SaaS軟件能保證數(shù)據(jù)安全嗎？

時(shí)間：2023-04-02 18:06:01 | 來(lái)源：電子商務(wù)

時(shí)間：2023-04-02 18:06:01 來(lái)源：電子商務(wù)

這兩年云辦公、數(shù)據(jù)上云越來(lái)越火，確實(shí)很便捷，但是有很多人就像題主一樣產(chǎn)生擔(dān)憂：是否安全？尤其是一些個(gè)人隱私數(shù)據(jù)和商業(yè)數(shù)據(jù)！

堅(jiān)果云作為一個(gè)專(zhuān)業(yè)的同步網(wǎng)盤(pán)，就從兩個(gè)角度和大家談?wù)劇叭绾未_保云存儲(chǔ)數(shù)據(jù)安全”。

1. 選擇安全級(jí)別高的云存儲(chǔ)服務(wù)

可以從產(chǎn)品和技術(shù)，兩個(gè)維度去考察和判斷云存儲(chǔ)服務(wù)商的安全性。

① 產(chǎn)品層面：是否有安全相關(guān)的功能設(shè)置？

• 個(gè)人賬號(hào)的安全性

主要體現(xiàn)在我選擇的云存儲(chǔ)服務(wù)是否有二次驗(yàn)證？有沒(méi)有異常登錄提醒？

正是由于很多人的密碼安全意識(shí)不強(qiáng)，密碼設(shè)置過(guò)于簡(jiǎn)單或者所有平臺(tái)都使用同一個(gè)賬號(hào)密碼，二次驗(yàn)證才顯得格外重要。

我們知道，兩個(gè)低概率事件同時(shí)發(fā)生的概率非常低。我們假設(shè)網(wǎng)盤(pán)密碼被盜是一個(gè)低概率事件，二次驗(yàn)證碼被盜是一個(gè)更低概率的事件，那么密碼+驗(yàn)證碼同時(shí)被盜的概率就是一個(gè)極低概率的事件了。這是一個(gè)非常簡(jiǎn)單的原理，也是二次驗(yàn)證在網(wǎng)銀、電子支付等領(lǐng)域廣泛應(yīng)用的原因。

堅(jiān)果云目前支持的二次驗(yàn)證方式有：微信驗(yàn)證碼、谷歌身份驗(yàn)證器、短信驗(yàn)證碼。

可以參考堅(jiān)果云幫助中心：
如何開(kāi)啟和關(guān)閉手機(jī)身份驗(yàn)證？ | 堅(jiān)果云幫助中心

• 團(tuán)隊(duì)數(shù)據(jù)的安全性：

對(duì)于企業(yè)用戶來(lái)說(shuō)，選擇一款企業(yè)網(wǎng)盤(pán)產(chǎn)品時(shí)，需要考慮的角度是：是否可以幫助團(tuán)隊(duì)有效管理文件的權(quán)限？是否可以集中管理團(tuán)隊(duì)成員的權(quán)限？簡(jiǎn)單舉幾個(gè)例子：

（1） 權(quán)限管理：針對(duì)不同的員工設(shè)置不同的使用權(quán)限，如：此文件夾哪些員工可以有查看權(quán)限，哪些員工可以有編輯權(quán)限；當(dāng)有員工離職時(shí)，可以進(jìn)行離職人員文件交接等。

（2） 限制IP：如限制部分員工只能在公司IP地址登錄云盤(pán)訪問(wèn)團(tuán)隊(duì)文件，以防止在異常地點(diǎn)登錄，導(dǎo)致文件泄露。

（3） 遠(yuǎn)程擦除：管理員可以通過(guò)取消用戶的權(quán)限，此時(shí)云端和本地的數(shù)據(jù)都會(huì)被刪除。

以上只是舉了3個(gè)例子來(lái)說(shuō)明企業(yè)云盤(pán)服務(wù)的安全性產(chǎn)品設(shè)計(jì)，還有比如限制分享、禁止粉碎文件等。

具體可以參考堅(jiān)果云官網(wǎng)的安全方案：
http://www.jianguoyun.com/s/team/security

② 技術(shù)層面：是否有安全相關(guān)的技術(shù)保障？

• 云存儲(chǔ)服務(wù)商站點(diǎn)是http還是https

https則是http的安全升級(jí)版，由于使用http協(xié)議傳輸?shù)奈募际俏醇用艿?，因此通過(guò)這種協(xié)議傳輸隱私信息是不安全的，而https則是通過(guò)ssl協(xié)議進(jìn)行加密傳輸，就是說(shuō)如果信息是通過(guò)https協(xié)議進(jìn)行傳輸?shù)模畔⒌膬?nèi)容就需要密鑰來(lái)進(jìn)行解讀，即使有人在傳輸過(guò)程中劫持到了用戶的信息，也會(huì)因?yàn)闆](méi)有密鑰而無(wú)法破解。但對(duì)于網(wǎng)盤(pán)服務(wù)商來(lái)說(shuō)，采用https協(xié)議就顯得尤為重要。使用網(wǎng)盤(pán)服務(wù)時(shí)，因?yàn)橛脩艨赡軙?huì)使用其網(wǎng)站上傳下載大量數(shù)據(jù)，采用https協(xié)議能有效防止用戶數(shù)據(jù)和信息在上傳時(shí)被惡意攔截或竊取。目前主流的網(wǎng)盤(pán)服務(wù)都是采用的https協(xié)議。

