四格课堂
- 专业
- 唯实
- 突破
据报道,数家软件公司客户于8月29日遭遇大面积勒索攻击事件,来自北京、上海、山东、江苏、浙江、广东、安徽、四川、福建、河北等地2000余家企业受此次攻击影响,被勒索病毒攻击的系统主数据库被锁定,导致系统瘫痪,无法正常使用。据传,有企业支付了一定数量比特币后,系统数据得以解锁恢复使用。
随后,某软件公司发布公告正式“回应”,被勒索病毒攻击的客户为私有部署客户(包括独立部署在自有机房、公有云平台等),而且私有部署环境未做必要的网络安全防护,企业SaaS客户及采用安全策略的独立部署客户均未受影响。
“什么样的部署方式更加安全?”引发市场热议。对于“私有化部署”和“SaaS服务”,企业又该如何选择呢?我们认为,企业数字化系统建设应综合多方面因素考虑,结合企业自身情况,选择最适合自己的系统部署方式。这并不是简单的非此即彼的选择题。
首先,我们先简要分析下私有化部署和SaaS服务方式的优缺点:
私有化部署
企业需投入软硬件设备成本,搭建本地服务器或租用私有云服务器供软件安装运行,数据库、服务器、安全等由企业自己负责管理,是企业的专有资源。
优点
1、可永久使用;
2、自己保管核心业务数据,更加可控;
3、拓展性强,可自主进行二次开发;
缺点
1、需自购软硬件或云服务器搭建运行环境;
2、管理难度大,需要相对专业的IT团队负责开发及运维工作,投入成本高;
3、部署周期长,部署难度相对较高;
4、一次性投入较高。
适用企业
1、有充裕的预算,能承受较高的一次性投入及专业人员投入;
2、有专业的IT运维团队;
3、个性化要求多,定制化需求高;
4、担心第三方服务不稳定导致业务异常。
SaaS服务
SaaS服务模式,即“软件即服务”模式。企业通过购买服务的方式享受软件的功能,由SaaS服务商负责系统的安全及可用性,及系统的维护和更新。不需要在本地搭建机房、安装服务器或租用专用的云资源。
优点
1、一次性投入相对较低,无需大量投入服务器等系统部署环境费用;
2、系统部署相对效率更高;
3、系统的运维和安全由厂商专业团队负责,无需配备庞大的IT团队;
4、厂商持续性更新产品和服务;
5、系统可扩展性更有保障。
缺点
1、需定期续费享受服务;
2、个性化需求满足度相对速度慢一些;
适用企业
1、不具备条件配备专业的IT团队;
2、信息化投入有限,无法一次性投入大量费用购买部署环境;
3、个性化需求相对较弱,与主流的需求同步即可满足要求;
4、可投入一定费用进行部分定制开发。
综合比较可以看到,两类部署方式都可以做到十分安全,只需要充分规划和实施各种有效的安全防护手段和工具。两者的区别在于:
1、私有化部署在这一部分投入,由企业自己承担,因此需要企业有相对充裕的费用和专业的团队保障;
2、对于SaaS模式,这一部分的投入主要由SaaS服务商负责。因此,企业务必要选择对安全理解更透彻、更专业、更稳健的SaaS服务商。
因此我们得出以下建议:
IT预算充足,对系统的安全和高可用有充分的投入,配备专业的维护团队,定制化需求较多的大型企业,建议选择私有化部署模式。
对于中小规模企业来说,SaaS服务无疑是更好的选择。SaaS模式下,企业不需要购买和维护本地服务器和组建IT团队,资金压力大大减少。同时,系统后续运行过程中的安全防护、性能保证、系统维护、版本升级、后续的扩容等等复杂的专业工作,都由服务商负责解决。但一定要在SaaS服务商的选择上多下功夫。这样一来,能把注意力和资源都集中在主营业务发展上去。
扩展开来说,企业选择数字化系统及部署方式时,不能仅仅关心系统功能的满足度,而应该从系统的功能、安全、资金投入、人员投入、前期后期投入、易用性、可延展性、易维护程度、部署环境要求、网络环境要求等诸多方面,全盘考虑,慎重选择。比如,九月初成都核酸检测系统“崩溃”,因系统开发商没有充分考虑系统运行环境、网络状况等因素,造成了很不好的社会影响。
