近段时间，世界经济正在加速恶化，许多中小企业为了节省开支不得不勒紧裤带，但在精打细算的同时还必须寻求创新的IT思路，以应对这波及全球的经济寒冬。

　　SaaS模式以节约部署时间、前期投入和后期运维资源少等受到普遍的欢迎，使得SaaS在中小企业中开始逐渐取代原本由企业IT部门负责的套装软件和由企业自己开发的软件。IT领域这种根本性的变化将给中小企业的IT运营带来重大冲击，尤其是使CIO面临着新的挑战。

　　而就在SaaS一路高歌猛进的同时，笔者却深思着一个可能是泼冷水的问题，就是SaaS服务的安全与信任问题不能不让人担心。担心的问题是“笔者的商业资料交给SaaS服务商管理，服务人员会按照什么责任来管，商业数据放在那安全吗?”这是一个不容忽视的问题。因此，在经济性与安全性之间如何权衡，CIO一定要拿捏好，为企业信息化应用把好安全的第一关。

　　一.什么是SaaS应用服务?

　　(1)什么是SaaS服务

　　被称作2008年十大值得关注技术--SaaS软件即服务(Software-as-a-Service)是一种通过Internet提供软件的方式，是由服务提供商全权管理和维护软件，客户不再像传统模式那样需要花费大量投资用于硬件、软件、人员进行系统维护，而只需支出一定的租赁服务费用，通过互联网便可以随时随地享受到相应的软件使用权、专业服务和后续升级。

　　SaaS相比较传统服务或软件，它彻底颠覆了传统软件的运营和交付模式，免除了企业购买、构建和维护基础设施和应用程序的巨大投资成本，这对面临寒冬的中小企业来说无疑是一条借鸡生蛋的快捷方式。

　　(2)SaaS的安全隐患

　　但勿庸讳言的是，SaaS这种应用方式在实施、服务和运营过程中要比通常想象的要复杂多，它可能会存在着较大的安全风险，尤其是在可靠性、稳定性、安全性上。因此，大家关心的SaaS安全问题，实际上关于SaaS平台的信任问题，这里信任包括安全诚信与稳定性两个部分，这也是SaaS的致命短板。

　　简单的说，信任不仅仅只是数据安全和应用使用安全，例如基于Internet的SaaS平台可能时刻遭遇着病毒、黑客甚至竞争对手获取、篡改和破坏的风险，稍有不慎就会带来重大风险损失;而且还包括能否随时随地的稳定访问，如一是服务能否不间断的随时安全访问，如7x24x365的服务时间不会因为技术节点失效而间断。二是能否随地的安全访问，例如没有世界地区差异造成的访问限制或速度限制或功能限制或存储限制。因此，只有有了可信平台，用户才能放心的构建基于SaaS之上的业务架构平台。

　　近段时间，世界经济正在加速恶化，许多中小企业为了节省开支不得不勒紧裤带，但在精打细算的同时还必须寻求创新的IT思路，以应对这波及全球的经济寒冬。

　　SaaS模式以节约部署时间、前期投入和后期运维资源少等受到普遍的欢迎，使得SaaS在中小企业中开始逐渐取代原本由企业IT部门负责的套装软件和由企业自己开发的软件。IT领域这种根本性的变化将给中小企业的IT运营带来重大冲击，尤其是使CIO面临着新的挑战。

　　而就在SaaS一路高歌猛进的同时，笔者却深思着一个可能是泼冷水的问题，就是SaaS服务的安全与信任问题不能不让人担心。担心的问题是“笔者的商业资料交给SaaS服务商管理，服务人员会按照什么责任来管，商业数据放在那安全吗?”这是一个不容忽视的问题。因此，在经济性与安全性之间如何权衡，CIO一定要拿捏好，为企业信息化应用把好安全的第一关。

　　二.什么是SaaS应用服务?

