确保SaaS数据的安全

1、确保SaaS数据的安全在线存储和在线备份解决了部分中小企业在数据保存 和备份方面的难题，但同时也引出了另外的问题 : 数据保存 在供应商那里是否安全？它们有哪些手段保证数据的安 全？Software as a Service (SaaS) 如今已经变成了一个很流 行的词汇。 根据定义，前期无需投资购买任何服务器和软件、 可以通过互联网接入和访问的应用和服务都属于SaaS范畴。按照这一定义，提供在线存储和数据保护服务的供应商都可 以算做SaaS供应商。事实上，为了扩大市场， 不少大型供应商如 EMC 、IBM 、 HP 等纷纷涉足这一领域，在线存储和备份正在成为一个日 益壮大的市场。由于前期投入

2、少(或没有) ，管理简单，在 线存储和备份服务尤其受到中小企业的欢迎。不过，用户常 常担心，这些SaaS供应商把用户的数据保存在它们的服务 器上，或者它们直接能访问用户的计算机系统。这些服务的 安全性如何，由它们保存的数据安全吗？客户保留率是重要指标“中小企业的数据如果非常重要时，在挑选供应商时就 更要特别留意。 ” IDC 分析师 Laura DuBois 说，比如，一旦 真要恢复数据需要多长时间、供应商在市场低迷时是否有足 够的生存能力等，这些都是在挑选SaaS供应商时应该关心的问题。特别是供应商不愿介绍成功案例或者客户保留率过 低时，更应该警惕。“在SaaS领域，客户保留率是一个非常有说

3、服力的指 标，” Laura DuBois 说，“一个比较好的供应商至少应该有 98%以上的客户保留率。 ”如果遇到的是一个之前没有听说过 的供应商或者供应商是一个初创公司，用户更需要花点时间 来确认供应商所说的成功案例是否真实。另外一个考察角度是厂商给用户提供的技术支持。这个 市场不乏说得好听而售后支持却是一塌糊涂的供应商。有些 时候，为专业的技术支持支付高一些的费用是值得的。“究竟选择那个供应商说到底还是取决于企业的需要。 ” Iron Mountain 公司图像电子化中心总经理 Tom Meyer 说，“ 有 些企业并不需要高安全性的内容管理系统，因此选择简单而 且便宜的在线存储就够用了

4、。 ”多种手段可保证数据安全很明显，在选择 SaaS模式时，安全应该贯彻在 SaaS供应商的选择、部署等整个过程之中。其中，最需要弄清楚的 一个问题是，供应商如何保存它们的数据以及它们采用了哪 些方法来预防不测。“中小企业应该必须多问供应商一句，把自己的数据保存在哪里了？”Laura DuBois说：“一个合格的 SaaS供应商通常会有多种办法，比如建立数据中心镜像。另外，供应 商不仅要把客户的数据保存在多个地点，而且还要保证需要 时马上可用。 ”SaaS供应商可以采用的保证数据安全的方法有很多。一些供应商采用磁盘阵列同时对数据加密，也有一些采用更简 单的手段，把数据存放在一个隔离的安全位置。

5、下面是一些 供应商采用的几种具体方法。1. Iron Mountain 采用数据传输加密、用户访问控制以及 把数据保存在位于地下 200 英尺的数据中心等多种方法来保 证数据的安全。2. 备份和存储SaaS供应商Elephant Drive通过把数据保 存到多个基于硬盘的存储池来保证数据的安全。它对数据复 制的保护已经内嵌到其产品当中。它所有的数据至少被分别保存到位于不同地理位置的两个数据中心3. 在线备份服务供应商 AmeriVault 把客户数据保存在 三个不同的地方。其中一个地点保存有两份数据，分别存放 到两个不同的磁盘系统中，而第三份数据保存在 1000 英里 以外的业务连续性站点上。

6、4. 在线备份供应商 DS3 DataVaulting 采用 EMC 的 Clariion 作为主存储设备，另外一份备份的数据保存在一个 完全不同的高端磁盘系统，以保证数据恢复简单易行。它的 三个数据中心中有一个专门用于保存客户数据。“任何一个负责任的 SaaS 供应商都应该采用最合适的 办法来确保它服务器的安全，而且它也应该把这个措施给它 的客户说清楚。 ” Laura DuBois 说。签一份服务级别协议对用户来说，获得满意的 SaaS服务的一个有效办法是 签订服务级别协议（SLA ）。SLA规定了服务供应商所提供 的服务可靠性必须符合一定的要求。对于SaaS服务，其SLA 不应该低于 9

7、9%。而且， SLA 中还应该涉及如果合同终止用 户的数据应如何处理等内容。你必须得到明确的答复，数据 属于你，而且从条款上有所体现。比如美国 Prince Street Capital Management 公司租用了Data Storage公司（DSC）的数据备份服务来为公司的邮件系 统提供数据保护。为了保证数据的安全， DSC 在另外一个地 方建有数据存储中心，如果需要可以快速进行数据的恢复。在它订立的SaaS合同中，SLA是重要的组成部分。“在我们确定数据备份和恢复解决方案的过程中，快速 恢复 Exchange 数据的能力是最重要的考察指标。 ”公司 CFO Peter McKown说

8、，“ DSC满足了我们的业务需求：而其服务 级别则超过了我们的预期。 ”IDC的DuBois认为，用户对SaaS的安全有所担心是正 常的，这与 10 年前电子商务的发展过程有些类似。那时， 很多小企业同样也非常担心，不仅担心数据的安全性，还担 心与之做生意的那个刚刚成立的公司是否可信，甚至电子商 务这种模式是否可行等。 10 年之后， 几乎所有人都或多或少 有了一些网上交易的经历了，电子商务终于被企业界接受 了。SaaS的演进过程也与电子商务相似，相信最终会赢得人们的信任并变成企业 IT 最普通的一部分。对于那些只有 IT 部门很小甚至根本就没有 IT 人员的企业来说，如果部署恰 当，SaaS

9、完全是一个值得尝试的模式。当然，前提是必须挑 选到一个合适的供应商， IDC 的 DuBois 建议，准备将 IT 交 给SaaS供应商的企业至少要明确三个问题：谁在提供技术？管理自己的数据是谁？谁负责数据中心和相关基础设 施？“有时候会有三个不同的供应商，随之会带来潜在的风 险。” DuBois 说 : “但是，无论何时，作为用户一定要对隐 私、加密、可用性、恢复时间、服务级别协议、成本以及合 同期限等多加留意。 ”链接SaaS的安全技术SaaS的安全可以分为两个部分，即数据安全和SaaS软件系统的安全。数据安全主要指的是客户信息是否以安全的 方式保存在安全的地方。比如，是否加密、是否在不同地理 位置有备份的数据中心以及机房本身是否安全 （如是否有 24 小时录像监控，是否有可靠的预防火灾、水灾的措施）等。SaaS软件系统的安全主要涉及 Web服务器、应用程序、 数据库和数据传输等。当前，主流SaaS厂商为了提高 Web服务器的安全性多选择特殊的 Web 服务器，比如在 Apache 的基础上进行修改，有的还会进行有针对性的优化，以提高 访问速度和可靠性。而应用程序方面，安全技术主要