SaaS文盲：驳SaaS博士安全观

SaaS界的神秘人物——SaaS博士日前就SaaS安全性提出自己的看法。其核心观点是，SaaS毫无安全性可言。

本人不是博士，自称为“SaaS文盲”，但对博士的看法颇有看法。我认为，博士的SaaS安全观是站不住脚的，是偏面的。博士犯错误的根本原因于，将SaaS安全与银行安全相比较。其实，SaaS的安全性是要和传统软件去比，而不是和银行比。从这个角度看，博士所提的很多不安全因素，在传统软件中一样存在。因此，博士所谓SaaS不安全的观点，是极其偏面的，是极左的，是要打倒的。

下面是对博士一些观点的反驳，以正SaaS视听。

博士观点：

1、用户即使签订合同，也是与一个有限责任公司签订合同，如果出现严重问题，公司宣布倒闭也就一了百了了。公司法就是这么规定的，所以用户的数据没有法律的绝对保障。

文盲观点：在这方面，传统软件与SaaS方式没有任何区别。两者都是和一个有限责任公司签订合同。

博士观点：

2、SaaS厂家实际采用的技术完全不是银行通讯的技术，因为那样的成本非常之高，例如发行CA认证证书。中国目前没有任何一个SaaS厂家使用了CA证书。

文盲观点：虽然目前SaaS厂商发行CA证书，但未来肯定会出现变化。应用传统软件时也没有几家厂商能使用CA证书。

博士观点：

3、SaaS厂家的服务器一定只是租用商业IDC机构的机柜，有经验的网管都知道，进入IDC机房很容易，能看到N多公司的服务器和把玩儿一下。 90%的SaaS厂家最多3台PC服务器，还可能是DIY的。根本不可能备份或稳定。 黑客进入这些服务器易如反掌。

文盲观点：应用传统软件时，变成了自己租商业IDC的机柜。并且，其级别一般都没有SaaS厂商的高。

博士观点：

4、用户在SaaS厂家服务器的数据有N多的人可以很容易看到： 主程序员（一般2-3人，不可能只有一个人，公司老板不放心）；网管（一般2-3人，轮班），数据库工程师（1-3人，这其中可能还有兼职维护员），SaaS厂家的CEO（他有看数据的一切权利）；业务部门（1-3人，他们需要研究用户数据，分析用户行为）；财务部门（1-2人，她们需要知道发出用户帐户和密码，并以此计算公司收入）；WEB工程师（1-2人，用户输入帐号和密码是要经过他们设计和制作的页面程序，所以，他们随时可以获得任何用户的帐号密码）；

客服人员（1-20人，他们有时需要帮助客户进入帐号看看哪里出现问题），公司前台（1人，他经手的信件可能是用户合同，里面有帐号及密码）。 什么样的商业公司能够教育他的如此众多岗位的众多员工保守这些数据秘密。

文盲观点：应用传统软件方式时，可以看到和掌握用户数据同样有N多人：主程序员（一般2-3人，不可能只有一个人，公司老板不放心）；网管（一般2-3人，轮班），数据库工程师（1-3人，这其中可能还有兼职维护员），WEB工程师（1-2人，用户输入帐号和密码是要经过他们设计和制作的页面程序，所以，他们随时可以获得任何用户的帐号密码）；

客服人员（1-20人，他们有时需要帮助客户进入帐号看看哪里出现问题），公司前台（1人，他经手的信件可能是用户合同，里面有帐号及密码）。更重要的是，还有其他软件或硬件公司的N多人员，如服务器厂商的服务人员、数据库厂商的服务人员、中间件厂商的服务人员、杀毒软件服务人员、网管软件服务人员等。可以说，这个N比博士所列举的N要大得多。

博士观点：

5、更重要的是，这些数据即使被复制或泄漏，用户和安全管理员完全无法察觉，因为并非实物的减少，也不会有任何统计数据的变化。 得到这些数据的人，可以销售或利用这些数据获得明显的经济回报，而非常不易被察觉，因为几乎可以不留痕迹，也几乎没有针对性的法律条款约束，即使被发现并抓获，也绝没有像盗窃银行数据那样的罪名。犯罪成本并不高。

文盲观点：这在传统软件的世界里一样存在。

当然，博士的安全观也有很多值得借鉴的地方，例如，SaaS的安全性远不银行，这论点本身就非常正确；又如，博士建议SaaS业务应该从数据安全性要求不那么的应用点入手。这些都是非常正确、“文盲”我也非常等同的观点。

因此，值得说明的是，“文盲”虽然对“博士”的SaaS安全观有很多不认可的观点，但对“博士”的很多观点却是非常敬仰，非常希望“博士”能多出一些让人们在“一片叫好声”中清醒下来的言论。

来源：德赛网