本發明涉及一種基于SaaS平臺的安全系統構架，包括有客戶端與數據庫集群設備，有客戶端與數據庫集群設備能進行數據交互，客戶端與數據庫集群設備之間架設有三級防火墻，構成客戶端區、隔離區、應用服務區、數據庫服務器區，采用第一級防火墻隔離客戶端區和服務端，讓服務端僅僅向外開放HTTP和HTTPS服務，采用第二級防火墻使應用服務與WEB靜態資源相分離，使其僅僅向隔離區和對外接口提供服務，采用第三級防火墻用于隔離數據。由此，擁有三個互為獨立的防火墻，實現數據逐層通訊的防護過濾。分為四個區域，可實現更好的權限分配，提升使用安全性。

技術領域

本發明涉及一種系統構架，尤其涉及一種基于SaaS平臺的安全系統構架。

背景技術

系統安全是SaaS系統成敗的關鍵，SaaS的本質特征決定了系統安全的重要性。傳統模式下數據都由用戶自行管理，在SaaS模型下企業用戶的所有業務數據都存放在SaaS供應商這端，而這些數據都是企業的核心數據，企業是否放心地使用本系統，是否放心地把數據交給本系統來管理，完全取決于本系統在安全方面的設計和保障。數據管理權責的改變使得SaaS軟件的系統安全有別于傳統軟件，有不利因素和有利因素。

具體說來，不利的是：用戶意識上認為SaaS模式不安全，他們認為把自己企業的核心數據交給第三方來管理是不安全的；SaaS系統暴露在互聯網上，將面臨比限制在局域網內的傳統系統更多的安全威脅。有利的是：在系統數據安全性方面，重要的不是軟件的功能，而是人為的因素。

普通企業內的員工，沒有接受過比較嚴謹的安全意識訓練，如果企業將數據都存管在企業內部，很有可能會被員工不經意之間泄漏，而在人員安全意識素質這方面，SaaS服務商的數據管理人員顯然要專業很多，因為他們深知客戶數據是立命之本的道理，會比企業普通員工更懂得如何妥善存管數據；在數據防御盜取方面，SaaS服務商更有理由珍惜每一條客戶數據。

企業一般不會花很多心思來保障每條數據的安全，這將需要投入很大的成本和人力。而對于專業的SaaS服務商來說，最重要的任務之一就是安全保管客戶的數據，因此他們在安全措施上的投入一定遠遠高于普通的企業。

正如同銀行保險體系的存管安全性必定要遠遠的高于任何普通民眾的住宅，所以選擇SaaS服務商來托管數據，實際上是以較低的價格享受較高的安全保障。在數據防御破壞方面，這所指得就是面對天災人禍時，數據的存管的安全性。

再者，普通企業數據庫如果遭到客觀、不可逆轉等災害因素的破壞時，一般難以修復數據的破損。而通過SaaS模式的服務，企業可以用較低廉的價格就享受到多地多機備份的周全保護。

有鑒于上述的缺陷，本設計人，積極加以研究創新，以期創設一種基于SaaS平臺的安全系統構架，使其更具有產業上的利用價值。

發明內容

為解決上述技術問題，本發明的目的是提供一種基于SaaS平臺的安全系統構架。

本發明的基于SaaS平臺的安全系統構架，包括有客戶端與數據庫集群設備，所述有客戶端與數據庫集群設備能進行數據交互，其中：所述客戶端與數據庫集群設備之間架設有三級防火墻，構成客戶端區、隔離區、應用服務區、數據庫服務器區，所述隔離區內設置有HTTP服務器，所述HTTP服務器上連接有認證服務器，所述應用服務區內設置有LDAP服務器、安全策略服務器、安全授權服務器，所述數據庫服務器區內設置有數據庫集群設備，采用第一級防火墻隔離客戶端區和服務端，讓服務端僅僅向外開放HTTP和HTTPS服務，采用第二級防火墻使應用服務與WEB靜態資源相分離，使其僅僅向隔離區和對外接口提供服務，采用第三級防火墻用于隔離數據。

進一步地，上述的基于SaaS平臺的安全系統構架，其中，所述認證服務器，構成攔截和代理服務器，攔截所有HTTP及HTTPS請求，從中提取用戶認證信息，然后通過與用戶信息LDAP服務器里數據的匹配，認證用戶的合法性，如果用戶是合法的，則將請求轉發到后端的HTTP服務器；如果非法，則終止此次請求，并向客戶端發送相應狀態碼。