[案例] SaaS 安全方面的需求

来看看阿里软件的钱掌柜在安全方面做了哪些工作：

1、系统安全技术 
专业的阿里巴巴系统运维能力，保障网络、数据库、系统部署、异地备份的安全。 
数据传输链路SSL加密。 
防XSS注入攻击。 
防SQL注入攻击。 
全面的系统监控系统。 

2、数据安全技术 
租户数据严格隔离。 
方便的数据备份与恢复机制。 
方便的用户数据销毁机制。 
包装数据银行概念，灌输用户的数据保存与访问达到银行安全级别，为用户提供的特定数据存储〔如备份数据〕达到银行保险箱级的安全。 

3、应用安全技术 
支持硬件用户身份认证。 
严格的角色权限体系。 
系统支持不同的角色视图，进行角色隔离。 
全面的日志监控系统。 

4、务实的售后服务及承诺 
提供7X24小时不间断售后服务：第一时间解决客户疑问。 
服务器物理与环境绝对安全，重金投入有保障，未获得用户本人允许，不得泄露数据。 
全天候帐户异常检测及完善的信使服务（实时帐户变动通知，随时随地。第一时间掌握帐户变动情况。涵盖了即时通讯，邮件，手机短信等常见的通讯方式） 
专业的安全教育网络：利用多种安全教育平台普及网络安全知识。 

5、严格内部管理制度 
案件跟踪控制机制：全程跟踪处理，全方位为您解决后顾之忧。 
目前国内工商银行、农业银行、建设银行、招商银行、上海浦发银行等各大商业银行以及中国邮政、VISA国际组织等各大机构均和支付宝建立了深入的战略合作，使得在线财务对用户资金管理简单、安全、快速。 
多纬度权限管理体制：商业用户权限保护方案 
内部人员数据使用管理条例：阿里软件对运维人员采取严格的分级授权管理策略，非经用户授权，任何人不得访问和浏览任何用户的应用数据。在服务到期后，客户如不再续费，将在服务到期三个月内对用户数据进行加密保存，三个月后对用户的所有应用数据永久删除，彻底防止用户数据泄密。 

6、相关法律条文保障 
凡购买阿里软件产品的用户，将与阿里软件签订《阿里软件管理服务合同》。其中约定：双方对合同的书面资料及其它有关的商业机密负有保密责任，不得以任何形式、任何理由透露给第三方；否则，任何一方都有权利向对方请求损失赔偿，并依法追究法律责任。保密责任不因本合同的无效、提前终止、解除或不具操作性而失效。

可以看出他们的做法分这几层：系统级（包括硬件和软件）、应用级（系统本身的安全）、数据级，另外，他们还在管理制度和法律法规方面做了相关的工作，毕竟不是所有的问题都能通过技术来解决的，必要时候是要辅以管理措施。