近兩年，SaaS(Software as a Service，軟件即服務)已不再是概念性的“紙上談兵”——技術的成熟、業內看好后的投入，都使得形勢上至少表現得“山雨欲來”。特別是一場金融危機迫使企業加強“內功”建設，尤其是對于中小企業來講，IT投資慎之又慎。通過租賃的方式享受軟件服務，對許多中小企業來說是應用先進技術的最好途徑。它不僅降低了企業的軟件服務擁有成本，縮短了信息化建設周期，還大大減少了中小企業的運維成本。這樣，SaaS的需求就平添了些許“剛性”成份。

　　基于上述諸多條件的成熟，那么不正應了一句經典的歌詞：“SaaS，你大膽地往前走呀，往前走”。但是，SaaS真正走進中小型企業還有“最后一公里”——建立信任，她看似短暫，實則充滿荊棘。

　　不信任的歷史淵源

　　SaaS遭到用戶質疑是很正常的，且有歷史淵源。這是一個觀念問題，新技術帶動新的IT業務模式的誕生、發展，無不伴隨質疑。自從十幾年前電子商務的蓬勃發張之始，中小型企業都質疑過電子商務是否是一個穩定的業務模式，電子商務平臺的供應商是否能持續性的存在，最為重要的是資金、數據是否會被人盜用，實質上就是對服務的不信任，對托管行為的不認同。但是時過境遷的結果，似乎每個人、每個企業都多多少少和電子商務有所聯系，但被認可走過的路是循環往復、螺旋上升的。

　　電子商務的例證可以說明SaaS被人們認可的趨勢毋庸贅言，但不能忽略的是觀念改變的時間序列。誰都不能否認SaaS的被認可需要時間。而且，時光對觀念改變的作用僅局限于必要條件，就是說“靜等”是決定性的。努力改善SaaS自身的安全性，才是SaaS被認可的充分條件。

　　另外，鑒于SaaS技術應用的廣泛性，我們當然愿望涵蓋到用戶可以獲取并利用的所有應用。但覆蓋的程度也是有個過程，表現得參差不齊�，F在看來最先被SaaS化、并在容易在中小型企業“落地”的應用是HR(Human Resources management)、CRM(Customer Relationship Management)，而SaaS的普及也代表著在未來隨著互聯網的發展，用戶不必再投資于任何服務器或是自己的設備上安裝任何軟件。我們沒有理由不將中小企業的全部應用向SaaS打開大門!

　　提高安全性就會帶來信任

　　SaaS模式之所以難于建立信任，主要是面臨安全問題的挑戰。SaaS供應商在完善所應用的技術時，投入大量努力保證安全性，集中體現在以下幾個方面：

　　一、 數據的安全

　　問題——

　　相對中小企業而言，不可控的異地(主要是SaaS供應商的數據中心)存放。

　　中小企業數據的敏感性分類差，往往全部數據集中存放。SaaS供應商難于分辨敏感性等級，而且其自身存在程序漏洞或特權用戶泄露的可能性。

　　SaaS供應商往往不提供同行禁入的審查，多個同行業企業的數據可能會保存在相同的數據存儲位置。怎樣保證其中一個用戶在進行數據訪問時不能訪問到其他用戶。

　　目前的解決方案——

　　所有數據，包括有管理權限的訪問，都應該被記錄下來，并定期審計。

　　SaaS的應用體系結構和數據模型的設計應確保正確的數據隔離。私有云就是很好的嘗試。

　　應該使用強大的密碼保護，以確保在數據訪問上的控制。

　　二、 SaaS應用程序的安全

　　問題——

　　SaaS解決方案所部署的環境往往是公共云，在開放的公共云部署首先確保其安全性。特別是采用托管SaaS的部署要求提供方提供相關服務(防火墻，入侵檢測系統等)來強化其安全性。

　　目前的解決方案——

　　利用安全審計可以更好地識別任何安全問題或威脅，以確保您的企業數據的安全。定期進行應用和網絡性能評估。這些有助于驗證SaaS應用和部署的安全性和完整性。

　　三、 網絡安全

　　問題——

　　網絡的安全是個長期的話題，中小企業和SaaS提供商之間的數據流，往往構架在公共網絡，在傳輸過程中無處不在的攻擊、竊取敏感信息。

　　目前的解決方案——

　　中小企業基本上依賴SaaS的供應商應用諸如SSL確保數據在互聯網上流動的安全性，或者在SaaS的部署網絡中采取加密技術，防止網絡滲透、拒絕服務(DoS)。

　　四、業務連續可用的安全：

　　問題——

　　中小企業的應用需要支持高可用性，以確保其能夠24*7地業務連續。SaaS模式的架構設計和基礎設施，能否適應硬件/軟件故障以及拒絕服務攻擊成為關鍵問題，以確保停機時間最短。

