我们应该相信谁？

    随着SaaS模式的软件慢慢占领传统软件的市场，新生事物总会受到传统事物的排挤，SaaS也不例外，就好比爱迪生发明的电灯泡在早期受到蜡烛厂商的排挤一样，不排出一些人站在自己的利益角度攻击SaaS的安全性。也不排除一些低劣的SaaS的服务厂商中，没有利用更安全的技术，如何辨别具体的一种SaaS是否安全，需要把握以下几点：

1、传输协议加密

    首先，要看SaaS产品提供使用的协议，是https://还是一般的http://，别小看这个s，这表明所有的数据在传输过程中都是加密的。如果不加密，网上可能有很多“嗅探器”软件能够轻松的获得您的数据，甚至是您的用户名和密码；实际上网上很多聊天软件帐号被盗大多数都是遭到“嗅探器”的“招”了。

    其次，传输协议加密还要看是否全程加密，即软件的各个部分都是https://协议访问的，有部分软件只做了登录部分，这是远远不够的。目前，Salesforce、XToolsCRM都是采取全程加密的。

2、服务器安全证书

    服务器安全证书是用户识别服务器身份的重要标示，有些不正规的服务厂商并没有使用全球认证的服务器安全证书。用户对服务器安全证书的确认，表示服务器确实是用户访问的服务器，此时可以放心的输入用户名和密码，彻底避免“钓鱼”型网站，大多数银行卡密码泄漏都是被“钓鱼”站钓上的。

3、URL数据访问安全码技术

    对于一般用户来说，复杂的URL看起来只是一串没有意义的字符而已。但是对于一些IT高手来说，这些字符串中可能隐藏着一些有关于数据访问的秘密，通过修改URL，很多黑客可以通过诸如SQL注入等方式攻入系统，获取用户数据。

4、数据的管理和备份机制

    SaaS服务商的数据备份应该是完善的，用户必须了解自己服务商为您提供了什么样的数据备份机制，一旦出现重大问题，如何恢复数据等。服务商在内部管理上如何保证用户数据不被服务商所泄露，也是需要用户和服务商沟通的。

5、运营服务系统的安全

    在评估SaaS产品安全度的时侯，最重要的是看公司对于服务器格局的设置，只有这样的格局才是可以信任的，包括：运营服务器与网站服务器分离。

    服务器的专用是服务器安全最重要的保证。试想，如果一台服务器安装了SaaS系统，但同时又安装了网站系统、邮件系统、论坛系统……，他还能安全吗?在黑客角度来说，越多的系统就意味着越多的漏洞，况且大多数网站使用的网站系统、邮件系统和论坛系统都是在网上能够找到源代码的免费产品，有了源代码，黑客就可以很容易攻入。很多网站被攻入都是因为论坛系统的漏洞。

    因此，一个优秀的软件SaaS运营商，运营服务器和网站服务器应该完全隔离的，甚至域名也应该分开。

6、重视厂商的历史和专业性，有助于建立信任关系

    专业的SaaS厂商可能比用户更加注重安全，因为SaaS的“安全性”就是厂商的“饭碗”。就像在网上买东西，我们用户需要看看厂商获得用户方面的评价，和媒体的口碑，看看是否专业和专注SaaS。有些厂商仅仅把SaaS产品作为炒作的噱头，可能危害的就是用户。

    这样看起来，无论是传统的局域网信息化系统，还是SaaS模式的信息化系统，都会让客户关注数据安全。但如果我们有标准来衡量信息化系统的安全性，或者我们提前知晓这些风险的存在，对于用户来说是有利的。