经过近10年发展,四格互联始终致力为各种规模的企业打造安全可信的不动产数字化平台。平台支持SaaS模式和私有化部署,支持公有云、私有云、混合云、本地服务器等各种运行环境,可满足不同客户的需求。
作为注重安全的软件服务商,四格互联获得了信息安全等级保护2.0三级认证。并以数据安全法、国家安全法为基础,根据安全机构评测的结果和法律法规的要求,结合实际的系统运行情况,打造了一套安全体系。
拿本次勒索病毒为例,四格互联对应的部分安全措施有:
1、不暴露对外的端口,所有运维和高危端口通过堡垒机形式隔离起来,并进行多因子验证,防止通过远程端口进行登录并上传木马;
2、防火墙以及监控软件,对恶意文件以及攻击进行了防御,以用于应对从web层的攻击。
3、定期跟踪最近的威胁情报,以最快的速度修复与系统和产品相关的高危漏洞,同时按要求进行了应急演练,确保事故发生的应急能力。
在当前复杂的国际环境下,四格互联为满足更多中大型企业系统建设需求,不断推动“信创国产化”进程,已先后获得PK体系认证、华为云Stack(鲲鹏)技术认证、统信软件产品互认证明,并与达梦数据库完成适配。
同时,四格互联积极配合护网活动和一些特定的攻防演练,从中分析时下攻击者的行为,不断优化防御手段。在私有化部署和SaaS服务的安全和高可用方面,已积累了丰富的实践经验。
不动产数字化综合服务商
专注不动产本体数字化、业务数字化、价值数字化三大领域的解决方案!
提供数字化资管、智慧园区、智慧楼宇、智慧物管、城市物管等综合服务!
引领数智普惠,共创智慧未来!
提供不动产多业态、全生命周期管理、集团型一站式解决方案!
尊敬的用户,欢迎您注册成为本网站用户。在注册前请您仔细阅读如下服务条款:
本服务协议双方为本网站与本网站用户,本服务协议具有合同效力。
您确认本服务协议后,本服务协议即在您和本网站之间产生法律效力。请您务必在注册之前认真阅读全部服务协议内容,如有任何疑问,可向本网站咨询。
无论您事实上是否在注册之前认真阅读了本服务协议,只要您按照本网站注册程序成功注册为用户,您的行为仍然表示您同意并签署了本服务协议。
1.本网站服务条款的确认和接纳
本网站各项服务的所有权和运作权归本网站拥有。
2.用户必须:
(1)自行配备上网的所需设备, 包括个人电脑、调制解调器或其他必备上网装置。
(2)自行负担个人上网所支付的与此服务有关的电话费用、网络费用。
3.用户在本网站平台上不得发布下列违法信息:
(1)反对宪法所确定的基本原则的;
(2)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
(3)损害国家荣誉和利益的;
(4)煽动民族仇恨、民族歧视,破坏民族团结的;
(5)破坏国家宗教政策,宣扬邪教和封建迷信的;
(6)散布谣言,扰乱社会秩序,破坏社会稳定的;
(7)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;
(8)侮辱或者诽谤他人,侵害他人合法权益的;
(9)含有法律、行政法规禁止的其他内容的。
4.有关个人资料
用户同意:
(1) 提供及时、详尽及准确的个人资料。
(2).同意接收来自本网站的信息。
(3) 不断更新注册资料,符合及时、详尽准确的要求。所有原始键入的资料将引用为注册资料。
(4)本网站不公开用户的姓名、地址、电子邮箱和笔名,以下情况除外:
(a)用户授权本网站透露这些信息。
(b)相应的法律及程序要求本网站提供用户的个人资料。如果用户提供的资料包含有不正确的信息,本网站保留结束用户使用本网站信息服务资格的权利。
5. 服务条款的修改
