专家访谈：罗海平谈SaaS数据安全

近几年，由于SaaS(Software as a Service软件即服务)的出现，从软件交付模式到信息存储管理均在经历一场深刻的变革。众多传统软件开发商，甚至电子商务服务商、电信运营商在看到了SaaS在低成本、跨地区使用等方面的巨大优势的同时，也逐渐认识到这种软件模式是未来软件也发展的趋势，纷纷涉足SaaS领域，国内的SaaS软件也雨后春笋般出现。而SaaS这种通过互联网交付的形式，其鲜明的互联网特性使得SaaS数据安全的问题被推到舆论的风口浪尖。是否有技术力量能够规避这些风险呢？SaaS软件运营商们又如何解决？作为国内最早进入SaaS领域的SaaS平台运营商，风云网络凭借其在SaaS应用及孵化上的多年经验积累，与国际软件巨头微软进行战略合作，通过旗下SaaS运营平台风云在线（www.FW086.com），向政府、企业用户提供高效完整的SaaS安全解决方案，获得了区域政府及大量企业用户的青睐。记者带着问题专访了中国SaaS业界的领军企业――江苏风云网络服务有限公司（下称风云网络）平台开发部总监罗海平先生。

记者：有些企业用户会担心，在使用SaaS软件的过程中，公司的机密商业数据会在客户端的浏览器和托管服务器之间传输，这样一来传输过程中数据是否会被截取？

罗海平：针对SaaS安全的数据传输安全方面，风云在线联合微软采取了六层数据安全防护体系，保障数据传输安全。在用户登录上，我们安装了证书服务器，并要求客户使用数字证书访问，确保用户输入用户名和密码的服务器是用户要访问的服务器。并且通过SSL加密，与网上银行同等安全级别的加密技术――多层敏感数据传输全程SSL加密进一步降低数据被窃取的可能性。多层数据和参数传送处理，以防止跨站脚本和SQL注入攻击。对每个ISV 数据访问及数据传送采用独立密钥加密，确保ISV之间的数据在没有授权的情况下互相不可见。数据库中所有涉及用户机密部分全部采用密文保存。统一安全管理，采用多层保护策略，保证核心应用和关键数据的安全。

记者：曾经有用户把SaaS误以为是云计算，造成这种误解的一个重要原因是云计算的三层原理：基础架构，包括硬件、服务器等物理资源;中间平台及应用和服务。这与SaaS的服务原理颇为相似，都具备大量的外来数据存储设备，但恰恰是这种托管存储数据的服务，让企业不放心。SaaS运营商存储数据的服务器对互联网攻击的防御能力到底有多强？

罗海平：针对数据存储安全方面，风云网络采取服务器与数据隔离、业务连续和灾难恢复保障两大策略来解决。

第一是服务器和数据隔离安全策略。对Web服务器、应用服务器、接口服务器、业务系统服务器和域名完全隔离， 以减少单点攻击的漏洞。对应用系统数据采用不同数据库或数据表存储，保障不同应用数据之间的安全。企业之间数据完全互相隔离，杜绝了企业间数据的渗透。

第二是业务连续和灾难恢复保障策略。数据保护方面，包括无中断备份和恢复过程。高可用性，采用多机冗余，保障系统无单点故障，并通过最大限度减少计划内和计划外停机时间来实现。并且支持灾难异地恢复，解决数据恢复的问题。