国内SaaS产业发展落后十年 都是云安全惹的祸？

仅凭云安全耽误国内SaaS发展近10年？

有资料显示：SaaS刚在国际上崭露头角，2003年，国内就开始了这方面的探索。对比中外在互联 和移动互联 领域的发展速度，照理来说，10年之内在技术与服务上赶超国外绝对没有悬念。可是现实却骨感得很，几年之间，Salesforce估值超450亿美元，workday上市后市值破95亿美元，云ERP厂商NetSuite市值突破82.3亿美元，连后来居上的“独角兽”如Zenefits、slack等估值早已超数十亿美元。反观国内，SaaS在历经一段不温不火的发展后，还没能诞生出一个可以与Salesforce、workday等匹敌的品牌，倒是零星诞生了理才 、北森、浪潮、东软、今目标、纷享销客、销售易、金柚 等SaaS 云服务厂商。究竟是什么耽误了SaaS在国内发展的黄金十年？是技术实力滞后？涵盖面过少？收费门槛高？还是市场需求过小？可惜都不是，致命的短板其实在云安全上。

“安全问题是阻止企业选择SaaS的首要原因”Forrester分析师曾如是表示。SaaS起步之初，国内云主机资源匮乏，亚马逊云纵然享誉全球，飘扬过海，加上概率很低的服务中断和“信息门”安全事故，不少用户在选用SaaS软件服务时难免心生疑窦。当然，因为国内的互联 信用监管和法律不够完善，企业对互联 数据传输可能导致的商业机密泄露、黑客攻击、信息截流等难免多一层担忧。眼下阿里云、腾讯云、华为云、天翼云、搜狐云等云主机百花齐放，企业用户对云安全的顾虑少了许多，可总觉得还缺点什么。到底还缺什么？对比国外热门SaaS应用的“安全盾”，不少人顿有所悟：原来是第三方安全认证。以salesforces为例，在云安全上，salesforces早年便获得欧盟安全港标志的认证许可，为了凸显自己的国际化色彩，还因此遵循了美国 – 欧盟和美国 – 瑞士的安全港框架，加上TRUSTe 络隐私标志的认证许可，等同于为用户打了一针“兴奋剂”。SaaS HR 领域，Workday在云安全上也没少下功夫。除了照搬salesforces的两重防护，Workday还获得AICPC美国注册会计师协会的服务组织控制(SOC) 告和ISO27001信息安全认证，为开拓中国市场提前铺路。可惜实力过硬的它在免费商业模式和“水土不服”综合症面前多次碰壁，目前在国内的接受度依然不高。其他如IBM、甲骨文公司等也有相应的部署。

实力过硬，为何还需要“认证招牌”来说话？除了行业缺乏统一的衡量标准和评判机制，认证机构的公信力和所能带来的实质性技术保障是重要原因。众所周知，云安全无外乎技术和非技术两大层面。眼下技术层面的安全防护快要触及天花板，非技术层面的第三方认证自然很快“上位”，成为完善企业信誉、产品评估、合约约束等的重要手段。

国内开展云服务安全认证的历史并不长，可是认可度与接受度颇高。以威瑞信(VeriSign SSL)为例，威瑞信目前属赛门铁克旗下，是较早进入国内市场的 络安全认证证书之一，在全球都具有颇高的知名度与公信力。据媒体 道：VeriSign SSL主打技术加密安全认证，目前超93%的财富500强企业，97%的世界100大银行以及全球50家最大电子商务 站中的47家都选择了该公司的数字认证服务，其震慑力可见一斑。2012年，在SaaS行业拥有7年资历的北森获得威瑞信认证，在崇尚“技术为王”、“野蛮生长”的业内带来一阵骚动，对SaaS的安全质疑也顿时瓦解不少。等到成立才1年多的理才 短时间内突破200万用户，还一举囊括VeriSign SSL安全认证，就不难理解为什么它能再次引起轰动了。目前，安全认证在行业兴起一股热潮。除了强化云安全的阿里云、华为云等，转型SaaS云服务的金蝶、八百客等也积极加快了第三方认证的步伐。随着企业拥抱互联 进程的加快，专家纷纷预言“成本低、升级快、功能全、灵活化”的SaaS云服务将主导企业应用的未来。不过在此之前，除了以上技术这等硬实力，安全指数的高级与否，或将迎来内部竞争的另一轮洗牌。毕竟，安全性素来都是企业重度决策的“终极参考”。

告别裸奔 SaaS云服务如何抵御内外攻击？

除了内部危机，DDoS、CC攻击、数据拦截、病毒等外部攻击也是企业用户普遍关注的话题。有数据显示：早在2012年，欧洲企业采用SaaS模式进行安全防护就已经高达33.18%，三分之一的企业通过SaaS模式做邮件保护。不过同年中国云安全调查的结果却显示：SaaS依然被27%的受访者认为是不安全的云计算模式，两者形成巨大反差。3年过后，SaaS迎来新一轮发展高潮，2015年间投融资金额稳居榜首，云安全的话题再度被提上日程显得并不意外。作为云安全的重要衡量指标，安全认证趁机火了一把。笔者了解到：目前主流信息安全认证集中在ISO信息安全认证、可信云服务认证、威瑞信、云安全国际认证、TRUSTe等上，其中威瑞信 SSL认证在国内备受推崇。SSL基于记录协议，不仅提供数据封装、压缩、加密等基本功能，同时兼具身份认证、数字签名、隐私保护、多重加密机制等。通过认证的域名呈浅绿色，浏览器显示出“锁”的安全标志，持续保障客户端和服务器间的安全通讯。据不完全统计：目前国内几大云主机厂商如阿里云、腾讯云、华为云等悉数加入了云安全认证阵容，云服务“裸奔”的年代逐渐走远。随着SaaS HR (如人才资本管理云平台dayHR)、SaaS CRM(如销售管理纷享销客)、SaaS OA(比如阿里的钉钉)等陆续通过认证，国内外SaaS产业的发展差距也在逐渐缩小，而这将成为国内诞生SaaS 巨头的契机也未可知。