近段時間,世界經(jīng)濟(jì)正在加速惡化����,許多中小企業(yè)為了節(jié)省開支不得不勒緊褲帶,但在精打細(xì)算的同時還必須尋求創(chuàng)新的IT思路�,以應(yīng)對這波及全球的經(jīng)濟(jì)寒冬。
SaaS模式以節(jié)約部署時間����、前期投入和后期運(yùn)維資源少等受到普遍的歡迎,使得SaaS在中小企業(yè)中開始逐漸取代原本由企業(yè)IT部門負(fù)責(zé)的套裝軟件和由企業(yè)自己開發(fā)的軟件��。IT領(lǐng)域這種根本性的變化將給中小企業(yè)的IT運(yùn)營帶來重大沖擊��,尤其是使CIO面臨著新的挑戰(zhàn)����。
而就在SaaS一路高歌猛進(jìn)的同時,筆者卻深思著一個可能是潑冷水的問題����,就是SaaS服務(wù)的安全與信任問題不能不讓人擔(dān)心���。擔(dān)心的問題是“筆者的商業(yè)資料交給SaaS服務(wù)商管理,服務(wù)人員會按照什么責(zé)任來管����,商業(yè)數(shù)據(jù)放在那安全嗎?”這是一個不容忽視的問題���。因此����,在經(jīng)濟(jì)性與安全性之間如何權(quán)衡���,CIO一定要拿捏好���,為企業(yè)信息化應(yīng)用把好安全的第一關(guān)。
一.什么是SaaS應(yīng)用服務(wù)�?
(1)什么是SaaS服務(wù)
被稱作2008年十大值得關(guān)注技術(shù)--SaaS軟件即服務(wù)(Software-as-a-Service)是一種通過Internet提供軟件的方式,是由服務(wù)提供商全權(quán)管理和維護(hù)軟件���,客戶不再像傳統(tǒng)模式那樣需要花費(fèi)大量投資用于硬件����、軟件、人員進(jìn)行系統(tǒng)維護(hù)�,而只需支出一定的租賃服務(wù)費(fèi)用,通過互聯(lián)網(wǎng)便可以隨時隨地享受到相應(yīng)的軟件使用權(quán)����、專業(yè)服務(wù)和后續(xù)升級。
SaaS相比較傳統(tǒng)服務(wù)或軟件����,它徹底顛覆了傳統(tǒng)軟件的運(yùn)營和交付模式���,免除了企業(yè)購買�����、構(gòu)建和維護(hù)基礎(chǔ)設(shè)施和應(yīng)用程序的巨大投資成本��,這對面臨寒冬的中小企業(yè)來說無疑是一條借雞生蛋的快捷方式���。
(2)SaaS的安全隱患
但勿庸諱言的是,SaaS這種應(yīng)用方式在實施�、服務(wù)和運(yùn)營過程中要比通常想象的要復(fù)雜多,它可能會存在著較大的安全風(fēng)險�����,尤其是在可靠性、穩(wěn)定性�、安全性上。因此���,大家關(guān)心的SaaS安全問題�����,實際上關(guān)于SaaS平臺的信任問題��,這里信任包括安全誠信與穩(wěn)定性兩個部分����,這也是SaaS的致命短板�����。
簡單的說�����,信任不僅僅只是數(shù)據(jù)安全和應(yīng)用使用安全���,例如基于Internet的SaaS平臺可能時刻遭遇著病毒����、黑客甚至競爭對手獲取、篡改和破壞的風(fēng)險���,稍有不慎就會帶來重大風(fēng)險損失;而且還包括能否隨時隨地的穩(wěn)定訪問�,如一是服務(wù)能否不間斷的隨時安全訪問����,如7x24x365的服務(wù)時間不會因為技術(shù)節(jié)點(diǎn)失效而間斷。二是能否隨地的安全訪問���,例如沒有世界地區(qū)差異造成的訪問限制或速度限制或功能限制或存儲限制。因此�,只有有了可信平臺,用戶才能放心的構(gòu)建基于SaaS之上的業(yè)務(wù)架構(gòu)平臺��。
二.SaaS平臺在哪方面暗藏安全殺機(jī)�����?
