SaaS

一、关于SaaS

SaaS平台供应商将应用软件统一部署在自己的服务器上，客户可以根据工作实际需求，通过互联网向厂商定购所需的应用软件服务，按定购的服务多少和时间长短向厂商支付费用，并通过互联网获得Saas平台供应商提供的服务。

SaaS 应用软件有免费、付费和增值三种模式。付费通常为“全包”费用，囊括了通常的应用软件许可证费、软件维护费以及技术支持费，将其统一为每个用户的月度租用费。 

SaaS不仅适用于中小型企业，所有规模企业都可以从SaaS中获利。

二、简介

SaaS即Software-as-a-Service（软件即服务）是随着互联网技术的发展和应用软件的成熟， 在21世纪开始兴起的一种完全创新的软件应用模式。传统模式下，厂商通过License将软件产品部署到企业内部多个客户终端实现交付。SaaS定义了一种新的交付方式，也使得软件进一步回归服务本质。企业部署信息化软件的本质是为了自身的运营管理服务，软件的表象是一种业务流程的信息化，本质还是第一种服务模式，SaaS改变了传统软件服务的提供方式，减少本地部署所需的大量前期投入，进一步突出信息化软件的服务属性，或成为未来信息化软件市场的主流交付模式。 

三、特性

1、互联网特性

一方面，SaaS服务通过互联网浏览器或WebServices/Web2.0程序连接的形式为用户提供服务，使得SaaS应用具备了典型互联网技术特点；另一方面，由于SaaS极大地缩短了用户与SaaS提供商之间的时空距离，从而使得SaaS服务的营销、交付与传统软件相比有着很大的不同。 

比如，SaaS软件行业知名产品NetSuite所提供的在线ERP、在线CRM等模块产品都是基于网络的，这样的优势在于不必投入任何硬件费用，也不用请专业的系统维护人员就能上网，有浏览器就可以进行ERP、CRM系统的使用。快速的实施、便捷的使用、低廉的价格都有赖于SaaS产品的互联网特性。 

2、多重租赁(Multi-tenancy)特性

SaaS服务通常基于一套标准软件系统为成百上千的不同客户(又称为租户)提供服务。这要求SaaS服务能够支持不同租户之间数据和配置的隔离，从而保证每个租户数据的安全与隐私，以及用户对诸如界面、业务逻辑、数据结构等的个性化需求。由于SaaS同时支持多个租户，每个租户又有很多用户，这对支撑软件的基础设施平台的性能、稳定性和扩展性提出很大挑战。SaaS作为一种基于互联网的软件交付模式，优化软件大规模应用后的性能和运营成本是架构师的核心任务。

3、服务(Service)特性

SaaS使软件以互联网为载体的服务形式被客户使用，所以很多服务合约的签订、服务使用的计量、在线服务质量的保证和服务费用的收取等问题都必须加以考虑。而这些问题通常是传统软件没有考虑到的。 

4、可扩展(Scalable)特性

可扩展性意味着最大限度地提高系统的并发性，更有效地使用系统资源。比如应用：优化资源锁的持久性，使用无状态的进程，使用资源池来共享线和数据库连接等关键资源，缓存参考数据，为大型数据库分区。 

四、应用瓶颈

1、技术方面

SaaS软件个性化定制技术尚未成熟： 

随着企业信息化的程度的提升，通用化的SaaS平台已经无法满足企业个性化的需求，而SaaS产品由于使用

多租户的架构，这一问题就十分重要。传统的软件常常采用定制的方法来满足个性化的客户需求，当然对于SaaS软件而言也可以采用。但是SaaS软件和传统软件在定制技术上存在较大的差异：传统软件的定制只需针对某一具体的用户进行，而SaaS的定制则需让软件满足多租户各自的需求，需要多个定制。传统软件的定制服务是在软件开发阶段完成，而SaaS需要在软件使用过程中针对需求的变化更新定制，而且在定制的时候不能影响其他用户的使用。除此以外，SaaS定制过程必须简单易行，使得用户可以自行完成。这些差异使得SaaS应用在技术设计上更加复杂，传统的个性化定制无法应用在SaaS领域。因此，SaaS个性化定制技术的改进是制约其发展的瓶颈之一。 

2、市场方面

当前SaaS市场的混乱状态制约其发展： 

由于大客户的市场盈利机会更大，SaaS服务提供商专注于大型客户，中小客户被忽略。类似于用友、金蝶等从传统软件行业转型发展SaaS平台的企业占有优质大量的客户资源，却受制于其收入模式，无法加速SaaS平台的推广。对于小型SaaS服务提供商，融资难、拓展市场困难始终是其难题。除此以外，SaaS市场的驱动力一直是国外的经验而非国内企业的真正需求，许多SaaS公司并没有实现和用户的真正交流，导致产品不能和用户的真实需求接轨。为了竞争市场，SaaS服务商的广告漫天遍地，使得本身不成熟的SaaS市场更加鱼龙混杂。 

3、制度方面

相关的法律法规不完善：

近年来，虽然我国政府大力推进云计算及SaaS平台，但其仍处于高速发展的阶段，仍是缺乏法律保护的云。一方面，对于用户而言，SaaS平台下的用户数据被储存在云端，用户并不知道其处理过程和存放位置，数据缺乏法律保护使得用户对服务提供商的信任度很低；另一方面，制度不完善使得不法分子有机可乘，SaaS服务商承担着用户数据丢失的风险和责任，极大地制约了SaaS服务商创新及开拓市场的积极性。 

