“SaaS只有具有本土特色,才能健康發展。”日前,在首屆“SaaS核心技術創新與應用高峰論壇”上,IBM大中華區云計算中心項目總監朱近之如是說。中企開源正是建設具有中國本土特色SaaS的積極倡導者與開拓者。本次高峰論壇由中企開源和長風聯盟聯合主辦,得到了工業和信息化部、北京市經濟和信息化委員會、北京市科學技術委員會的指導,集合業內Salesforce、用友偉庫、IBM、曙光等代表性公司與研究機構,共同探討SaaS核心關鍵技術的現狀以及發展趨勢,推動SaaS技術的創新和應用。
中國SaaS經過幾年的發展,慢慢展現出它的活力,越來越多的廠商加入到這個領域并作出了突出貢獻。以目前SaaS的領軍企業,長風聯盟互聯網信息服務工作組主席單位中企開源為例,今年三月發布SaaS白皮書,六月推出中國首個SaaS體驗中心,不遺余力推進中國特色SaaS產業鏈的建立。但是,從目前整體的實際情況看,SaaS在中國的發展并不樂觀:SaaS在中國呈現叫好不叫座的局面,用戶對SaaS的認知和接受度仍然較低,用戶擔心的安全問題仍然沒有得到很好的解決。
安全問題在國內外的認識有很大的差異。據Gartner Group對美國SaaS市場的調研結論表明,安全的重要性被排在倒數第二位。一份關于北美和歐洲軟件決策者的調查結果卻顯示,50%的企業因安全問題對SaaS不感興趣。Fairfax Business Research 對SaaS的安全性進行了一項調查,結果顯示79%的受訪者將安全性作為不使用SaaS的主要原因。而2009年德賽“SaaS發展最大障礙”的在線調研結果卻表明,安全已成為SaaS發展的最大障礙。從以上數據可以看出,隨著SaaS市場的快速增長,用戶對SaaS安全的擔心也在飛速增加,而且國內用戶將其列為SaaS發展的最大障礙。
中企開源根據多年服務經驗在會上指出,用戶對SaaS安全問題的擔心多種多樣,舉例來說,用戶對系統可用性的擔心主要表現在黑客攻擊和系統故障上。由于經常發生黑客攻擊,一旦系統被黑客攻擊,怎么保證用戶能夠正常地使用SaaS服務?任何系統都不能保證百分之百的不出故障,一旦出了故障,用戶的數據是否丟失?同樣,用戶對數據被竊取或者篡改的擔心也很嚴重。由于使用SaaS軟件需要遠程登陸,萬一在這個過程中,用戶名和密碼被黑客截取進行數據竊取或者數據篡改怎么辦?還有,如果用戶購買SaaS服務,運營商怎么保證自己的工程師不把數據,尤其是CRM數據,賣給競爭對手?
針對這樣的現狀,中企開源認為用戶對SaaS安全的擔心在不斷增加,同時因用戶本身信息安全意識的提升,也將導致對SaaS安全的關注。而且隨著SaaS市場的成熟,客戶還會提出更多的安全需求。未來,安全將是SaaS發展的重點!而目前業界的SaaS安全現狀是分散化,缺乏統一的安全體系,服務商普遍重技術、輕管理。因此,中企開源認為構建完善的安全運營體系將是SaaS發展的重中之重!
如何建設具有中國本土特色的、安全高效的SaaS運營體系,中企開源副總經理李剛指出,基于SaaS服務的安全運營模型建設包含三個方面:安全技術、安全管理與合規安全。安全技術模型具體包括通信、數據、物理、代碼、系統、應用、操作安全幾大關鍵。安全管理模型涵括系統加固、災難恢復、應急響應、補丁管理、漏洞掃描、風險評估六大因素。合規安全模型則包含法規遵從、內部審計、行為審計、過程控制、IT審計等方面。李剛詳述了每個層面需要注意的問題,及需達成的效果。以安全技術模型下的應用安全為例,安全應用系統可以根據企業自定的安全策略對接入設備進行訪問權限和范圍的分配和控制,防止不具備安全標準的設備隨意接入,確保整個網絡環境安全無毒。而針對安全管理模型下系統加固而言,則需做到關閉不必要服務、提高安全級別、關閉不必要端口、禁止掃描、拒絕大數據包、拒絕不明來源數據包等。
在本次論壇上,李剛和與會嘉賓分享了中企開源針對SaaS服務的安全基礎設施建設與安全網絡架構的經驗,得到高度認可。中企開源在完善的安全運營體系的保障下,抗擊DDOS攻擊36次,100%成功對抗;IDS監測記錄達7億3千多條,提前處理威脅2萬8千多次;平均帶寬負載量低于45%,最高帶寬負載68%;SaaS接入8萬9千8百萬次,100%無故障記錄;成功分發補丁7000余次,最遲晚于補丁發布3天內修復;處理病毒640873個,清除率:99.998%……。中企開源借助于先進的安全技術和科學的管理,已經通過了ISO27001 (信息安全管理體系認證)、ISO20000(IT服務管理認證)、ISO9000(IT服務質量認證)等資質認證,中企開源的SaaS安全運營經驗不僅為用戶提供了高質量的安全保障,也將給更多同業廠商帶來有力參考,推動中國特色SaaS的發展!
