51CTO正持續(xù)關(guān)注《SaaS時(shí)代的軟件開發(fā)》等SaaS熱點(diǎn)。據(jù)BBC報(bào)道：如果說(shuō)2008年是高科技職業(yè)犯罪出露馬腳的一年,那么2009年則是這個(gè)噩夢(mèng)的開始，地下經(jīng)濟(jì)正在蓬勃的發(fā)展，高科技犯罪分子不僅成立了多個(gè)組織,并且還相互合作以達(dá)到他們共有的最大的利益。近年高科技網(wǎng)絡(luò)犯罪呈現(xiàn)出職業(yè)化,攻擊手段多樣化的趨勢(shì)。目的也從簡(jiǎn)單的病毒惡作劇演變成覬覦個(gè)人機(jī)密信息和商業(yè)秘密。電子商務(wù)的普及所帶來(lái)數(shù)據(jù)的海量增長(zhǎng)，使無(wú)論是個(gè)人用戶還是企業(yè)用戶，現(xiàn)在比以往任何時(shí)候都更加依賴于數(shù)據(jù)信息，這使對(duì)于數(shù)據(jù)安全的保護(hù)成為人們最為關(guān)注的問(wèn)題。

近幾年，由于SaaS(Software as a Service軟件即服務(wù))的出現(xiàn)，從軟件交付模式到信息存儲(chǔ)管理均在經(jīng)歷一場(chǎng)深刻的變革。眾多傳統(tǒng)軟件開發(fā)商，甚至電子商務(wù)服務(wù)商、電信運(yùn)營(yíng)商在看到了SaaS在低成本、跨地區(qū)使用等方面的巨大優(yōu)勢(shì)的同時(shí)，也逐漸認(rèn)識(shí)到這種軟件模式是未來(lái)軟件也發(fā)展的趨勢(shì)，紛紛涉足SaaS領(lǐng)域，國(guó)內(nèi)的SaaS軟件也雨后春筍般出現(xiàn)。而SaaS這種通過(guò)互聯(lián)網(wǎng)交付的形式，其鮮明的互聯(lián)網(wǎng)特性使得SaaS數(shù)據(jù)安全的問(wèn)題被推到輿論的風(fēng)口浪尖。是否有技術(shù)力量能夠規(guī)避這些風(fēng)險(xiǎn)呢？SaaS軟件運(yùn)營(yíng)商們又如何解決？作為國(guó)內(nèi)最早進(jìn)入SaaS領(lǐng)域的SaaS平臺(tái)運(yùn)營(yíng)商，風(fēng)云網(wǎng)絡(luò)憑借其在SaaS應(yīng)用及孵化上的多年經(jīng)驗(yàn)積累，與國(guó)際軟件巨頭微軟進(jìn)行戰(zhàn)略合作，通過(guò)旗下SaaS運(yùn)營(yíng)平臺(tái)風(fēng)云在線（www.FW086.com），向政府、企業(yè)用戶提供高效完整的SaaS安全解決方案，獲得了區(qū)域政府及大量企業(yè)用戶的青睞。記者帶著問(wèn)題專訪了中國(guó)SaaS業(yè)界的領(lǐng)軍企業(yè)——江蘇風(fēng)云網(wǎng)絡(luò)服務(wù)有限公司（下稱風(fēng)云網(wǎng)絡(luò)）平臺(tái)開發(fā)部總監(jiān)羅海平先生。

記者：有些企業(yè)用戶會(huì)擔(dān)心，在使用SaaS軟件的過(guò)程中，公司的機(jī)密商業(yè)數(shù)據(jù)會(huì)在客戶端的瀏覽器和托管服務(wù)器之間傳輸，這樣一來(lái)傳輸過(guò)程中數(shù)據(jù)是否會(huì)被截??？

羅海平：針對(duì)SaaS安全的數(shù)據(jù)傳輸安全方面，風(fēng)云在線聯(lián)合微軟采取了六層數(shù)據(jù)安全防護(hù)體系，保障數(shù)據(jù)傳輸安全。在用戶登錄上，我們安裝了證書服務(wù)器，并要求客戶使用數(shù)字證書訪問(wèn)，確保用戶輸入用戶名和密碼的服務(wù)器是用戶要訪問(wèn)的服務(wù)器。并且通過(guò)SSL加密，與網(wǎng)上銀行同等安全級(jí)別的加密技術(shù)——多層敏感數(shù)據(jù)傳輸全程SSL加密進(jìn)一步降低數(shù)據(jù)被竊取的可能性。多層數(shù)據(jù)和參數(shù)傳送處理，以防止跨站腳本和SQL注入攻擊。對(duì)每個(gè)ISV 數(shù)據(jù)訪問(wèn)及數(shù)據(jù)傳送采用獨(dú)立密鑰加密，確保ISV之間的數(shù)據(jù)在沒(méi)有授權(quán)的情況下互相不可見(jiàn)。數(shù)據(jù)庫(kù)中所有涉及用戶機(jī)密部分全部采用密文保存。統(tǒng)一安全管理，采用多層保護(hù)策略，保證核心應(yīng)用和關(guān)鍵數(shù)據(jù)的安全。

