高顿项目

国内财会

国际财会

金融证书

公务员

考研

考研

继续教育

继续教育

在职硕博

学历学位

国企求职

军队文职

军队文职

职业提升

语言培训

出国留学

海外留学

报考指南

报考查询

招生简章

分数线

考试日历

资料中心

备考经验

择校择专

院校排名

全部

晋城会计实务工具介绍：化解SaaS安全问题的措施

来源：高顿网校 2014-08-01

高顿网校友情提示，*7晋城会计实务工具介绍相关内容化解SaaS安全问题的措施总结如下：

　　在面临云计算应用中的安全性问题时（特别是在软件即服务SaaS级别），密码管理不当和不安全协议威胁都将会对您的系统保密造成破坏或数据泄露，同时可能需要由您的企业来承担法律责任。在本文中，我们将探讨SaaS所带来的三大威胁，以及能够预先采取措施减轻这些威胁的战略。

　　本文的目的在于让大家明确，这里所探讨的三大威胁将是您自己能够采取措施而缓解的，而不是要靠供应商来解决。这其中的区别取决于你所使用的“模式”级别（例如SaaS，平台即服务PaaS和基础设施即服务（IaaS）），正如国家标准与技术研究所关于云计算定义中所定义的那样。

　　请注意，当供应方的威胁仍然可以影响您的服务时，可以进行风险转移，这都是可以通过合同方式进行处理的。

　　在SaaS云服务中*2威胁的因素是什么？

　　由于SaaS模式一般是基于一个瘦型或Web客户端，或一组Web服务，因此大多数威胁都被留给了供应商。而事实上，供应商处理了几乎所有的威胁问题。这其中对于合同的理解和恰当处理是很重要的。

　　尽管如此，我的经验表明SaaS产品中您必须处理的三大威胁如下：

　　·易损证书

　　·不安全协议基于Web的应用缺陷

　　·易损或不安全的证书

　　所有有安全需求的云应用都需要用户登录。有许多安全机制可提高访问安全性，比如说通行证或智能卡，而最为常用的方法是可重用的用户名和密码。对于那些缺乏标准管理的证书，密码的强度最小（例如需要的长度和字符集过短），也没有密码管理（过期，历史）。

　　密码失效是攻击者获得信息的[*{6}*]方法，而容易被猜到的密码则是主要目标。对于该威胁的a1缓解措施是：

　　创建一个高强度密码。我建议使用基于短句变形的密码，且至少8个字符长。例如，将短句“What a great one for me to know!”变形为“Wagr814me2know!”（注：请不要在实际中使用这个例子）。每90天修改一次您的密码。时间长度必须基于数据的敏感程度。不要使用旧密码。不安全的协议

　　云应用是远程定义，因此需要基于网络协议功能的通信。但是当供应商配置应用使用不安全的协议时，就可能发生问题。这意味着应用会在客户端和服务器之间使用不具保密性和完整性的协议传递信息。

　　用户和管理员都经常遇到这类问题。使用不安全协议的应用往往会将使数据暴露给数据传送沿途的任何人，例如远程访问的Telnet、文件传输的文件传输协议（FTP）、用于邮件的邮局协议（POP）与互联网消息访问协议（IMAP）、以及基于网络访问的超文本传输协议（HTTP）。

　　为了减轻不安全协议的威胁，您有三种选择：

　　·要求供应商替换该协议。例如使用安全壳（SSH）替代用于远程终端访问的Telnet。

　　·要求供应商支持该协议的安全版本。例如，FTP安全（FTPS），使用SSL的POP，SSL的IMAP和超文本传输协议安全（HTTPS）。

　　·使用应用保护连接上的数据。这要求应用在数据上线之前进行加密。注意这是最不可取的选择，因为它涉及核心管理问题。

　　了解HTTP

　　在我们谈及HTTP时重要的是要认识到我们并不是要讨论您HTTP的起源。使用HTTP协议、XML、AJAX等作为通用封装运送允许应用通过HTTP管道传送几乎任何东西。当您听到HTTP，您可能会想到“网络”。但是在实际中，应用可能甚至会发送您所不了解的数据。

　　基于网络的应用缺陷

　　第三大威胁是当客户有能力将适用范围扩大时，也可能引入应用缺陷和安全风险。此类威胁会随具体应用而变化，但也不容忽视。

　　要成功化解这类威胁，您需要理解您试图扩展的应用。对应用程序编程接口（API）和安全特性进行适当的培训是成功的关键。

　　接近的想法

　　我们已解决了公共云SaaS产品的三大威胁。管理好您的证书，使用适当协议保护数据和证书，避免引入安全漏洞，将有助于您安全的实施SaaS解决方案。

　　扫一扫微信，学习实务技巧

　　高顿网校特别提醒：已经报名2014年财会考试的考生可按照复习计划有效进行！另外，高顿网校2014年财会考试高清课程已经开通，通过针对性地讲解、训练、答疑、模考，对学习过程进行全程跟踪、分析、指导，可以帮助考生全面提升备考效果。

版权声明：本条内容自发布之日起，有效期为一个月。凡本网站注明“来源高顿教育”或“来源高顿网校”或“来源高顿”的所有作品，均为本网站合法拥有版权的作品，未经本网站授权，任何媒体、网站、个人不得转载、链接、转帖或以其他方式使用。经本网站合法授权的，应在授权范围内使用，且使用时必须注明“来源高顿教育”或“来源高顿网校”或“来源高顿”，并不得对作品中出现的“高顿”字样进行删减、替换等。违反上述声明者，本网站将依法追究其法律责任。本网站的部分资料转载自互联网，均尽力标明作者和出处。本网站转载的目的在于传递更多信息，并不意味着赞同其观点或证实其描述，本网站不对其真实性负责。如您认为本网站刊载作品涉及版权等问题，请与本网站联系(邮箱fawu@gaodun.com，电话：021-31587497)，本网站核实确认后会尽快予以处理。

展开全文咨询在线

严选名师全流程服务

其他人还搜了热门推荐