用和效劳都属于saas范畴。按照这一定义，提供在线存储和数据保护效劳的供应商都可以算做saas供应商。 事实上，为了扩大市场，不少大型供应商如emc、ibm、hp等纷纷涉足这一领域，在线存储和备份正在成为一个日益壮大的市场。由于前期投入少（或没有），管理简单，在线存储和备份效劳尤其受到中小企业的欢迎。不过，用户常常担忧，这些saas供应商把用户的数据保存在它们的效劳器上，或者它们直接能访问用户的计算机系统。这些效劳的平安性如何，由它们保存的数据平安吗。 客户保存率 是重要指标 “中小企业的数据如果非常重要时，在挑选供应商时就更要特别留意。〞idc分析师lauradubois说，比方，一旦真要恢复数据需要多长时间、供应商在市场低迷时是否有足够的生存能力等，这些都是在挑选saas供应商时应该关心的问题。特别是供应商不愿介绍成功案例或者客户保存率过低时，更应该警惕。 “在saas领域，客户保存率是一个非常有说服力的指标，〞lauradubois说，“一个比较好的供应商至少应该有98%以上的客户保存率。〞如果遇到的是一个之前没有听说过的供应商或者供应商是一个初创公司，用户更需要花点时间来确认供应商所说的成功案例是否真实。 另外一个考察角度是厂商给用户提供的技术支持。这个市场不乏说得好听而售后支持却是一塌糊涂的供应商。有些时候，为专业的技术支持支付高一些的费用是值得的。 “究竟选择那个供应商说到底还是取决于企业的需要。〞ironmountain公司图像电子化中心总经理tommeyer说，“有些企业并不需要高平安性的内容管理系统，因此选择简单而且廉价的在线存储就够用了。〞 多种手段 可保证数据平安 很明显，在选择saas模式时，平安应该贯彻在saas供应商的选择、部署等整个过程之中。其中，最需要弄清楚的一个问题是，供应商如何保存它们的数据以及它们采用了哪些方法来预防不测。 “中小企业应该必须多问供应商一句，把自己的数据保存在哪里了。〞lauradubois说：“一个合格的saas供应商通常会有多种方法，比方建立数据中心镜像。另外，供应商不仅要把客户的数据保存在多个地点，而且还要保证需要时马上可用。〞 saas供应商可以采用的保证数据平安的方法有很多。一些供应商采用磁盘阵列同时对数据加密，也有一些采用更简单的手段，把数据存放在一个隔离的平安位置。下面是一些供应商采用的几种具体方法。 1.ironmountain采用数据传输加密、用户访问控制以及把数据保存在位于地下200英尺的数据中心等多种方法来保证数据的平安。 2.备份和存储saas供应商elephantdrive通过把数据保存到多个基于硬盘的存储池来保证数据的平安。它对数据复制的保护已经内嵌到其产品当中。它所有的数据至少被分别保存到位于不同地理位置的两个数据中心。 3.在线备份效劳供应商amerivault把客户数据保存在三个不同的地方。其中一个地点保存有两份数据，分别存放到两个不同的磁盘系统中，而第三份数据保存在202300英里以外的业务连续性站点上。 4.在线备份供应商ds3datavaulting采用emc的clariion作为主存储设备，另外一份备份的数据保存在一个完全不同的高端磁盘系统，以保证数据恢复简单易行。它的三个数据中心中有一个专门用于保存客户数据。 “任何一个负责任的saas供应商都应该采用最适宜的方法来确保它效劳器的平安，而且它也应该把这个措施给它的客户说清楚。〞lauradubois说。 签一份 效劳级别协议 对用户来说，获得满意的saas效劳的一个有效方法是签订效劳级别协议（sla）。sla规定了效劳供应商所提供的效劳可靠性必须符合一定的要求。对于saas效劳，其sla不应该低于99%。而且，sla中还应该涉及如果合同终止用户的数据应如何处理等内容。你必须得到明确的答复，数据属于你，而且从条款上有所表达。 比方美国princestreetcapitalmanagement公司租用了datastorage公司（dsc）的数据备份效劳来为公司的邮件系统提供数据保护。为了保证数据的平安，dsc在另外一个地方建有数据存储中心，如果需要可以快速进行数据的恢复。在它订立的saas合同中，sla是重要的组成局部。 “在我们确定数据备份和恢复解决方案的过程中，快速恢复exchange数据的能力是最重要的考察指标。〞公司cfopetermckown说，“dsc满足了我们的业务需求：而其效劳级别那么超过了我们的预期。〞 idc的dubois认为，用户对saas的平安有所担忧是正常的，这与2023年前电子商务的开展过程有些类似。那时，很多小企业同样也非常担忧，不仅担忧数据的平安性，还担忧与之做生意的那个刚刚成立的公司是否可信，甚至电子商务这种模式是否可行等。2023年之后，几乎所有人都或多或少有了一些网上交易的经历了，电子商务终于被企业界接受了。 saas的演进过程也与电子商务相似，相信最终会赢得人们的信任并变成企业it最普通的一局部。对于那些只有it部门很小甚至根本就没有it人员的企业来说，如果部署恰当，saas完全是一个值得尝试的模式。当然，前提是必须挑选到一个适宜的供应商，idc的dubois建议，准备将it交给saas供应商的企业至少要明确三个问题：谁在提供技术。管理自己的数据是谁。谁负责数据中心和相关根底设施。 “有时候会有三个不同的供应商，随之会带来潜在的风险。〞dubois说：“但是，无论何时，作为用户一定要对隐私、加密、可用性、恢复时间、效劳级别协议、本钱以及合同期限等多加留意。〞 链接 saas的平安技术 saas的平安可以分为两个局部，即数据平安和saas软件系统的平安。数据平安主要指的是客户信息是否以平安的方式保存在平安的地方。比方，是否加密、是否在不同地理位置有备份的数据中心以及机房本身是否平安（如是否有24小时录像监控，是否有可靠的预防火灾、水灾的措施）等。 saas软件系统的平安主要涉及web效劳器、应用程序、数据库和数据传输等。当前，主流saas厂商为了提高web效劳器的平安性多项选择择特殊的web效劳器，比方在apache的根底上进行修改，有的还会进行有针对性的优化，以提高访问速度和可靠性。而应用程序方面，平安技术主要有用户密码加访问权限控制、应用程序会话和数据库访问会话等。在数据库方面以数据库隔离为主。由于saas采用多租户的模式，多个用户访问的是同一数据库实例和同一套应用程序，所以其平安性是一个很大的挑战，也比较考验供应商的技术实力。在数据传输方面，可以采用一些数据加密技术，如最常见的ssl加密等。 第6页 共6页