SaaS提供商為企業(yè)搭建信息化所需要的所有網(wǎng)絡(luò)基礎(chǔ)設(shè)施及軟件、硬件運作平臺，并負責(zé)所有前期的實施、后期的維護等一系列服務(wù)，企業(yè)無需購買軟硬件、建設(shè)機房、招聘IT人員，即可通過互聯(lián)網(wǎng)使用信息系統(tǒng)。就像打開自來水龍頭就能用水一樣，企業(yè)根據(jù)實際需要，從SaaS提供商租賃軟件服務(wù)。

　　SaaS 是一種軟件布局模型，其應(yīng)用專為網(wǎng)絡(luò)交付而設(shè)計，便于用戶通過互聯(lián)網(wǎng)托管、部署及接入。 SaaS 應(yīng)用軟件的價格通常為"全包"費用，囊括了通常的應(yīng)用軟件許可證費、軟件維護費以及技術(shù)支持費，將其統(tǒng)一為每個用戶的月度租用費。 對于廣大中小型企業(yè)來說，SaaS是采用先進技術(shù)實施信息化的途徑。但SaaS絕不僅僅適用于中小型企業(yè)，所有規(guī)模的企業(yè)都可以從SaaS中獲利。

　　SaaS的安全從機房開始。機房的安全性包括氣體滅火、恒溫恒濕、聯(lián)網(wǎng)電子鎖防盜、24小時專人和錄像監(jiān)控、網(wǎng)絡(luò)設(shè)備帶寬冗余、口令進入機房等。服務(wù)器和防火墻的負載平衡、數(shù)據(jù)庫集群和網(wǎng)絡(luò)存貯備份在近幾年也成為標準安全性技術(shù)。主流SaaS運營商多采用雙數(shù)據(jù)中心運營，其中一個機房數(shù)據(jù)中心為冗余備份。多城市多機房的模式可提高訪問速度，但因大大增加安全管理隱患和維護成本，很少被成熟的SAAS企業(yè)采用。

　　伴隨著J2EE和。NET等基于互聯(lián)網(wǎng)瀏覽器軟件開發(fā)技術(shù)的誕生，真正意義上的SaaS模式企業(yè)管理軟件技術(shù)起始于2003年前后?；诨ヂ?lián)網(wǎng)的特點，SaaS軟件有許多區(qū)別于前一代軟件的獨特性，從服務(wù)器端軟件和數(shù)據(jù)庫、數(shù)據(jù)傳輸、到客戶端瀏覽器都出現(xiàn)了許多新技術(shù)。

　　SaaS服務(wù)模式與傳統(tǒng)許可模式軟件有很大的不同，它是未來管理軟件的發(fā)展趨勢。相比較傳統(tǒng)服務(wù)方式而言SaaS具有很多獨特的特征：SaaS不僅減少了或取消了傳統(tǒng)的軟件授權(quán)費用，而且廠商將應(yīng)用軟件部署在統(tǒng)一的服務(wù)器上，免除了終用戶的服務(wù)器硬件、網(wǎng)絡(luò)安全設(shè)備和軟件升級維護的支出，客戶不需要除了個人電腦和互聯(lián)網(wǎng)連接之外的其它IT投資就可以通過互聯(lián)網(wǎng)獲得所需要軟件和服務(wù)。此外，大量的新技術(shù)，如Web Service,提供了更簡單、更靈活、更實用的SaaS.

