可否认，今天，任何一个SaaS厂家在寻找客户的时候，最多的质疑存在于“SaaS软件的安全性”问题上。这其中隐藏着一个关键问题，就是“信任”。 SaaS厂家无法提供客户数据安全的保障，客户数据安全随时存在隐患。这种情况下，厂家连续的安全运营记录才是建立信任最有力的砝码。 1有关数据丢失的风险 大部分企业都经历过本地文件服务器的阶段，在局域网内配置几台服务器，硬盘划分成几个区域，建立若干文件夹，分配给不同部门使用。这种常见企业数据存储配置下，数据灭失只是时间问题。只要是硬盘都会坏的，即使是价格昂贵的企业盘。

　　更常见的数据灭失原因，是人为的误操作。简单的文件夹授权非常容易导致错误的删除和覆盖。一旦发生误操作后，几乎只有专业的数据救援人员才有可能恢复。这时候，业务必定停摆。

　　而目前几乎没有企业能够在这个架构下实现可靠的热备份(实时或接近实时的备份频率)，大部分都依靠IT维护人员定期做简单的冷备份(就是非实时的备份)。无论哪种方式，都离不开可靠和可监控的流程。

　　建立了稳定的流程和监控后，谁都不愿意升级相应的软硬件平台，因为升级就意味着再来一遍，所以，现在还有大量的企业在使用数据吞吐率极低的过时存储设备，这时候，如果硬盘还没有损坏，你光是继续烧香是没用的。

　　还有一种数据灭失的风险来自怀有恶意的离职员工，经常有客户问到我们能否限制用户删除数据的行为，对于传统的私有部署IT系统，有权限的用户的确可以不费吹灰之力把硬盘删得一干二净，而且不留痕迹。

　　当然，每次我们都友善地提醒客户，不能因为担心有这种情况发生，就限制所有用户的正常使用行为。信息之所以需要保存，就是为了被充分使用。

　　SaaS之所以能够100%抵御数据灭失，是因为它实在负担不起因此失败的结果。成千上万的企业数据集中使用同一套存储设施，就像银行保管了千万家庭的存款一样，你必须让它万无一失。所以，运营者会利用一切有用手段来保证和巩固数据存储安全。这当中，最重要和成本最高的无疑就是实时热备和利用它来实现的分布式计算。运营者付出一份成本让存储冗余(实践上是多重冗余)，从而让数据和服务能够永不停歇。这个成本再高，也被众多的客户数量所摊薄，平均花费在一家企业用户上的冗余成本依然会非常低。这是简单的规模经济效益，也是SaaS模式能够战胜私有部署模式的核心优势之一。

　　2有关数据泄漏的风险 我们看到过太多私有部署系统的安全防范工作其实近似于裸奔。基本的密码强度，系统补丁，安全证书等都没有完善。流传于互联网上的“脱库”事件大部分来源于那些陈旧和疏于维护的信息系统。越是在局域网或者私有云内的数据，在基本安全工作方面越是惨不忍睹，账号密码泄露，随意监听用户名密码数据等比比皆是。因为人们心理上都有一个趋向，认为放在自己的办公室里的数据都是安全的，但其实这是一个幻觉。

　　一个完善的防黑客攻击系统和冗余存储一样是需要大量投入的。一方面，依靠专职的运维团队以及围绕安全基线要求的作业流程，另一方面，需要部署专门的攻击防御策略，这些工作即便是作为SaaS专业厂商也未必都掌握了完全的技能，所以，产业链条内出现了安全加固服务、安全监控服务等更加垂直的厂商。 所有这些工作合力才能够保证达到一个基本的安全标准。要想获得持续的安全，还要依靠持久的投入。 数据泄漏的另一个方面就是内盗。考虑到企业数据泄漏90%来自于内部通道。

　　这个问题和SaaS并没有必然联系，任何IT系统，无论何种部署模式和安全标准，在同样的应用软件设计逻辑下，都有可能发生。近几年真正产生影响力的数据泄漏事件基本都是内部泄漏，斯诺登事件就是典型代表。

　　过去的思维往往集中在通过IT手段来试图杜绝数据内盗。这条路几乎是走不通的，因为只要防御多到一定程度，就一定会影响可用性，伤害正常用户的使用积极性。

　　实际上，数据内部泄漏是无法杜绝的，甚至有的时候，都无法在数据公开分享和泄漏之间找到明确的界限。

　　3减少数据泄漏损害的两个现实途径 1）通过充分给予现有团队成员信息权利，稀释信息的拥有价值。

　　也就是说，拥有某个信息的人多了，能够通过出售这个信息而牟利的空间就小了。在很低的回报下，员工泄漏数据而获利的行为成本就非常高。这最终在源头上减少了信息泄漏的动机。对于企业内部沟通中绝大多数内容应该用这个逆向思维来建立保护。

　　保持企业内部资源的共享和沟通的透明，能够非常直接地提高员工的满意度和对企业的认可度，愿意对自己认可的人犯罪的概率非常低。

　　当然，信息共享机制设计依然是把控制权交给企业。但是，在信息内部开放性和保护性方面，建议是鲜明的。

　　2）反过来，对于真正需要严格保护的特定数据（例如银行的客户存款资料），最切实际的途径是减少数据接触的人员数量。

　　通过区分统计性数据和明细数据，隔离开发用数据和生产用数据就能够同时实现信息的共享目标和保护目标。当然，对于任何一个企业来说，值得用这样的高成本手段来防范泄漏的数据也永远只能是有选择性的。许多客户还在观望，看SaaS是否真正能够解决好安全问题。因为每一项今天看来司空见惯的方法和技术，在诞生的那刻，对于公众而言总是有接受度上的挑战，就像历史上电力和无线电的普及，医学上抗生素和外科手术的使用，包括而今的纯电动汽车。

　　总结 这些历史上的伟大产物在出现后都经历了或长或短的技术进步周期，直到被公众广泛接受，SaaS软件也需要这个过程。但今天的SaaS软件唯一和它们不同的是，它的性能和安全已经远超前任。

版权声明：

凡本网内容请注明来源：T媒体（http://www.cniteyes.com）”的所有原创作品，版权均属于易信视界（北京）信息科技有限公司所有，未经本网书面授权，不得转载、摘编或以其它方式使用上述作品。

本网书面授权使用作品的，应在授权范围内使用，并按双方协议注明作品来源。违反上述声明者，易信视界（北京）信息科技有限公司将追究其相关法律责任。