具體可以參考 @公子王停云 http 和 https 有何區(qū)別？如何靈活使用？

• SSL安全級(jí)別

SSL(Secure Sockets Layer 安全套接層),及其繼任者傳輸層安全（Transport Layer Security，TLS）是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議。TLS與SSL在傳輸層對(duì)網(wǎng)絡(luò)連接進(jìn)行加密。（摘自：百度百科）

可以參考 @麥斯威爾 企業(yè)網(wǎng)盤(pán)哪個(gè)好？中的回答，參考Qualys SSL Labs的安全級(jí)別測(cè)評(píng)。

• AES加密和分塊加密。

高級(jí)加密標(biāo)準(zhǔn)（英語(yǔ)：Advanced Encryption Standard，縮寫(xiě)：AES），在密碼學(xué)中又稱(chēng)Rijndael加密法，是美國(guó)聯(lián)邦政府采用的一種區(qū)塊加密標(biāo)準(zhǔn)。（摘自：百度百科）AES加密算法是目前獲得普遍認(rèn)可的最安全的加密算法, 被軍方和金融行業(yè)廣泛使用。

有關(guān)分塊加密，可以參考 @韓竹 在堅(jiān)果云存儲(chǔ)在服務(wù)器的文件（是否是分割的碎片？）是加密的嗎 回答。

堅(jiān)果云將文件打散成多個(gè)小塊，再根據(jù)數(shù)據(jù)特征和用戶身份，自動(dòng)生成密鑰，利用AES算法加密存儲(chǔ)。加密密鑰通過(guò)不可恢復(fù)的單向哈希計(jì)算得來(lái)，保證其他人無(wú)法訪問(wèn)用戶數(shù)據(jù)。AES算法是目前獲得普遍認(rèn)可的最安全加密算法。

而且，堅(jiān)果云通過(guò)了ISO27001信息安全管理體系認(rèn)證以及等保三級(jí)！有能力保障數(shù)據(jù)安全：

https://www.zhihu.com/video/1399405339389845504

2. 養(yǎng)成安全的個(gè)人使用習(xí)慣

① 謹(jǐn)慎使用免費(fèi)產(chǎn)品

國(guó)內(nèi)大部分網(wǎng)盤(pán)運(yùn)營(yíng)商均宣傳為廣大用戶提供免費(fèi)的數(shù)據(jù)存儲(chǔ)服務(wù)。但事實(shí)上，“免費(fèi)的是最貴的”，缺乏良好的盈利模式和健康商業(yè)模式，投入安全性上的研發(fā)費(fèi)用、維護(hù)費(fèi)用也一定會(huì)受到影響。免費(fèi)的空間對(duì)于用戶的資料安全是相對(duì)沒(méi)有保障的。

② 打開(kāi)二次驗(yàn)證

每次登陸云盤(pán)，不僅需要輸入登錄密碼，還需輸入生成的一次性動(dòng)態(tài)驗(yàn)證碼。個(gè)人用戶應(yīng)該養(yǎng)成打開(kāi)二次驗(yàn)證的習(xí)慣，企業(yè)用戶管理員也可以強(qiáng)制每一個(gè)成員進(jìn)行二次驗(yàn)證（強(qiáng)制驗(yàn)證）?？梢詤⒖迹?br>

[團(tuán)隊(duì)版]強(qiáng)制開(kāi)啟手機(jī)短信認(rèn)證 | 堅(jiān)果云幫助中心

③ 配合第三方加密軟件

在 @馮偉知友的回答下，也有提到此方法。他所提到的偏向是將數(shù)據(jù)存儲(chǔ)在云中，最好的方式是自己先加密后，再將加密文傳到云上保存。但相較于這種方式，其實(shí)可靠的云盤(pán)服務(wù)商的技術(shù)都已具備當(dāng)用戶文件上傳時(shí)即加密的功能，但多數(shù)的用戶還是不放心。有這樣的疑慮的用戶可以再通過(guò)第三方加密軟件再次的對(duì)于指定文件進(jìn)行二次加密，文件通過(guò)兩層的上鎖，雙層的加密保護(hù)。

可以參考堅(jiān)果云和Boxcryptor的解決方案：
使用Boxcryptor加密堅(jiān)果云文件 | 堅(jiān)果云幫助中心

---

堅(jiān)果云深知網(wǎng)絡(luò)安全和隱私保護(hù)對(duì)云存儲(chǔ)的重要性，離開(kāi)了安全，再便捷的云存儲(chǔ)也危機(jī)重重，對(duì)用戶不具備價(jià)值。“便捷”和“安全”一直是堅(jiān)果云追求的目標(biāo)，我們也會(huì)一直努力實(shí)踐和推進(jìn)創(chuàng)新。