摘要：要让客户买单，在线CRM服务的提供者需要拿出一个数据安全的解决方案，那些隐晦的如何保障数据安全的回答只能让客户对数据安全更加担心，XTools的经验是：一定需要拿出一个全面的数据安全方案。

　　前言
　　
　　在线CRM是CRM的最重要的一种形态，企业在线应用CRM，不需要自己搭建服务器，不需要购买软件，企业按月付费，这也就是目前热门的SaaS（软件即服务）模式，但是很多人说：“数据存储在SaaS服务商的服务器上，我还是不放心呀！”
　　
　　对于这个问题，我们采访了中国最具代表性的SaaS厂商XTools，对于2009年在线CRM付费用户数第一的厂商，他们是如何保障企业客户的数据安全的呢？
　　
　　XTools的副总经理谢亿民说：“数据安全是SaaS模式服务的一部分，如果缺少数据安全保障，那就不叫SaaS了，在线CRM的服务提供方需要有严密的数据安全保障体系，来运营这种模式。”
　　
　　关于数据安全，在线CRM需要做到一下几方面：
　　
　　第一：服务稳定
　　
　　评价在线CRM的系统稳定来自于两个方面：第一：连接速度；第二：连接连通率。在连通率上一般的数据中心都能保障达到99.9%，而在速度上，各家的在线CRM却良莠不齐。
　　
　　所以在试用过程中需要关注访问速度。XTools在全国南北等地分布了很多服务器，用户可以根据自己的测试速度登录最快的服务器，也就是假定一个有全国分支机构的公司员工，能够分别登录自己测速最快的服务器，录入和读取的数据也是即时和同步的。
　　
　　第二：登录安全
　　
　　如何防止木马等黑客程序给用户登录密码带来威胁，一直是网络安全界讨论的话题，无论网上银行系统还是国家保密部门，都离不开几种方式：证书登录、动态密码OTP登录、USB钥匙登录。
　　
　　SaaS的在线CRM登录也需要关注于登录的安全，一些优秀的SaaS厂商目前也采取了登录的措施，比较全面的要数XTools，比如加长主密码位数、提供USBkey登录、OTPkey登录等，以避免客户在登录CRM系统时密码泄露的风险。
　　
　　第三：传输安全
　　
　　SSL广泛用于浏览器中，以便向客户端（用户端）证明服务的身份，并且随后向通道提供保密性（加密传输）。
　　
　　客户端（用户端）和网站（在线CRM网站）之间的数据交流使用加密规则，以便对传输的数据进行加密和解密。如果没有SSL加密传输，就可以视同在数据传输过程中，包括用户名、密码在内的重要数据存在被窃听的风险。
　　
　　当用户第一次访问XToolsCRM平台时，所有的传输数据通过SSL机制对传送的数据进行加密和隐藏；XToolsCRM从终端身份认证、网络中间传输、服务器身份认证、异地容灾数据备份等提供了完整的数据安全加密解决方案。
　　
　　第四：存储安全
　　
　　目前云存储成为最为尖端的存储和备份方式，这种方式能够最大限度保障客户数据不被意外情况（包括不可抗力的灾害）所破坏，并实现数据快速恢复。
　　
　　云存储是在云计算(cloudcomputing)概念上延伸和发展出来的一个新的概念，是指通过集群应用、网格技术或分布式文件系统等功能，将网络中大量各种不同类型的存储设备通过应用软件集合起来协同工作，共同对外提供数据存储和业务访问功能的一个系统。
　　
　　XTools为了保障数据安全，建立了云存储中心，各地服务互相备份，如遇到不可抗力导致服务器损毁，可在一小时内恢复数据。
　　
　　第五：系统安全
　　
　　系统安全包括的面很广，安全风险包括：
　　
　　对URL规则的分析后，就可以通过修改URL中各种数据参数，并合成伪造成新的URL，然后直接访问服务器。这个过程的产生的后果是：可以绕开系统本身的权限体系，而直接从数据库中读取数据。就像是虽然门口装了重重铁锁，但是围墙很低，很容易翻越，根本不用通过大门进入。防止URL伪造与合成欺骗成为在线CRM重要工作。
　　对于在线系统来说，出现这种漏洞是致命的。XTools的总工程师李亚平说：“经过我们的安全工程师检测，目前国内很多在线服务系统均没有解决这个漏洞，这对于客户的数据安全来说，风险很大。”
　　
　　相对于前面的两种风险，SQL注入可能会产生更为严重的恶果。数据访问程序编写的不规范、权限系统不完善，或者URL漏洞，给破坏者带来使用SQL注入的可乘之机。SQL是数据库访问的语言标准，通过SQL注入，入侵者可能会实现对数据的整体删除，数据的整体复制或者全面读取。如果发生这种情况，对于客户来说，简直就是灾难。
　　
　　以上仅仅是系统安全的两个例子，系统安全也包括操作系统和应用系统是否存在漏洞，服务器端口安全、应用系统的接口安全、系统的访问压力监控等等。专业的SaaS厂商应该对系统的安全定期检查，和用户对数据安全要求达成一致。
　　
　　第六：五年以上SaaS运营经验
　　
　　对于在线CRM的安全和稳定运营，需要有一个专业的团队，通过采访，记者觉得，如果只有通过五年以上的SaaS运营实战经验，安全才能有所保障，稳定性才能得到用户口碑认可。因为，处理SaaS运营中的一些不确定因素的经验是需要长期服务才能获得的。
　　
　　结束语
　　
　　要让客户买单，在线CRM服务的提供者需要拿出一个数据安全的解决方案，那些隐晦的如何保障数据安全的回答只能让客户对数据安全更加担心，XTools的经验是：一定需要拿出一个全面的数据安全方案。据了解，XTools在六年的运营过程中，不断提升客户的数据安全感受，目前付费企业客户突破六千七百家，居行业第一。
　　
　　责任编辑：Kelly