保护在线服务的五个要素

ZDNet安全频道原创翻译 转载请注明作者以及出处

如今，"云"已经成为了一个超级流行的词汇。许多希望能提供大型服务的小企业发现，诸如Amazon的 EC2 和 S3这样基于云的服务，可以为企业业务模型提供高效率的技术后台管理。

虽然不同服务所涉及的技术细节不同，不同客户对于安全性的需求也有所不同，但是对于处理私人数据的在线服务来说，某些安全措施是通用的，也是必须的。

接下来概括的介绍五个要素。当然，针对特定的情况，安全服务也会包含其它要素。为了提供最佳最安全的网络服务，首先要做的就是了解自己所提供的服务有哪些不足。

l 在与其它业务架构（比如面向公众的Web网站）相独立的架构上管理实际的安全服务。这可以确保企业IT架构中的漏洞不会那么轻易接触到客户数据。

l 如果可能，通过各种方式的互动服务，在客户端就实现数据加密功能。这意味着客户可以相信你，而任何心存不满的内部人员（或前雇员），以及入侵企业IT架构的黑客都无法直接访问被加密的数据，或解密密钥文件。客户隐私是安全的第一步。

l 不要只提供二进制版本的客户端软件，还要同时提供可以被客户自己编译的源代码文件。用户为确保软件安全所能做的就是找一个技术专家，站在客户的立场上，分析软件是否安全。当然，获取这样的软件源文件需要客户签署保密协议。

l 创建和管理一个与客户之间的透明的双向安全策略。比如可以模仿公开的bug跟踪系统，这样用户可以方便的向你汇报技术问题，你也可以方便的检查他们所遇到的问题。考虑到对客户安全性需求的关注，安全提示应该是透明的。

l 特别注意，要确保客户明白如何与服务进行安全的互动，并建立一套安全程序，帮助客户正确的进行服务互动。毕竟接口设计也是安全设计的一部分。

以上是当你在设计一个包含客户隐私数据的在线服务时必须要考虑的安全策略。如果你是服务供应商，那么你应该将本文牢记在心。一个安全性良好的在线服务是经得起客户检验的，因此也不要忘记让客户知道该如何检验服务的安全性。

必须要记住，你的一些潜在客户也许也在读这篇文章，如果你没有处理好安全策略，你就可能失掉这部分客户。