　　目前的解決方案——

　　SaaS企業所提供的安全的備份和恢復服務，即強化基礎設施建設和云級恢復服務的能力，以促進災后恢復和減輕對敏感數據的丟失，由于失敗的風險�！�備份的數據應該得到嚴格保護，如業務數據等就需要使用強大的加密機制。這些檢查也是非常必要的，它可以減少未經授權的訪問和敏感數據泄漏的風險。

　　綜上，SaaS供應商安全措施總體原則：采用完善、成熟的網絡架構，嚴格的安全設計，對網絡、關鍵應用采取了多級容災、冗余方案。但是中小企業對SaaS供應商安全性的苛求，不會因其自生的努力而停止。解決安全問題是SaaS模式繼續存在并發展的前提，而周全的考慮各方面的安全性則是中小企業在選擇SaaS服務商時必須注意的問題。SaaS供應商更多的時候需要讓中小企業用戶感受安全，時刻讓客戶感覺到自身為之而付出的行動。例如：一家在線備份服務提供商，其幫助用戶在三個地點保存用戶的備份數據，每個用的數據都存放在兩個不同的磁盤系統中，第三份備份則放置在1000公里之外的保證業務連續性的站點中。這些行動但對爭取用戶至關重要!信任的積累始于這些行動的長期堅持。

　　服務滿意可鞏固信任

　　中小企業與SaaS供應商的關系：提供服務與被服務。在接受服務之前或繼續接受服務之時，預估和考評滿意程度事關重要，不敢說能夠建立起信任，至少能鞏固。

　　服務級別協議(SLA——Service-Level Agreement)是我們通常用來判斷一個SaaS服務是否令用戶滿意的工具，SLA是一項針對提供某種程度上的穩定性的廠商的合同義務，目前使用SLA協議的用戶達到了99%以上。SLA的保障是以一系列的服務水平目標(SLO)的形式定義的。服務水平目標是一個或多個有限定的服務組件的測量的組合，SLO被實現是指那些有限定的組件的測量值在限定范圍里�？傊�，任何一種服務的滿意程度都可配測量出來，即使不能完全定量化的反應，也可模糊的定性，甚至是否決。

　　針對中小企業的軟件租賃服務，這種特殊的商業模式抓住中小企業管理需求的“長尾”市場。在浩如煙海的長尾市場，服務滿意程度是接受服務的主體——中小企業的權利，且口碑所具有的聯動效應，或多或少會使SaaS供應商被認可程度在局部“放大”。

　　此外，SLA協議還包括如果合同到期的話，SaaS服務提供商應該如何處理用戶數據的條款，在這種情況下，用戶應該確保擁有這些信息的所有權，并且確認是受到法律保護的。這點就成為SaaS能否延續被更廣泛在中小企業中應用的法律前提，法律又是對服務滿意度詮釋的保證。SaaS模式只有在法律的合規性層面上沒有了瑕疵，中小企業對之的信任才能完全落地。

　　只有標準化，才能真正建立信任

　　目前的SaaS解決方案缺乏標準化，已是一個不爭的事實。整體行業沒有明確的解決辦法規范，一家公司可以設計建立一個解決方案。但很多中小企業對SaaS的需求是整個應用，需要整體的IT解決方案，動態地滿足多層次的需求。這就需要多個SaaS提供商之間相互合作滿足市場與客戶的要求，最少不要成為形成新的“信息孤島”般的羈絆。而標準化是實現這種合作的一個重要基礎。

　　只有SaaS模式有了一個被廣泛沿襲的中心設計思想，即便是標準化的雛形，中小企業才能對SaaS模式在統一性上認可，對SaaS廠商的整體信任真正建立起來，擺脫掉對個別廠商的依附，或“因一顆老鼠屎，害了一鍋湯”的失信泛濫!

　　結束語

　　毫無疑問，從最初SaaS模式軟件的成功到目前國內外眾多傳統軟件廠商紛紛進軍SaaS市場，充分說明SaaS模式已成為軟件業發展的主流趨勢。只要SaaS的品質和可信度能繼續得到證實，它的魅力就不會消退。建立信任——這一較“軟”性的競爭力因素，決定著SaaS模式軟件生存、發展的空間。用“最后一公里”的概念作比喻，寓意深長，不可輕視!