要绝对保障安全用户在采用SaaS模式的过程中必须警惕安全性风险。SaaS 的核心是数据,关于产品、客户、雇员、供应商等的数据是商业运营中最重要的资产。SaaS 应用使用户能通过网络集中存取数据,成本低于使用本地安装的应用。不过,为了充分发挥 SaaS 的优势,用户必须在一定程度上放弃对自身数据的控制,要在确保
数据安全并避免泄密方面充分信赖SaaS 服务商。话虽如此,无论哪个用户都会担心数据丢失和数据泄漏,毕竟在物理状态上,软件与数据都存在SaaS提供商那里,用户存在对数据失去控制的可能。由于应用会存储敏感的用户数据,因此用户对安全性会有很高要求,服务级别协议 (SLA) 将需要提供强大的
数据安全保障。说缺乏充分信任是妨碍SaaS推广的首要问题,一点都不过分。
SaaS供应商要想赢得客户的信任,首先应创建成熟稳定、安全可靠的 SaaS 数据体系结构,使用户都能够放心地将重要的商业数据交给第三方合伙伙伴进行管理和控制。人们通常误认为,只有物理隔离才能确保安全。事实上,共享方案存储的数据也能实现强大的
数据安全性,但这要求采用更先进的设计技术。
安全的 SaaS 应用能提供深度防御,采用多种分级防御机制,互相配合,在不同情况下以不同方式确保
数据安全,防范内外部风险。
安全的SaaS模式依靠三种基本模式来实现出色的安全性。第一是过滤,在用户和数据源之间采用功能像筛子一样的中间层 (intermediary layer) ,以使用户感到自己获取的数据就是数据库中唯一的数据。
第二是权限,采用访问控制列表 (ACL) 来决定谁能访问应用中的数据,以及能对数据进行哪些操作。
第三是加密,对每个用户的重要数据进行加密,以使未授权方无法对其进行访问,即便获得了这些数据,也派不上用场。进一步保护用户数据的一种方法是在数据库中进行数据加密,这样即便数据落入他人之手,也能确保其安全性。对于重视安全性的SaaS 服务商来说,用户数据的意外泄漏或遭恶意攻击就是一场噩梦,所以他们都替提供多级安全性,来层层保护数据。
除了注重SaaS应用协议的签署、
数据安全的绝对保障,用户随着业务的发展,还需要SaaS 服务商能够提供一些定制的功能,甚至还需要把租赁软件与用户内部软件整合起来(或者与其他租赁软件整合起来)。这就必须要考察SaaS 服务商提供的SaaS 应用具备可定制性与可扩展性。对于 SaaS 应用来说可扩展性尤为重要,因为它必须支持所有属于客户的数据。
现在还是SaaS这种颠覆性软件应用的早期阶段,用户这样、那样的种种担心会随着观念的转变、SaaS的成熟,越来越愿意接受SaaS,放弃购买软件。毕竟SaaS让每个接触它的人都在思考:花很少的钱就可以使用某种软件,为什么还要花巨资去买它呢?
(c112)
|
服 务 CIO 推 进 信 息 化 
