CloudCC CRM關于數據安全的解讀
隨著SaaS平臺的持續火爆,數據安全問題也愈發受到重視。不要以為本地部署就能高枕無憂,真正遇上物理、應用層面的“圍攻”,能指望的絕不是它。
關于SaaS相對本地部署應用的類似于低成本、快實施、零運維等等各種好處在各種介紹中已經非常多了,相信大家也容易理解并且認可,就不再補充。今天我想重點說說客戶最擔心的數據安全問題,本地部署在數據安全性上就一定會比SaaS好嗎?
討論這個問題之前必須先對客戶所擔心的數據安全問題進行一下明確與界定,根據與客戶溝通的經驗,在SaaS模式下客戶說到的安全問題無非是這三個方面:其一,SaaS平臺的數據丟失,不可還原;其二,SaaS平臺的數據被第三方以技術手段非法獲取;其三,SaaS平臺的數據被平臺方出于商業目的惡意透露。那么我們針對這三個問題一個個來分析一下,是不是本地部署這三個問題就完全解決了呢?
對于“數據丟失不可還原”理論上對于任何一個系統都是存在的,沒辦法完全杜絕,能做的就是降低丟失的概率。具體措施就是數據備份,相對成熟的互聯網公司對數據備份都相當重視;有專門的DBA團隊設計非常周密的備份方案,備份的技術手段也是自動與高效的,并且會進行定期的還原演練。比喻在dayHR,我們的DBA團隊就給客戶的數據設計了三套并存的備份方案,分別會進行機房本地、研發網、第三方機房(加密)的備份;備份周期是每日增量與每周全量,并且每兩周會進行一次備份還原演練。通過這些措施基本上杜絕了“數據丟失不可還原”的可能性。
那企業本地部署系統“數據丟失不可還原”問題就不會存在嗎?非常遺憾,在企業本地部署的系統“數據丟失不可還原”的機率大于成熟互聯網公司100倍都不止。我曾遇到過刪除整個數據庫無法還原的,也曾遇到過將整個服務器格式化,丟失所有數據的,林林總總非常之多。受限于意識、技術手段、備份設備、人才等等各方面的影響,除開極少數在企業IT做得非常優秀的公司外,絕大多數公司在數據備份方面做得都非常不專業。最嚴重的是不備份,出了問題徹底歇菜;一般的會在數據庫機器上做個備份,硬盤壞了依然沒啥作用;即使備份不出問題,但是從不演練,等到關鍵節點要做恢復時發現恢復不了。所以對于“數據丟失不可還原”這個擔心來說,成熟SaaS平臺的可靠性遠遠高于企業本地部署。
那對于“數據被第三方以技術手段非法獲取”是不是本地部署機率會更小呢?如果企業徹底斷開外網,所有應用不能從外網訪問包括移動應用,那這個答案是肯定的!如果在互聯網時代特別是移動互聯網大行其道的時代,一個企業能做到與外網的完全隔離,我確實無話可說,第三方也確實沒有辦法通過技術手段非法獲取你的數據。
但是我相信絕大多數企業肯定還是要與外網相通的,你的內部應用為了方便員工,也是需要向外網開放。一旦開放,同SaaS平臺一樣“數據被第三方以技術手段非法獲取”的可能性就存在,那么我們只需要對比一下,這種機率誰大誰小就可以了。互聯網公司將安全普遍當成頭等大事,在人才、設備、工具上投入都非常之多;一般來說都會有專門的安全團隊負責平臺的安全,會部署一系列安全相關的軟硬件工具以提高平臺的安全性。對于安全來說更核心的是日常的基本功,比喻說團隊的安全意識培養、程序開發過程中的安全考慮、對于主機的所有日志的安全審計、安全事件應對演練等等,只有這些東西做到位,才可能保證到平臺安全,降低“數據被第三方以技術手段非法獲取”的可能性。對于我們dayHR的安全團隊來說,在部署了基本的網絡防火墻與應用防火墻、一些安全監控工具外,其日常最重要的工作就是審計與傳教:審計就是對主機各種日志的審計,發現隱藏在日志中的各種異常與風險,并針對性的采取措施;傳教就是對整個研發團隊傳導安全理念,培訓安全知識,從而提高整個研發團隊的安全水平。
據我了解,一般的企業IT部都沒有專業的安全團隊;更重要的是,認為應用就部署在內網,安全問題不嚴重,在意識上就不注意安全問題。安全其實上是一個很奢侈的事兒,舍不得投入根本做不好安全;安全人才特別稀缺、要價很高,安全解決方案與工具都很貴;再加上如果沒有吃過安全的虧,完全沒有安全意識。所有這一切都造成了在一般的企業中要想做安全都是非常困難的事兒,從各大漏洞平臺的統計來看,企業應用與政府應用是低級高危漏洞的高發區。而互聯網公司由于行業特點與自已的核心利益使然,必須做好安全,相對來說系統更加安全。所以成熟的SaaS平臺比一般企業維護的內部系統更加安全,“數據被第三方以技術手段非法獲取”機率更小。
對于第三點“SaaS平臺的數據被平臺方出于商業目的惡意透露”,換成直白點的話,就是將客戶的數據去賣錢。這個問題其實上不是技術上的問題了,是一個商業模式上的問題;如果一個SaaS平臺的盈利模式是靠出賣客戶的數據去賺錢,我相信他很難成長起來。首先投資商不會給他投錢,其次客戶也不會選擇他的服務。打造一個成熟的SaaS平臺需要大量的金錢投入,比喻說dayHR走到今天這個規模,已經投入了上億的資金。只要我們這個平臺上出了一例我們自己因商業利益透漏了客戶的資料,整個平臺的信譽就完了,相信也沒有客戶會選擇我們的服務了,也就意味著上億的投入打了水漂,你覺得我們能做這樣的事嗎?
對于SaaS平臺來說,確實會利用一部分用戶數據;但這種利用一定是基于大數據這個角度,任何時候平臺都不會對于特定客戶數據進行透漏。就像我們遠觀一片森林,可看清蔥綠、廣大、起伏,但是看不清每棵樹是什么樹、長什么樣、有多少枝丫與葉片。
關于SaaS平臺的數據安全我經常會給同事們說一個例子,在此也以這個例子結尾吧!十年之前網上支付剛起步時,有多少人質疑其安全性不敢使用;而如今,網上支付是絕大多數網民最普通的日常動作了。不是網上支付的安全性問題已經徹底解決,而是趨勢不可阻擋。企業SaaS也一樣,數據安全性問題也只是其發展過程中的一個小小的波折,大勢不可阻擋!