4、安全方面

数据安全和网络安全较难保证： 

虽然当前已有多种多样数据加密方式，但是SaaS平台要求用户数据的安全是一种动态安全，不仅要保证数据不丢失，还需要保证用户在业务增减等原因导致的安全需求发生变化时能灵活调整。同时，由于平台被多租户共享，数据信息交互复杂，对数据权限的要求极高。对于网络安全而言，互联网的稳定性给SaaS的应用提出了巨大的挑战。企业内网和互联网连接的不确定性太高，无论何种因素引起的网络稳定性的波动都会影响软件的使用，甚至造成用户数据的丢失。 

五、发展建议

1、加大研发力度，解决个性化定制问题

在个性化定制技术方面，当前主要分为数据定制、功能定制、界面定制和业务逻辑定制四个方面，而业务逻辑定制是最大的难点。目前国内外对于个性化定制的诸多方法都未能完全解决SaaS在线定制的问题，因此软件提供商应持续研究开发，寻求最适宜的个性化定制方法。 

2、多方协助，共同规范SaaS市场的竞争秩序

首先，各SaaS服务提供商应明确各自的目标客户，深入市场内部，根据用户的需求定制自己的宣传点；其次，政府有必要在积极推动SaaS创新的同时强化监管，规范市场竞争秩序，保障中小企业的利益。

3、政府发挥职能，完善相关的法律法规

政府应引导立法工作，为SaaS服务创造一个安全的网络环境，如制定与云计算相关的信息安全、数据保护等方面的规章制度，确保SaaS服务的合法性和规范性。 

4、加强数据及网络安全防范

服务商方面应该在物理层、网络层、系统层分别采取相应的措施提高数据和网络的安全性；用户方面可以通过选择大型可靠的SaaS平台，了解服务商的数据备份机制以及如何恢复数据等方式保护自身财务数据的安全。 

六、优势

1、从技术方面来看：SaaS是简单的部署，不需要购买任何硬件，刚开始只需要简单注册即可。企业无需再配备IT方面的专业技术人员，同时又能得到最新的技术应用，满足企业对信息管理的需求。

2、从投资方面来看：企业只以相对低廉的“月费”方式投资，不用一次性投资到位，不占用过多的营运资金，从而缓解企业资金不足的压力；不用考虑成本折旧问题，并能及时获得最新硬件平台及最佳解决方案。 

3、从维护和管理方面来看：由于企业采取租用的方式来进行物流业务管理，不需要专门的维护和管理人员，也不需要为维护和管理人员支付额外费用。很大程度上缓解企业在人力、财力上的压力，使其能够集中资金对核心业务进行有效的运营；SaaS能使用户在世界上都是一个完全独立的系统。如果您连接到网络，就可以访问系统。 

七、安全性

如何辨别具体的一种SaaS是否安全，需要把握以下几点： 

1、传输协议加密

首先，要看SaaS产品提供使用的协议，是https://还是一般的http://，别小看这个s，这表明所有的数据在传输

过程中都是加密的。如果不加密，网上可能有很多“嗅探器”软件能够轻松的获得您的数据，甚至是您的用户名和密码；实际上网上很多聊天软件帐号被盗大多数都是遭到“嗅探器”的“招”了。 

其次，传输协议加密还要看是否全程加密，即软件的各个部分都是https://协议访问的，有部分软件只做了登录部分，这是远远不够的。比如Salesforce、XToolsCRM都是采取全程加密的。 

2、服务器安全证书

服务器安全证书是用户识别服务器身份的重要标示，有些不正规的服务厂商并没有使用全球认证的服务器安全证书。用户对服务器安全证书的确认，表示服务器确实是用户访问的服务器，此时可以放心的输入用户名和密码，彻底避免“钓鱼”型网站，大多数银行卡密码泄漏都是被“钓鱼”站钓上的。 

3、URL数据访问安全码技术

对于一般用户来说，复杂的URL看起来只是一串没有意义的字符而已。但是对于一些IT高手来说，这些字符串中可能隐藏着一些有关于数据访问的秘密，通过修改URL，很多黑客可以通过诸如SQL注入等方式攻入系统，获取用户数据。 

4、数据的管理和备份机制

SaaS服务商的数据备份应该是完善的，用户必须了解自己服务商为您提供了什么样的数据备份机制，一旦出现重大问题，如何恢复数据等。服务商在内部管理上如何保证用户数据不被服务商所泄露，也是需要用户和服务商沟通的。

5、运营服务系统的安全

在评估SaaS产品安全度的时侯，最重要的是看公司对于服务器格局的设置，只有这样的格局才是可以信任的，包括：运营服务器与网站服务器分离。 

服务器的专用是服务器安全最重要的保证。试想，如果一台服务器安装了SaaS系统，但同时又安装了网站系统、邮件系统、论坛系统，他还能安全吗?在黑客角度来说，越多的系统就意味着越多的漏洞，况且大多数网站使用的网站系统、邮件系统和论坛系统都是在网上能够找到源代码的免费产品，有了源代码，黑客就可以很容易攻入。很多网站被攻入都是因为论坛系统的漏洞。 

因此，一个优秀的软件SaaS运营商，运营服务器和网站服务器应该完全隔离的，甚至域名也应该分开。