VC SaaS全方位解析SaaS到底安不安全？

創業之初，當VC SaaS剛剛上線的時候，我跑了很多的VC。很多的投資經理和合伙人都覺得產品能夠切入到他們日常工作的痛點，但是很快就糾結在SaaS系統的安全問題上。一位機構的合伙人在看完產品演示後對我說了一句話，一直都讓我記憶猶新。

他說道：「我們希望的是一套線下的私有化部署系統，最擔心的是SaaS到底安不安全？」

聽完這個問題後，其實我的內心既不忐忑，反而稍微有一些開心，因為這不是技術的問題，這是一個對SaaS的認知概念的問題。

其實SaaS到底比線下的系統部署安全多少呢，用一個比較形象的社會問題去比喻的話，可以比作：錢到底是帶在身上安全，還是放在支付寶或者微信錢包更安全？

相信經過了一系列的用戶習慣培養之後，其實很多人已經不帶錢出門，只要帶手機出門就夠了，手機上有支付寶、微信，有些還有Apple pay等。你能夠說這不安全么？其實問題已經不在安不安全上面了，因為這種支付方式太方便了，以至於說帶錢出門都已經成為一種累贅或者是多餘的行為。

到底線下系統部署的風險有哪些？

• 數據存儲的安全性

大部分的VC沒有自己的管理系統，絕大部分都是把文件存儲在個人的電腦當中，稍微有一些系統意識的機構還停留在自建本地文件伺服器的階段。在區域網中配置幾台伺服器，把伺服器的硬碟劃分成不同的幾個區域並建立若干個共享文件夾。

其實最可怕的是大部分的機構還是用普通辦公檯式電腦來進行組網，幾個TB的硬碟。在這種落後的數據存儲配置中去保存企業的數據，數據安全從何談起，數據湮滅也只是時間問題，一個小小的電腦病毒可能就使得所有的文件和系統灰飛煙滅。

比系統更可怕的是員工的誤操作，如此簡單的文件授權共享很容易導致覆蓋或者文件丟失。一旦發生問題之後，只有數據恢復才能拯救珍貴的數據。

如果你說VC會自行對文件進行備份，那麼其實這個是一個非常不現實的事情。大部分的人停留在用U盤和硬碟備份文件的思維，思維再先進一點的人可能會用百度雲盤（後面會說到百度雲盤的安全性問題）。但是幾個TB的數據應該怎麼進行備份？怎麼進行管理呢？不可能做到像真正的金融企業的熱備吧？（通過多台伺服器的數據互相備份，做到其中一台主伺服器宕機時能夠實時切換而不影響任何的操作和服務。）大部分的機構都沒有專門的系統維護人員，都是懂IT的用戶進行定期的簡單維護，做的就是時不時進行數據備份。無論是何種方式都沒有可靠、可控的監控流程。

就算某些大型機構有專職的IT維護人員，大部分也沒有辦法做到實時的系統監控。而且，就算好不容易建立起來了系統監控機制，但是缺做不到及時的系統更新。為什麼呢？那是因為：只要升級系統就要重新把所有架構和機制重新建立一遍！所以這就是大部分的大型機構的系統還停留原始社會的原因。

其實對於機構的文件和數據的管理，還有一個風險是來自投資經理（員工）的離職，如果內部沒有建立一個健全的數據存儲機制的話，內部人員離職後，很可能就丟失很多項目相關的一些文件和數據。這個問題對於投資機構來說可能一開始並不會出問題，但是隨著時間的推移，項目的退出周期至少都在2-10年，當想要找回原來文件的時候，可能早已經丟失不見了。除此之外，如果有內部員工惡意刪除信息到底應該怎麼辦？

而對於SaaS系統而言，你說他是怎麼戰勝線下部署的系統的？可以說是因為規模上和技術上建築的壁壘去實現的。因為SaaS系統是上承載著數千家機構的數據和信息，必須用一切的技術手段去保證數據的安全，其中最多涉及的技術就是線上的分散式部署和實時數據熱備。有了這種大規模的技術使用，能夠使得所有的服務和數據永不下線，再也沒有數據丟失、服務停止的隱患。

• 數據泄露的存在的風險

絕大部分的VC的線下部署的系統沒有很好的安全防護機制。如果是區域網內的系統的話，沒有很好的防護措施，備份措施。如果是內外網隔離的系統的話，沒有很好的防止網路攻擊的措施，就連密碼的存儲、系統補丁等一些列防護都沒有。越是在區域網或者是私有雲的數據，越容易被大被黑客監聽、盜取賬號密碼的系統。

其實，數據存儲在線下或者是自己的眼皮底下（辦公室內），並不一定安全，很可能被竊取了也不知道而已。

• 不支持升級更新

現在的互聯網項目是進行快速迭代的，這就是說產品和服務會進行頻繁的升級和更新。假如自行部署線下的系統的話，不光是需要人員進行維護，還要定期的進行更新。但是像我們VC SaaS團隊，一般都會在每個月迭代2-3個系統版本，添加新的服務和功能進去，所以傳統的線下系統是很難跟上這個節奏和服務的。PS：投資機構或者企業內部並沒有系統開發能力這個也是其中的關鍵因素。

百度雲盤安全么？

也許很多人會說百度雲盤之類的雲盤能夠解決很大部分的數據存儲問題，但其實不然，百度雲其實也存在一些隱患。

先解釋一下一些專業辭彙：

密鑰：是一種參數，它是在明文轉換為密文或將密文轉換為明文的演算法中輸入的參數。

明文存儲：明文存儲就是存儲密碼信息的資料庫里的密碼信息是直接放進去的，沒有經過加密，資料庫被盜取的話所有密碼信息全部都會直接泄露。

Https：（全稱：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全為目標的HTTP通道，簡單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎是SSL，因此加密的詳細內容就需要SSL。

