提起软件即服务（SaaS），IT界的朋友一般都会略知一二，对于这种模式下的应用，你可以直接通过互联网进行访问使用，而不用像传统的桌面应用一样在使用前必须进行安装。

    SaaS应用包括Google的企业级在线应用软件套装Apps，还有来自Adobe公司的在线编辑器Buzzword以及微软通过LiveOffice和Hotmail提供的电子邮件和即时通讯服务。另外，我们也可以发现很多公司提供在线备份和数据保护服务，例如Iron Mountain和AmeriVault。同时，像EMC、IBM和惠普等大厂商们也正在越来越多的使用这类服务来扩展它们的市场。

    提供SaaS应用的公司不但提供软件，而且还在它们的服务器上存储你的数据，或者可以获得你在计算机系统中的访问权限。那么使用这种服务是否安全呢？这是一个很多正在考察SaaS应用的信息化管理者共同关心的问题。

    来自市场分析机构IDC的分析师Laura DuBois表示，“中小型企业在选择一个厂商来存放自己珍贵数据的时候，需要保持谨慎的心态。”

    你需要考察一下提供SaaS服务厂商尽可能多的信息，托管到它那儿的信息安全级别如何？数据恢复需要多长时间才能完成？这个公司能否在市场竞争保持可持续发展？在做出选择SaaS服务提供商之前，这是一部分你应该了解的询问的关键问题，然后根据得到的答案来做出决策，从而规避风险。

    选择SaaS应用，可以让用户在软件许可、支撑硬件和管理方面省下一大笔银子，但是这并不意味着SaaS就是包治百病的灵丹妙药，它不一定能适合所有人。当选择一个SaaS提供商的时候，你应该进行深入了解，发现该服务商提供多少实用服务。而面对那些不愿意提供给客户参考信息或具有较低客户保持度的提供商，很明显应该远离之。

    “在SaaS世界中，客户保持度是一个非常能说明问题的数字，”提供电子邮件、即时通讯工具和其它SaaS产品的LiveOffice公司的总裁Matt Smith表示，“一个值得信任的公司应该拥有至少98%的客户保持率。”

    如果它是一个很少人听说过的新兴公司，你需要进行进一步的进行深入的了解，以分析它们成功交付的SaaS产品的某些用户评论等记录。

    另外你可以关注的地方是是客户支持。一些小公司的产品可能看上去非常不错，但是却往往在售后支持方面表现的非常差。但是在某些情况下，你还要根据付出和收益来做出决策，因为你不一定非要为那些经验丰富的支持人员和顶尖的支持花费不必要的银子。

    “如何选择要取决于公司想要的是什么，” Iron Mountain公司的部门经理Tom Meyer表示，“某些公司并不需要一个高度安全的内容管理系统，因此简单而又便宜的在线存储服务就是最适合的选择。”

    拥有安全的感觉

    在SaaS厂商选择标准中，很明显安全应该是首要的因素。判断在线服务优劣，一个非常重要的方面就是厂商如何能让它们的数据保持安全，以及它们如何确认数据不会因灾难而丢失。

    “小企业管理者应该询问厂商是如何来存储它们的数据的，”Smith表示。“一个好的厂商应该具有多个互为镜像的数据中心，这意味着客户数据在多个地方备份，可以始终保持在线。”

    SaaS厂商使用不同的方法来加固它们的数据安全性。有的喜欢对加密数据选择磁盘阵列。有的更喜欢使用权威方式，数据被锁在一个单独的安全场所中。下面我们通过几个例子来看一下在选择厂商的时候你应该收集SaaS厂商的哪些信息。

    举个例子来说，Iron Mountain的图片数字档案中心提供了加密的数据传输、用户访问控制，并且在位于地面以下200英尺的数据中心中实现了安全存储。

    在线备份服务提供商Elephant Drive通过在多个基于硬盘的存储池上复制客户数据，从而达到保护数据的目的。数据复制保护被内置在产品系统中，也就是说，所有的数据至少被存储在两个地理上分离的地点。

    而在线备份服务提供商SmeriVault在三个地方存储客户数据备份，每一个都存储在两个不同的磁盘系统中，而且它们将第三份备份发往1000英里之外的企业连续站点上。这样即时某个地方遭遇了地震等自然灾害，用户的数据依然可以得到保障。

    在线备份服务提供商DS3 DataVaulting则使用EMC Clariion来实现基本存储，并在一个完全不同的高端磁盘系统上保留一个备份，便于恢复。它拥有三个数据中心，其中一个主要负责复制客户信息。

    “任何负责人的SaaS厂商应该采取合适的措施来增强它们的服务器的安全性，并且能够清楚的向每一个客户说清楚这个过程，让客户拥有一个安全的感觉”Smith表示。

    不要选择SaaS满意度低的厂商

    实现SaaS满意度的一个优先的工具是服务等级协议SLA。一个SLA就不同一个契约规范，来确保服务提供商提供一定程度的系统可靠性。Smith推荐你不要接受一个低于99%的SLA。

    另外SLA还规定如果合同中止，服务提供商应该如何去处理客户的数据。在这种情况下，你一定非常希望这些信息依然是你的财产，并且从法律上受到保护。

    举个例子来说，国外一家资产管理公司使用了数据存储公司DSC提供的备份服务，它主要用户保护该公司的电子邮件系统。DSC还提供一个离线数据存储库，以确保安全的远端存储和迅速的信息恢复。一个可以接受的SLA是你购买SaaS产品的一个重要部分。

    “在我们寻求实现一个合适的备份和恢复解决方案的时候，在在我们决策过程中的一个关键性的决定因素是能否快速恢复微软的Exchange数据，”该公司的首席财务官Peter McKown表示，“通过选择DSC作为我们的管理备份和恢复，实现了我们的业务需求，并且其服务水平也超出了我们的预期。”

    未来SaaS将被认可

    人们对SaaS存在忧虑是非常很正常的。不过在很多方面，这种担心有些像十年前人们对于在互联网上做生意的担心。在那个年代，许多小企业感到焦虑的问题是数据安全性，、它们能否信赖新兴公司和电子商务是否是一个可行的商业模式等。十年后，几乎每一个人都有过在线交易的经历。但是企业领域却花费了好几年的时间来接受这一个概念。

    同样的，SaaS也经过必须经历相同的经历，赢得了人们的信赖并最终成为现实世界的一个部分。但是对于没有或只有非常小型的IT部门的中小企业来说，SaaS很有意义，值得它们关注。

    在使用SaaS应用的时候，通常你可能需要与多个服务提供商打交道。IDC的DuBois指出，对于在SaaS中你需要信赖谁这个问题，你需要明确三个“谁”。谁是技术提供商？谁是管理它们数据的厂商？谁是负责数据中心和基础设施？

    “在某些情况中，它可能是三个不同的实体，在每个层面上都存在潜在的风险，”她表示。“但是在所有情况下，了解它们的秘密、加密方法、可用性、恢复时间、SLA、成本和合同终止条款等都是必需的。”