- 易迪拓培训,专注于微波、射频、天线设计工程师的培养
热门技术的安全命门之:BI和SaaS
录入:edatop.com 点击:
警惕大众使用商业智能
随着商业智能(BI)从分析师和金融专家的桌面逐渐走向普通大众,就要警惕让普通用户使用商业智能时的"最差做法"。
如果你让客户使用原始数据从零开始生成一份分析报告,他们很可能会被误导,因为不同的团队会得出完全不同的结论。所以初始报告最好由专家来生成。但商业公司又必须向那些希望深入学习和探索的员工提供培训"课程",来自惠普信息管理实施部门的高级主管乔纳森·吴(Jonathan Wu)表示,否则"你将无法培养自己的高级用户。"
业务部门的经理们应该与本公司或外包的BI分析师一起,确定要为员工们提供怎样的参数指标和定性指标。他们还得就数据定义和命名标准取得一致。吴和一家公司在与客户关系管理(CRM)系统关联的数据报表上进行合作,对财会部门来说客户关系管理系统里的"客户"就意味着赚钱的来源,而对市场部门他们则意味着潜在的客户。
使用了BI的人都会期待有某种工具——如仪表板——因此IT团队应该先列明商业智能项目里具体包括什么。"让用户知道他们还缺什么甚至比让他们了解已拥有什么更重要,"吴表示。
大多数公司的灾难恢复计划中,几乎都不把BI列为关键性应用,即使员工需要依赖那些工具做出关键性决策。吴在过去几周里,就目睹了几起事故使BI应用限入停顿好几周。
IT团队还必须应对大量不断变更的数据类型和报表需求。员工如果没有开始使用BI系统,他们就不会了解可以拿它来做什么。"如果他们没有问,他们很可能就没有在用,"吴认为。再没有什么比昂贵却闲置不用的系统更大的失败了。
--Mary Hayes Weier and Chris Murphy
SaaS的短板
没错,你可以快速地部署软件作为服务的应用。它们甚至能为公司省钱,使IT部门省心。但他们适合你吗?
可定制性差是软件作为服务(SaaS)应用几乎从开始就面临的责难。因为与许多内建(On-premises,与SaaS的托管方式相对应)型的应用不同,你完全无法修改SaaS应用的代码。
一家专业支持SaaS的服务公司Bluewolf联合创始人埃里克·贝里奇(Eric Berridge)表示,另一方面SaaS应用的一大优点是象Salesforce.com这样的厂商隔段时间就会增加新功能,而用户马上就能用上这些新功能。对内建型的软件,只有到正式发布时才有新功能,而客户一般都不耐烦等到那个时候,所以干脆不升级。
因为新功能在SaaS里的频繁添加,对用户的灵活性就相对要求比较高。因为这可能意味着要适应新的流程以适用新功能,这个责任被加到最终用户而不是IT部门身上。贝里奇认为对经理们来说,这意味着他们得首先了解这些变化,再和用户沟通使他们愿意接受这些变化和能够适应变化。
当然太激烈的变化也不好。贝里奇指出,如果引入新功能意味着流程或应用程序本身的改动幅度达到20%以上,你最好还是采用部署在本公司(in-house)的软件。
SaaS的另一个缺点是:商业用户不是技术人员,他们经常签合同 ,但说到安全和隐私问题,他们就全无概念了,特别是SaaS的安全标准也还在不断进化完善,费雷斯特的分析师丽兹·赫伯特(Liz Herbert)如是说。
尽管现在SaaS供应里还没有发现重大的安全漏洞,"但人们对此总是偏执多疑的,"赫伯特表示。贝里奇认为SaaS的安全更多地来自内部访问策略的问题;"你一般不会想让纽约的销售代表看到新泽西销售代表的数据。"除非设置了规则,他说,"所有人都可以看到所有东西。"
另外,当向SaaS 迁移时,公司也要记得《健康保险流通和责任法案》(HIPAA)和《萨班斯-奥克斯利法案》(Sarbanes-Oxley)里的规定。贝里奇指出,一旦法律上出现问题,就会要求在本地端保存有数据副本。这意味着要和SaaS软件商设置数据复制的任务计划。
随着商业智能(BI)从分析师和金融专家的桌面逐渐走向普通大众,就要警惕让普通用户使用商业智能时的"最差做法"。
如果你让客户使用原始数据从零开始生成一份分析报告,他们很可能会被误导,因为不同的团队会得出完全不同的结论。所以初始报告最好由专家来生成。但商业公司又必须向那些希望深入学习和探索的员工提供培训"课程",来自惠普信息管理实施部门的高级主管乔纳森·吴(Jonathan Wu)表示,否则"你将无法培养自己的高级用户。"
业务部门的经理们应该与本公司或外包的BI分析师一起,确定要为员工们提供怎样的参数指标和定性指标。他们还得就数据定义和命名标准取得一致。吴和一家公司在与客户关系管理(CRM)系统关联的数据报表上进行合作,对财会部门来说客户关系管理系统里的"客户"就意味着赚钱的来源,而对市场部门他们则意味着潜在的客户。
使用了BI的人都会期待有某种工具——如仪表板——因此IT团队应该先列明商业智能项目里具体包括什么。"让用户知道他们还缺什么甚至比让他们了解已拥有什么更重要,"吴表示。
大多数公司的灾难恢复计划中,几乎都不把BI列为关键性应用,即使员工需要依赖那些工具做出关键性决策。吴在过去几周里,就目睹了几起事故使BI应用限入停顿好几周。
IT团队还必须应对大量不断变更的数据类型和报表需求。员工如果没有开始使用BI系统,他们就不会了解可以拿它来做什么。"如果他们没有问,他们很可能就没有在用,"吴认为。再没有什么比昂贵却闲置不用的系统更大的失败了。
--Mary Hayes Weier and Chris Murphy
SaaS的短板
没错,你可以快速地部署软件作为服务的应用。它们甚至能为公司省钱,使IT部门省心。但他们适合你吗?
