基于SaaS平台的安全系统构架

摘要

本发明涉及一种基于SaaS平台的安全系统构架，包括有客户端与数据库集群设备，有客户端与数据库集群设备能进行数据交互，客户端与数据库集群设备之间架设有三级防火墙，构成客户端区、隔离区、应用服务区、数据库服务器区，采用第一级防火墙隔离客户端区和服务端，让服务端仅仅向外开放HTTP和HTTPS服务，采用第二级防火墙使应用服务与WEB静态资源相分离，使其仅仅向隔离区和对外接口提供服务，采用第三级防火墙用于隔离数据。由此，拥有三个互为独立的防火墙，实现数据逐层通讯的防护过滤。分为四个区域，可实现更好的权限分配，提升使用安全性。

说明书

技术领域

本发明涉及一种系统构架，尤其涉及一种基于SaaS平台的安全系统构架。

背景技术

系统安全是SaaS系统成败的关键，SaaS的本质特征决定了系统安全的重要性。传统模式下数据都由用户自行管理，在SaaS模型下企业用户的所有业务数据都存放在SaaS供应商这端，而这些数据都是企业的核心数据，企业是否放心地使用本系统，是否放心地把数据交给本系统来管理，完全取决于本系统在安全方面的设计和保障。数据管理权责的改变使得SaaS软件的系统安全有别于传统软件，有不利因素和有利因素。

具体说来，不利的是：用户意识上认为SaaS模式不安全，他们认为把自己企业的核心数据交给第三方来管理是不安全的；SaaS系统暴露在互联网上，将面临比限制在局域网内的传统系统更多的安全威胁。有利的是：在系统数据安全性方面，重要的不是软件的功能，而是人为的因素。

普通企业内的员工，没有接受过比较严谨的安全意识训练，如果企业将数据都存管在企业内部，很有可能会被员工不经意之间泄漏，而在人员安全意识素质这方面，SaaS服务商的数据管理人员显然要专业很多，因为他们深知客户数据是立命之本的道理，会比企业普通员工更懂得如何妥善存管数据；在数据防御盗取方面，SaaS服务商更有理由珍惜每一条客户数据。

企业一般不会花很多心思来保障每条数据的安全，这将需要投入很大的成本和人力。而对于专业的SaaS服务商来说，最重要的任务之一就是安全保管客户的数据，因此他们在安全措施上的投入一定远远高于普通的企业。

正如同银行保险体系的存管安全性必定要远远的高于任何普通民众的住宅，所以选择SaaS服务商来托管数据，实际上是以较低的价格享受较高的安全保障。在数据防御破坏方面，这所指得就是面对天灾人祸时，数据的存管的安全性。

再者，普通企业数据库如果遭到客观、不可逆转等灾害因素的破坏时，一般难以修复数据的破损。而通过SaaS模式的服务，企业可以用较低廉的价格就享受到多地多机备份的周全保护。

有鉴于上述的缺陷，本设计人，积极加以研究创新，以期创设一种基于SaaS平台的安全系统构架，使其更具有产业上的利用价值。

发明内容

为解决上述技术问题，本发明的目的是提供一种基于SaaS平台的安全系统构架。

本发明的基于SaaS平台的安全系统构架，包括有客户端与数据库集群设备，所述有客户端与数据库集群设备能进行数据交互，其中：所述客户端与数据库集群设备之间架设有三级防火墙，构成客户端区、隔离区、应用服务区、数据库服务器区，所述隔离区内设置有HTTP服务器，所述HTTP服务器上连接有认证服务器，所述应用服务区内设置有LDAP服务器、安全策略服务器、安全授权服务器，所述数据库服务器区内设置有数据库集群设备，采用第一级防火墙隔离客户端区和服务端，让服务端仅仅向外开放HTTP和HTTPS服务，采用第二级防火墙使应用服务与WEB静态资源相分离，使其仅仅向隔离区和对外接口提供服务，采用第三级防火墙用于隔离数据。

进一步地，上述的基于SaaS平台的安全系统构架，其中，所述认证服务器，构成拦截和代理服务器，拦截所有HTTP及HTTPS请求，从中提取用户认证信息，然后通过与用户信息LDAP服务器里数据的匹配，认证用户的合法性，如果用户是合法的，则将请求转发到后端的HTTP服务器；如果非法，则终止此次请求，并向客户端发送相应状态码。