　　(1)什么是SaaS服务

　　被称作2008年十大值得关注技术--SaaS软件即服务(Software-as-a-Service)是一种通过Internet提供软件的方式，是由服务提供商全权管理和维护软件，客户不再像传统模式那样需要花费大量投资用于硬件、软件、人员进行系统维护，而只需支出一定的租赁服务费用，通过互联网便可以随时随地享受到相应的软件使用权、专业服务和后续升级。

　　SaaS相比较传统服务或软件，它彻底颠覆了传统软件的运营和交付模式，免除了企业购买、构建和维护基础设施和应用程序的巨大投资成本，这对面临寒冬的中小企业来说无疑是一条借鸡生蛋的快捷方式。

　　(2)SaaS的安全隐患

　　但勿庸讳言的是，SaaS这种应用方式在实施、服务和运营过程中要比通常想象的要复杂多，它可能会存在着较大的安全风险，尤其是在可靠性、稳定性、安全性上。因此，大家关心的SaaS安全问题，实际上关于SaaS平台的信任问题，这里信任包括安全诚信与稳定性两个部分，这也是SaaS的致命短板。

　　简单的说，信任不仅仅只是数据安全和应用使用安全，例如基于Internet的SaaS平台可能时刻遭遇着病毒、黑客甚至竞争对手获取、篡改和破坏的风险，稍有不慎就会带来重大风险损失;而且还包括能否随时随地的稳定访问，如一是服务能否不间断的随时安全访问，如7x24x365的服务时间不会因为技术节点失效而间断。二是能否随地的安全访问，例如没有世界地区差异造成的访问限制或速度限制或功能限制或存储限制。因此，只有有了可信平台，用户才能放心的构建基于SaaS之上的业务架构平台。

　　三. 如何选择安全的SaaS应用服务?

　　SaaS应用给许多中小企业带来了新的机遇，但同时也带来更多安全性问题的挑战。因此，面对众多的SaaS软件，CIO应该如何有效选择安全的SaaS服务?

　　(1)判断服务商的主营方向，确保投入足够安全研发资金

　　SaaS服务提供商应具有良好经营状态、雄厚实力、众多成功案例与较长的服务历史。例如，考察所提供的SaaS是否是服务商的主营业务方向，因为如果SaaS服务是服务商的主营业务的话，服务商将会不断投入。同时，服务商的专业性研发实力也很关键，SaaS服务研发技术直接决定着所选择的SaaS产品的后续更新能否跟上安全发展的速度。

　　(2)考察厂商的安全信誉，建立信任关系

　　专业的SaaS厂商可能比用户更加注重安全方面的信誉，因为SaaS的“安全性”就是服务商的“饭碗”。就像在网上买东西，用户需要看的是厂商所获得的用户评价和媒体的口碑。一般来说，SaaS服务商对安全信誉越是重视，对SaaS安全的持续投入也会越多，如此良性循环，服务商就会可能拥有更丰富的安全经验。但也要注意的是，有些服务商仅仅把SaaS产品作为炒作的噱头，当作一条生财之道，并没有投入足够的资金在安全技术上来。

　　(3)考察服务商的安全规章制度

　　CIO要加强对SaaS服务商进行安全规章制度的考察、把脉。因为即使SaaS服务商投入大量资金在硬件安全和软件系统建设上，如果缺乏有效的管理制度也是会错漏百出的。因此，采用严格的数据安全制度和保密措施，是开展安全和保密工作的第一步，也是让用户安心放心的关键一步。

　　制度评估内容包括SaaS服务供应商是否建立了严格、规范的SaaS服务管理体系，是否拥有高水准、多层次的专业服务工程师队伍，能否提供完整、专业的配套业务体系，以及是否建立及时、准确的服务质量监控体系。这既是每一个SaaS服务商需要重视的问题，也是中小企业选择SaaS服务时的必须检查的重要事项之一。

　　(4)了解有没有第三方监理或相关认证

　　第三方安全监理和通过相关的安全认证是确保SaaS服务商在执行安全活动的一种国际通行惯例。用户应利用第三方监理这种社会化、科学化、公开化和专业化的监督机制来确保SaaS服务商在执行安全活动的效果。