DIY编程器网

 找回密码
 注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

查看: 1195|回复: 0
打印 上一主题 下一主题

[待整理] 热门技术的安全命门之:BI和SaaS

[复制链接]
跳转到指定楼层
楼主
发表于 2015-4-26 22:47:51 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
警惕大众使用商业智能

  随着商业智能(BI)从分析师和金融专家的桌面逐渐走向普通大众,就要警惕让普通用户使用商业智能时的“最差做法”。

  如果你让客户使用原始数据从零开始生成一份分析报告,他们很可能会被误导,因为不同的团队会得出完全不同的结论。所以初始报告最好由专家来生成。但商业公司又必须向那些希望深入学习和探索的员工提供培训“课程”,来自惠普信息管理实施部门的高级主管乔纳森·吴(Jonathan Wu)表示,否则“你将无法培养自己的高级用户。”

  业务部门的经理们应该与本公司或外包的BI分析师一起,确定要为员工们提供怎样的参数指标和定性指标。他们还得就数据定义和命名标准取得一致。吴和一家公司在与客户关系管理(CRM)系统关联的数据报表上进行合作,对财会部门来说客户关系管理系统里的“客户”就意味着赚钱的来源,而对市场部门他们则意味着潜在的客户。

  使用了BI的人都会期待有某种工具——如仪表板——因此IT团队应该先列明商业智能项目里具体包括什么。“让用户知道他们还缺什么甚至比让他们了解已拥有什么更重要,”吴表示。

  大多数公司的灾难恢复计划中,几乎都不把BI列为关键性应用,即使员工需要依赖那些工具做出关键性决策。吴在过去几周里,就目睹了几起事故使BI应用限入停顿好几周。

  IT团队还必须应对大量不断变更的数据类型和报表需求。员工如果没有开始使用BI系统,他们就不会了解可以拿它来做什么。“如果他们没有问,他们很可能就没有在用,”吴认为。再没有什么比昂贵却闲置不用的系统更大的失败了。

  --Mary Hayes Weier and Chris Murphy

  SaaS的短板

  没错,你可以快速地部署软件作为服务的应用。它们甚至能为公司省钱,使IT部门省心。但他们适合你吗?

  可定制性差是软件作为服务(SaaS)应用几乎从开始就面临的责难。因为与许多内建(On-premises,与SaaS的托管方式相对应)型的应用不同,你完全无法修改SaaS应用的代码。

  一家专业支持SaaS的服务公司Bluewolf联合创始人埃里克·贝里奇(Eric Berridge)表示,另一方面SaaS应用的一大优点是象Salesforce.com这样的厂商隔段时间就会增加新功能,而用户马上就能用上这些新功能。对内建型的软件,只有到正式发布时才有新功能,而客户一般都不耐烦等到那个时候,所以干脆不升级。

  因为新功能在SaaS里的频繁添加,对用户的灵活性就相对要求比较高。因为这可能意味着要适应新的流程以适用新功能,这个责任被加到最终用户而不是IT部门身上。贝里奇认为对经理们来说,这意味着他们得首先了解这些变化,再和用户沟通使他们愿意接受这些变化和能够适应变化。

  当然太激烈的变化也不好。贝里奇指出,如果引入新功能意味着流程或应用程序本身的改动幅度达到20%以上,你最好还是采用部署在本公司(in-house)的软件。

  SaaS的另一个缺点是:商业用户不是技术人员,他们经常签合同 ,但说到安全和隐私问题,他们就全无概念了,特别是SaaS的安全标准也还在不断进化完善,费雷斯特的分析师丽兹·赫伯特(Liz Herbert)如是说。

  尽管现在SaaS供应里还没有发现重大的安全漏洞,“但人们对此总是偏执多疑的,”赫伯特表示。贝里奇认为SaaS的安全更多地来自内部访问策略的问题;“你一般不会想让纽约的销售代表看到新泽西销售代表的数据。”除非设置了规则,他说,“所有人都可以看到所有东西。”

        另外,当向SaaS 迁移时,公司也要记得《健康保险流通和责任法案》(HIPAA)和《萨班斯-奥克斯利法案》(Sarbanes-Oxley)里的规定。贝里奇指出,一旦法律上出现问题,就会要求在本地端保存有数据副本。这意味着要和SaaS软件商设置数据复制的任务计划。   为实现数据整合,有第三方公司的软件包(包括Bluewolf公司的)能把SaaS 软件和象SAP和Oracle这样的内建软件连接起来。但当数据交换的速度要求至关重要,如金融交易,这样的链接可能会引起麻烦,贝里奇警告说。
  --Marianne Kolbasuk McGee
  令人不安的JavaScript
  Web2.0广泛采用JavaScript动态语言,通过Ajax编程,JavaScript能提供Web应用和单个用户之间的互动。但JavaScript和Ajax也给网站攻击者带来诸多新的可能性。
  一年前,Yamanner蠕虫轻易地攻击了Yahoo Mail的一个JavaScript漏洞,使病毒在互联网上迅速传播开来,并把用户地址本里的邮件地址都发转给垃圾邮件制造者。MySpace用JavaScript允许用户提交内容,发生了多次使用恶意代码把跨站攻击脚本植入MySpace账户页面并传染给访问者计算机的事件。有人就把信息“Sammy是我的大英雄”植入到了数以千计的MySpace页面里。
  为了评估未来的JavaScript风险可考虑使用Jikto, 这是SPI Dynamics 的首席研究员比利·霍夫曼(Billy Hoffman)5月24日在ShmoozCon黑客大会上演示的一个跨站攻击脚本引擎。
  JavaScript有一套内建的安全模式,叫“同一来源,”即JavaScript只能访问与其发起来源同一站点上的页面内容,不是来自一个站点就不能访问。但用Jikto就可以绕过这一检测机制,它首先把网页内容发送到一个代理站点,如谷歌翻译(Google Translate),这个站点负责把网站内容从一种语言翻译成另一种语言。恶意的Jikto用户可以利用谷歌翻译返回的内容,进行漏洞扫描并进行攻击。Jikto可以利用谷歌翻译或其他代理站点获得返回的页面,扫描漏洞,避开JavaScript安全模型。
  JavaScript脚本千变万化,甚至自己就能改变自己,因此常规病毒扫描根本无法检测它们。Yahoo Mail出问题的JavaScript原本用于图片上传,但它可以被恶意利用,因为雅虎的代码没有检查文件是否确实是个图片。网站上遍布着许多这样后门。
  自从公布了Jikto的风险,霍夫曼就收到不少来自黑客们的邮件,内容大体是“你这下可把我们的乐子全毁了。”做好思想准备,应对挑战。
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友 微信微信
收藏收藏 分享分享 支持支持 反对反对
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|文字版|手机版|DIY编程器网 ( 桂ICP备14005565号-1 )

GMT+8, 2024-12-25 14:29 , 耗时 0.082714 秒, 18 个查询请求 , Gzip 开启.

各位嘉宾言论仅代表个人观点,非属DIY编程器网立场。

桂公网安备 45031202000115号

DIY编程器群(超员):41210778 DIY编程器

DIY编程器群1(满员):3044634 DIY编程器1

diy编程器群2:551025008 diy编程器群2

QQ:28000622;Email:libyoufer@sina.com

本站由桂林市临桂区技兴电子商务经营部独家赞助。旨在技术交流,请自觉遵守国家法律法规,一旦发现将做封号删号处理。

快速回复 返回顶部 返回列表