　　開發(fā) SaaS 軟件系統(tǒng)和開發(fā)傳統(tǒng)企業(yè)應(yīng)用系統(tǒng)之間有重要區(qū)別，標準SaaS 系統(tǒng)是多重租賃的，也就是一套軟件和數(shù)據(jù)庫平臺，經(jīng)過軟件和數(shù)據(jù)庫的隔離及保密技術(shù)，多個企業(yè)同時使用。雖然不是多重租賃的SaaS產(chǎn)品不一定是"假SaaS"產(chǎn)品，多重租賃大大提高了運營效率、穩(wěn)定性，降低運營商的維護和升級成本，變相的說終消費者得到了價格上的實惠。其他重要的 SaaS 需求，如自定義、SOA集成接口、離線客戶端等，也都會影響 SaaS 應(yīng)用程序的體系結(jié)構(gòu)。而國外的Salesforce的PaaS和國內(nèi)八百客公司的800APP PaaS代表了SaaS的主流架構(gòu)。

　　數(shù)據(jù)庫：

　　SaaS運營商普遍采用大型商用關(guān)系型數(shù)據(jù)庫和集群技術(shù)。在數(shù)據(jù)庫的設(shè)計上，多重租賃的軟件會有三種設(shè)計，每個客戶公司獨享一個數(shù)據(jù)庫instance,或獨享一個數(shù)據(jù)庫instance中的一個schema, 或多客戶公司以隔離和保密技術(shù)原理共享一個數(shù)據(jù)庫instance的一個shema. 幾乎所有SaaS軟件開發(fā)商選擇后兩種方案，也就是說，所有公司共享一個數(shù)據(jù)庫license,從而降低了成本。

　　數(shù)據(jù)庫隔離的方式經(jīng)歷了instance隔離、schema隔離、partition隔離、數(shù)據(jù)表隔離、到在應(yīng)用程序的數(shù)據(jù)邏輯層提供根據(jù)共享數(shù)據(jù)庫進行用戶數(shù)據(jù)增刪改授權(quán)的隔離機制， 從而在不影響安全性的前提下實現(xiàn)效率化。

　　通過提供這些軟件，企業(yè)們提供了SaaS服務(wù)或是將你的數(shù)據(jù)存放在他的服務(wù)器上，以及獲取捏計算機系統(tǒng)，所以，引伸出一個問題：用戶使用這些服務(wù)的安全性到底。"中小型企業(yè)必須非常謹慎的挑選供應(yīng)商以存儲他們寶貴的數(shù)據(jù)。"分析機構(gòu)IDC的分析師Laura DuBois表示，這位分析師一直關(guān)注在線存儲服務(wù)以及SaaS領(lǐng)域的發(fā)展動向，去年在一篇文章中曾表示，由于在線存儲服務(wù)來勢洶洶，IDC甚至沒有為其準備好一個相應(yīng)的分類方法。很明顯，可取的做法是盡可能多的了解該公司是如何提供SaaS服務(wù)的，這些都是你應(yīng)該問問自己的關(guān)鍵問題--只有做出滿意的答案才能夠任何選擇SaaS供應(yīng)商的決定。

　　應(yīng)用程序：

　　應(yīng)用程序的安全圍繞Web服務(wù)器展開，比如Apache、IIS等。基于這些Web服務(wù)器，主流廠商多采用J2EE或。NET開發(fā)技術(shù)并會采用特殊的Web服務(wù)器或服務(wù)器配置以優(yōu)化安全性并優(yōu)化訪問速度和可靠性。同樣，Oracle、SQL Server和DB2在數(shù)據(jù)庫層面相比MySQL等數(shù)據(jù)庫也更加成熟。

　　身份驗證和授權(quán)服務(wù)是系統(tǒng)安全性的起點，J2EE和。NET自帶全面的安全服務(wù)。J2EE提供Servlet Presentation Framework, .NET 提供。NET Framework,并持續(xù)升級，因多重租賃帶來的整體升級效應(yīng)使所有使用者共同受益并不需要支付額外的升級費用。應(yīng)用程序通過調(diào)用安全服務(wù)的編程接口，來對用戶進行授權(quán)和上下文繼承。

　　在應(yīng)用程序的設(shè)計上，安全服務(wù)通過維護用戶訪問列表、應(yīng)用程序Session、數(shù)據(jù)庫訪問Session等進行數(shù)據(jù)訪問控制。并需要建立嚴格的組織、組、用戶樹的建立和維護機制。