隨著加入SaaS陣營的服務(wù)商越來越多�����,企業(yè)的選擇范圍也越來越大。然而��,不管采用那種方法來選擇服務(wù)商��,都不要忽略審慎的安全調(diào)查的重要性����。在安全問題上,SaaS服務(wù)的風(fēng)險一般來說會大于用戶在內(nèi)部自行架設(shè)軟件�。因此,有數(shù)據(jù)顯示超過三分之二的公司表示安全信任是選擇SaaS廠商時的重要考量��,安全性始終是最大的難題��。
(1)數(shù)據(jù)傳輸安全問題
用戶在使用SaaS軟件的過程中�,是通過互聯(lián)網(wǎng)而非企業(yè)局域網(wǎng)來傳輸數(shù)據(jù),這樣商業(yè)數(shù)據(jù)就會在客戶端瀏覽器和服務(wù)器端之間傳輸����。因此,數(shù)據(jù)傳輸安全、客戶端安全和服務(wù)器端安全是三個大問題���。如何保證數(shù)據(jù)傳輸過程中數(shù)據(jù)的安全性�,成為用戶關(guān)注的焦點(diǎn),也是SaaS服務(wù)暗藏的第一個安全性殺機(jī)���。
例如����,在傳輸過程中���,如何保證在互聯(lián)網(wǎng)上的傳輸?shù)臄?shù)據(jù)不被黑客截獲��,傳輸過程中是否加密��,或傳輸協(xié)議加密是否可靠���。另一方面,SaaS軟件都采用瀏覽器來訪問����,又因為身份驗證和授權(quán)服務(wù)是系統(tǒng)安全性的起點(diǎn)��。所以����,用戶還會擔(dān)心登錄是否安全��,SaaS服務(wù)商有沒有在登錄安全上大下功夫��。
(2)數(shù)據(jù)存儲安全和數(shù)據(jù)備份安全
SaaS服務(wù)商存儲數(shù)據(jù)的服務(wù)器是否有能力抵御互聯(lián)網(wǎng)黑客的攻擊�����,這也是眾多中小企業(yè)最為關(guān)注的另一個問題�。因為SaaS模式的數(shù)據(jù)存儲在SaaS服務(wù)商的手上���,而且時不時在新聞媒體上有聽說到黑客可以隨時破解并進(jìn)入數(shù)據(jù)服務(wù)器獲取數(shù)據(jù)�,這聽起來好像很可怕�,當(dāng)然就也更讓用戶擔(dān)心他們的商業(yè)數(shù)據(jù)安全問題了。因此����,數(shù)據(jù)存儲和數(shù)據(jù)備份安全是SaaS服務(wù)在安全方面的最大的隱藏殺機(jī),而且這個殺機(jī)嚴(yán)重時可能會造成致命影響��。
根據(jù)SaaS模式的定義和方案�,筆者們知道提供SaaS軟件服務(wù)和傳統(tǒng)的自建企業(yè)應(yīng)用系統(tǒng)之間有重要區(qū)別,就是標(biāo)準(zhǔn)的SaaS 系統(tǒng)是多重租賃的���,也就是多個不同的企業(yè)共用一套軟件和數(shù)據(jù)庫平臺�����,雖然經(jīng)過軟件和數(shù)據(jù)庫的隔離及保密技術(shù)�,其特點(diǎn)是多個企業(yè)同時使用。因此��,有沒有嚴(yán)格的數(shù)據(jù)庫安全技術(shù)很重要����。例如,服務(wù)器和數(shù)據(jù)有沒有隔離安全策略����?如何保障不同應(yīng)用數(shù)據(jù)之間的安全?企業(yè)之間數(shù)據(jù)有沒有完全互相隔離���,杜絕企業(yè)間數(shù)據(jù)的滲透等�����。還有����,所有涉及用戶機(jī)密數(shù)據(jù)部分是否全部采用密文保存�,即便系統(tǒng)管理人員也無法得到原文。
另外���,SaaS服務(wù)商提供了什么樣的數(shù)據(jù)備份機(jī)制����?一旦出現(xiàn)重大問題��,如何恢復(fù)數(shù)據(jù)���?有沒有業(yè)務(wù)連續(xù)和災(zāi)難恢復(fù)保障策略����?有沒有實現(xiàn)災(zāi)難異地恢復(fù)���?其中解決數(shù)據(jù)恢復(fù)的問題還包括是否需要中斷業(yè)務(wù)操作來恢復(fù)備份等��。最后�����,SaaS的機(jī)房是否安全�,機(jī)房的安全性是否包括氣體滅火、恒溫恒濕��、聯(lián)網(wǎng)電子鎖防盜���、24小時專人和錄像監(jiān)控���、網(wǎng)絡(luò)設(shè)備帶寬冗余、口令進(jìn)入機(jī)房等���。
(3)SaaS服務(wù)商是否能信任
SaaS服務(wù)的特點(diǎn)是由SaaS服務(wù)商完成所有的系統(tǒng)維護(hù)���,如果當(dāng)服務(wù)商提供服務(wù)時,技術(shù)人員可以很方便接觸到用戶商業(yè)數(shù)據(jù)時��,這就存在用戶對SaaS服務(wù)商的信任問題���。畢竟在新聞媒體上經(jīng)常能看到許多技術(shù)人員因為不滿足公司����,而造成徹底毀損數(shù)據(jù)���、泄漏數(shù)據(jù)��、出賣數(shù)據(jù)的事件����。例如��,SaaS服務(wù)商有沒有部署非常高的�����、規(guī)范化的安全制度標(biāo)準(zhǔn)��,還有能否受到客戶的相關(guān)審查���。但不幸的是許多調(diào)查顯示�,規(guī)范化安全制度標(biāo)準(zhǔn)正是許多SaaS服務(wù)商的安全軟肋����。
因此,SaaS用戶擔(dān)心的第三個問題是�����,就是如何保證在沒有客戶的許可下���,SaaS服務(wù)商不能或不會查看或更改數(shù)據(jù)�����,服務(wù)商在內(nèi)部管理上如何保證用戶數(shù)據(jù)不被非法泄露���,這是對服務(wù)商的信任問題����,也是一個不容忽視的隱藏的殺機(jī)����。
(4)缺乏第三方安全認(rèn)證監(jiān)督
目前SaaS模式尚缺第三方認(rèn)證的監(jiān)督機(jī)制,這是SaaS在保障安全信任問題上的重大不利因素之一?����,F(xiàn)在許多SaaS服務(wù)商的安全保證只是自家的說法�,都說滿足相關(guān)的法律法規(guī)監(jiān)管,是王婆賣瓜,自賣自夸性質(zhì)����。因此,缺乏一個權(quán)威、公正���、資信力強(qiáng)的SaaS第三方認(rèn)證監(jiān)督機(jī)構(gòu)及其規(guī)范制度法令也常常會讓SaaS服務(wù)暗藏安全殺機(jī)�����。
三. 如何選擇安全的SaaS應(yīng)用服務(wù)��?
