在之前的文章中,我们讨论了企业级低代码开发平台对系统架构和开放性的技术要求。
今天,我们再深入一层,从安全可控角度审视低代码开发平台需要提供哪些安全机制,才能保障企业级应用的安全可控。这里的“安全可控”不仅指应用层面的用户认证与访问权限控制,更是一个由部署安全、系统安全和应用安全三个层次构成的全方位安全体系。
(企业级应用的安全体系)
什么是企业级应用开发平台?
在现实操作中,企业系统的安全性与成本投入之间通常会存在一个平衡点,企业级应用的安全性要求会远高于周边非核心业务系统。这里的企业级应用是企业软件应用中的一个类别,被称为软件开发领域的“明珠”。典型的企业级应用通常可以分为三个大类,即支撑企业核心业务的应用系统(如生产制造业的MES、交通运输业的TMS)、涵盖企业全流程的大规模综合型系统和基于行业软件定制开发的个性化模块。这些企业级应用支撑着企业的核心业务发展,能给企业带来更高价值的同时,也提出了更严格的技术标准。
(互联网应用 vs 企业级应用)
所以,选择一款企业级应用低代码开发平台,除了生产力外,我们还需关注工具本身的技术架构、开放程度及安全可控性等关键指标。这有这样才能构建出满足核心业务需求的企业级应用,给企业数智化转型升级打下坚实的基础。
本文将专注于安全机制,以活字格企业级低代码开发平台为例,从部署到应用,全面介绍具备能够支撑企业级应用开发的低代码开发工具,及这类工具的安全可控设计。
(活字格企业级低代码开发平台)
部署安全,企业对应用和数据具有完整控制权
活字格通过支持私有化部署的方式,可以帮助军工、金融等高安全要求企业,实现服务器的物理隔离,从网络基础设施层面,保证数据库和服务器安全可控。
对于需要提供互联网访问的应用而言,开发者也可以将活字格服务器程序安装到阿里云、腾讯云等云服务商提供的云主机上,构建独占式的“私有云”服务。在享受应用和数据掌控权的同时,“私有云”模式下,不论是一键发布应用,还是让最终用户通过互联网访问,用户体验都与公有云PaaS服务别无二致。
此外,因为活字格不依赖任何云服务,支持Windows和主流Linux发行版(包含中标麒麟等自主可控OS),开发者能自由选用合规的操作系统,以及云服务商提供的安全和监控机制,确保云主机的安全可控。
(企业完全可控的部署方式)
系统安全,可视化的专业级安全策略配置能力
活字格企业级低代码开发平台内置了 SSL(HTTPS 协议)、跨域访问控制策略等安全机制,帮助开发者和管理员进一步加固活字格服务端程序,确保网络访问安全可控。
此外,考虑到开发者中包含大量对数据安全等配置比较陌生的平民开发者,活字格为这些重要的系统安全配置提供了可视化的配置界面。配合帮助文档,即便没有受过系统管理培训的开发者,也能轻松完成系统级安全配置。
(可视化配置安全策略)
应用安全,可精细控制的数据权限和操作权限
为了帮助开发者构建安全的应用程序,活字格企业级低代码开发平台提供了业界主流的基于角色的权限控制(RBAC)机制。
在功能权限方面,开发者不但可以控制页面访问,还能精确到具体的输入框、按钮;数据权限上,数据表、数据列、满足特定条件的数据行都可以成为权限控制的目标。
为了提升后期维护工作的效率,活字格在管理控制台上提供了权限设置功能。系统管理员无需修改应用后重新发布,即可以可视化的方式,动态调整每个角色的功能权限和数据权限。
(在管理控制台上动态设置页面访问权限)
在用户认证方面,除了内置的用户名密码方式外,活字格还支持 Windows 域认证、微信认证、钉钉认证等模式。活字格开放了第三方安全提供程序接口,方便开发者通过编码,对接其他软件的认证接口,使最终用户能通过“单点登录”,减少因重复输入登录信息带来的不便。
充分利用这些功能,开发者无需编码,就能开发出易用性强、权限控制严格且完整的企业级应用,确保不同的用户只看到自己有权限的数据,只进行有权限的操作,在应用层面保证数据安全。
安全可控是企业级应用的基础要求
中国软件网海比研究在2020年11月发布的《2021 中国企业数智化服务市场趋势洞察报告》中特别强调“随着企业服务需求多元化的发展,企业购买应用时关注最多的是数据安全性,占比70.1%”。作为国内低代码技术趋势的引领者,活字格凝聚了葡萄城专业开发控件领域40年的技术积累,在“用户看不见”的安全机制上持续发力,从部署安全到系统安全,再到应用安全机制,全方位赋能开发者构建满足企业安全可控要求的应用,以坚实的基础推进企业数智化转型升级。
