SaaS

SaaS即Software-as-a-Service（軟件即服務）是隨着互聯網技術的發展和應用軟件的成熟， 在21世紀開始興起的一種完全創新的軟件應用模式。傳統模式下，廠商通過License將軟件產品部署到企業內部多個客户終端實現交付。SaaS定義了一種新的交付方式，也使得軟件進一步迴歸服務本質。企業部署信息化軟件的本質是為了自身的運營管理服務，軟件的表象是一種業務流程的信息化，本質還是第一種服務模式，SaaS改變了傳統軟件服務的提供方式，減少本地部署所需的大量前期投入，進一步突出信息化軟件的服務屬性，或成為未來信息化軟件市場的主流交付模式。 ^[4] 

一方面，SaaS服務通過互聯網瀏覽器或WebServices/Web2.0程序連接的形式為用户提供服務，使得SaaS應用具備了典型互聯網技術特點；另一方面，由於SaaS極大地縮短了用户與SaaS提供商之間的時空距離，從而使得SaaS服務的營銷、交付與傳統軟件相比有着很大的不同。 ^[5] 

比如，SaaS軟件行業知名產品NetSuite所提供的在線ERP、在線CRM等模塊產品都是基於網絡的，這樣的優勢在於不必投入任何硬件費用，也不用請專業的系統維護人員就能上網，有瀏覽器就可以進行ERP、CRM系統的使用。快速的實施、便捷的使用、低廉的價格都有賴於SaaS產品的互聯網特性。 ^[5] 

SaaS服務通常基於一套標準軟件系統為成百上千的不同客户(又稱為租户)提供服務。這要求SaaS服務能夠支持不同租户之間數據和配置的隔離，從而保證每個租户數據的安全與隱私，以及用户對諸如界面、業務邏輯、數據結構等的個性化需求。由於SaaS同時支持多個租户，每個租户又有很多用户，這對支撐軟件的基礎設施平台的性能、穩定性和擴展性提出很大挑戰。SaaS作為一種基於互聯網的軟件交付模式，優化軟件大規模應用後的性能和運營成本是架構師的核心任務。 ^[5] 

SaaS使軟件以互聯網為載體的服務形式被客户使用，所以很多服務合約的簽訂、服務使用的計量、在線服務質量的保證和服務費用的收取等問題都必須加以考慮。而這些問題通常是傳統軟件沒有考慮到的。 ^[5] 

可擴展性意味着最大限度地提高系統的併發性，更有效地使用系統資源。比如應用：優化資源鎖的持久性，使用無狀態的進程，使用資源池來共享線和數據庫連接等關鍵資源，緩存參考數據，為大型數據庫分區。 ^[5] 

SaaS軟件個性化定製技術尚未成熟： ^[6] 

隨着企業信息化的程度的提升，通用化的SaaS平台已經無法滿足企業個性化的需求，而SaaS產品由於使用多租户的架構，這一問題就十分重要。傳統的軟件常常採用定製的方法來滿足個性化的客户需求，當然對於SaaS軟件而言也可以採用。但是SaaS軟件和傳統軟件在定製技術上存在較大的差異：傳統軟件的定製只需針對某一具體的用户進行，而SaaS的定製則需讓軟件滿足多租户各自的需求，需要多個定製。傳統軟件的定製服務是在軟件開發階段完成，而SaaS需要在軟件使用過程中針對需求的變化更新定製，而且在定製的時候不能影響其他用户的使用。除此以外，SaaS定製過程必須簡單易行，使得用户可以自行完成。這些差異使得SaaS應用在技術設計上更加複雜，傳統的個性化定製無法應用在SaaS領域。因此，SaaS個性化定製技術的改進是制約其發展的瓶頸之一。 ^[6] 

當前SaaS市場的混亂狀態制約其發展： ^[6] 

由於大客户的市場盈利機會更大，SaaS服務提供商專注於大型客户，中小客户被忽略。類似於用友、金蝶等從傳統軟件行業轉型發展SaaS平台的企業佔有優質大量的客户資源，卻受制於其收入模式，無法加速SaaS平台的推廣。對於小型SaaS服務提供商，融資難、拓展市場困難始終是其難題。除此以外，SaaS市場的驅動力一直是國外的經驗而非國內企業的真正需求，許多SaaS公司並沒有實現和用户的真正交流，導致產品不能和用户的真實需求接軌。為了競爭市場，SaaS服務商的廣告漫天遍地，使得本身不成熟的SaaS市場更加魚龍混雜。 ^[6] 

相關的法律法規不完善： ^[6] 

近年來，雖然我國政府大力推進雲計算及SaaS平台，但其仍處於高速發展的階段，仍是缺乏法律保護的雲。一方面，對於用户而言，SaaS平台下的用户數據被儲存在雲端，用户並不知道其處理過程和存放位置，數據缺乏法律保護使得用户對服務提供商的信任度很低；另一方面，制度不完善使得不法分子有機可乘，SaaS服務商承擔着用户數據丟失的風險和責任，極大地制約了SaaS服務商創新及開拓市場的積極性。 ^[6] 

數據安全和網絡安全較難保證： ^[6] 

