“SaaS只有具有本土特色,才能健康发展。”日前,在首届“SaaS核心技术创新与应用高峰论坛”上,IBM大中华区云计算中心项目总监朱近之如是说。中企开源正是建设具有中国本土特色SaaS的积极倡导者与开拓者。本次高峰论坛由中企开源和长风联盟联合主办,得到了工业和信息化部、北京市经济和信息化委员会、北京市科学技术委员会的指导,集合业内Salesforce、用友伟库、IBM、曙光等代表性公司与研究机构,共同探讨SaaS核心关键技术的现状以及发展趋势,推动SaaS技术的创新和应用。
中国SaaS经过几年的发展,慢慢展现出它的活力,越来越多的厂商加入到这个领域并作出了突出贡献。以目前SaaS的领军企业,长风联盟互联网信息服务工作组主席单位中企开源为例,今年三月发布SaaS白皮书,六月推出中国首个SaaS体验中心,不遗余力推进中国特色SaaS产业链的建立。但是,从目前整体的实际情况看,SaaS在中国的发展并不乐观:SaaS在中国呈现叫好不叫座的局面,用户对SaaS的认知和接受度仍然较低,用户担心的安全问题仍然没有得到很好的解决。
安全问题在国内外的认识有很大的差异。据Gartner Group对美国SaaS市场的调研结论表明,安全的重要性被排在倒数第二位。一份关于北美和欧洲软件决策者的调查结果却显示,50%的企业因安全问题对SaaS不感兴趣。Fairfax Business Research 对SaaS的安全性进行了一项调查,结果显示79%的受访者将安全性作为不使用SaaS的主要原因。而2009年德赛“SaaS发展最大障碍”的在线调研结果却表明,安全已成为SaaS发展的最大障碍。从以上数据可以看出,随着SaaS市场的快速增长,用户对SaaS安全的担心也在飞速增加,而且国内用户将其列为SaaS发展的最大障碍。
中企开源根据多年服务经验在会上指出,用户对SaaS安全问题的担心多种多样,举例来说,用户对系统可用性的担心主要表现在黑客攻击和系统故障上。由于经常发生黑客攻击,一旦系统被黑客攻击,怎么保证用户能够正常地使用SaaS服务?任何系统都不能保证百分之百的不出故障,一旦出了故障,用户的数据是否丢失?同样,用户对数据被窃取或者篡改的担心也很严重。由于使用SaaS软件需要远程登陆,万一在这个过程中,用户名和密码被黑客截取进行数据窃取或者数据篡改怎么办?还有,如果用户购买SaaS服务,运营商怎么保证自己的工程师不把数据,尤其是CRM数据,卖给竞争对手?
针对这样的现状,中企开源认为用户对SaaS安全的担心在不断增加,同时因用户本身信息安全意识的提升,也将导致对SaaS安全的关注。而且随着SaaS市场的成熟,客户还会提出更多的安全需求。未来,安全将是SaaS发展的重点!而目前业界的SaaS安全现状是分散化,缺乏统一的安全体系,服务商普遍重技术、轻管理。因此,中企开源认为构建完善的安全运营体系将是SaaS发展的重中之重!
如何建设具有中国本土特色的、安全高效的SaaS运营体系,中企开源副总经理李刚指出,基于SaaS服务的安全运营模型建设包含三个方面:安全技术、安全管理与合规安全。安全技术模型具体包括通信、数据、物理、代码、系统、应用、操作安全几大关键。安全管理模型涵括系统加固、灾难恢复、应急响应、补丁管理、漏洞扫描、风险评估六大因素。合规安全模型则包含法规遵从、内部审计、行为审计、过程控制、IT审计等方面。李刚详述了每个层面需要注意的问题,及需达成的效果。以安全技术模型下的应用安全为例,安全应用系统可以根据企业自定的安全策略对接入设备进行访问权限和范围的分配和控制,防止不具备安全标准的设备随意接入,确保整个网络环境安全无毒。而针对安全管理模型下系统加固而言,则需做到关闭不必要服务、提高安全级别、关闭不必要端口、禁止扫描、拒绝大数据包、拒绝不明来源数据包等。
在本次论坛上,李刚和与会嘉宾分享了中企开源针对SaaS服务的安全基础设施建设与安全网络架构的经验,得到高度认可。中企开源在完善的安全运营体系的保障下,抗击DDOS攻击36次,100%成功对抗;IDS监测记录达7亿3千多条,提前处理威胁2万8千多次;平均带宽负载量低于45%,最高带宽负载68%;SaaS接入8万9千8百万次,100%无故障记录;成功分发补丁7000余次,最迟晚于补丁发布3天内修复;处理病毒640873个,清除率:99.998%……。中企开源借助于先进的安全技术和科学的管理,已经通过了ISO27001 (信息安全管理体系认证)、ISO20000(IT服务管理认证)、ISO9000(IT服务质量认证)等资质认证,中企开源的SaaS安全运营经验不仅为用户提供了高质量的安全保障,也将给更多同业厂商带来有力参考,推动中国特色SaaS的发展!