SaaS走进中小企业的“最后一公里”

　　近两年，SaaS（Software as a Service，软件即服务）已不再是概念性的“纸上谈兵”——技术的成熟、业内看好后的投入，都使得形势上至少表现得“山雨欲来”。特别是一场金融危机迫使企业加强“内功”建设，尤其是对于中小企业来讲，IT投资慎之又慎。通过租赁的方式享受软件服务，对许多中小企业来说是应用先进技术的最好途径。它不仅降低了企业的软件服务拥有成本，缩短了信息化建设周期，还大大减少了中小企业的运维成本。这样，SaaS的需求就平添了些许“刚性”成份。

　　基于上述诸多条件的成熟，那么不正应了一句经典的歌词：“SaaS，你大胆地往前走呀，往前走”。但是，SaaS真正走进中小型企业还有“最后一公里”——建立信任，她看似短暂，实则充满荆棘。

　　不信任的历史渊源

　　SaaS遭到用户质疑是很正常的，且有历史渊源。这是一个观念问题，新技术带动新的IT业务模式的诞生、发展，无不伴随质疑。自从十几年前电子商务的蓬勃发张之始，中小型企业都质疑过电子商务是否是一个稳定的业务模式，电子商务平台的供应商是否能持续性的存在，最为重要的是资金、数据是否会被人盗用，实质上就是对服务的不信任，对托管行为的不认同。但是时过境迁的结果，似乎每个人、每个企业都多多少少和电子商务有所联系，但被认可走过的路是循环往复、螺旋上升的。

　　电子商务的例证可以说明SaaS被人们认可的趋势毋庸赘言，但不能忽略的是观念改变的时间序列。谁都不能否认SaaS的被认可需要时间。而且，时光对观念改变的作用仅局限于必要条件，就是说“静等”是决定性的。努力改善SaaS自身的安全性，才是SaaS被认可的充分条件。

　　另外，鉴于SaaS技术应用的广泛性，我们当然愿望涵盖到用户可以获取并利用的所有应用。但覆盖的程度也是有个过程，表现得参差不齐。现在看来最先被SaaS化、并在容易在中小型企业“落地”的应用是HR（Human Resources management）、CRM（Customer Relationship Management），而SaaS的普及也代表着在未来随着互联网的发展，用户不必再投资于任何服务器或是自己的设备上安装任何软件。我们没有理由不将中小企业的全部应用向SaaS打开大门！

　　提高安全性就会带来信任

　　SaaS模式之所以难于建立信任，主要是面临安全问题的挑战。SaaS供应商在完善所应用的技术时，投入大量努力保证安全性，集中体现在以下几个方面：

　　一、 数据的安全

　　问题——

　　相对中小企业而言，不可控的异地（主要是SaaS供应商的数据中心）存放。

　　中小企业数据的敏感性分类差，往往全部数据集中存放。SaaS供应商难于分辨敏感性等级，而且其自身存在程序漏洞或特权用户泄露的可能性。

　　SaaS供应商往往不提供同行禁入的审查，多个同行业企业的数据可能会保存在相同的数据存储位置。怎样保证其中一个用户在进行数据访问时不能访问到其他用户。

　　目前的解决方案——

　　所有数据，包括有管理权限的访问，都应该被记录下来，并定期审计。

　　SaaS的应用体系结构和数据模型的设计应确保正确的数据隔离。私有云就是很好的尝试。

　　应该使用强大的密码保护，以确保在数据访问上的控制。

　　二、 SaaS应用程序的安全

　　问题——

　　SaaS解决方案所部署的环境往往是公共云，在开放的公共云部署首先确保其安全性。特别是采用托管SaaS的部署要求提供方提供相关服务(防火墙，入侵检测系统等)来强化其安全性。

　　目前的解决方案——

　　利用安全审计可以更好地识别任何安全问题或威胁，以确保您的企业数据的安全。定期进行应用和网络性能评估。这些有助于验证SaaS应用和部署的安全性和完整性。

　　三、 网络安全

　　问题——

　　网络的安全是个长期的话题，中小企业和SaaS提供商之间的数据流，往往构架在公共网络，在传输过程中无处不在的攻击、窃取敏感信息。

　　目前的解决方案——

　　中小企业基本上依赖SaaS的供应商应用诸如SSL确保数据在互联网上流动的安全性，或者在SaaS的部署网络中采取加密技术，防止网络渗透、拒绝服务(DoS)。

　　四、业务连续可用的安全：

　　问题——

　　中小企业的应用需要支持高可用性，以确保其能够24*7地业务连续。SaaS模式的架构设计和基础设施，能否适应硬件/软件故障以及拒绝服务攻击成为关键问题，以确保停机时间最短。

