雖然SAP全球運營總裁比爾·麥克德莫特在2009年曾表示，軟件即服務(SaaS) 永遠不可能成為企業的核心業務運作平臺，企業需要軟件基礎來創建商業程序……但最近兩年SaaS類產品、公司在全球范圍迅猛發展，根據Gartner在今年7月所公布的消息，SaaS的營收規模在2010年達到100億美元，而2011年會繼續增長20%以上。這類模式不但被各類互聯網廠商所采用，很多IT安全公司也開始在自己的產品中使用了這種模式。

比如這次RSA2011中國大會的很多參會廠商，很多都已經推出了基于“云”的SaaS網站安全檢測方式。

近日，記者采訪到即將在 RSA大會2011信息安全國際論壇上做演講的嘉賓——杭州安恒信息技術有限公司首席執行官范淵。他表示，自己很看好這樣的SaaS云安全模式，安恒信息也已經在幾個月前推出了51websec.com這個SaaS安全服務。

[[47547]]

安恒信息CEO 范淵

從2008年開始，范淵所在的公司就對他們的一些用戶開始做這一塊的服務。而現在隨著時機的成熟，一些安全服務就可以完全的用“云”方式來提供了。

據悉，目前國內幾個知名的安全公司都有了自己的SaaS“云”安全檢測產品。比如綠盟科技、啟明星辰、安恒信息、知道創宇等等。不過他們所提供的服務種類卻各不相同。比如有的公司會提供SQL注入和XSS檢測，有的公司則沒有……

有了SaaS的安全方案，那傳統的IT安全解決方案是不是就不用了呢？對此，范淵表示，這是一個互補的需求，比如用SaaS方案來實時監測網站安全，可以和內部部署的Web應用防火墻聯動工作，加強網站的防護效果。

那這SaaS到底有什么好處，讓各類IT廠商都開始競相加入呢？

一、使用方便

SaaS提供商為企業搭建信息化所需要的所有網絡基礎設施及軟件、硬件運作平臺，并負責所有前期的實施、后期的維護等一系列服務，就好像自來水一樣，企業根據實際需要，從SaaS提供商租賃軟件服務。

二、價格低廉

由于SaaS不僅減少了或取消了傳統的軟件授權費用，而且廠商將應用軟件部署在統一的服務器上，免除了最終用戶的服務器硬件、網絡安全設備和軟件升級維護的支出，客戶不需要除了個人電腦和互聯網連接之外的其它IT投資就可以通過互聯網獲得所需要軟件和服務。

結語：

云計算大潮正在席卷著整個IT界，用戶的使用習慣有變化，黑客們的攻擊方式有變化，各廠商的安全方案也得變化。

就好像最近EMC執行副總裁兼RSA執行主席亞瑟·科維洛（Art Coviello）和RSA總裁湯姆·海舍爾（Tom Heiser）在10月份的一個演講中提到的：“……在抗擊通過魚叉式網釣攻擊進入的零日惡意軟件時，人員成了新的邊緣，防病毒、入侵檢測系統等傳統的邊緣信息安全防御方法發現不了這類攻擊。顯然，傳統的信息安全方法或者無效、或者不夠充分。安全威脅現狀在不斷演變，我們的信息安全系統必須做出改變，以超越我們的對手。為了抵御高級安全威脅，信息安全系統必須演變為基于風險的，且具有敏捷性和情境識別能力。”

由此看來，SaaS模式的安全方案，還是值得考慮的。

PS：本屆RSA大會2011信息安全國際論壇上除了大量的“云安全”以外，《對新計算環境中的風險管理的反思》，《2011零日應用安全漏洞威脅分析和未來趨勢》，《移動、社交媒體和云，我的天哪！移動內容和Web 2.0安全》，《不要拿著刀去對付持槍的人：黑客的情報分析》，《NFC、不接觸以及移動：一種安全分析》等議題均值得關注。