更进一步地，上述的基于SaaS平台的安全系统构架，其中，所述LDAP服务器用于向外提供用户信息的存取和认证。

更进一步地，上述的基于SaaS平台的安全系统构架，其中，所述安全策略服务器用于配置系统所有相关的安全策略，并从LDAP服务器获取用户信息，结合资源信息、安全策略，提供安全服务。

更进一步地，上述的基于SaaS平台的安全系统构架，其中，所述安全授权服务器通过安全策略服务器提供的用户信息，结合资源信息和安全策略，判断出某个用户的某个请求是否有相应的权限，并给予授权。

再进一步地，上述的基于SaaS平台的安全系统构架，其中，所述安全策略服务器上连接有web服务器集群服务器与应用服务器集群服务器。

借由上述方案，本发明至少具有以下优点：

1、拥有三个互为独立的防火墙，实现数据逐层通讯的防护过滤。

2、分为四个区域，可实现更好的权限分配，提升使用安全性。

3、整体布局可直接依附于现有的SaaS平台搭建，易于实施。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，并可依照说明书的内容予以实施，以下以本发明的较佳实施例并配合附图详细说明如后。

附图说明

图1是基于SaaS平台的安全系统构架的结构示意图。

图中各附图标记的含义如下。

1 客户端 2数据库集群设备

3 客户端区 4隔离区

5 应用服务区 6数据库服务器区

7 HTTP服务器 8认证服务器

9 LDAP服务器 10 安全策略服务器

11安全授权服务器 12 第一级防火墙

13第二级防火墙 14 第三级防火墙

15web服务器集群服务器16 应用服务器集群服务器

具体实施方式

下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明，但不用来限制本发明的范围。

如图1的基于SaaS平台的安全系统构架，包括有客户端1与数据库集群设备2，有客户端1与数据库集群设备2能进行数据交互，其与众不同之处在于：客户端1与数据库集群设备2之间架设有三级防火墙，构成客户端区3、隔离区4、应用服务区5、数据库服务器区6。

具体来说，在隔离区4内设置有HTTP服务器7，HTTP服务器7上连接有认证服务器8。同时，应用服务区5内设置有LDAP服务器9、安全策略服务器10、安全授权服务器11。数据库服务器区6内设置有数据库集群设备2，采用第一级防火墙12隔离客户端区3和服务端，让服务端仅仅向外开放HTTP和HTTPS服务。由此，降低暴露程度。并且，采用第二级防火墙13使系统核心的应用服务与WEB静态资源相分离，使其仅仅向隔离区4和对外接口提供服务。再者，可采用第三级防火墙14用于隔离数据。数据关系到信誉和企业用户核心业务，是系统安全中最为关键的一环，通过第三级防火墙14把数据与系统其他模块相分离，在其他模块遭到侵入和破坏的情况下，力求数据得到保护。

结合本发明一较佳的实施方式来看，可采用认证服务器8，构成拦截和代理服务器。由此来拦截所有HTTP及HTTPS请求，从中提取用户认证信息，(比如用户名和密码，)然后通过与用户信息LDAP服务器9里数据的匹配，认证用户的合法性，如果用户是合法的，则将请求转发到后端的HTTP服务器7；如果非法，则终止此次请求，并向客户端1发送相应状态码。

进一步来看，本发明采用的LDAP服务器9用于向外提供用户信息的存取和认证。具体来说，为了高效地读取用户信息，采用了LDAP(Lightweight Directory Access Protoc01)协议，LDAP是轻量目录访问协议，优点是通过简单明了的目录结构提供高速的读取服务，非常适合用作用户信息的认证。

同时，为了提升实施的安全性，可通过安全策略服务器10来配置系统所有相关的安全策略。并且，可以利用安全策略服务器10从LDAP服务器9获取用户信息，结合资源信息、安全策略，提供安全服务。与之对应的是，本发明所采用的安全授权服务器11通过安全策略服务器10提供的用户信息，结合资源信息和安全策略，判断出某个用户的某个请求是否有相应的权限，并给予授权。

再者，考虑到满足SaaS平台使用期间的集群规划，安全策略服务器10上连接有web服务器集群服务器15与应用服务器集群服务器16。

通过上述的文字表述并结合附图可以看出，采用本发明后，拥有如下优点：

1、拥有三个互为独立的防火墙，实现数据逐层通讯的防护过滤。

2、分为四个区域，可实现更好的权限分配，提升使用安全性。

3、整体布局可直接依附于现有的SaaS平台搭建，易于实施。

以上所述仅是本发明的优选实施方式，并不用于限制本发明，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变型，这些改进和变型也应视为本发明的保护范围。