近幾年,，由于SaaS(Software as a Service軟件即服務(wù))的出現(xiàn),，軟件行業(yè)正在經(jīng)歷一場深刻的變革。

在中國,，眾多傳統(tǒng)軟件開發(fā)商,，甚至電子商務(wù)服務(wù)商、電信運營商在看到了SaaS在低成本,、跨地區(qū)使用等方面的巨大優(yōu)勢后,，也逐漸認(rèn)識到這種軟件模式是未來軟件也發(fā)展的趨勢，紛紛涉足SaaS領(lǐng)域,，國內(nèi)的SaaS軟件也雨后春筍般出現(xiàn),。

由于SaaS軟件通過互聯(lián)網(wǎng)交付使用，其鮮明的互聯(lián)網(wǎng)特性使得數(shù)據(jù)安全問題成為橫在中小企業(yè)面前的一道巨大障礙,，如何解決這一問題也成為眾多SaaS軟件運營商面臨的一道課題,。

SaaS的安全問題真的難以解決么？

從SaaS軟件的整個使用過程來看,，SaaS軟件安全問題主要來自幾個方面：

首先,，用戶在使用SaaS軟件的過程中商業(yè)數(shù)據(jù)會在瀏覽器客戶端和服務(wù)器端傳輸，如何保證數(shù)據(jù)傳輸過程中數(shù)據(jù)的安全性,，成為用戶關(guān)注的焦點,。

其次，SaaS運營商存儲數(shù)據(jù)的服務(wù)器有能力抵御互聯(lián)網(wǎng)黑客的攻擊么,？這也是眾多企業(yè)關(guān)注的問題,。

另外，存放在SaaS運營商的客戶數(shù)據(jù),，如何在沒有客戶許可的情況下不被其他人窺探也是企業(yè)非常擔(dān)心的問題,。

以上三方面問題，是數(shù)據(jù)安全的軟肋,，也是眾多SaaS運營商面臨的共性問題,。

廠家們?nèi)绾谓鉀Q這些問題？

筆者不久前獲悉,，作為國內(nèi)較早進(jìn)入SaaS領(lǐng)域的SaaS運營商,，風(fēng)云網(wǎng)絡(luò)服務(wù)有限公司憑借其在SaaS技術(shù)上的多年積累，聯(lián)合國際上技術(shù)最雄厚的軟件廠商——微軟,，打造的風(fēng)云在線(FW086.com)提供完整的SaaS安全解決方案,，從技術(shù)上破解了SaaS使用過程的數(shù)據(jù)安全的難題。

針對SaaS安全的第一個問題——數(shù)據(jù)傳輸安全問題,，風(fēng)云在線聯(lián)合微軟采取了六層數(shù)據(jù)安全防護(hù)體系,，保障數(shù)據(jù)傳輸安全,。

用戶登錄：安裝服務(wù)器證書，確保用戶輸入用戶名和密碼的服務(wù)器是用戶要訪問的服務(wù)器,。

SSL加密:與網(wǎng)上銀行同等安全級別的加密技術(shù)——多層敏感數(shù)據(jù)傳輸全程SSL加密進(jìn)一步降低數(shù)據(jù)被破解的可能性,。

多層數(shù)據(jù)和參數(shù)傳送處理，以防跨站腳本和SQL注入攻擊,。

ISV 數(shù)據(jù)訪問及數(shù)據(jù)傳送加密,。

數(shù)據(jù)庫中所有涉及用戶機(jī)密部分全部采用密文保存,。

統(tǒng)一安全管理,，采用多層保護(hù)策略，保證核心應(yīng)用和關(guān)鍵數(shù)據(jù)的安全,。

針對第二個問題——數(shù)據(jù)存儲安全問題,，風(fēng)云網(wǎng)絡(luò)采取服務(wù)器與數(shù)據(jù)隔離、業(yè)務(wù)連續(xù)和災(zāi)難恢復(fù)保障兩大策略來解決,。

服務(wù)器和數(shù)據(jù)隔離安全策略

網(wǎng)站服務(wù)器,，運營服務(wù)器，業(yè)務(wù)系統(tǒng)服務(wù)器和域名完全隔離,， 以減少單點攻擊的漏洞,。

應(yīng)用系統(tǒng)數(shù)據(jù)采用不同數(shù)據(jù)庫或數(shù)據(jù)表存儲，保障不同應(yīng)用數(shù)據(jù)之間的安全

企業(yè)之間數(shù)據(jù)完全互相隔離,，杜絕了企業(yè)間數(shù)據(jù)的滲透

業(yè)務(wù)連續(xù)和災(zāi)難恢復(fù)保障策略

數(shù)據(jù)保護(hù),，包括無中斷備份和恢復(fù)過程

高可用性，系統(tǒng)無單點故障,，并通過最大限度減少計劃內(nèi)和計劃外停機(jī)時間來實現(xiàn)

災(zāi)難異地恢復(fù),，解決數(shù)據(jù)恢復(fù)的問題。

針對第三個問題——數(shù)據(jù)訪問權(quán)限問題,，風(fēng)云網(wǎng)絡(luò)有針對性的提供了嚴(yán)密的數(shù)據(jù)安全制度和身份權(quán)限訪問體系,。

數(shù)據(jù)安全制度

制定內(nèi)部信息系統(tǒng)維護(hù)人員的管理體制，明確角色責(zé)任,。

數(shù)據(jù)庫中所有涉及用戶機(jī)密部分全部采用密文保存,，即便系統(tǒng)管理人員也無法得到原文，密鑰可由企業(yè)用戶掌握,。

使用系統(tǒng)修復(fù)程序和安全更新維護(hù),。

使用系統(tǒng)賬號管理， 密碼管理,， 賬號權(quán)限分配管理,，賬號管理審核，保障賬號分配的權(quán)限,。

身份權(quán)限管理體系

集中式SSO單點登錄(Cookie/Token加密), 用戶無縫登陸體驗,。

用戶登錄后,，系統(tǒng)根據(jù)用戶的角色，權(quán)限集合配對其功能操作,。

ISV應(yīng)用集中鑒權(quán)和授權(quán)體驗,。

應(yīng)用系統(tǒng)的數(shù)據(jù)庫訪問使用專署數(shù)據(jù)庫帳戶，并配置最小訪問控制,。

以上諸多安全技術(shù)體系和制度,，風(fēng)云網(wǎng)絡(luò)從不同角度、不同環(huán)節(jié)對SaaS軟件用戶的數(shù)據(jù)安全性進(jìn)行了嚴(yán)密的防護(hù),，較好地解決了SaaS數(shù)據(jù)安全問題,，已成為SaaS數(shù)據(jù)安全領(lǐng)域的典范，已得到了眾多企業(yè)用戶的認(rèn)可,。

相信隨著SaaS軟件的發(fā)展,，SaaS軟件安全保障技術(shù)會更加完善，企業(yè)用戶對SaaS軟件的認(rèn)可會越來越高,，SaaS軟件也將迎來飛速發(fā)展的金色春天,。