• 因為百度網盤的一大功能是數據共享，而一般數據共享的方式是通過網盤形成一個類似亂碼的網頁地址，通過分享這個地址，從而使得其他人能夠訪問這些被共享的數據。但是如果這個數據從剛開始上傳到百度網盤的時候，百度就進行了數據加密的話，那就不可能進行數據分享了。所以像百度網盤這樣能夠支持數據分享功能的網盤，被分享的數據一定是進行明文存儲的。退一步說，加入黑客破解了百度網盤，拿到了資料庫的內容，用戶的所有信息都是暴露的，因為所有信息都是明文存儲的。
• 雖然說從密碼學的角度來看這個問題是沒辦法解決的，像這類型的網盤可以用許可權和禁止訪問等技術手段去阻隔或者隱藏一些用戶的文件/數據。
• 還有一個更加駭人聽聞的就是，百度網盤的通訊用的是http，而非加密的https連接。一般來說用戶登錄網盤的密碼會保存在cookie裡面，黑客是可以抓取到電腦中的cookie並登陸你的賬號查看你內部的一些資料和文件。所以盡量不要連接外面路邊野生的wifi，極其危險。
• 其實很多機構或者VC嘴上說SaaS不安全，天天都在用百度網盤和微信傳送BP，殊不知自己的信息其實已經暴露在互聯網之下了。

VC SaaS在數據存儲和安全方面做了什麼工作？

• 數據加密

1. 用戶的數據從一進入VC SaaS當中都將進行2048位（加密方式）的數據轉碼，可以防止數據直接被人用肉眼查看。

2. 對於用戶的密碼，系統通過單向非可逆的加密演算法，杜絕了非法人員解密密碼的可能性。

3. 所有生產環境伺服器都採用密鑰對登錄，無法使用密碼登錄，密鑰對採用公有密鑰密碼術加密和解密登錄信息（基於2048--‐bitSSH--‐2RSA），只有用戶密鑰對文件.pem 的人員才可以連接伺服器。這種登錄授權方式，使得惡意攻擊無法通過猜測伺服器的用戶名和密碼來連接伺服器。

• 架構安全

1. 阿里云：提供全面的網路安全保障，有效隔離和抵禦巨大部分的網路攻擊。

2. 物理隔離：平台資料庫與外網隔離，資料庫只允許我們的伺服器建立內網連接。這樣可以斷絕外網的攻擊，有效杜絕外部連接。

3. 伺服器安全：伺服器禁用了Root賬戶登錄，不允許以賬戶密碼形式的登錄方式，只允許SSH加密登錄。免去了伺服器被暴力破解的可能。

• 數據安全

採用銀行級的SSL連接加密，有效防止網路竊聽。

登陸相應https網站或者涉及敏感隱私/金錢交易網站時候注意網址左側的證書顏色，綠色黃色紅色分別代表不同級別，綠色代表信任的級別最高。

• 業務保障

1. 異地登錄：如果不在常用的城市登陸，將會通過郵件的形式立刻提醒用戶。
2. 密碼錯誤：密碼連續出錯，將會凍結用戶賬戶一定時間。
3. 退出登錄：規定時間內沒有進行操作，將會自動登出。

是什麼驅動我們去做VC SaaS這款產品？

之前有幸在投資機構裡面工作，發現內部的工作方式比較墨守陳規，多數機構內部人員還在用最原始的方法在工作。舉個例子，多數的投資經理還在用excel、word來進行項目管理、用郵件來進行文件傳輸等；雖然工作安排非常緊湊，但是實際的工作效率並不高效；每天除了穿梭於不同的活動、會議、面談之外，還需要整理信息和使用的工具又特別多。所以希望做一個垂直於VC/投資機構內部的SaaS系統，期望創投機構內部成員可以高效協作，幫助機構內部用戶輕鬆完成任務分配和協同、信息記錄和共享、協議備份和簽署、日常溝通和交流。

我們是一家技術和產品導向的公司。將永遠保持公平、開放、包容的原則，趨避不良競爭，倡導開放共贏，做出更好互聯網產品，並將更好的工作體驗帶給創投行業的每一位成員。「不忘初心，方得始終」，優化工作方式、提高決策效率不僅僅幫助了機構本身，更是讓資本流向正確的、需要的地方，幫助創業者解決困局。

About US

VC-SaaS | 讓創投更簡單致力於開發創投圈辦公工具，為創投行業人員開啟雲端工作新方式。我們期望創投機構內部成員可以高效協作，幫助機構內部用戶輕鬆完成任務分配和協作、信息記錄和共享、協議備份和簽署、日常溝通和交流。

福利來了

最近用分散式爬蟲整理了市面上1272家早期投資機構的郵箱。你沒看錯！是1272家！1272家！1272家！相信這是市面上最全的早期投資機構郵箱集合了。如果您想要這個資料麻煩請按照以下的方式進行獲取。

請查看我們公眾號（微信ID:VCSaaSTech）菜單【connect】-【機構郵箱】，內有詳解。

期待您的反饋

您可以在我們的微信公眾號裡面、vcsaas@vcsaas.cn郵箱或者是在VC SaaS主頁的右下角留言想要的功能，我們將收集並進行評估，感謝您的反饋和合作。

我們的網址是：VC-SaaS | 讓創投更簡單現在無論是手機端還是平板端還是電腦端打開都可以。

本文由VC SaaS原創！版權歸VC SaaS所有.n如需轉載請聯繫我們，謝謝！n郵箱是：vcsaas@vcsaas.cnn想與VC SaaS合作，也可以通過郵箱聯繫我們.n微信唯一的ID是：VCSaaSTech，已經更新為服務號n

推薦閱讀：