文：明道創(chuàng)始人任向暉

三年前，當(dāng)明道剛剛開始公測(cè)時(shí)，我馬不停蹄地拜訪客戶。當(dāng)然，很快就糾結(jié)到了“SaaS軟件的安全性”問題上。一位客戶在演示完送別我們的時(shí)候，說了一句話，至今縈繞在我耳邊。

他說：“SaaS其實(shí)無(wú)所謂，你們要是Google，我肯定就用了”。

哦，原來(lái)的問題的關(guān)鍵并非SaaS，而是“信任”。從此，心中淡泊很多，因?yàn)樾湃螁栴}的解決可能很漫長(zhǎng)，但也是最簡(jiǎn)單直接。一年后，我們徹底關(guān)閉了私有部署模式，專注在SaaS模式上。從最開始到現(xiàn)在，三年過去了，我們沒有丟失過任何用戶數(shù)據(jù)，沒有發(fā)生任何客戶數(shù)據(jù)泄漏事件，雖然建立高水準(zhǔn)運(yùn)營(yíng)的內(nèi)部過程無(wú)比艱難和繁復(fù)，但成果說明了一切。三年也許還不夠，那就再來(lái)三年。我們相信連續(xù)的安全運(yùn)營(yíng)記錄是建立信任最有力的砝碼。

SaaS到底比私有部署的IT系統(tǒng)安全多少？這個(gè)問題的答案可以參考銀行的失竊率和家庭的失竊率。但我不打算這么簡(jiǎn)單地回答這個(gè)問題。

有關(guān)數(shù)據(jù)丟失的風(fēng)險(xiǎn)

大部分企業(yè)都經(jīng)歷過本地文件服務(wù)器的階段，在局域網(wǎng)內(nèi)配置幾臺(tái)服務(wù)器，硬盤劃分成幾個(gè)區(qū)域，建立若干文件夾，分配給不同部門使用。我們常?？吹健笆袌?chǎng)部2012”，“客戶合同”，“ABC項(xiàng)目文檔”這樣的共享文件夾。要命的是大部分文件服務(wù)器其實(shí)都是PC，1TB的硬盤也就是幾百塊錢。這種常見企業(yè)數(shù)據(jù)存儲(chǔ)配置下，數(shù)據(jù)滅失只是時(shí)間問題。只要是硬盤都會(huì)壞的，即使是價(jià)格昂貴的企業(yè)盤。

更常見的數(shù)據(jù)滅失原因還不是因?yàn)榇鎯?chǔ)設(shè)備故障，而是人為的誤操作。簡(jiǎn)單的文件夾授權(quán)非常容易導(dǎo)致錯(cuò)誤的刪除和覆蓋。一旦發(fā)生誤操作后，幾乎只有專業(yè)的數(shù)據(jù)救援人員才有可能恢復(fù)。這時(shí)候，業(yè)務(wù)必定停擺。

有人說，加上備份不就得了？首先我?guī)缀鯖]有看到過有企業(yè)能夠在這個(gè)架構(gòu)下實(shí)現(xiàn)可靠的熱備份（實(shí)時(shí)或接近實(shí)時(shí)的備份頻率），大部分都依靠IT維護(hù)人員定期做簡(jiǎn)單的冷備份（就是非實(shí)時(shí)的備份）。無(wú)論哪種方式，都離不開可靠和可監(jiān)控的流程。我們觀察到的大部分?jǐn)?shù)據(jù)滅失均是因?yàn)橥絺浞葸M(jìn)程掛了很久，沒有人知道。

好不容易建立了穩(wěn)定的流程和監(jiān)控后，誰(shuí)都不愿意升級(jí)相應(yīng)的軟硬件平臺(tái)，因?yàn)橐坏┥?jí)，就得再來(lái)一遍，所以，難怪現(xiàn)在還有大量的企業(yè)在使用數(shù)據(jù)吞吐率極低的過時(shí)存儲(chǔ)設(shè)備，這時(shí)候，如果硬盤還沒有損壞，你光是繼續(xù)燒香是沒用的。

還有一種數(shù)據(jù)滅失的風(fēng)險(xiǎn)來(lái)自懷有惡意的離職員工（也許根源來(lái)自于管理）。經(jīng)常有客戶問到我們能否限制用戶刪除數(shù)據(jù)的行為，實(shí)際上對(duì)于明道來(lái)說，批量刪除數(shù)據(jù)的入口幾乎沒有。而對(duì)于傳統(tǒng)的私有部署IT系統(tǒng)，有權(quán)限的用戶的確可以不費(fèi)吹灰之力把硬盤刪得一干二凈，而且不留痕跡。

