在SAP云端 感受“至高的安全”

云计算越来越普及，最近的调查显示，超过70%的公司希望在未来三年内应用云计算。然而，与云计算相关的安全问题无疑是IT部门考虑的最大挑战。这也是5.20走进SAP云计算体验，多数IT主管共同关注的主要问题之一。

基于云计算信息化应用模式可能的风险问题

基于互联网的"云计算+SaaS"这种应用服务模式在国内尚处于初级阶段，其中阻碍其推广应用的主要障碍就是安全问题。

由于互联网环境至今尚不完全成熟、可靠，给基于互联网平台的"云计算+SaaS"模式带来了安全性的大难题。直到现在，这仍是云计算急需取信市场的首先要因素，甚至成为"云计算+SaaS"模式的重要短板。

在信息化应用迅速普及的今天，尤其是基于Internet能多方内外远程访问的云计算平台系统时刻遭遇着病毒、黑客甚至竞争对手获取、篡改和破坏的风险，稍有不慎，会给机关用户带来风险损失。

其次，云计算服务商的内部人员有可能存有诚信、职业道德等问题，造成内部滥用、发生操作失误、人为破坏、内部作案等重大问题。企业一直感到比较担心的问题是"我的信息数据交给云服务中心管，他们会按照什么责任来管，数据放在那安全吗?将来数据归属权和处理权由谁定?"，等等。

再者，一些专家认为，目前我国"云计算+SaaS"模式尚缺第三方认证监督机制，这是一个社会安全保障问题。

另外，由于在物理上，数据系统存在于云计算提供商处，用户存在对数据失去控制、安全保护的可能。采用"云计算"模式建设信息化，就意味着将自己的关键业务流程、重要经营数据放在他方信息系统中，委托给软件服务商管理。甚至可以说，中小企业相当于将自己的事业成败寄托在软件服务商的"云"上，这也是高速发展型中小企业在选择"云计算+SAAS"模式时犹豫的地方。因此安全信用问题始终是市场对云计算和SaaS模式主要顾虑之一。此次走进SAP云计算体验研讨会上，SAP业务总监张杰对中小企业的疑虑也表示理解。

因此，云计算服务商必须为中小企业提供在安全性、稳定性方面的都非常可靠、坚实的"云"，才能够让中、小企业放心使用。

SAP Business ByDesign，构建高性能高可靠一体化的云安全防护体系

SAP作为世界领先的IT商务解决方案供应商，如今正全力帮助国内中小企业构建安全、灵活、高效的"云计算+SaaS"应用，利用SAP蕴含的基于全球最佳实践经验，确保中小企业更卓越运营，实现长远发展。

此次5.20走进SAP云计算体验，让国内众多IT经理、CIO，切身真实感受到了SAP云

端上的"至高安全"。目前SAP Business ByDesign正不断创新，发挥云计算对企业信息化的积极作用，全面管控、降低云计算模式的应用风险，以最大程度保证企业信息化的安全推广应用，快速推进在线信息化的发展，使业界对云安全的疑虑开始云开雾散了。

1、集合了最先进的技术，建立世界最高级别的"云"。

从此次5.20走进SAP云计算体验，让我们所知SAP的"云"分为三个层次，底层是网格计算和虚拟化构成的"硬件云"，中层是开源应用服务和开发环境构成的"开发云"，顶层是由海量服务和目标应用构成的"应用云"。

SAP作为全球领先的管理信息化服务商，如今已拥有一批对信息安全有着丰富经验和深刻认识的合作伙伴，为"云计算+SAAS"构建了世界级的数据托管中心。SAP Business ByDesign 解决方案就运行在这个数据托管中心里。托管中心在"云"的三个层次都集合了世界最先进的技术，如在底层应用INTEL和EMC的技术，中层应用SYBASE的技术，顶层运用微软的技术。这些先进技术的运用为 "云计算"的安全性和稳定性提供了"保驾护航"的关键保证。

可以说，SAP Business ByDesign 解决方案是构建在完整的、健全的信息安全体系之上，其安全性远远超过广大中小企业所构建的内部安全体系。

2、SAP Business ByDesign云计算平台建立多层严密完善的安全防护体系。(1)加设防火墙，防止外部非法用户访问，为数据传输、转换设置一道电子屏障;(2)采用组合加密技术(密钥技术)，专用密钥与公开密钥组合加密效果更佳;(3)运用数字签名，验证对方身份、保证数据完整性。数字签名还可以建立不可否认机制，便于查找造成网络事故的原因;(4)使用安全协议。主要有：安全电子交易规范、安全接口字层协议及安全超文本传输协议等;(5)应积极采用反病毒ANTI-VIRUS技术，同时可挂接或捆绑第三方反病毒软件，加强软件自身的防病毒能力。对外来软件和传输的数据也要经过病毒检查。

此外，SAP Business ByDesign平台还应通过对信息及操作人员设置不同的权限及权限的组合，形成多维的、多层次的、全方位的对信息进行查看和操作的控制，保证企业信息化在应用云计算模式中的安全和可靠。SAP云计算产品研发部经理米凯表示，在SAP公司，应用软件的负责人无权访问操作系统，网络员工只能访问网络，操作系统员工只能访问操作系统。这种防范内部风险的做法是非常有效的。

3、建立多层备份机制。为做好中小企业"云计算+SaaS"应用系统的安全防护，SAP Business ByDesign云计算平台目前已分层次地采用服务器双机热备份、RAID镜像技术、各种管理软件系统自动备份等多种保护方式。并将必要的备份数据刻录到光盘中，保证数据在损坏后可及时恢复。时下，SAP已在全世界各主要国家建立数据中心，能确保云计算的安全可靠性，保障网络365天、24小时不间断的服务，不被不时的宕机所影响。

4、对涉及企业核心信息、重要机密的部分项目，SAP可帮助企业自建私有云或自建数据中心。如今在欧美越来越多的企业集团采用软件租赁、外包服务模式，但对关键数据也有采取另租服务器或将数据中心拿回"家"来，自建部分数据中心。SAP产品经理张琪伟表示，如今SAP正与中国电信合作，对一些不安于把涉及核心信息、机密项目放在SAP云计算数据中心的企业，SAP可另外租借一台小服务器专门给企业，让企业自己保管。SAP会和其他系统做一个物理上的隔离，保证A公司的数据与B公司的数据实现物理分隔，以防数据的丢失、泄露。

当然，在此次云计算研讨会上，鉴于云计算的重要性和存在较大的创新风险，SPA有关人员也建议，在推行云计算模式化的应用推广过程中，需要全员转变、完善有关风险的观念和体制，因此，国内中小企业用户在考虑应用云计算模式时，可采取先易后难、先简后繁、先硬件后软件、先一般项目后核心部分、先部分后整体的具体办法，循序渐进逐步推广。对此问题，要让云计算技术的好处变成现实同时降低风险，一些与会者也建议目前CIO可让自己的企业采用80/20方法，就是将他们业务的80%转移到云上，这部分应该是会从云计算动态资源管理获得好处的，同时也可保留20%的关键性业务在专属自主的私有环境。等云计算完全成熟时，再作全部托付。

另外，对以后合作到期的数据归属权、可能的灾备赔付、双方的可能争议条款等，此次云计算研讨会也作了认真讨论。

目前SAP已通过萨班斯、ISO等最高级别认证，选择SAP云计算平台中心，就相当于放在"保险的银行"里，"云计算+SAAS"未来必将成为中小企业信息化建设的首选!