SaaS安全性的两种声音

　　随着SaaS(软件即服务)越来越火热，SaaS的安全性是成为被用户、厂商和媒体激烈讨论的话题。

　　安全性的两种声音：

　　有人说：SaaS模式的数据存储在公网上，掌握在SaaS服务商的手上。而且，黑客可能破解并进入数据服务器，获取数据，这听起来好像有些道理。有人甚至说：使用SaaS软件时，很容易把病毒带到公司的内部网络，甚至把病毒传染到其他服务器，这无形中给公司内部网络带来隐患，这是“耸人听闻”吗?

　　另外有一种声音就是SaaS实际上提升了信息化系统的安全性，因为安装在局域网的软件系统也面临一些安全的问题，比如：

　　1、 解决对软件商、服务商的信任问题。

　　大多数客户不能完全百分之百的完成系统的维护，此时厂商提供服务时，厂商的技术人员一样可以很方便的接触到用户数据。

　　另外，安装在客户局域网的系统升级的时候，都是由局域网内部服务器发起访问外网，此时内网外网对于开发厂商来说是透明的，这也存在用户对软件服务商的信任问题。

　　据统计，信息化系统的安全威胁90%都来自局域网内部，可怕的黑客病毒或木马程序的危害远远大于服务器被攻破;比如Arp欺骗导致内网全数据泄密，利用Arp欺骗而传播的病毒，黑客可能能加容易进入核心的数据服务器。

　　2、 解决对内部信息系统维护人员的管理和信任问题。

　　内网需要专门的人员和设备来解决信息化的问题，因此存在系统维护和设备维护，一般来说，内网系统由于人员上的安排和水平是否能做到很好的数据备份或异地数据备份呢?当发生重大恶性事故的时候(比如火灾、病毒)，数据被丢失的可能性很大。我们需要把专业的事情给专业的服务商去做。

　　既然要有人员来维护服务器，那么就会存在人员信任的问题，在内网系统中一定是“管理员权限大于老板”;在一些公司信息化中，为了节省成本，很多系统被规划到一台服务器中，因此公司不同的技术人员都有可能在服务器上获取数据。技术人员因为不满足公司，而造成彻底毁损数据、泄漏数据、出卖数据的事件不在少数。

　　3、 传统软件系统不能放在互联网上。

　　很多客户都有分支机构，而且老板有出差或在家中查看公司情况的需求，也就是说存在使用互联网访问系统的需求，如果一个原运行在内网的软件放在公网上，没有https加密传输协议和数字安全证书，很难说这样的系统是安全的，这仅仅是局域网系统放在互联网上的众多安全隐患之一。

　　我们应该相信谁?

　　随着SaaS模式的软件慢慢占领传统软件的市场，新生事物总会受到传统事物的排挤，SaaS也不例外，就好比爱迪生发明的电灯泡在早期受到蜡烛厂商的排挤一样，不排出一些人站在自己的利益角度攻击SaaS的安全性。也不排除一些低劣的SaaS的服务厂商中，没有利用更安全的技术，如何辨别具体的一种SaaS是否安全，需要把握以下几点：

　　1、传输协议加密

　　首先，要看SaaS产品提供使用的协议，是https://还是一般的http://，别小看这个s，这表明所有的数据在传输过程中都是加密的。如果不加密，网上可能有很多“嗅探器”软件能够轻松的获得您的数据，甚至是您的用户名和密码;实际上网上很多聊天软件帐号被盗大多数都是遭到“嗅探器”的“招”了。

　　其次，传输协议加密还要看是否全程加密，即软件的各个部分都是https://协议访问的，有部分软件只做了登录部分，这是远远不够的。目前，Salesforce、XToolsCRM都是采取全程加密的。

　　2、服务器安全证书

　　服务器安全证书是用户识别服务器身份的重要标示，有些不正规的服务厂商并没有使用全球认证的服务器安全证书。用户对服务器安全证书的确认，表示服务器确实是用户访问的服务器，此时可以放心的输入用户名和密码，彻底避免“钓鱼”型网站，大多数银行卡密码泄漏都是被“钓鱼”站钓上的。