热门技术的安全命门之：BI和SaaS

admin

警惕大众使用商业智能

　　随着商业智能(BI)从分析师和金融专家的桌面逐渐走向普通大众，就要警惕让普通用户使用商业智能时的“最差做法”。

　　如果你让客户使用原始数据从零开始生成一份分析报告，他们很可能会被误导，因为不同的团队会得出完全不同的结论。所以初始报告最好由专家来生成。但商业公司又必须向那些希望深入学习和探索的员工提供培训“课程”，来自惠普信息管理实施部门的高级主管乔纳森·吴(Jonathan Wu)表示，否则“你将无法培养自己的高级用户。”

　　业务部门的经理们应该与本公司或外包的BI分析师一起，确定要为员工们提供怎样的参数指标和定性指标。他们还得就数据定义和命名标准取得一致。吴和一家公司在与客户关系管理(CRM)系统关联的数据报表上进行合作，对财会部门来说客户关系管理系统里的“客户”就意味着赚钱的来源，而对市场部门他们则意味着潜在的客户。

　　使用了BI的人都会期待有某种工具——如仪表板——因此IT团队应该先列明商业智能项目里具体包括什么。“让用户知道他们还缺什么甚至比让他们了解已拥有什么更重要，”吴表示。

　　大多数公司的灾难恢复计划中，几乎都不把BI列为关键性应用，即使员工需要依赖那些工具做出关键性决策。吴在过去几周里，就目睹了几起事故使BI应用限入停顿好几周。

　　IT团队还必须应对大量不断变更的数据类型和报表需求。员工如果没有开始使用BI系统，他们就不会了解可以拿它来做什么。“如果他们没有问，他们很可能就没有在用，”吴认为。再没有什么比昂贵却闲置不用的系统更大的失败了。

　　--Mary Hayes Weier and Chris Murphy

　　SaaS的短板

　　没错，你可以快速地部署软件作为服务的应用。它们甚至能为公司省钱，使IT部门省心。但他们适合你吗?

　　可定制性差是软件作为服务(SaaS)应用几乎从开始就面临的责难。因为与许多内建(On-premises，与SaaS的托管方式相对应)型的应用不同，你完全无法修改SaaS应用的代码。

　　一家专业支持SaaS的服务公司Bluewolf联合创始人埃里克·贝里奇(Eric Berridge)表示，另一方面SaaS应用的一大优点是象Salesforce.com这样的厂商隔段时间就会增加新功能，而用户马上就能用上这些新功能。对内建型的软件，只有到正式发布时才有新功能，而客户一般都不耐烦等到那个时候，所以干脆不升级。

　　因为新功能在SaaS里的频繁添加，对用户的灵活性就相对要求比较高。因为这可能意味着要适应新的流程以适用新功能，这个责任被加到最终用户而不是IT部门身上。贝里奇认为对经理们来说，这意味着他们得首先了解这些变化，再和用户沟通使他们愿意接受这些变化和能够适应变化。

　　当然太激烈的变化也不好。贝里奇指出，如果引入新功能意味着流程或应用程序本身的改动幅度达到20%以上，你最好还是采用部署在本公司(in-house)的软件。

　　SaaS的另一个缺点是：商业用户不是技术人员，他们经常签合同 ，但说到安全和隐私问题，他们就全无概念了，特别是SaaS的安全标准也还在不断进化完善，费雷斯特的分析师丽兹·赫伯特(Liz Herbert)如是说。

　　尽管现在SaaS供应里还没有发现重大的安全漏洞，“但人们对此总是偏执多疑的，”赫伯特表示。贝里奇认为SaaS的安全更多地来自内部访问策略的问题;“你一般不会想让纽约的销售代表看到新泽西销售代表的数据。”除非设置了规则，他说，“所有人都可以看到所有东西。”

        另外，当向SaaS 迁移时，公司也要记得《健康保险流通和责任法案》(HIPAA)和《萨班斯-奥克斯利法案》(Sarbanes-Oxley)里的规定。贝里奇指出，一旦法律上出现问题，就会要求在本地端保存有数据副本。这意味着要和SaaS软件商设置数据复制的任务计划。 　　为实现数据整合，有第三方公司的软件包(包括Bluewolf公司的)能把SaaS 软件和象SAP和Oracle这样的内建软件连接起来。但当数据交换的速度要求至关重要，如金融交易，这样的链接可能会引起麻烦，贝里奇警告说。
　　--Marianne Kolbasuk McGee
　　令人不安的JavaScript
　　Web2.0广泛采用JavaScript动态语言，通过Ajax编程，JavaScript能提供Web应用和单个用户之间的互动。但JavaScript和Ajax也给网站攻击者带来诸多新的可能性。
　　一年前，Yamanner蠕虫轻易地攻击了Yahoo Mail的一个JavaScript漏洞，使病毒在互联网上迅速传播开来，并把用户地址本里的邮件地址都发转给垃圾邮件制造者。MySpace用JavaScript允许用户提交内容，发生了多次使用恶意代码把跨站攻击脚本植入MySpace账户页面并传染给访问者计算机的事件。有人就把信息“Sammy是我的大英雄”植入到了数以千计的MySpace页面里。
　　为了评估未来的JavaScript风险可考虑使用Jikto， 这是SPI Dynamics 的首席研究员比利·霍夫曼(Billy Hoffman)5月24日在ShmoozCon黑客大会上演示的一个跨站攻击脚本引擎。
　　JavaScript有一套内建的安全模式，叫“同一来源，”即JavaScript只能访问与其发起来源同一站点上的页面内容，不是来自一个站点就不能访问。但用Jikto就可以绕过这一检测机制，它首先把网页内容发送到一个代理站点，如谷歌翻译(Google Translate)，这个站点负责把网站内容从一种语言翻译成另一种语言。恶意的Jikto用户可以利用谷歌翻译返回的内容，进行漏洞扫描并进行攻击。Jikto可以利用谷歌翻译或其他代理站点获得返回的页面，扫描漏洞，避开JavaScript安全模型。
　　JavaScript脚本千变万化，甚至自己就能改变自己，因此常规病毒扫描根本无法检测它们。Yahoo Mail出问题的JavaScript原本用于图片上传，但它可以被恶意利用，因为雅虎的代码没有检查文件是否确实是个图片。网站上遍布着许多这样后门。
　　自从公布了Jikto的风险，霍夫曼就收到不少来自黑客们的邮件，内容大体是“你这下可把我们的乐子全毁了。”做好思想准备，应对挑战。