在线服务,如基于数据存储的云,需要获得特别的关注以便保障其安全。即便你认为自己的服务值得信赖,还是要向客户提供安全保障,这样才能使客户更乐于接受产品。
“云”概念已经逐渐成为一个非常流行的字眼。那些希望提供大型服务的小公司愈加意识到开发 “云”服务,如Amazon的EC2和S3,可以为客户提供更廉价的方式管理商业模型的技术后端。虽然具体的细节依据服务的类型和客户的安全需求而有所改变,但是对于需要处理私密数据的在线服务而言,仍然有一些共同之处。
下面就向大家介绍五种特征。此外,可能在具体案例中会出现其他的安全特性;找出你的服务中存在的安全问题有助于建立一个更好的,更安全的服务。
1、在架构上管理真正的安全服务,且该架构明显有别于其他商业架构。这样能使有安全漏洞的架构不轻易接受客户数据,从而确保公司的其他IT架构不受影响。
2、可能的话,在数据发送到服务前,就要在客户端数据加密的地方为服务提供一些互动操作。这样就能验证客户身份的合法性,使得非法身份或危害IT服务框架的人无法访问未加密的客户数据或是对数据进行解密。切莫忘记,隐私即安全。
3、不仅仅以二进制的方式提供客户软件,还要提供可以让客户编写和使用的源代码。这样一来,就不会出现DRM源码或商业机密的遗漏。客户能确保源代码无误的唯一途径是请专业技术人员来检验源代码,这些技术人员会按照客户使用的代码进行检验以便让客户放心。虽然这类源代码可以在非公开证书或协议的框架下提供,但是对于管理得当的开源项目,如可视性安全,它还是有许多益处。
4、 创建一些安全方面的有利双边沟通的透明机制。以公共漏洞追踪系统为例,这样做为人们提供了一种简便的方式来获取技术信息,因此他们可以了解当前影响产品和客户的因素是什么,也能跟进解决问题的步骤。如果你真正在意客户在安全方面的需求,那么安全提醒应该是透明的。
5、特别注意要确保客户知晓如何才能安全操作服务,还要为他们提供操作步骤,引导他们进行正确而安全的操作。界面设计同样是一种安全设计。
如果你要提供的在线服务设计敏感数据,那么在设计这些服务的时候就应该考虑上述几个安全策略。如果你是一名服务供应商,那么要谨记这几点。如果你已经有能力提供一个完备的服务,而这一服务的安全性是可以由客户验证的,千万别忘记告诉你的客户如何验证其安全性。
【编辑推荐】
