[发明专利]基于SaaS平台的安全系统构架

说明书

本发明涉及一种基于SaaS平台的安全系统构架，包括有客户端与数据库集群设备，有客户端与数据库集群设备能进行数据交互，客户端与数据库集群设备之间架设有三级防火墙，构成客户端区、隔离区、应用服务区、数据库服务器区，采用第一级防火墙隔离客户端区和服务端，让服务端仅仅向外开放HTTP和HTTPS服务，采用第二级防火墙使应用服务与WEB静态资源相分离，使其仅仅向隔离区和对外接口提供服务，采用第三级防火墙用于隔离数据。由此，拥有三个互为独立的防火墙，实现数据逐层通讯的防护过滤。分为四个区域，可实现更好的权限分配，提升使用安全性。

技术领域

本发明涉及一种系统构架，尤其涉及一种基于SaaS平台的安全系统构架。

背景技术

系统安全是SaaS系统成败的关键，SaaS的本质特征决定了系统安全的重要性。传统模式下数据都由用户自行管理，在SaaS模型下企业用户的所有业务数据都存放在SaaS供应商这端，而这些数据都是企业的核心数据，企业是否放心地使用本系统，是否放心地把数据交给本系统来管理，完全取决于本系统在安全方面的设计和保障。数据管理权责的改变使得SaaS软件的系统安全有别于传统软件，有不利因素和有利因素。

具体说来，不利的是：用户意识上认为SaaS模式不安全，他们认为把自己企业的核心数据交给第三方来管理是不安全的；SaaS系统暴露在互联网上，将面临比限制在局域网内的传统系统更多的安全威胁。有利的是：在系统数据安全性方面，重要的不是软件的功能，而是人为的因素。

普通企业内的员工，没有接受过比较严谨的安全意识训练，如果企业将数据都存管在企业内部，很有可能会被员工不经意之间泄漏，而在人员安全意识素质这方面，SaaS服务商的数据管理人员显然要专业很多，因为他们深知客户数据是立命之本的道理，会比企业普通员工更懂得如何妥善存管数据；在数据防御盗取方面，SaaS服务商更有理由珍惜每一条客户数据。

企业一般不会花很多心思来保障每条数据的安全，这将需要投入很大的成本和人力。而对于专业的SaaS服务商来说，最重要的任务之一就是安全保管客户的数据，因此他们在安全措施上的投入一定远远高于普通的企业。

正如同银行保险体系的存管安全性必定要远远的高于任何普通民众的住宅，所以选择SaaS服务商来托管数据，实际上是以较低的价格享受较高的安全保障。在数据防御破坏方面，这所指得就是面对天灾人祸时，数据的存管的安全性。

再者，普通企业数据库如果遭到客观、不可逆转等灾害因素的破坏时，一般难以修复数据的破损。而通过SaaS模式的服务，企业可以用较低廉的价格就享受到多地多机备份的周全保护。

有鉴于上述的缺陷，本设计人，积极加以研究创新，以期创设一种基于SaaS平台的安全系统构架，使其更具有产业上的利用价值。

发明内容

为解决上述技术问题，本发明的目的是提供一种基于SaaS平台的安全系统构架。

本发明的基于SaaS平台的安全系统构架，包括有客户端与数据库集群设备，所述有客户端与数据库集群设备能进行数据交互，其中：所述客户端与数据库集群设备之间架设有三级防火墙，构成客户端区、隔离区、应用服务区、数据库服务器区，所述隔离区内设置有HTTP服务器，所述HTTP服务器上连接有认证服务器，所述应用服务区内设置有LDAP服务器、安全策略服务器、安全授权服务器，所述数据库服务器区内设置有数据库集群设备，采用第一级防火墙隔离客户端区和服务端，让服务端仅仅向外开放HTTP和HTTPS服务，采用第二级防火墙使应用服务与WEB静态资源相分离，使其仅仅向隔离区和对外接口提供服务，采用第三级防火墙用于隔离数据。

进一步地，上述的基于SaaS平台的安全系统构架，其中，所述认证服务器，构成拦截和代理服务器，拦截所有HTTP及HTTPS请求，从中提取用户认证信息，然后通过与用户信息LDAP服务器里数据的匹配，认证用户的合法性，如果用户是合法的，则将请求转发到后端的HTTP服务器；如果非法，则终止此次请求，并向客户端发送相应状态码。