雖然當前已有多種多樣數據加密方式，但是SaaS平台要求用户數據的安全是一種動態安全，不僅要保證數據不丟失，還需要保證用户在業務增減等原因導致的安全需求發生變化時能靈活調整。同時，由於平台被多租户共享，數據信息交互複雜，對數據權限的要求極高。對於網絡安全而言，互聯網的穩定性給SaaS的應用提出了巨大的挑戰。企業內網和互聯網連接的不確定性太高，無論何種因素引起的網絡穩定性的波動都會影響軟件的使用，甚至造成用户數據的丟失。 ^[6] 

1、加大研發力度，解決個性化定製問題

在個性化定製技術方面，當前主要分為數據定製、功能定製、界面定製和業務邏輯定製四個方面，而業務邏輯定製是最大的難點。國內外對於個性化定製的諸多方法都未能完全解決SaaS在線定製的問題，因此軟件提供商應持續研究開發，尋求最適宜的個性化定製方法。 ^[7] 

2、多方協助，共同規範SaaS市場的競爭秩序

首先，各SaaS服務提供商應明確各自的目標客户，深入市場內部，根據用户的需求定製自己的宣傳點；其次，政府有必要在積極推動SaaS創新的同時強化監管，規範市場競爭秩序，保障中小企業的利益。 ^[7] 

3、政府發揮職能，完善相關的法律法規

政府應引導立法工作，為SaaS服務創造一個安全的網絡環境，如制定與雲計算相關的信息安全、數據保護等方面的規章制度，確保SaaS服務的合法性和規範性。 ^[7] 

4、加強數據及網絡安全防範

服務商方面應該在物理層、網絡層、系統層分別採取相應的措施提高數據和網絡的安全性；用户方面可以通過選擇大型可靠的SaaS平台，瞭解服務商的數據備份機制以及如何恢復數據等方式保護自身財務數據的安全。 ^[7] 

1、從技術方面來看：SaaS是簡單的部署，不需要購買任何硬件，剛開始只需要簡單註冊即可。企業無需再配備IT方面的專業技術人員，同時又能得到最新的技術應用，滿足企業對信息管理的需求。 ^[4] 

2、從投資方面來看：企業只以相對低廉的“月費”方式投資，不用一次性投資到位，不佔用過多的營運資金，從而緩解企業資金不足的壓力；不用考慮成本折舊問題，並能及時獲得最新硬件平台及最佳解決方案。 ^[4] 

3、從維護和管理方面來看：由於企業採取租用的方式來進行物流業務管理，不需要專門的維護和管理人員，也不需要為維護和管理人員支付額外費用。很大程度上緩解企業在人力、財力上的壓力，使其能夠集中資金對核心業務進行有效的運營；SaaS能使用户在世界上都是一個完全獨立的系統。如果您連接到網絡，就可以訪問系統。 ^[4] 

如何辨別具體的一種SaaS是否安全，需要把握以下幾點： ^[7] 

首先，要看SaaS產品提供使用的協議，是https://還是一般的http://，別小看這個s，這表明所有的數據在傳輸過程中都是加密的。如果不加密，網上可能有很多“嗅探器”軟件能夠輕鬆的獲得您的數據，甚至是您的用户名和密碼；實際上網上很多聊天軟件帳號被盜大多數都是遭到“嗅探器”的“招”了。 ^[7] 

其次，傳輸協議加密還要看是否全程加密，即軟件的各個部分都是https://協議訪問的，有部分軟件只做了登錄部分，這是遠遠不夠的。比如Salesforce、XToolsCRM都是採取全程加密的。 ^[7] 

服務器安全證書是用户識別服務器身份的重要標示，有些不正規的服務廠商並沒有使用全球認證的服務器安全證書。用户對服務器安全證書的確認，表示服務器確實是用户訪問的服務器，此時可以放心的輸入用户名和密碼，徹底避免“釣魚”型網站，大多數銀行卡密碼泄漏都是被“釣魚”站釣上的。 ^[7] 

對於一般用户來説，複雜的URL看起來只是一串沒有意義的字符而已。但是對於一些IT高手來説，這些字符串中可能隱藏着一些有關於數據訪問的秘密，通過修改URL，很多黑客可以通過諸如SQL注入等方式攻入系統，獲取用户數據。 ^[7] 

SaaS服務商的數據備份應該是完善的，用户必須瞭解自己服務商為您提供了什麼樣的數據備份機制，一旦出現重大問題，如何恢復數據等。服務商在內部管理上如何保證用户數據不被服務商所泄露，也是需要用户和服務商溝通的。 ^[7] 

在評估SaaS產品安全度的時侯，最重要的是看公司對於服務器格局的設置，只有這樣的格局才是可以信任的，包括：運營服務器與網站服務器分離。 ^[7] 

服務器的專用是服務器安全最重要的保證。試想，如果一台服務器安裝了SaaS系統，但同時又安裝了網站系統、郵件系統、論壇系統，他還能安全嗎?在黑客角度來説，越多的系統就意味着越多的漏洞，況且大多數網站使用的網站系統、郵件系統和論壇系統都是在網上能夠找到源代碼的免費產品，有了源代碼，黑客就可以很容易攻入。很多網站被攻入都是因為論壇系統的漏洞。 ^[7] 

因此，一個優秀的軟件SaaS運營商，運營服務器和網站服務器應該完全隔離的，甚至域名也應該分開。 ^[7]