記者：曾經(jīng)有用戶把SaaS誤以為是云計(jì)算，造成這種誤解的一個(gè)重要原因是云計(jì)算的三層原理：基礎(chǔ)架構(gòu)，包括硬件、服務(wù)器等物理資源;中間平臺(tái)及應(yīng)用和服務(wù)。這與SaaS的服務(wù)原理頗為相似，都具備大量的外來(lái)數(shù)據(jù)存儲(chǔ)設(shè)備，但恰恰是這種托管存儲(chǔ)數(shù)據(jù)的服務(wù)，讓企業(yè)不放心。SaaS運(yùn)營(yíng)商存儲(chǔ)數(shù)據(jù)的服務(wù)器對(duì)互聯(lián)網(wǎng)攻擊的防御能力到底有多強(qiáng)？

羅海平：針對(duì)數(shù)據(jù)存儲(chǔ)安全方面，風(fēng)云網(wǎng)絡(luò)采取服務(wù)器與數(shù)據(jù)隔離、業(yè)務(wù)連續(xù)和災(zāi)難恢復(fù)保障兩大策略來(lái)解決。

第一是服務(wù)器和數(shù)據(jù)隔離安全策略。對(duì)Web服務(wù)器、應(yīng)用服務(wù)器、接口服務(wù)器、業(yè)務(wù)系統(tǒng)服務(wù)器和域名完全隔離， 以減少單點(diǎn)攻擊的漏洞。對(duì)應(yīng)用系統(tǒng)數(shù)據(jù)采用不同數(shù)據(jù)庫(kù)或數(shù)據(jù)表存儲(chǔ)，保障不同應(yīng)用數(shù)據(jù)之間的安全。企業(yè)之間數(shù)據(jù)完全互相隔離，杜絕了企業(yè)間數(shù)據(jù)的滲透。

第二是業(yè)務(wù)連續(xù)和災(zāi)難恢復(fù)保障策略。數(shù)據(jù)保護(hù)方面，包括無(wú)中斷備份和恢復(fù)過(guò)程。高可用性，采用多機(jī)冗余，保障系統(tǒng)無(wú)單點(diǎn)故障，并通過(guò)最大限度減少計(jì)劃內(nèi)和計(jì)劃外停機(jī)時(shí)間來(lái)實(shí)現(xiàn)。并且支持災(zāi)難異地恢復(fù)，解決數(shù)據(jù)恢復(fù)的問(wèn)題。

記者：存放在SaaS運(yùn)營(yíng)商的客戶數(shù)據(jù)，如何在沒(méi)有客戶許可的情況下不被其他人窺探，也是企業(yè)非常擔(dān)心問(wèn)題，對(duì)于這點(diǎn)風(fēng)云在線是如何解決的呢？。
羅海平：針對(duì)數(shù)據(jù)訪問(wèn)權(quán)限方面，風(fēng)云網(wǎng)絡(luò)有針對(duì)性的提供了嚴(yán)密的數(shù)據(jù)安全制度和身份權(quán)限訪問(wèn)體系。
在數(shù)據(jù)安全制度方面，我們?yōu)槠髽I(yè)制定內(nèi)部信息系統(tǒng)維護(hù)人員的管理體制，明確角色責(zé)任。數(shù)據(jù)庫(kù)中所有涉及用戶機(jī)密部分全部采用密文保存，即便系統(tǒng)管理人員也無(wú)法得到原文，密鑰可由企業(yè)用戶掌握。并且使用系統(tǒng)修復(fù)程序和安全更新維護(hù)。使用系統(tǒng)賬號(hào)管理， 密碼管理， 賬號(hào)權(quán)限分配管理，賬號(hào)管理審核，保障賬號(hào)分配的權(quán)限。
在身份權(quán)限管理方面，我們通過(guò)集中式SSO單點(diǎn)登錄(Cookie/Token加密), 用戶無(wú)縫登陸體驗(yàn)。用戶登錄后，系統(tǒng)根據(jù)用戶的角色，權(quán)限集合配對(duì)其功能操作。ISV應(yīng)用集中鑒權(quán)和授權(quán)體驗(yàn)。應(yīng)用系統(tǒng)的數(shù)據(jù)庫(kù)訪問(wèn)使用專署數(shù)據(jù)庫(kù)帳戶，并配置最小訪問(wèn)控制。
以上諸多安全技術(shù)體系和制度，風(fēng)云網(wǎng)絡(luò)從不同角度、不同環(huán)節(jié)對(duì)SaaS軟件用戶的數(shù)據(jù)安全性進(jìn)行了嚴(yán)密的防護(hù)，較好地解決了SaaS數(shù)據(jù)安全問(wèn)題，已成為SaaS數(shù)據(jù)安全領(lǐng)域的典范，已得到了眾多企業(yè)用戶的認(rèn)可，從根本上解決了企業(yè)的后顧之憂。

記者認(rèn)為相信隨著SaaS軟件的發(fā)展，SaaS軟件安全保障技術(shù)會(huì)更加完善，企業(yè)用戶對(duì)SaaS軟件的認(rèn)可會(huì)越來(lái)越高， SaaS軟件也將迎來(lái)飛速發(fā)展的金色春天。

【編輯推薦】

1. SaaS時(shí)代的軟件開發(fā)
2. SaaS演繹企業(yè)低成本運(yùn)營(yíng)之道
3. 關(guān)于SaaS的五大常見(jiàn)誤區(qū)