　　目前的解决方案——

　　SaaS企业所提供的安全的备份和恢复服务，即强化基础设施建设和云级恢复服务的能力，以促进灾后恢复和减轻对敏感数据的丢失，由于失败的风险。　备份的数据应该得到严格保护，如业务数据等就需要使用强大的加密机制。这些检查也是非常必要的，它可以减少未经授权的访问和敏感数据泄漏的风险。

　　综上，SaaS供应商安全措施总体原则：采用完善、成熟的网络架构，严格的安全设计，对网络、关键应用采取了多级容灾、冗余方案。但是中小企业对SaaS供应商安全性的苛求，不会因其自生的努力而停止。解决安全问题是SaaS模式继续存在并发展的前提，而周全的考虑各方面的安全性则是中小企业在选择SaaS服务商时必须注意的问题。SaaS供应商更多的时候需要让中小企业用户感受安全，时刻让客户感觉到自身为之而付出的行动。例如：一家在线备份服务提供商，其帮助用户在三个地点保存用户的备份数据，每个用的数据都存放在两个不同的磁盘系统中，第三份备份则放置在1000公里之外的保证业务连续性的站点中。这些行动但对争取用户至关重要！信任的积累始于这些行动的长期坚持。

　　服务满意可巩固信任

　　中小企业与SaaS供应商的关系：提供服务与被服务。在接受服务之前或继续接受服务之时，预估和考评满意程度事关重要，不敢说能够建立起信任，至少能巩固。

　　服务级别协议（SLA——Service-Level Agreement）是我们通常用来判断一个SaaS服务是否令用户满意的工具，SLA是一项针对提供某种程度上的稳定性的厂商的合同义务，目前使用SLA协议的用户达到了99%以上。SLA的保障是以一系列的服务水平目标（SLO）的形式定义的。服务水平目标是一个或多个有限定的服务组件的测量的组合，SLO被实现是指那些有限定的组件的测量值在限定范围里。总之，任何一种服务的满意程度都可配测量出来，即使不能完全定量化的反应，也可模糊的定性，甚至是否决。

　　针对中小企业的软件租赁服务，这种特殊的商业模式抓住中小企业管理需求的“长尾”市场。在浩如烟海的长尾市场，服务满意程度是接受服务的主体——中小企业的权利，且口碑所具有的联动效应，或多或少会使SaaS供应商被认可程度在局部“放大”。

　　此外，SLA协议还包括如果合同到期的话，SaaS服务提供商应该如何处理用户数据的条款，在这种情况下，用户应该确保拥有这些信息的所有权，并且确认是受到法律保护的。这点就成为SaaS能否延续被更广泛在中小企业中应用的法律前提，法律又是对服务满意度诠释的保证。SaaS模式只有在法律的合规性层面上没有了瑕疵，中小企业对之的信任才能完全落地。

　　只有标准化，才能真正建立信任

　　目前的SaaS解决方案缺乏标准化，已是一个不争的事实。整体行业没有明确的解决办法规范，一家公司可以设计建立一个解决方案。但很多中小企业对SaaS的需求是整个应用，需要整体的IT解决方案，动态地满足多层次的需求。这就需要多个SaaS提供商之间相互合作满足市场与客户的要求，最少不要成为形成新的“信息孤岛”般的羁绊。而标准化是实现这种合作的一个重要基础。

　　只有SaaS模式有了一个被广泛沿袭的中心设计思想，即便是标准化的雏形，中小企业才能对SaaS模式在统一性上认可，对SaaS厂商的整体信任真正建立起来，摆脱掉对个别厂商的依附，或“因一颗老鼠屎，害了一锅汤”的失信泛滥！

　　结束语

　　毫无疑问，从最初SaaS模式软件的成功到目前国内外众多传统软件厂商纷纷进军SaaS市场，充分说明SaaS模式已成为软件业发展的主流趋势。只要SaaS的品质和可信度能继续得到证实，它的魅力就不会消退。建立信任——这一较“软”性的竞争力因素，决定着SaaS模式软件生存、发展的空间。用“最后一公里”的概念作比喻，寓意深长，不可轻视！