请选择 进入手机版 | 继续访问电脑版
发帖
开启辅助访问
 找回密码
 立即注册
取消
搜索
热搜:
活动 交友 discuz
分享到

企业安全SaaS在使用时需要注意什么?

#灌水区#时间:2019-04-19 阅读:230 回复:0

561

主题

561

帖子

3165

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
3165
在使用SSL或者TLS的时候,大家需要注意关注目前暴露出来的一些漏洞,比如说SSL,会有心脏出血和水牢漏洞,需要进行及时弥补。另外在传输过程中,建议采用MAC消息认证码的算法。对于发送的信息进行认证,在服务器端对于收到的信息通过MAC码进行认证,保证信息是从一个合法的渠道发送过来的,数据没有被篡改过。
是在数据使用过程中,第一个需要注意的是权限管理。不同的人需要有不同的访问权限,看到不同的信息,越是SaaS企业服务的客户规模越大,这一点就越重要。第二点是在客户端的数据显示的时候,除非必要,否则不要去显示不必要的一些信息。第三点,也就是说对于一些敏感信息可以通过星号的形式来进行隐藏。
目前很多SaaS软件习惯的注册模式就是通过手机号来登陆,这在企业用户中基本是不可行的。因为对于企业用户来说,一般都有一个统一的管理员来管理企业内部用户,手机号并不是企业内部管理员所熟悉的一个管理方式,因此所有面向企业的SaaS服务,都需要和企业内部的域用户的帐号进行一个集成,目前业内有一些通用的标准。所以对于SaaS厂商来说,软件在开发过程中必须符合这样一些域集成的标准。大家可以参考比方说SAML,OpenID 等等一些规则来定义这一块的功能。
第二点就是随着移动化的普及,很多时候SaaS软件是在手机终端上使用的,因此单纯的只是一个域帐号的集成可能还不够,在此推荐采用两重认证,比方说你可以通过一些挑战性的问题,或者说把SaaS的一个帐号和我的手机IMEI码进行绑定,来保证安全。与此同时需要保证当手机丢失的时候,管理员可以远程对于这个手机上的SaaS信息进行擦除。
最后是关于整个SaaS使用中的一些隐私保护,这个隐私并不是指的个人隐私,更多指的是所服务企业的一些关键信息。
正如第一部分所提到的,企业对于它的所有数据负有最终的安全治理管理的责任,也是整个的监管的直接对象,因此如果绕开企业直接拿SaaS后台的数据来用,可能会让企业处于一个比较危险的处境。
所以很多时候,在对企业提供SaaS服务的时候,除非企业有一个明确的授权,否则这些数据是不可以被SaaS厂商用做其他用途的。一般在SaaS导入前,企业需要和SaaS厂商签署保密协议,所有的数据需要由SaaS厂商进行相应保密,不能用于商业用途。
如果有些SaaS厂商希望通过这样一种SaaS模式提供一个大数据服务,个人建议这些SaaS厂商要对自己的商业模式进行一个仔细考量,这些数据对于企业来说愿不愿意公开?可以公开到什么程度等等,都需要有一个全面的评估。

回复
使用道具 举报
快速回复
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

客服电话
173-6185-1240
发布 快速回复 返回顶部 返回列表