文：明道創始人任向暉

三年前，當明道剛剛開始公測時，我馬不停蹄地拜訪客戶。當然，很快就糾結到了“SaaS軟件的安全性”問題上。一位客戶在演示完送別我們的時候，說了一句話，至今縈繞在我耳邊。

他說：“SaaS其實無所謂，你們要是Google，我肯定就用了”。

哦，原來的問題的關鍵并非SaaS，而是“信任”。從此，心中淡泊很多，因為信任問題的解決可能很漫長，但也是最簡單直接。一年后，我們徹底關閉了私有部署模式，專注在SaaS模式上。從最開始到現在，三年過去了，我們沒有丟失過任何用戶數據，沒有發生任何客戶數據泄漏事件，雖然建立高水準運營的內部過程無比艱難和繁復，但成果說明了一切。三年也許還不夠，那就再來三年。我們相信連續的安全運營記錄是建立信任最有力的砝碼。

SaaS到底比私有部署的IT系統安全多少？這個問題的答案可以參考銀行的失竊率和家庭的失竊率。但我不打算這么簡單地回答這個問題。

有關數據丟失的風險

大部分企業都經歷過本地文件服務器的階段，在局域網內配置幾臺服務器，硬盤劃分成幾個區域，建立若干文件夾，分配給不同部門使用。我們常常看到“市場部2012”，“客戶合同”，“ABC項目文檔”這樣的共享文件夾。要命的是大部分文件服務器其實都是PC，1TB的硬盤也就是幾百塊錢。這種常見企業數據存儲配置下，數據滅失只是時間問題。只要是硬盤都會壞的，即使是價格昂貴的企業盤。

更常見的數據滅失原因還不是因為存儲設備故障，而是人為的誤操作。簡單的文件夾授權非常容易導致錯誤的刪除和覆蓋。一旦發生誤操作后，幾乎只有專業的數據救援人員才有可能恢復。這時候，業務必定停擺。

有人說，加上備份不就得了？首先我幾乎沒有看到過有企業能夠在這個架構下實現可靠的熱備份（實時或接近實時的備份頻率），大部分都依靠IT維護人員定期做簡單的冷備份（就是非實時的備份）。無論哪種方式，都離不開可靠和可監控的流程。我們觀察到的大部分數據滅失均是因為同步備份進程掛了很久，沒有人知道。

好不容易建立了穩定的流程和監控后，誰都不愿意升級相應的軟硬件平臺，因為一旦升級，就得再來一遍，所以，難怪現在還有大量的企業在使用數據吞吐率極低的過時存儲設備，這時候，如果硬盤還沒有損壞，你光是繼續燒香是沒用的。

還有一種數據滅失的風險來自懷有惡意的離職員工（也許根源來自于管理）。經常有客戶問到我們能否限制用戶刪除數據的行為，實際上對于明道來說，批量刪除數據的入口幾乎沒有。而對于傳統的私有部署IT系統，有權限的用戶的確可以不費吹灰之力把硬盤刪得一干二凈，而且不留痕跡。

當然，每次我們都友善地提醒客戶，你不能因為擔心有這種情況發生，就限制所有用戶的正常使用行為。信息之所以需要保存，就是為了被充分使用。

SaaS之所以能夠100%抵御數據滅失，是因為它實在負擔不起因此失敗的結果。成千上萬的企業數據集中使用同一套存儲設施，就像銀行保管了千萬家庭的存款一樣，你必須讓它萬無一失。所以，運營者會利用一切有用手段來保證和鞏固數據存儲安全。這當中，最重要和成本最高的無疑就是實時熱備和利用它來實現的分布式計算。運營者付出一份成本讓存儲冗余（實踐上是多重冗余），從而讓數據和服務能夠永不停歇。這個成本再高，也被眾多的客戶數量所攤薄，平均花費在一家企業用戶上的冗余成本依然會非常低。這是簡單的規模經濟效益，也是SaaS模式能夠戰勝私有部署模式的核心優勢之一。

