SaaS型软件选型的安全问题

 SaaS时代即将来临,现在大部分的厂商在布局CRM软件的SaaS应用,据IDG预测显示,2009年中将有10%的ERP软件转型为纯SaaS。

  一. 安全性是进入SaaS ERP时代的先决条件

  SaaS ERP(软件即服务)是一种通过提供ERP软件的方式,是指由SaaSERP提供商全权管理和维护软件,客户不再像传统套装ERP模式那样需要花费大量投资用于硬件、软件、人员进行系统维护,而只需支出一定的租赁服务费用,通过互联网便可以随时随地享受到ERP软件使用、专业维护服务和后续升级。SaaSERP彻底颠覆了传统软件的运营和交付模式,免除了中小企业购买、构建和维护基础设施和应用程序的巨大投资成本。在这个经济的冬天里,对于无力支付传统套装ERP高昂价格的中小企业来说,SaaSERP给了它们ERP应用的新希望

  但勿庸讳言的是,SaaS ERP并不象有些服务商所说的:“SaaSERP应用是和打开自来水龙头就能用到水一样方便”。SaaSERP应用在实施、服务和运营过程中遇到的问题要比想象中的要复杂得多,而且它还可能会存在着较大的安全风险,如在可靠性、稳定性、安全性上,尤其是在财务数据和隐私方面。因此,安全问题是SaaSERP选型时必须慎重考虑的一个大问题。

  简单的说,SaaSERP安全问题实际上是SaaS模式能否完全满足ERP应用的安全和信任要求,包括安全、诚信与稳定性三个部分。这里的信任不仅仅只是数据安全和应用安全,而且还包括能否随时随地的稳定的访问,还有服务商的信誉与诚信问题。否则,企业是不会放心地把喻为企业生命线的ERP应用构建于SaaS模式之上的。因此,克服安全问题是进入SaaSERP时代的先决条件之一。

  二. SaaS ERP选型必须考虑的六大安全问题

  随着加入SaaSERP阵营的服务商越来越多,中小企业的选择范围也越来越大。然而,不管采用那种方法来选择服务商,都不要忽略安全调查的重要性。IDG报告表示有2/3以上参与调查的受访者表示会把安全问题作为SaaSERP选型时重要的考虑因素,因为在安全问题上,SaaSERP的风险一般来说会大于用户在内部自行架设软件,而且对于企业内部IT人员而言,外部式的SaaSERP安全风险也颇难掌控。

  (1)网络传输安全和稳定性问题

  目前SaaSERP产品大都处于初级阶段,产品的成熟度、稳定性尚不足。许多SaaSERP产品看起来很美,但有时中看不中用,并无想象中好。用户在使用SaaSERP软件的过程中,是通过互联网而非企业局域网来传输数据,这样商业数据就会在互联网上的客户端浏览器和服务器端之间传输。因此,数据传输安全、客户端安全和服务器端安全是三个大问题。如何保证在网络传输过程中数据的安全问题,成为用户关注的焦点。

  同时,网络的稳定性也是另一个受到用户关注的问题,比如企业运营不能因为网络的中断或SaaS主机被宕掉而停摆,网络平台必须保证网络7*24小时安全可用。但网络不稳定性的变数很多,而且掌握在SaaSERP服务商和网络连接提供商手中,不能由企业用户所能完全控制,存在风险高安全低。因此,网络传输安全和稳定性成了是SaaSERP选型第一个头痛的问题。

  (2)灾难恢复时间和服务水准问题

  说到安全性问题必然会涉及灾难恢复时间和服务水准问题。因为对于大多数企业来说,当一个托管型SaaSERP应用出现了故障时,业务人员可能在几分钟或者几小时内无法工作,简单的损失还可以勉强接受。但是如果托管的SaaSERP应用系统突然崩溃了,一些对企业来说至关重要的核心功能,比如制造或物流运输就有可能出现停顿。更严重的话,可能会对财务业绩造成极大的影响。因此,灾难性安全恢复时间就是一个大的核心问题。

  如果SaaSERP服务商的销售代表根本不知灾难恢复时间和服务水准为何物的话,那么还是赶紧另寻别家吧。如果服务商声称其服务具有“五个九”(99.999%)的系统可用时间,那也不能轻信其一面之词,必须看它的安全灾难恢复白皮书。当然,企业最好还应当要求服务商对灾难恢复时间和灾难恢复水准出具书面承诺。

  (3)数据存储保护和备份安全问题

  SaaSERP服务商的数据安全采用什么存储保护模型、采取了什么备份复制策略,也是企业在选型时应最为关注的问题,简单的说就是数据存储是否安全。例如,SaaSERP服务商存储数据的安全保护方案是否有能力抵御互联网黑客和病毒的攻击,因为在新闻媒体上时不时会听说到黑客可以随时破解并进入数据服务器获取数据,或受到病毒攻击而受到数据损坏或丢失,这些听起来好像都很可怕,当然也就更让用户担心他们的商业数据安全问题了。

