(1)物理安全控制策略。

        ①建立硬件環(huán)境防范體系。服務商的系統(tǒng)硬件和運行環(huán)境是SaaS應用運行的最基本要素，要保證存放SaaS服務器、通信設備等場地的安全，確保計算機的正常運行。

        ②建立多層級備份機制。數(shù)據(jù)備份是為了防止系統(tǒng)操作錯誤或系統(tǒng)故障而導致數(shù)據(jù)丟失的防護手段，可以確保在出現(xiàn)重大問題時，用戶數(shù)據(jù)能夠迅速恢復且不被第三方截獲，保證運營服務系統(tǒng)的安全。

        (2)網(wǎng)絡安全控制策略。

        ①肩用防火墻。作為不同網(wǎng)絡或網(wǎng)絡安全域之間信息的出入口，防火墻能根據(jù)網(wǎng)絡系統(tǒng)的安全策略控制出入網(wǎng)絡的信息流，且本身具有較強的抗攻擊能力，有效地保證了內(nèi)部網(wǎng)絡的安全。

        ②啟用入侵檢測系統(tǒng)。這是防火墻之后的第二道安全閘門，能夠有效地防止黑客攻擊，在計算機網(wǎng)絡上實時監(jiān)控網(wǎng)絡傳輸，分析來自網(wǎng)絡外部和內(nèi)部的入侵信號。在系統(tǒng)受到危害前發(fā)出警告，實時對攻擊做出反應，并提供補救措施。

        ③實施網(wǎng)絡監(jiān)控。需要利用網(wǎng)絡監(jiān)控系統(tǒng)對網(wǎng)絡設備的運行狀況進行7×24小時實時監(jiān)控，使得網(wǎng)絡在出現(xiàn)故障的第一時間得到報警。

        ④數(shù)據(jù)傳輸控制。SaaS應用完全基于互聯(lián)網(wǎng)，如果采用安全超文本協(xié)議HTTPS(Hypertext Transfer Protocol over Secure Socket Layer)。

       ⑤聯(lián)手網(wǎng)絡通信商。通信運營商在網(wǎng)絡方面有排他性優(yōu)勢，可以提供軟件服務、服務器托管、網(wǎng)絡接入的一條龍服務，從而實現(xiàn)端到端的SEA(Service Level Agreement)保障，打消客戶在網(wǎng)絡穩(wěn)定性方面的顧慮。

       (3)系統(tǒng)安全控制策略。

        ①系統(tǒng)加固。服務器的安全是SaaS廠商實力在用戶眼中最直觀的體現(xiàn)?？梢酝ㄟ^在SaaS應用服務器前端部署負載均衡設備，以實現(xiàn)多臺應用服務器之間的負載均衡和高可用性。

        ②漏洞掃描修復。無論是操作系統(tǒng)、瀏覽器還是其他應用軟件都存在各種各樣的容易被黑客利用的漏洞，為此，要配置網(wǎng)站安全掃描平臺，實時監(jiān)測最新發(fā)現(xiàn)的漏洞和薄弱環(huán)節(jié)，并及時安裝補丁修復程序。

        ③病毒防護。通盤考慮，制定多層次、全方位的防毒策略，通過應用網(wǎng)絡防病毒產(chǎn)品、關(guān)閉系統(tǒng)中不必要的應用程 序以及做好移動硬盤、u盤等沒備使用前的掃描殺毒工作建立網(wǎng)絡病毒防護體系。

        (4)應用安全控制策略。

        ①數(shù)據(jù)隔離。軟件提供商為了保證系統(tǒng)的實施成本最低，在數(shù)據(jù)隔離方案上通常選擇共享數(shù)據(jù)庫、共享數(shù)據(jù)模式方式，因此必須采用數(shù)據(jù)隔離的方法來保證用戶數(shù)據(jù)仍然像使用獨立數(shù)據(jù)庫一樣安全。

        ②數(shù)據(jù)加密。SaaS應用的數(shù)據(jù)庫是由運營商管理，運營商及數(shù)據(jù)庫管理員并不完全值得信任。對于一些敏感數(shù)據(jù)，例如公司的財務數(shù)據(jù)，可以考慮加密。

        ③權(quán)限控制?？刹捎迷L問控制列表(ALC)來界定訪問權(quán)限，以及對數(shù)據(jù)操作，保證有效用戶正常使用系統(tǒng)。

        ④身份認證。多數(shù)中小型用戶目前沒有自己專門的身份認證中心，因此用戶級控制策略的認證適合采用集中式認證，防止非法用戶使用系統(tǒng)。

        (5)管理安全控制策略。

        ①選擇合適的SaaS服務提供商。企業(yè)應根據(jù)SaaS模式業(yè)務特點需要、預定目標設定選擇標準以及企業(yè)成本控制，慎重地保證了內(nèi)部地選擇供應商。相對于價格，安全性和服務保障更為重要。

        ②完善安全管理制度。企業(yè)應按照計算機信息安全的有關(guān)要求，按責、權(quán)、利相結(jié)合的原則，建立健全SaaS系統(tǒng)崗位責任制度、安全日志制度等，做到有章可循、有法可依。

        ③人員安全管理。提高安全意識是保證SaaS服務安全的重要前提，應加強對系統(tǒng)維護人員和技術(shù)支持人員的安全教育和技術(shù)培訓。信息安全管理的根本立足點是規(guī)范企業(yè)員工的行為，增強操作人員的安全管理意識，培育提高人員的誠信和道德水平，以及應急事件處理能力。

        ④建立監(jiān)彈監(jiān)督制度。SaaS的用戶可能對SaaS應用實施過程與標準不甚了解，可以利用第三方監(jiān)理這種社會化、科學化、公平化和專業(yè)化的監(jiān)督機制來輔助實施與管理，確保SaaS應用模式更合理、有效地運行和發(fā)展下去。