無可否認,今天,任何乙個saas廠家在尋找客戶的時候,最多和最先被質疑的問題是「客戶的資料如何被證明是安全的?」於是乎,聰明的saas們想出了種種說辭,證明用自己的伺服器為客戶保管資料是多麼的安全。最經典的說辭就是把自己的伺服器安全與中國人民共和國銀行的安全相提並論。論據很簡單:銀行客戶的資料存在銀行的伺服器是非常安全的,我們公司的伺服器也可以做到同樣的安全,所以,使用者存放在我們這裡的資料是安全的。說這些話的時候,saas廠家的代表的心臟一定加快了跳速,因為這是明顯的謊言,但他也不得不這樣說。明眼人一看就知道這是謊言。銀行是安全的,為什麼?
1、存款使用者到銀行開戶是需要本人持本人身份證現場辦理的,需要親筆簽名。
2、銀行需要返還使用者防偽製作的存摺,並讓使用者現場生成密碼。
3、銀行是由國家正規武裝警察和軍隊守護的,出現問題要真槍實彈的抓人的。
4、侵犯銀行資料的安全是有憲法規定的刑事重罪,以身試法代價高昂。
5、使用者存入的現金實際是實物,資料只是實物的一種記錄,資料丟失並非實物丟失。
6、銀行是國家貨幣發行的執行單位,通過貨幣維持社會經濟秩序,資料安全不僅僅是銀行的事情。
7、銀行有自己的機房和安全機制,任何外人無法接近。
然而,saas廠家的伺服器怎不絕對安全,因為:
1、使用者即使簽訂合同,也是與乙個有限責任公司簽訂合同,如果出現嚴重問題,公司宣布倒閉也就一了百了了。公司法就是這麼規定的,所以使用者的資料沒有法律的絕對保障。
2、saas廠家實際採用的技術完全不是銀行通訊的技術,因為那樣的成本非常之高,例如發行ca認證證書。中國目前沒有任何乙個saas廠家使用了ca證書。
3、saas廠家的伺服器一定只是租用商業idc機構的機櫃,有經驗的網管都知道,進入idc機房很容易,能看到n多公司的伺服器和把玩兒一下。90%的saas廠家最多3臺pc伺服器,還可能是diy的。根本不可能備份或穩定。 黑客進入這些伺服器易如反掌。
4、使用者在saas廠家伺服器的資料有n多的人可以很容易看到: 主程式設計師(一般2-3人,不可能只有乙個人,公司老闆不放心);網管(一般2-3人,輪班),資料庫工程師(1-3人,這其中可能還有兼職維護員),saas廠家的ceo(他有看資料的一切權利);業務部門(1-3人,他們需要研究使用者資料,分析使用者行為);財務部門(1-2人,她們需要知道發出使用者帳戶和密碼,並以此計算公司收入);web工程師(1-2人,使用者輸入帳號和密碼是要經過他們設計和製作的頁面程式,所以,他們隨時可以獲得任何使用者的帳號密碼);客服人員(1-20人,他們有時需要幫助客戶進入帳號看看**出現問題),公司前台(1人,他經手的信件可能是使用者合同,裡面有帳號及密碼)。 什麼樣的商業公司能夠教育他的如此眾多崗位的眾多員工保守這些資料秘密。
5、更重要的是,這些資料即使被複製或洩漏,使用者和安全管理員完全無法察覺,因為並非實物的減少,也不會有任何統計資料的變化。 得到這些資料的人,可以銷售或利用這些資料獲得明顯的經濟回報,而非常不易被察覺,因為幾乎可以不留痕跡,也幾乎沒有針對性的法律條款約束,即使被發現並抓獲,也絕沒有像盜竊銀行資料那樣的罪名。犯罪成本並不高。
6、有些不負責的saas廠家還會有**、核**、恐怖襲擊來恐嚇使用者要將資料異地備份,這顯然是唯恐天下不亂。使用者有必要為這些不確定因素承擔資料保管的成本嗎,即使發生類似事件,每個合同裡都約定,這叫不可抗力,saas廠家同樣不承擔資料損害或消失的責任。 資料被盜和資料損害無法讀取或被誤刪不是一回事兒。