  另外,SaaS服务商提供了什么样的数据备份机制也是选型的核心问题之一。一旦出现重大问题时是如何恢复数据的?有没有业务连续和灾难恢复保障策略?有没有实现灾难异地恢复方案?其中,在解决和处理数据恢复和备份时,是否需要用户中断业务操作等。有些SaaSERP服务商在做好应有的保护措施时,还能同时提供给用户自行备份服务,这些服务能够让用户对其数据进行访问和操作,当然也就让用户更为放心。

  (4)防渗透保护和安全隔离问题

  根据SaaS ERP模式的定义和方案,我们知道SaaSERP和传统自建的套装ERP之间有一个重要的区别,就是标准的SaaSERP系统是多重租赁的,也就是多个不同的企业共用一套软件和数据库平台。虽然是经过隔离及保密技术,但其特点是多个企业同时使用。因此,有没有严格的防渗透保护安全技术很重要,也是选型的关注点之一。例如,SaaSERP应用程序和数据有没有安全隔离和防渗透保护策略,还有所有涉及用户机密数据部分是否采用密文保存,即便是系统管理人员也无法得到原文。

  (5)服务商的安全诚信问题

  把企业营运资料全盘委托给服务商保管,还会遇到一些非技术性的困境,就是谁可以保证机密资料不会被泄露。换句话说就是:SaaSERP服务商能否值得信任和服务商的诚信问题。SaaSERP的特点是由服务商完成所有的系统维护,如果当服务商提供服务时,技术人员可以很方便接触到用户商业数据时,这时就存在着用户对SaaSERP服务商的信任问题。毕竟,我们在新闻媒体上经常看到许多技术人员因为对公司的不满而造成损毁数据、泄漏数据、出卖数据的事件。

  SaaSERP服务商信誉问题可从两个方面考察:一是服务商的诚信程度;二是服务商有没有部署规范化的安全管理制度。但不幸的是,许多调查结果显示规范化安全管理制度是许多SaaSERP服务商的安全软肋。因此,如何保证在没有客户的许可下,SaaSERP服务商不会查看或更改数据,用户数据不会被非法泄露,是选型时一个不容忽视的问题。

  (6)是否有第三方监理或相关资质认证

  目前许多SaaSERP提供商尚缺乏第三方监督和相关权威的资质认证,这是SaaSERP在安全保障问题上的重大欠缺之一。许多SaaS服务商的安全保证只是自家的说法,都说满足相关的法律法规监管,是王婆卖瓜,自卖自夸性质。因此,在选型时考察和验证第三方资质认证是最基本的动作之一。

  三. 评估服务商是否有安全意识的对策

  SaaSERP应用给许多中小企业带来了新的机遇,但同时也带来更多安全性问题的挑战。因此,面对众多的SaaSERP服务商,如何评估其是否有安全意识是选型的一个核心环节。一般可从以下几个方面进行。

  (1)考察服务商是否投入足够安全专项资金

  安全保障技术是需要不断投入大量的资金,因此考察服务商是否投入足够安全专项资金是一个简单而有用的方式之一。例如,考察服务商是否把SaaSERP作为主营业务方向,或考察服务商在安全保障方面的技术实力。因为只要服务商不断在安全上投入专项研发资金,就能保证其安全技术的先进性。

  (2)考察服务商的安全信誉和资质认证

  专业的SaaSERP服务商可能比用户更加注重安全信誉,因为“安全信誉口碑”是服务商的“饭碗”。就像在网上买东西,用户需要看的是厂商所获得的用户评价和媒体的口碑。一般来说,SaaSERP服务商对安全信誉越是重视,对安全的持续投入也会越多,也可能会拥有更丰富的安全保障经验。

  但也要注意的是,有些服务商仅仅把SaaSERP产品作为炒作的噱头,当作一条生财之道,并没有投入足够的资金在安全技术上来。因此,获得一个权威、资信力强的SaaSERP第三方认证监督机构颁发的资质证书,不但是确保SaaS服务商在执行安全活动的一种国际通行惯例,也是服务商在安全投入的信心保证。

  (3)考察服务商的安全管理制度

  评估SaaSERP服务商是否有安全意识的最关键一点,就是要加强对服务商安全管理制度的深入考察。因为即使SaaSERP服务商投入大量资金在硬件安全和软件系统建设上,如果缺乏有效的安全管理制度也是会错漏百出的。评估包括SaaSERP服务商是否建立了严格、规范的安全质量监控体系,以及是否拥有高水准、多层次的专业安全工程师队伍等。这既是每一个SaaSERP服务商自身需要重视的问题,也是中小企业选型SaaSERP服务时的必检事项之一。

posted @ 2011-05-26 17:44  Mashimaro  阅读(...)  评论(... 编辑 收藏