　　SaaS平臺是近年來的商業(yè)模式熱點。一種模式是單一廠商基于PaaS應(yīng)用程序平臺提供多種SaaS應(yīng)用，并通過Web Service接口提供與其他廠商產(chǎn)品集成。 另一種模式是SaaS運營平臺，平臺廠商提供用戶，其他軟件廠商提供SaaS應(yīng)用程序。SaaS運營平臺的出現(xiàn)，為應(yīng)用程序的開發(fā)帶來了新的挑戰(zhàn)，產(chǎn)品的安全由平臺上SaaS軟件廠商鏈條中弱的一個決定，也就是短板效應(yīng)。

　　平臺安全的是用戶權(quán)限的在各個SaaS應(yīng)用程序中的繼承，Salesforce或八百客等廠商的PaaS產(chǎn)品自帶成熟的權(quán)限樹繼承技術(shù)，自2006年以來已經(jīng)實現(xiàn)大規(guī)模商業(yè)運營。而第二種運營平臺模式類似的集成需要的定制開發(fā)，相應(yīng)的中間件技術(shù)或SOA總線技術(shù)還未成熟。

　　ACL和密碼保護策略也是SaaS軟件成熟度的標志?？蛻艨稍谧约合到y(tǒng)中修改相關(guān)策略。有些廠商還推出了瀏覽器插件來保護客戶登錄安全。而在近半年，國外廠商頻繁地開始讓用戶登錄后回答自己預(yù)設(shè)的秘密保護問題和答案，也是一種為了安全的保護策略，因中國人對這種密碼保護策略沒有使用習(xí)慣，所以在國內(nèi)還沒有廣泛的推廣開來。

　　數(shù)據(jù)傳輸和客戶端：

　　SaaS:提供給客戶的服務(wù)是運營商運行在云計算基礎(chǔ)設(shè)施上的應(yīng)用程序，用戶可以在各種設(shè)備上通過瘦客戶端界面訪問，如瀏覽器。消費者不需要管理或控制任何云計算基礎(chǔ)設(shè)施，包括網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、存儲等等；

　　SaaS通過互聯(lián)網(wǎng)而非企業(yè)局域網(wǎng)來傳輸數(shù)據(jù)和表格。SaaS和已經(jīng)普及的網(wǎng)上銀行和網(wǎng)銀支付都采用SSL加密技術(shù)，加密位數(shù)隨著硬件速度的提升而提升。主流廠商通常也會花大筆資金購買專用SSL加密設(shè)備。八百客、金蝶等國內(nèi)廠商也提供類似網(wǎng)上銀行的U盾客戶端技術(shù)。

　　SaaS軟件都采用瀏覽器來訪問使用，普遍采用的安全技術(shù)包括Cookie加密、URL隨機碼、SQL等代碼的注入防范等技術(shù)。當(dāng)然，瀏覽器及時升級也非常重要。

　　成熟SaaS廠商也推出了可離線使用的客戶端軟件。而像RightNow等其他廠商，在客戶端上做了更多的開發(fā)和實施工作。八百客的專用客戶端還做了呼叫中心、VOIP電話、短信、電子傳真和企業(yè)郵局的集成。而這些專用客戶端多采用本地數(shù)據(jù)加密，SSL傳輸加密等安全技術(shù)。

　　結(jié)語：

　　不論是SaaS軟件還是傳統(tǒng)軟件，企業(yè)安全事故多發(fā)生于在密碼安全管理松懈的企業(yè)，雖然U盾會在會在很大程度上避免此類安全事故發(fā)生。

　　與網(wǎng)上銀行和郵件快遞服務(wù)類似，SaaS服務(wù)商承諾的安全和可靠性也將被更多企業(yè)用戶接受。 安全是一個SaaS廠商的長期承諾。