网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


SaaS企业“云”涌,数据安全该如何守护?

2018-08-01 08:23 推荐: 浏览: 32 views 字号:

摘要: 信息化时代,越来越多的企业管理者开始注重提高处理日常业务的效率,其中以SaaS(Software as a Service,软件即服务)模式最为突出。 SaaS,最简单的解释就是“云软件”。SaaS厂商将应用软件及数据库部署在云端服务器上,企业通过“租用”而非...

信息化时代,越来越多的企业管理者开始注重提高处理日常业务的效率,其中以SaaS(Software as a Service,软件即服务)模式最为突出。

SaaS,最简单的解释就是“云软件”。SaaS厂商将应用软件及数据库部署在云端服务器上,企业通过“租用”而非传统软件“买断”的方式获得软件服务。由于企业服务的特点,SaaS软件并不像传统软件一样,简单地卖出软件后就不闻不问了,SaaS软件必须为企业用户提供后续的维护和升级服务。

SaaS模式下,企业用户关心的是自己的数据能不能得到安全保护。由于SaaS服务模式的特殊性,用户数据必须集中存放,由厂商统一管理。因此带来的数据安全风险以及客户信任问题成为了SaaS厂商最为头疼的事情。同时,随着信息安全越来越受重视,国家陆续出台了《网络安全法》等一系列法案。众多法案的合规与风险规避,已经成为当下SaaS厂商必须要考虑的问题。

SaaS企业数据安全可信认证体系

近日,安华云安全推出了“SaaS企业数据安全可信认证体系”,可以帮助SaaS厂商快速有效的解决这些难题。安华云安全SaaS企业数据安全可信认证体系分五个等级认证:审计安全级、防御安全级、内控安全级、环境安全级、自主安全级,为SaaS厂商和SaaS用户提供针对不同对象、不同级别的数据安全服务。目前已在政府、教育、医疗、金融等多行业多个用户具有成熟案例,为客户提供的专业第三方安全服务获得多方认可。

 

本文,以其中某矿产行业科技公司的SaaS企业数据安全可信认证项目为例,呈现SaaS企业数据安全可信认证体系在实际应用场景下的价值体现。

项目背景:

随着互联网的发展,传统矿产行业希望通过物联网技术为自身业务提供快速、便利、专业的统一管理平台。但由于数据是存放在SaaS厂商的数据库中的,用户在使用SaaS服务的过程中,会对自己的数据安全状况产生担忧。

▪ SaaS厂商值得依赖吗?

▪ 我的数据是否会被未经授权的查看?

▪ 我的数据会不会被SaaS厂商泄漏给竞争对手?

▪ 我的数据会不会被篡改?

对于SaaS厂商而言,SaaS用户数据集中存放,数据安全问题需要SaaS厂商全面承担,如何解决客户的信任危机?是SaaS厂商亟待解决的问题。

某科技公司聚焦于矿产行业,主要从事企业现场管理云协作互联网产品的研发,通过智能手机随时随地对现场数据进行规范采集、发布、协作、统计和分析,及时获取最新工作信息。

该公司为矿产企业提供SaaS化的服务管理平台,应用户提出的数据安全保护要求,希望解决用户对于SaaS服务平台的信任问题,从而赢得更多客户。

客户需求:

该矿产行业科技公司对于本项目重点提出了四大数据安全审计服务需求:

1、第三方权威数据安全审计服务:

客户希望通过第三方的专业技术以及权威性,来证明自身SaaS平台的安全,让其用户能够直观的了解到自身数据使用状况,证明其SaaS服务平台是可信的、安全的。

2、用户具备自审计能力:

客户要求SaaS审计服务可以单独为每一位用户提供自身数据审计报告,以周报月报的形式定期推送给客户,分析报告中需要包括用户自有数据的使用情况、数据风险分析等内容。

3、平台数据安全状况分析:

客户要求对于平台整体数据使用状况、以及数据风险进行及时、全面的了解,需要SaaS审计服务可以提供一个可实时查看的数据安全审计监管平台。

4、提供可伸缩的审计服务:

客户希望能够提供可伸缩的审计服务,基于运营成本的考虑,节约投资成本。

解决方案:

结合该项目提出的上述安全需求,安华云安全建议客户使用SaaS企业数据安全可信认证体系中的一星认证——审计安全级认证。审计安全级认证能够针对SaaS用户数据访问行为,实现第三方审计监管。

03.jpg

SaaS企业数据安全可信认证书-审计安全级

SaaS审计服务基于云上用户的实际需求,实现统一的服务商管理与独立的用户自主监控,提供SaaS化的数据库安全服务。SaaS审计服务实现了云端自建数据库、云数据库服务访问的全面精确审计,100%准确应用用户关联审计;具备风险状况、运行状况、性能状况、语句分布的实时监控能力。SaaS审计服务通过数据库化的界面语言、智能化的协议识别、可视化的运行状况呈现,完美实现免部署、免维护的云数据审计产品。

重点功能实现:

·为客户SaaS服务平台提供全面的数据审计服务,包括数据使用情况,数据安全状况等内容,并为客户提供可实时查看的数据安全审计监管平台,帮助客户及时、快速的了解全站数据安全状况。

·SaaS审计服务以邮件形式为用户定期推送自有数据安全使用情况和安全风险报告,用户可以自主的了解数据安全风险。

·SaaS审计服务通过应用关联审计技术,对每个用户进行单独数据操作审计,可对用户名称、用户登录IP、用户访问时间等信息进行细粒度审计。并且审计内容将按照用户进行隔离,确保审计数据的安全。

04.jpg

方案部署图

客户价值:

1、解决用户信任危机

安华云安全为客户提供独立的第三方SaaS数据审计服务,以中立的角度,对数据的操作行为进行全面的审计。通过SaaS审计服务,用户可以自主掌握数据安全状况,建立对SaaS厂商的信任。

2、提升数据安全

通过SaaS审计服务,让客户全面了解平台数据安全现状,发现数据安全风险与隐患,避免由于数据安全缺口带来的损失。

3、节省数据安全投资成本

SaaS审计服务提供可伸缩的服务,客户可根据当前的用户数量购买SaaS审计服务,随着用户的增多可逐步增加,用多少买多少,初期投资成本少,有效降低了平台运营成本。

4、满足合规要求

SaaS审计服务产品可满足基于等保的数据审计方面的合规要求,一次投入,多重回报。

结语:

数字化转型浪潮的推动下,企业上云的趋势愈加明显,SaaS厂商不仅要关注企业用户的业务变革发展,更要重视企业用户云上数据安全的防护。安华云安全通过企业数据安全可信认证体系,能够帮助SaaS厂商与SaaS用户应对数字化转型的诸多挑战,满足数据安全合规,减少或避免数据安全风险,促进业务增长,共同推动企业数字化转型的进程。

联系站长租广告位!

中国首席信息安全官


关闭


关闭