分析SaaS的安全技术

　　SaaS提供商为企业搭建信息化所需要的所有网络基础设施及软件、硬件运作平台，并负责所有前期的实施、后期的维护等一系列服务，企业无需购买软硬件、建设机房、招聘IT人员，即可通过互联网使用信息系统。就像打开自来水龙头就能用水一样，企业根据实际需要，从SaaS提供商租赁软件服务。

　　SaaS 是一种软件布局模型，其应用专为网络交付而设计，便于用户通过互联网托管、部署及接入。 SaaS 应用软件的价格通常为"全包"费用，囊括了通常的应用软件许可证费、软件维护费以及技术支持费，将其统一为每个用户的月度租用费。 对于广大中小型企业来说，SaaS是采用先进技术实施信息化的途径。但SaaS绝不仅仅适用于中小型企业，所有规模的企业都可以从SaaS中获利。

　　SaaS的安全从机房开始。机房的安全性包括气体灭火、恒温恒湿、联网电子锁防盗、24小时专人和录像监控、网络设备带宽冗余、口令进入机房等。服务器和防火墙的负载平衡、数据库集群和网络存贮备份在近几年也成为标准安全性技术。主流SaaS运营商多采用双数据中心运营，其中一个机房数据中心为冗余备份。多城市多机房的模式可提高访问速度，但因大大增加安全管理隐患和维护成本，很少被成熟的SAAS企业采用。

　　伴随着J2EE和。NET等基于互联网浏览器软件开发技术的诞生，真正意义上的SaaS模式企业管理软件技术起始于2003年前后。基于互联网的特点，SaaS软件有许多区别于前一代软件的独特性，从服务器端软件和数据库、数据传输、到客户端浏览器都出现了许多新技术。

　　SaaS服务模式与传统许可模式软件有很大的不同，它是未来管理软件的发展趋势。相比较传统服务方式而言SaaS具有很多独特的特征：SaaS不仅减少了或取消了传统的软件授权费用，而且厂商将应用软件部署在统一的服务器上，免除了终用户的服务器硬件、网络安全设备和软件升级维护的支出，客户不需要除了个人电脑和互联网连接之外的其它IT投资就可以通过互联网获得所需要软件和服务。此外，大量的新技术，如Web Service,提供了更简单、更灵活、更实用的SaaS.

　　开发 SaaS 软件系统和开发传统企业应用系统之间有重要区别，标准SaaS 系统是多重租赁的，也就是一套软件和数据库平台，经过软件和数据库的隔离及保密技术，多个企业同时使用。虽然不是多重租赁的SaaS产品不一定是"假SaaS"产品，多重租赁大大提高了运营效率、稳定性，降低运营商的维护和升级成本，变相的说终消费者得到了价格上的实惠。其他重要的 SaaS 需求，如自定义、SOA集成接口、离线客户端等，也都会影响 SaaS 应用程序的体系结构。而国外的Salesforce的PaaS和国内八百客公司的800APP PaaS代表了SaaS的主流架构。

　　数据库：

　　SaaS运营商普遍采用大型商用关系型数据库和集群技术。在数据库的设计上，多重租赁的软件会有三种设计，每个客户公司独享一个数据库instance,或独享一个数据库instance中的一个schema, 或多客户公司以隔离和保密技术原理共享一个数据库instance的一个shema. 几乎所有SaaS软件开发商选择后两种方案，也就是说，所有公司共享一个数据库license,从而降低了成本。

　　数据库隔离的方式经历了instance隔离、schema隔离、partition隔离、数据表隔离、到在应用程序的数据逻辑层提供根据共享数据库进行用户数据增删改授权的隔离机制， 从而在不影响安全性的前提下实现效率化。