當(dāng)然，每次我們都友善地提醒客戶，你不能因?yàn)閾?dān)心有這種情況發(fā)生，就限制所有用戶的正常使用行為。信息之所以需要保存，就是為了被充分使用。

SaaS之所以能夠100%抵御數(shù)據(jù)滅失，是因?yàn)樗鼘?shí)在負(fù)擔(dān)不起因此失敗的結(jié)果。成千上萬(wàn)的企業(yè)數(shù)據(jù)集中使用同一套存儲(chǔ)設(shè)施，就像銀行保管了千萬(wàn)家庭的存款一樣，你必須讓它萬(wàn)無(wú)一失。所以，運(yùn)營(yíng)者會(huì)利用一切有用手段來(lái)保證和鞏固數(shù)據(jù)存儲(chǔ)安全。這當(dāng)中，最重要和成本最高的無(wú)疑就是實(shí)時(shí)熱備和利用它來(lái)實(shí)現(xiàn)的分布式計(jì)算。運(yùn)營(yíng)者付出一份成本讓存儲(chǔ)冗余（實(shí)踐上是多重冗余），從而讓數(shù)據(jù)和服務(wù)能夠永不停歇。這個(gè)成本再高，也被眾多的客戶數(shù)量所攤薄，平均花費(fèi)在一家企業(yè)用戶上的冗余成本依然會(huì)非常低。這是簡(jiǎn)單的規(guī)模經(jīng)濟(jì)效益，也是SaaS模式能夠戰(zhàn)勝私有部署模式的核心優(yōu)勢(shì)之一。

有關(guān)數(shù)據(jù)泄漏的風(fēng)險(xiǎn)

我們看到過太多私有部署系統(tǒng)的安全防范工作其實(shí)近似于裸奔。不要說專門的攻擊防御了，就連基本的密碼強(qiáng)度，系統(tǒng)補(bǔ)丁，安全證書等都沒有完善。流傳于互聯(lián)網(wǎng)上的“脫庫(kù)”事件大部分來(lái)源于那些陳舊和疏于維護(hù)的信息系統(tǒng)。而且越是在局域網(wǎng)或者私有云內(nèi)的數(shù)據(jù)，在基本安全工作方面越是慘不忍睹，賬號(hào)密碼隨意被猜到，通過攻擊脆弱節(jié)點(diǎn)隨意監(jiān)聽用戶名密碼數(shù)據(jù)等比比皆是。因?yàn)槿藗冃睦砩隙加幸粋€(gè)趨向，認(rèn)為放在自己的辦公室里的數(shù)據(jù)都是安全的，但其實(shí)這是一個(gè)幻覺。

一個(gè)完善的防黑客攻擊系統(tǒng)和冗余存儲(chǔ)一樣是需要大量投入的。一方面，依靠專職的運(yùn)維團(tuán)隊(duì)以及圍繞安全基線要求的作業(yè)流程，另一方面，需要部署專門的攻擊防御策略，這些工作即便是作為SaaS專業(yè)廠商也未必都掌握了完全的技能，所以，產(chǎn)業(yè)鏈條內(nèi)出現(xiàn)了安全加固服務(wù)、安全監(jiān)控服務(wù)等更加垂直的廠商。

所有這些工作合力才能夠保證達(dá)到一個(gè)基本的安全標(biāo)準(zhǔn)。要想獲得持續(xù)的安全，還要依靠持久的投入。

數(shù)據(jù)泄漏的另一個(gè)方面就是內(nèi)盜。考慮到企業(yè)數(shù)據(jù)泄漏90%來(lái)自于內(nèi)部通道，我想單獨(dú)來(lái)講一下這個(gè)問題。

其實(shí)這個(gè)問題和SaaS并沒有必然聯(lián)系，任何IT系統(tǒng)，無(wú)論何種部署模式和安全標(biāo)準(zhǔn)，在同樣的應(yīng)用軟件設(shè)計(jì)邏輯下，都有可能發(fā)生。近幾年真正產(chǎn)生影響力的數(shù)據(jù)泄漏事件基本都是內(nèi)部泄漏，斯諾登事件就是典型代表。