本网站有权在必要时修改服务条款,本网站服务条款一旦发生变动,将会在重要页面上提示修改内容。如果不同意所改动的内容,用户可以主动取消获得的本网站信息服务。如果用户继续享用本网站信息服务,则视为接受服务条款的变动。本网站保留随时修改或中断服务而不需通知用户的权利。本网站行使修改或中断服务的权利,不需对用户或第三方负责。
6.用户隐私制度
尊重用户个人隐私是本网站的一项基本政策。所以,本网站一定不会在未经合法用户授权时公开、编辑或透露其注册资料及保存在本网站中的非公开内容,除非有法律许可要求或本网站在诚信的基础上认为透露这些信息在以下四种情况是必要的:
(1) 遵守有关法律规定,遵从本网站合法服务程序。
(2) 保持维护本网站的商标所有权。
(3) 在紧急情况下竭力维护用户个人和社会大众的隐私安全。
(4)符合其他相关的要求。
本网站保留发布会员人口分析资询的权利。
7.用户的帐号、密码和安全性
你一旦注册成功成为用户,你将得到一个密码和帐号。如果你不保管好自己的帐号和密码安全,将负全部责任。另外,每个用户都要对其帐户中的所有活动和事件负全责。用户同意若发现任何非法使用用户帐号或安全漏洞的情况,请立即通告本网站。
8.拒绝提供担保
用户明确同意信息服务的使用由用户个人承担风险。 本网站不担保服务不会受中断,对服务的及时性,安全性,出错发生都不作担保,但会在能力范围内,避免出错。
9.有限责任
本网站对任何直接、间接、偶然、特殊及继起的损害不负责任,这些损害来自:不正当使用本网站服务,或用户传送的信息不符合规定等。这些行为都有可能导致本网站形象受损,所以本网站事先提出这种损害的可能性,同时会尽量避免这种损害的发生。
10.信息的储存及限制
本网站有判定用户的行为是否符合本网站服务条款的要求和精神的权利,如果用户违背本网站服务条款的规定,本网站有权中断其服务的帐号。
11.用户管理
用户必须遵循:
(1) 使用信息服务不作非法用途。
(2) 不干扰或混乱网络服务。
(3) 遵守所有使用服务的网络协议、规定、程序和惯例。用户的行为准则是以因特网法规,政策、程序和惯例为根据的。
12.保障
用户同意保障和维护本网站全体成员的利益,负责支付由用户使用超出服务范围引起的律师费用,违反服务条款的损害补偿费用,其它人使用用户的电脑、帐号和其它知识产权的追索费。
13.结束服务
用户或本网站可随时根据实际情况中断一项或多项服务。本网站不需对任何个人或第三方负责而随时中断服务。用户若反对任何服务条款的建议或对后来的条款修改有异议,或对本网站服务不满,用户可以行使如下权利:
(1) 不再使用本网站信息服务。
(2) 通知本网站停止对该用户的服务。
结束用户服务后,用户使用本网站服务的权利马上中止。从那时起,用户没有权利,本网站也没有义务传送任何未处理的信息或未完成的服务给用户或第三方。
14.通告
所有发给用户的通告都可通过重要页面的公告或电子邮件或常规的信件传送。服务条款的修改、服务变更、或其它重要事件的通告都会以此形式进行。
15.信息内容的所有权
本网站定义的信息内容包括:文字、软件、声音、相片、录象、图表;在广告中全部内容;本网站为用户提供的其它信息。所有这些内容受版权、商标、标签和其它财产所有权法律的保护。所以,用户只能在本网站和广告商授权下才能使用这些内容,而不能擅自复制、再造这些内容、或创造与内容有关的派生产品。
16.法律
本网站信息服务条款要与中华人民共和国的法律解释一致。用户和本网站一致同意服从本网站所在地有管辖权的法院管辖。如发生本网站服务条款与中华人民共和国法律相抵触时,则这些条款将完全按法律规定重新解释,而其它条款则依旧保持对用户的约束力。
177 9636 0664
广东省深圳市南山区粤海街道深圳湾科技生态园12栋A1座1905-1907室
关注服务号
粤公网安备 44030502001347号