據BBC報道：如果說2008年是高科技職業(yè)犯罪出露馬腳的一年,那么2009年則是這個噩夢的開始，地下經濟正在蓬勃的發(fā)展，高科技犯罪分子不僅成立了多個組織,并且還相互合作以達到他們共有的的利益。近年高科技網絡犯罪呈現出職業(yè)化,攻擊手段多樣化的趨勢。目的也從簡單的病毒惡作劇演變成覬覦個人機密信息和商業(yè)秘密。電子商務的普及所帶來數據的海量增長，使無論是個人用戶還是企業(yè)用戶，現在比以往任何時候都更加依賴于數據信息，這使對于數據安全的保護成為人們最為關注的問題。

近幾年，由于SaaS(Software as a Service軟件即服務)的出現，從軟件交付模式到信息存儲管理均在經歷一場深刻的變革。眾多傳統軟件開發(fā)商，甚至電子商務服務商、電信運營商在看到了SaaS在低成本、跨地區(qū)使用等方面的巨大優(yōu)勢的同時，也逐漸認識到這種軟件模式是未來軟件也發(fā)展的趨勢，紛紛涉足SaaS領域，國內的SaaS軟件也雨后春筍般出現。而SaaS這種通過互聯網交付的形式，其鮮明的互聯網特性使得SaaS數據安全的問題被推到輿論的風口浪尖。是否有技術力量能夠規(guī)避這些風險呢？SaaS軟件運營商們又如何解決？作為國內最早進入SaaS領域的SaaS平臺運營商，風云網絡憑借其在SaaS應用及孵化上的多年經驗積累，與國際軟件巨頭微軟進行戰(zhàn)略合作，通過旗下SaaS運營平臺風云在線（www.FW086.com），向政府、企業(yè)用戶提供高效完整的SaaS安全解決方案，獲得了區(qū)域政府及大量企業(yè)用戶的青睞。筆者帶著問題專訪了中國SaaS業(yè)界的領軍企業(yè)——江蘇風云網絡服務有限公司（下稱風云網絡）平臺開發(fā)部總監(jiān)羅海平先生。

筆者：有些企業(yè)用戶會擔心，在使用SaaS軟件的過程中，公司的機密商業(yè)數據會在客戶端的瀏覽器和托管服務器之間傳輸，這樣一來傳輸過程中數據是否會被截??？

羅總：針對SaaS安全的數據傳輸安全方面，風云在線聯合微軟采取了六層數據安全防護體系，保障數據傳輸安全。在用戶登錄上，我們安裝了證書服務器，并要求客戶使用數字證書訪問，確保用戶輸入用戶名和密碼的服務器是用戶要訪問的服務器。并且通過SSL加密，與網上銀行同等安全級別的加密技術——多層敏感數據傳輸全程SSL加密進一步降低數據被竊取的可能性。多層數據和參數傳送處理，以防止跨站腳本和SQL注入攻擊。對每個ISV 數據訪問及數據傳送采用獨立密鑰加密，確保ISV之間的數據在沒有授權的情況下互相不可見。數據庫中所有涉及用戶機密部分全部采用密文保存。統一安全管理，采用多層保護策略，保證核心應用和關鍵數據的安全。

筆者：曾經有用戶把SaaS誤以為是云計算，造成這種誤解的一個重要原因是云計算的三層原理：基礎架構，包括硬件、服務器等物理資源;中間平臺及應用和服務。這與SaaS的服務原理頗為相似，都具備大量的外來數據存儲設備，但恰恰是這種托管存儲數據的服務，讓企業(yè)不放心。SaaS運營商存儲數據的服務器對互聯網攻擊的防御能力到底有多強？

羅總：針對數據存儲安全方面，風云網絡采取服務器與數據隔離、業(yè)務連續(xù)和災難恢復保障兩大策略來解決。

是服務器和數據隔離安全策略。對Web服務器、應用服務器、接口服務器、業(yè)務系統服務器和域名完全隔離， 以減少單點攻擊的漏洞。對應用系統數據采用不同數據庫或數據表存儲，保障不同應用數據之間的安全。企業(yè)之間數據完全互相隔離，杜絕了企業(yè)間數據的滲透。

第二是業(yè)務連續(xù)和災難恢復保障策略。數據保護方面，包括無中斷備份和恢復過程。高可用性，采用多機冗余，保障系統無單點故障，并通過限度減少計劃內和計劃外停機時間來實現。并且支持災難異地恢復，解決數據恢復的問題。

筆者：存放在SaaS運營商的客戶數據，如何在沒有客戶許可的情況下不被其他人窺探，也是企業(yè)非常擔心問題，對于這點風云在線是如何解決的呢？。

羅總：針對數據訪問權限方面，風云網絡有針對性的提供了嚴密的數據安全制度和身份權限訪問體系。

在數據安全制度方面，我們?yōu)槠髽I(yè)制定內部信息系統維護人員的管理體制，明確角色責任。數據庫中所有涉及用戶機密部分全部采用密文保存，即便系統管理人員也無法得到原文，密鑰可由企業(yè)用戶掌握。并且使用系統修復程序和安全更新維護。使用系統賬號管理， 密碼管理， 賬號權限分配管理，賬號管理審核，保障賬號分配的權限。

在身份權限管理方面，我們通過集中式SSO單點登錄(Cookie/Token加密), 用戶無縫登陸體驗。用戶登錄后，系統根據用戶的角色，權限集合配對其功能操作。ISV應用集中鑒權和授權體驗。應用系統的數據庫訪問使用專署數據庫帳戶，并配置最小訪問控制。

以上諸多安全技術體系和制度，風云網絡從不同角度、不同環(huán)節(jié)對SaaS軟件用戶的數據安全性進行了嚴密的防護，較好地解決了SaaS數據安全問題，已成為SaaS數據安全領域的典范，已得到了眾多企業(yè)用戶的認可，從根本上解決了企業(yè)的后顧之憂。

筆者認為相信隨著SaaS軟件的發(fā)展，SaaS軟件安全保障技術會更加完善，企業(yè)用戶對SaaS軟件的認可會越來越高， SaaS軟件也將迎來飛速發(fā)展的金色春天。

羅海平簡介：

畢業(yè)于華中科技大學，先后在浪潮、明基等著名IT公司擔任高級軟件工程師、架構師、項目經理等職位，在Web架構設計、企業(yè)管理軟件開發(fā)和項目管理等方面積累了多年的經驗。

2002.07～2003.06 浪潮集團山東通用軟件公司 擔任軟件開發(fā)工程師，從事金融行業(yè)財務管理軟件開發(fā)，曾成功開發(fā)并實施中海油財務公司柜臺核算、投資管理和稽核系統。

2002.07～2006.10 明基逐鹿軟件（蘇州）有限公司 擔任高級程序員、項目經理，從事ERP、企業(yè)供應鏈、人力資源管理軟件研發(fā)，曾成功開發(fā)逐鹿ERP服裝行業(yè)版、PCB行業(yè)版，主導開發(fā)并實施統一企業(yè)B2B業(yè)務數據傳輸系統、南京圣迪奧分銷管理系統、默洛尼售后服務管理系統、安徽電力人力資源管理系統等。

2006.11~2007.11 明基中國營銷總部信息技術處 擔任系統分析員、項目經理，規(guī)劃分銷管理系統、并主導分析設計和實施工作。

2007.11~至今 江蘇風云網絡服務有限公司 擔任平臺開發(fā)部總監(jiān)， 負責風云在線SaaS管理平臺功能規(guī)劃、需求調研和開發(fā)管理工作。