您的位置: 网界网 > 周报全文 > 正文

[周报全文]电子政务与SaaS风险

2008年03月04日 14:23:42 | 作者:吴勇毅 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:SaaS作为结合了互联网的IT服务,在世界各国的电子政务系统中得到使用。然而,其一度备受安全问题困扰,并引发争论。

标签
电子政务
SaaS
 

【CNW.com.cn 专稿】SaaS[注]作为结合了互联网的IT服务,在世界各国的电子政务系统中得到使用。然而,其一度备受安全问题困扰,并引发争论。

新兴“魅力”

SaaSSoftware as a Service),是一种利用互联网资源提供在线租用IT(主要以软件为主)服务的应用模式,由信息化服务商提供全部一整套软硬件设备和专业服务,用户单位每月只需支付少量租用管理费,将用户计算机通过互联网接入运行平台,就可轻松享受到网上办公管理、客户关系管理、企业计划管理、财务管理和运维服务等一整套信息化的便利。SaaS包含两大应用内容,即租用和外包。

国家信息化发展战略明确提出:“创新电子政务建设的模式,逐步形成以政府为主、社会参与多元化投资机制,提高电子政务建设和运行维护的专业化、社会化服务水平”。而在电子政务发展的新阶段,这种创新一个主要模式就是推动发展SaaS,将电子政务项目建设、日常运行维护以及相关服务等工作,部分或全部委托给专业的IT外包服务提供商完成。

目前SaaS模式已在欧美发达国家日渐广泛应用。美国联邦政府电子外包费用2006年达150亿美元,以年均18%的速率快速增长,比如美国联邦政府教育部IT系统从1998年开始外包给ACS公司;亚利桑纳州政府将驾驶证管理信息系统外包给IBM,政府不投一分钱,只付租用管理费。我国香港2004-2006年的政府信息服务外包项目比率为64%,开支比率占89%。目前我国家经贸委、中国证监会等机关已经部分或全部将IT软硬件外包给专业公司运营和管理,崭露头角。

安全隐忧

勿庸讳言的是,SaaS这种应用方式,在实施、服务和运营过程中比通常想象的要复杂得多,仍存在较大的安全风险,尤其是对国家、社会事务的公共管理机构而言,其对IT应用系统的可靠性、稳定性、安全性等在性能上比其他行业用户有更高更严的要求,SaaS应用模式的希望与困难、机遇与风险并存。

由于互联网环境至今尚不完全成熟,给基于互联网平台的SaaS模式带来了安全性(这里安全性还包括诚信与稳定性两个部分)的大难题。直到现在,这仍是SaaS急需取信市场的重要因素,成为SaaS的致命短板。在信息化应用迅速普及的今天,尤其是基于Internet能多方内外远程访问的SaaS平台系统时刻遭遇着病毒、黑客甚至竞争对手获取、篡改和破坏的风险,稍有不慎,就会给党政机关用户带来重大风险损失。

IDC调研统计表明,时下全球大约四分之一的互联网应用服务提供商的网络安全和病毒防护措施达不到标准,同时存在着失信问题,IT服务公司人员不可避免会接触到重要数据、机密,使用户对SaaS所谓的“大数据[注]中心”应用模式有所担心也是不无道理的。

目前电子政务运用SaaS模式有两个风险:1. 数据丢失的风险;2. 数据泄漏的风险。由于在物理上,软件存在于SaaS提供商处,存在用户对数据失去控制、难以进行安全保护的可能。

对于政府用户而言,租用SaaS主机上的软件、由服务商来管理并把普通资料放在其主机上,不会有什么忧虑,但对一些如重要秘密、数据,则会非常敏感。没有哪个SaaS商敢百分之百保证资料不会在传输过程中丢失或被入侵主机的黑客篡改、窃取,遭遇病毒和破坏,或者因为程序的Bug 而不小心被其他使用者看到。

一些专家认为,目前我国SaaS模式尚缺第三方认证监督机制,这是一个较大的安全保障问题。随着互联网快速渗透到社会的各个层面以及各地机关企事业单位信息化进程的发展,如何建立一套权威、公正、资信力强的SaaS模式第三方认证监督机构及其规范制度法令,将是通过互联网络进行SaaS模式在党政机关普及推广的可靠基础。第三方认证机构的可靠与否,对保证SaaS模式的安全性及能否普及起着重要的作用。

风险管控

SaaS日益普遍的浪潮中,用户需要勇于创新,发挥SaaS的积极作用,管控、降低SaaS模式的应用风险(+微信关注网络世界),以最大程度保证组织IT项目的安全推广应用。当然,要实现这些,需要做到以下几点。

第一,建立多层严密完善的安全防护体系。SaaS平台应通过与身份识别、传输加密、日志监控、分布式权限分配机制、数据库安全性、文档安全性、域安全性等技术充分结合,保证网络传输时系统的应用和数据存储、传输的安全性。此外,平台还应通过对信息及操作人员设置不同的权限及权限的组合,形成多维的、多层次的、全方位的对信息进行查看和操作的控制,最大程度保证电子政务在应用SaaS模式中的安全和可靠。

第二,对核心信息、重要机密的部分项目可自建数据中心。在美国一些重要政府部门虽然软件服务仍然采用租赁、外包模式,但也在有计划地将数据中心拿回“家”来,自建数据中心。

比如不把涉及核心信息、重要机密的项目放在SaaS服务商信息中心里,就在自己的单位另建一个服务器,把核心信息、重要机密的系统部分和其他系统做一个物理上的隔离,以防数据的丢失、泄露。这种自建数据中心的模式是SaaS在政府机构应用中的一种变异,现在美国政府一些重要部门正逐渐采用此种方式。数据信息中心由租用变为自建,一旦数据中心发展壮大,便可以此自建平台,由“别人为我服务”变为“我为别人服务”,甚至可能演变成专门为政府机构提供IT服务、具有政府性质的第三方服务中心。

第三,加强对SaaS服务供应商资信的评估。评估内容包括SaaS服务供应商能否建立严格、规范的SaaS服务管理体系,是否拥有高水准、多层次的专业服务工程师队伍,能否提供完整、专业的配套业务体系,以及能否建立及时、准确的服务质量监控体系。对内,用户应组建一个相应的特别小组来评估SaaS服务提供商,为SaaS的建设提供咨询、评估。

第四,建立SaaS电子政务项目第三方监理制度。这是规范我国电子政务外包行为和市场秩序,确保电子政务SaaS模式建设绩效的一种国际通行惯例。我们同样应利用第三方监理这种社会化、科学化、公平化和专业化的监督机制确保项目按质、按期完成,更合理、有效地保障SaaS资源应用模式的成功。

第五,制定实施SaaS模式的行政许可制。对承租SaaS模式之下电子政务工程和服务的企业实行行政许可,让那些经济、技术实力雄厚,信誉好,保密管理严格的企业获得资质,允其承包电子政务外包工程和服务。

相关链接

管控SaaS应用的安全风险

■ 建立多层严密完善的安全防护体系。

■ 对核心信息、重要机密的部分项目可自建数据中心。

■ 加强对SaaS服务供应商资信的评估。

■ 建立SaaS电子政务项目第三方监理制度。

■ 制定实施SaaS模式的行政许可制。

参考资料

1.SaaS:软件即服务(Software as a Service,简称)有时被作为“即需即用软件”(即“一经要求,即可使用”)提及,它是一种软件交付模式。在这种交付模式中云端集中式托管软件及其...详情>>

2.大数据:(Big Data),研究机构Gartner给出了这样的定义。“大数据”是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化