(1)物理安全控制策略。

        ①建立硬件環(huán)境防范體系。服務(wù)商的系統(tǒng)硬件和運(yùn)行環(huán)境是SaaS應(yīng)用運(yùn)行的最基本要素，要保證存放SaaS服務(wù)器、通信設(shè)備等場(chǎng)地的安全，確保計(jì)算機(jī)的正常運(yùn)行。

        ②建立多層級(jí)備份機(jī)制。數(shù)據(jù)備份是為了防止系統(tǒng)操作錯(cuò)誤或系統(tǒng)故障而導(dǎo)致數(shù)據(jù)丟失的防護(hù)手段，可以確保在出現(xiàn)重大問題時(shí)，用戶數(shù)據(jù)能夠迅速恢復(fù)且不被第三方截獲，保證運(yùn)營(yíng)服務(wù)系統(tǒng)的安全。

        (2)網(wǎng)絡(luò)安全控制策略。

        ①肩用防火墻。作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口，防火墻能根據(jù)網(wǎng)絡(luò)系統(tǒng)的安全策略控制出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力，有效地保證了內(nèi)部網(wǎng)絡(luò)的安全。

        ②啟用入侵檢測(cè)系統(tǒng)。這是防火墻之后的第二道安全閘門，能夠有效地防止黑客攻擊，在計(jì)算機(jī)網(wǎng)絡(luò)上實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)傳輸，分析來(lái)自網(wǎng)絡(luò)外部和內(nèi)部的入侵信號(hào)。在系統(tǒng)受到危害前發(fā)出警告，實(shí)時(shí)對(duì)攻擊做出反應(yīng)，并提供補(bǔ)救措施。

        ③實(shí)施網(wǎng)絡(luò)監(jiān)控。需要利用網(wǎng)絡(luò)監(jiān)控系統(tǒng)對(duì)網(wǎng)絡(luò)設(shè)備的運(yùn)行狀況進(jìn)行7×24小時(shí)實(shí)時(shí)監(jiān)控，使得網(wǎng)絡(luò)在出現(xiàn)故障的第一時(shí)間得到報(bào)警。

        ④數(shù)據(jù)傳輸控制。SaaS應(yīng)用完全基于互聯(lián)網(wǎng)，如果采用安全超文本協(xié)議HTTPS(Hypertext Transfer Protocol over Secure Socket Layer)。

       ⑤聯(lián)手網(wǎng)絡(luò)通信商。通信運(yùn)營(yíng)商在網(wǎng)絡(luò)方面有排他性優(yōu)勢(shì)，可以提供軟件服務(wù)、服務(wù)器托管、網(wǎng)絡(luò)接入的一條龍服務(wù)，從而實(shí)現(xiàn)端到端的SEA(Service Level Agreement)保障，打消客戶在網(wǎng)絡(luò)穩(wěn)定性方面的顧慮。

       (3)系統(tǒng)安全控制策略。

        ①系統(tǒng)加固。服務(wù)器的安全是SaaS廠商實(shí)力在用戶眼中最直觀的體現(xiàn)。可以通過在SaaS應(yīng)用服務(wù)器前端部署負(fù)載均衡設(shè)備，以實(shí)現(xiàn)多臺(tái)應(yīng)用服務(wù)器之間的負(fù)載均衡和高可用性。

        ②漏洞掃描修復(fù)。無(wú)論是操作系統(tǒng)、瀏覽器還是其他應(yīng)用軟件都存在各種各樣的容易被黑客利用的漏洞，為此，要配置網(wǎng)站安全掃描平臺(tái)，實(shí)時(shí)監(jiān)測(cè)最新發(fā)現(xiàn)的漏洞和薄弱環(huán)節(jié)，并及時(shí)安裝補(bǔ)丁修復(fù)程序。

        ③病毒防護(hù)。通盤考慮，制定多層次、全方位的防毒策略，通過應(yīng)用網(wǎng)絡(luò)防病毒產(chǎn)品、關(guān)閉系統(tǒng)中不必要的應(yīng)用程 序以及做好移動(dòng)硬盤、u盤等沒備使用前的掃描殺毒工作建立網(wǎng)絡(luò)病毒防護(hù)體系。

        (4)應(yīng)用安全控制策略。

        ①數(shù)據(jù)隔離。軟件提供商為了保證系統(tǒng)的實(shí)施成本最低，在數(shù)據(jù)隔離方案上通常選擇共享數(shù)據(jù)庫(kù)、共享數(shù)據(jù)模式方式，因此必須采用數(shù)據(jù)隔離的方法來(lái)保證用戶數(shù)據(jù)仍然像使用獨(dú)立數(shù)據(jù)庫(kù)一樣安全。

        ②數(shù)據(jù)加密。SaaS應(yīng)用的數(shù)據(jù)庫(kù)是由運(yùn)營(yíng)商管理，運(yùn)營(yíng)商及數(shù)據(jù)庫(kù)管理員并不完全值得信任。對(duì)于一些敏感數(shù)據(jù)，例如公司的財(cái)務(wù)數(shù)據(jù)，可以考慮加密。

        ③權(quán)限控制。可采用訪問控制列表(ALC)來(lái)界定訪問權(quán)限，以及對(duì)數(shù)據(jù)操作，保證有效用戶正常使用系統(tǒng)。

        ④身份認(rèn)證。多數(shù)中小型用戶目前沒有自己專門的身份認(rèn)證中心，因此用戶級(jí)控制策略的認(rèn)證適合采用集中式認(rèn)證，防止非法用戶使用系統(tǒng)。

        (5)管理安全控制策略。

        ①選擇合適的SaaS服務(wù)提供商。企業(yè)應(yīng)根據(jù)SaaS模式業(yè)務(wù)特點(diǎn)需要、預(yù)定目標(biāo)設(shè)定選擇標(biāo)準(zhǔn)以及企業(yè)成本控制，慎重地保證了內(nèi)部地選擇供應(yīng)商。相對(duì)于價(jià)格，安全性和服務(wù)保障更為重要。

        ②完善安全管理制度。企業(yè)應(yīng)按照計(jì)算機(jī)信息安全的有關(guān)要求，按責(zé)、權(quán)、利相結(jié)合的原則，建立健全SaaS系統(tǒng)崗位責(zé)任制度、安全日志制度等，做到有章可循、有法可依。

        ③人員安全管理。提高安全意識(shí)是保證SaaS服務(wù)安全的重要前提，應(yīng)加強(qiáng)對(duì)系統(tǒng)維護(hù)人員和技術(shù)支持人員的安全教育和技術(shù)培訓(xùn)。信息安全管理的根本立足點(diǎn)是規(guī)范企業(yè)員工的行為，增強(qiáng)操作人員的安全管理意識(shí)，培育提高人員的誠(chéng)信和道德水平，以及應(yīng)急事件處理能力。

        ④建立監(jiān)彈監(jiān)督制度。SaaS的用戶可能對(duì)SaaS應(yīng)用實(shí)施過程與標(biāo)準(zhǔn)不甚了解，可以利用第三方監(jiān)理這種社會(huì)化、科學(xué)化、公平化和專業(yè)化的監(jiān)督機(jī)制來(lái)輔助實(shí)施與管理，確保SaaS應(yīng)用模式更合理、有效地運(yùn)行和發(fā)展下去。