有關數據泄漏的風險

我們看到過太多私有部署系統的安全防范工作其實近似于裸奔。不要說專門的攻擊防御了，就連基本的密碼強度，系統補丁，安全證書等都沒有完善。流傳于互聯網上的“脫庫”事件大部分來源于那些陳舊和疏于維護的信息系統。而且越是在局域網或者私有云內的數據，在基本安全工作方面越是慘不忍睹，賬號密碼隨意被猜到，通過攻擊脆弱節點隨意監聽用戶名密碼數據等比比皆是。因為人們心理上都有一個趨向，認為放在自己的辦公室里的數據都是安全的，但其實這是一個幻覺。

一個完善的防黑客攻擊系統和冗余存儲一樣是需要大量投入的。一方面，依靠專職的運維團隊以及圍繞安全基線要求的作業流程，另一方面，需要部署專門的攻擊防御策略，這些工作即便是作為SaaS專業廠商也未必都掌握了完全的技能，所以，產業鏈條內出現了安全加固服務、安全監控服務等更加垂直的廠商。

所有這些工作合力才能夠保證達到一個基本的安全標準。要想獲得持續的安全，還要依靠持久的投入。

數據泄漏的另一個方面就是內盜。考慮到企業數據泄漏90%來自于內部通道，我想單獨來講一下這個問題。

其實這個問題和SaaS并沒有必然聯系，任何IT系統，無論何種部署模式和安全標準，在同樣的應用軟件設計邏輯下，都有可能發生。近幾年真正產生影響力的數據泄漏事件基本都是內部泄漏，斯諾登事件就是典型代表。

雖然SaaS軟件并沒有義務來抵消數據內盜的風險，但并不代表我們沒有為此努力。

過去的思維往往集中在通過IT手段來試圖杜絕數據內盜。這條路幾乎是走不通的，因為只要防御多到一定程度，就一定會影響可用性，傷害正常用戶的使用積極性。試想如果你需要下載一個文件，還需要等待上司審批，還會有多少人愿意主動索取文件呢？

實際上，數據內部泄漏是無法杜絕的，甚至有的時候，都無法在數據公開分享和泄漏之間找到明確的界限。

要減少數據泄漏的損害，唯一現實的兩個途徑是：

1）通過充分給予現有團隊成員信息權利，稀釋信息的擁有價值。也就是說，擁有某個信息的人多了，能夠通過出售這個信息而牟利的空間就小了。在很低的回報下，員工泄漏數據而獲利的行為成本就非常高。這最終在源頭上減少了信息泄漏的動機。對于企業內部溝通中絕大多數內容應該用這個逆向思維來建立保護。

保持企業內部資源的共享和溝通的透明，能夠非常直接地提高員工的滿意度和對企業的認可度，愿意對自己認可的人犯罪的概率低于飛機失事。

當然，我們并不能越位來幫助企業決定信息的透明度，所以，明道的信息共享機制設計依然是把控制權交給企業。但是，在信息內部開放性和保護性方面，我們的建議方向是鮮明的。

2）反過來，對于真正需要嚴格保護的特定數據（例如銀行的客戶存款資料，明道的用戶數據），最切實際的途徑是減少數據接觸的人員數量。通過區分統計性數據和明細數據，隔離開發用數據和生產用數據就能夠同時實現信息的共享目標和保護目標。例如，對于明道來說，實際接觸生產數據的成員是非常有限的，我們可以有信心通過流程、操作日志等手段來保障安全，但這不妨礙團隊內更多成員可以通過編制好的統計報表來獲得有價值的產品改進情報。當然，你要知道，對于任何一個企業來說，值得用這樣的高成本手段來防范泄漏的數據也永遠只能是有選擇性的。

明道的部署顧問每天都會回答客戶的這個問題，而我們發現，真正提問的客戶最終大部分都選擇了明道。但我們深知此刻還有更多的用戶心里帶著疑慮，但并沒有提出。他們也許還在觀望，看SaaS是否真正能夠解決好安全問題。這一點，我們深深理解并且接受，因為每一項今天看來司空見慣的方法和技術，在誕生的那刻，對于公眾而言總是有接受度上的挑戰，就像歷史上電力和無線電的普及，醫學上抗生素和外科手術的使用，包括而今的純電動汽車。

這些歷史上的偉大產物在出現后都經歷了或長或短的技術進步周期，直到被公眾廣泛接受，受賜于互聯網驚人的發展速度，今天的SaaS軟件唯一和它們不一樣就是，它的性能和安全已經遠超前任。