雖然SaaS軟件并沒有義務(wù)來(lái)抵消數(shù)據(jù)內(nèi)盜的風(fēng)險(xiǎn)，但并不代表我們沒有為此努力。

過去的思維往往集中在通過IT手段來(lái)試圖杜絕數(shù)據(jù)內(nèi)盜。這條路幾乎是走不通的，因?yàn)橹灰烙嗟揭欢ǔ潭?，就一定?huì)影響可用性，傷害正常用戶的使用積極性。試想如果你需要下載一個(gè)文件，還需要等待上司審批，還會(huì)有多少人愿意主動(dòng)索取文件呢？

實(shí)際上，數(shù)據(jù)內(nèi)部泄漏是無(wú)法杜絕的，甚至有的時(shí)候，都無(wú)法在數(shù)據(jù)公開分享和泄漏之間找到明確的界限。

要減少數(shù)據(jù)泄漏的損害，唯一現(xiàn)實(shí)的兩個(gè)途徑是：

1）通過充分給予現(xiàn)有團(tuán)隊(duì)成員信息權(quán)利，稀釋信息的擁有價(jià)值。也就是說，擁有某個(gè)信息的人多了，能夠通過出售這個(gè)信息而牟利的空間就小了。在很低的回報(bào)下，員工泄漏數(shù)據(jù)而獲利的行為成本就非常高。這最終在源頭上減少了信息泄漏的動(dòng)機(jī)。對(duì)于企業(yè)內(nèi)部溝通中絕大多數(shù)內(nèi)容應(yīng)該用這個(gè)逆向思維來(lái)建立保護(hù)。

保持企業(yè)內(nèi)部資源的共享和溝通的透明，能夠非常直接地提高員工的滿意度和對(duì)企業(yè)的認(rèn)可度，愿意對(duì)自己認(rèn)可的人犯罪的概率低于飛機(jī)失事。

當(dāng)然，我們并不能越位來(lái)幫助企業(yè)決定信息的透明度，所以，明道的信息共享機(jī)制設(shè)計(jì)依然是把控制權(quán)交給企業(yè)。但是，在信息內(nèi)部開放性和保護(hù)性方面，我們的建議方向是鮮明的。

2）反過來(lái)，對(duì)于真正需要嚴(yán)格保護(hù)的特定數(shù)據(jù)（例如銀行的客戶存款資料，明道的用戶數(shù)據(jù)），最切實(shí)際的途徑是減少數(shù)據(jù)接觸的人員數(shù)量。通過區(qū)分統(tǒng)計(jì)性數(shù)據(jù)和明細(xì)數(shù)據(jù)，隔離開發(fā)用數(shù)據(jù)和生產(chǎn)用數(shù)據(jù)就能夠同時(shí)實(shí)現(xiàn)信息的共享目標(biāo)和保護(hù)目標(biāo)。例如，對(duì)于明道來(lái)說，實(shí)際接觸生產(chǎn)數(shù)據(jù)的成員是非常有限的，我們可以有信心通過流程、操作日志等手段來(lái)保障安全，但這不妨礙團(tuán)隊(duì)內(nèi)更多成員可以通過編制好的統(tǒng)計(jì)報(bào)表來(lái)獲得有價(jià)值的產(chǎn)品改進(jìn)情報(bào)。當(dāng)然，你要知道，對(duì)于任何一個(gè)企業(yè)來(lái)說，值得用這樣的高成本手段來(lái)防范泄漏的數(shù)據(jù)也永遠(yuǎn)只能是有選擇性的。

明道的部署顧問每天都會(huì)回答客戶的這個(gè)問題，而我們發(fā)現(xiàn)，真正提問的客戶最終大部分都選擇了明道。但我們深知此刻還有更多的用戶心里帶著疑慮，但并沒有提出。他們也許還在觀望，看SaaS是否真正能夠解決好安全問題。這一點(diǎn)，我們深深理解并且接受，因?yàn)槊恳豁?xiàng)今天看來(lái)司空見慣的方法和技術(shù)，在誕生的那刻，對(duì)于公眾而言總是有接受度上的挑戰(zhàn)，就像歷史上電力和無(wú)線電的普及，醫(yī)學(xué)上抗生素和外科手術(shù)的使用，包括而今的純電動(dòng)汽車。

這些歷史上的偉大產(chǎn)物在出現(xiàn)后都經(jīng)歷了或長(zhǎng)或短的技術(shù)進(jìn)步周期，直到被公眾廣泛接受，受賜于互聯(lián)網(wǎng)驚人的發(fā)展速度，今天的SaaS軟件唯一和它們不一樣就是，它的性能和安全已經(jīng)遠(yuǎn)超前任。