7、saas廠家異口同聲說使用者自己的硬碟更不安全,這有點勉強。 安全與不安全是相對的,使用者自己的計算機也有不安全的可能,但相對將資料主動轉交到不安全的地方,那就是主動加大風險。
結論是什麼?結論就是saas廠家對客戶資料的保管和國家銀行在內容和形式上都完全沒有可比性,saas廠家無法提供客戶資料安全的保障,客戶資料安全隨時存在隱患。那麼,是不是saas就無法存在了,就沒有資料安全解決方案了呢?當然有。解決saas業務需要的資料安全首先要看這些資料為什麼一定要放在網際網路伺服器內,因為不同使用者要在不同地理位置訪問這些資料,這是一些多使用者軟體的必要條件,大多情況下是管理軟體或多人遊戲。 在有saas這個名詞前,人類一樣在遇到和解決這些問題,只要的手段是c/s軟體結合vpn實現。所以:
1、如果是面向單個使用者的「單機版軟體」就不要限制使用者必須將資料通過或儲存在伺服器上。這一點b/s架構是沒有希望了,s+s是很好的解決辦法之一。
2、如果是協調工作的需求,那麼可以將應用程式和資料分離。 也就是說,軟體負責計算和操作,而資料存放有網路儲存商實現。軟體和資料儲存間沒有必然或固定的鏈結關係,例如,很多人都使用網盤,提供網盤的 公司並不知道使用者儲存的資料是用什麼軟體編輯的,是用什麼軟體加密的,是誰的資料,這資料是哪方面內容,等等。 至於技術上如何實現,那是架構師們研究的問題,據我的研究,已經有不少技術可以實現,只是他們並沒有以saas的名義炒作。
3、saas廠家們還要談到乙個資料交換和api介面的問題,那更是乙個資料安全的大窟窿。 原本乙個廠家掌握的資料,實現soa和api後,就可能被n個廠商獲得,資料安全風險增加n的n次方,也就是幾乎沒有安全可言了。
我建議那些那銀行例子來論證資料安全性的廠商就此收手,使用者不會認為你就是銀行。資料安全的問題更多的是人的問題,再沒有成熟的法律和市場環境下,很難得到徹底解決。在沒有更好的解決辦法之前,建議廠商多開發一些非敏感資料的saas應用,以避免損失。
如何擺脫困境
1 採取主動,不要等上司為你創造機會,對老闆說不得明自己想做什麼,讓它更具挑戰性 2 改變行業,改行是場很大的賭博,不過對甘冒風險的人來說,這可能是最好的選擇 3 重新學習,你必須不斷學習,應付乙個接乙個的挑戰,學習可以讓你提高並施展你的工作技能,此外也可以為學習而學習,因為每項技能是需要鍛鍊的 4...
《關鍵對話》教你如何擺脫溝通困境
試想一下,你是否也有這樣的情況?想要和父母表達自己的想法,但卻因為和他們存在代溝,彼此無法理解,於是漸漸的疏遠了 在跟同學聚會的時候,為什麼總是一輪到你說話就冷場了 在跟同事給上司做報告的時候,上司獨獨讚賞了你的同事。出現這情況的原因就是我們不會溝通,當我們面對一些情緒化的 有難度的問題時,我們不會...
SAAS資料安全是問題嗎?
最近我們收到很多使用者的提問,發現大部分人還是對saas software as a service 很不了解,在資料安全方面還有很多顧慮。我們認為信用不是說出來的,而是做出來的。乙個希望有長遠發展的公司是非常珍惜自己的信用的。特別是對於提供雲計算的公司,如果信用受到質疑,那麼就失去了生存的根本。我...