可定制性差是软件作为服务(SaaS)应用几乎从开始就面临的责难。因为与许多内建(On-premises,与SaaS的托管方式相对应)型的应用不同,你完全无法修改SaaS应用的代码。
一家专业支持SaaS的服务公司Bluewolf联合创始人埃里克·贝里奇(Eric Berridge)表示,另一方面SaaS应用的一大优点是象Salesforce.com这样的厂商隔段时间就会增加新功能,而用户马上就能用上这些新功能。对内建型的软件,只有到正式发布时才有新功能,而客户一般都不耐烦等到那个时候,所以干脆不升级。
因为新功能在SaaS里的频繁添加,对用户的灵活性就相对要求比较高。因为这可能意味着要适应新的流程以适用新功能,这个责任被加到最终用户而不是IT部门身上。贝里奇认为对经理们来说,这意味着他们得首先了解这些变化,再和用户沟通使他们愿意接受这些变化和能够适应变化。
当然太激烈的变化也不好。贝里奇指出,如果引入新功能意味着流程或应用程序本身的改动幅度达到20%以上,你最好还是采用部署在本公司(in-house)的软件。
SaaS的另一个缺点是:商业用户不是技术人员,他们经常签合同 ,但说到安全和隐私问题,他们就全无概念了,特别是SaaS的安全标准也还在不断进化完善,费雷斯特的分析师丽兹·赫伯特(Liz Herbert)如是说。
尽管现在SaaS供应里还没有发现重大的安全漏洞,"但人们对此总是偏执多疑的,"赫伯特表示。贝里奇认为SaaS的安全更多地来自内部访问策略的问题;"你一般不会想让纽约的销售代表看到新泽西销售代表的数据。"除非设置了规则,他说,"所有人都可以看到所有东西。"
另外,当向SaaS 迁移时,公司也要记得《健康保险流通和责任法案》(HIPAA)和《萨班斯-奥克斯利法案》(Sarbanes-Oxley)里的规定。贝里奇指出,一旦法律上出现问题,就会要求在本地端保存有数据副本。这意味着要和SaaS软件商设置数据复制的任务计划。
为实现数据整合,有第三方公司的软件包(包括Bluewolf公司的)能把SaaS 软件和象SAP和Oracle这样的内建软件连接起来。但当数据交换的速度要求至关重要,如金融交易,这样的链接可能会引起麻烦,贝里奇警告说。
--Marianne Kolbasuk McGee
令人不安的JavaScript
Web2.0广泛采用JavaScript动态语言,通过Ajax编程,JavaScript能提供Web应用和单个用户之间的互动。但JavaScript和Ajax也给网站攻击者带来诸多新的可能性。
一年前,Yamanner蠕虫轻易地攻击了Yahoo Mail的一个JavaScript漏洞,使病毒在互联网上迅速传播开来,并把用户地址本里的邮件地址都发转给垃圾邮件制造者。MySpace用JavaScript允许用户提交内容,发生了多次使用恶意代码把跨站攻击脚本植入MySpace账户页面并传染给访问者计算机的事件。有人就把信息"Sammy是我的大英雄"植入到了数以千计的MySpace页面里。
为了评估未来的JavaScript风险可考虑使用Jikto, 这是SPI Dynamics 的首席研究员比利·霍夫曼(Billy Hoffman)5月24日在ShmoozCon黑客大会上演示的一个跨站攻击脚本引擎。
JavaScript有一套内建的安全模式,叫"同一来源,"即JavaScript只能访问与其发起来源同一站点上的页面内容,不是来自一个站点就不能访问。但用Jikto就可以绕过这一检测机制,它首先把网页内容发送到一个代理站点,如谷歌翻译(Google Translate),这个站点负责把网站内容从一种语言翻译成另一种语言。恶意的Jikto用户可以利用谷歌翻译返回的内容,进行漏洞扫描并进行攻击。Jikto可以利用谷歌翻译或其他代理站点获得返回的页面,扫描漏洞,避开JavaScript安全模型。
JavaScript脚本千变万化,甚至自己就能改变自己,因此常规病毒扫描根本无法检测它们。Yahoo Mail出问题的JavaScript原本用于图片上传,但它可以被恶意利用,因为雅虎的代码没有检查文件是否确实是个图片。网站上遍布着许多这样后门。
自从公布了Jikto的风险,霍夫曼就收到不少来自黑客们的邮件,内容大体是"你这下可把我们的乐子全毁了。"做好思想准备,应对挑战。
上一篇:四个步骤
获得更安全数据库
下一篇:安全性对比:防火墙VS路由器