　　通过提供这些软件，企业们提供了SaaS服务或是将你的数据存放在他的服务器上，以及获取捏计算机系统，所以，引伸出一个问题：用户使用这些服务的安全性到底。"中小型企业必须非常谨慎的挑选供应商以存储他们宝贵的数据。"分析机构IDC的分析师Laura DuBois表示，这位分析师一直关注在线存储服务以及SaaS领域的发展动向，去年在一篇文章中曾表示，由于在线存储服务来势汹汹，IDC甚至没有为其准备好一个相应的分类方法。很明显，可取的做法是尽可能多的了解该公司是如何提供SaaS服务的，这些都是你应该问问自己的关键问题--只有做出满意的答案才能够任何选择SaaS供应商的决定。

　　应用程序：

　　应用程序的安全围绕Web服务器展开，比如Apache、IIS等。基于这些Web服务器，主流厂商多采用J2EE或。NET开发技术并会采用特殊的Web服务器或服务器配置以优化安全性并优化访问速度和可靠性。同样，Oracle、SQL Server和DB2在数据库层面相比MySQL等数据库也更加成熟。

　　身份验证和授权服务是系统安全性的起点，J2EE和。NET自带全面的安全服务。J2EE提供Servlet Presentation Framework, .NET 提供。NET Framework,并持续升级，因多重租赁带来的整体升级效应使所有使用者共同受益并不需要支付额外的升级费用。应用程序通过调用安全服务的编程接口，来对用户进行授权和上下文继承。

　　在应用程序的设计上，安全服务通过维护用户访问列表、应用程序Session、数据库访问Session等进行数据访问控制。并需要建立严格的组织、组、用户树的建立和维护机制。

　　SaaS平台是近年来的商业模式热点。一种模式是单一厂商基于PaaS应用程序平台提供多种SaaS应用，并通过Web Service接口提供与其他厂商产品集成。 另一种模式是SaaS运营平台，平台厂商提供用户，其他软件厂商提供SaaS应用程序。SaaS运营平台的出现，为应用程序的开发带来了新的挑战，产品的安全由平台上SaaS软件厂商链条中弱的一个决定，也就是短板效应。

　　平台安全的是用户权限的在各个SaaS应用程序中的继承，Salesforce或八百客等厂商的PaaS产品自带成熟的权限树继承技术，自2006年以来已经实现大规模商业运营。而第二种运营平台模式类似的集成需要的定制开发，相应的中间件技术或SOA总线技术还未成熟。

　　ACL和密码保护策略也是SaaS软件成熟度的标志。客户可在自己系统中修改相关策略。有些厂商还推出了浏览器插件来保护客户登录安全。而在近半年，国外厂商频繁地开始让用户登录后回答自己预设的秘密保护问题和答案，也是一种为了安全的保护策略，因中国人对这种密码保护策略没有使用习惯，所以在国内还没有广泛的推广开来。

　　数据传输和客户端：

　　SaaS:提供给客户的服务是运营商运行在云计算基础设施上的应用程序，用户可以在各种设备上通过瘦客户端界面访问，如浏览器。消费者不需要管理或控制任何云计算基础设施，包括网络、服务器、操作系统、存储等等；

　　SaaS通过互联网而非企业局域网来传输数据和表格。SaaS和已经普及的网上银行和网银支付都采用SSL加密技术，加密位数随着硬件速度的提升而提升。主流厂商通常也会花大笔资金购买专用SSL加密设备。八百客、金蝶等国内厂商也提供类似网上银行的U盾客户端技术。

　　SaaS软件都采用浏览器来访问使用，普遍采用的安全技术包括Cookie加密、URL随机码、SQL等代码的注入防范等技术。当然，浏览器及时升级也非常重要。

　　成熟SaaS厂商也推出了可离线使用的客户端软件。而像RightNow等其他厂商，在客户端上做了更多的开发和实施工作。八百客的专用客户端还做了呼叫中心、VOIP电话、短信、电子传真和企业邮局的集成。而这些专用客户端多采用本地数据加密，SSL传输加密等安全技术。

　　结语：

　　不论是SaaS软件还是传统软件，企业安全事故多发生于在密码安全管理松懈的企业，虽然U盾会在会在很大程度上避免此类安全事故发生。

　　与网上银行和邮件快递服务类似，SaaS服务商承诺的安全和可靠性也将被更多企业用户接受。 安全是一个SaaS厂商的长期承诺。