SaaS應(yīng)用給許多中小企業(yè)帶來了新的機(jī)遇,但同時也帶來更多安全性問題的挑戰(zhàn)�����。因此�����,面對眾多的SaaS軟件����,CIO應(yīng)該如何有效選擇安全的SaaS服務(wù)?
(1)判斷服務(wù)商的主營方向���,確保投入足夠安全研發(fā)資金
SaaS服務(wù)提供商應(yīng)具有良好經(jīng)營狀態(tài)�、雄厚實力��、眾多成功案例與較長的服務(wù)歷史。例如���,考察所提供的SaaS是否是服務(wù)商的主營業(yè)務(wù)方向�����,因為如果SaaS服務(wù)是服務(wù)商的主營業(yè)務(wù)的話��,服務(wù)商將會不斷投入���。同時,服務(wù)商的專業(yè)性研發(fā)實力也很關(guān)鍵����,SaaS服務(wù)研發(fā)技術(shù)直接決定著所選擇的SaaS產(chǎn)品的后續(xù)更新能否跟上安全發(fā)展的速度。
(2)考察廠商的安全信譽(yù)�����,建立信任關(guān)系
專業(yè)的SaaS廠商可能比用戶更加注重安全方面的信譽(yù)�����,因為SaaS的“安全性”就是服務(wù)商的“飯碗”。就像在網(wǎng)上買東西�����,用戶需要看的是廠商所獲得的用戶評價和媒體的口碑����。一般來說,SaaS服務(wù)商對安全信譽(yù)越是重視����,對SaaS安全的持續(xù)投入也會越多,如此良性循環(huán)�����,服務(wù)商就會可能擁有更豐富的安全經(jīng)驗��。但也要注意的是���,有些服務(wù)商僅僅把SaaS產(chǎn)品作為炒作的噱頭,當(dāng)作一條生財之道�����,并沒有投入足夠的資金在安全技術(shù)上來。
(3)考察服務(wù)商的安全規(guī)章制度
CIO要加強(qiáng)對SaaS服務(wù)商進(jìn)行安全規(guī)章制度的考察�����、把脈�。因為即使SaaS服務(wù)商投入大量資金在硬件安全和軟件系統(tǒng)建設(shè)上,如果缺乏有效的管理制度也是會錯漏百出的���。因此��,采用嚴(yán)格的數(shù)據(jù)安全制度和保密措施�����,是開展安全和保密工作的第一步���,也是讓用戶安心放心的關(guān)鍵一步。
制度評估內(nèi)容包括SaaS服務(wù)供應(yīng)商是否建立了嚴(yán)格��、規(guī)范的SaaS服務(wù)管理體系���,是否擁有高水準(zhǔn)�����、多層次的專業(yè)服務(wù)工程師隊伍���,能否提供完整��、專業(yè)的配套業(yè)務(wù)體系��,以及是否建立及時���、準(zhǔn)確的服務(wù)質(zhì)量監(jiān)控體系。這既是每一個SaaS服務(wù)商需要重視的問題�����,也是中小企業(yè)選擇SaaS服務(wù)時的必須檢查的重要事項之一����。
(4)了解有沒有第三方監(jiān)理或相關(guān)認(rèn)證
第三方安全監(jiān)理和通過相關(guān)的安全認(rèn)證是確保SaaS服務(wù)商在執(zhí)行安全活動的一種國際通行慣例�����。用戶應(yīng)利用第三方監(jiān)理這種社會化�����、科學(xué)化、公開化和專業(yè)化的監(jiān)督機(jī)制來確保SaaS服務(wù)商在執(zhí)行安全活動的效果���。
