近段时间,世界经济正在加速恶化,许多中小企业为了节省开支不得不勒紧裤带,但在精打细算的同时还必须寻求创新的IT思路,以应对这波及全球的经济寒冬。
SaaS模式以节约部署时间、前期投入和后期运维资源少等受到普遍的欢迎,使得SaaS在中小企业中开始逐渐取代原本由企业IT部门负责的套装软件和由企业自己开发的软件。IT领域这种根本性的变化将给中小企业的IT运营带来重大冲击,尤其是使CIO面临着新的挑战。
而就在SaaS一路高歌猛进的同时,笔者却深思着一个可能是泼冷水的问题,就是SaaS服务的安全与信任问题不能不让人担心。担心的问题是“笔者的商业资料交给SaaS服务商管理,服务人员会按照什么责任来管,商业数据放在那安全吗?”这是一个不容忽视的问题。因此,在经济性与安全性之间如何权衡,CIO一定要拿捏好,为企业信息化应用把好安全的第一关。
一.什么是SaaS应用服务?
(1)什么是SaaS服务
被称作2008年十大值得关注技术--SaaS软件即服务(Software-as-a-Service)是一种通过Internet提供软件的方式,是由服务提供商全权管理和维护软件,客户不再像传统模式那样需要花费大量投资用于硬件、软件、人员进行系统维护,而只需支出一定的租赁服务费用,通过互联网便可以随时随地享受到相应的软件使用权、专业服务和后续升级。
SaaS相比较传统服务或软件,它彻底颠覆了传统软件的运营和交付模式,免除了企业购买、构建和维护基础设施和应用程序的巨大投资成本,这对面临寒冬的中小企业来说无疑是一条借鸡生蛋的快捷方式。
(2)SaaS的安全隐患
但勿庸讳言的是,SaaS这种应用方式在实施、服务和运营过程中要比通常想象的要复杂多,它可能会存在着较大的安全风险,尤其是在可靠性、稳定性、安全性上。因此,大家关心的SaaS安全问题,实际上关于SaaS平台的信任问题,这里信任包括安全诚信与稳定性两个部分,这也是SaaS的致命短板。
简单的说,信任不仅仅只是数据安全和应用使用安全,例如基于Internet的SaaS平台可能时刻遭遇着病毒、黑客甚至竞争对手获取、篡改和破坏的风险,稍有不慎就会带来重大风险损失;而且还包括能否随时随地的稳定访问,如一是服务能否不间断的随时安全访问,如7x24x365的服务时间不会因为技术节点失效而间断。二是能否随地的安全访问,例如没有世界地区差异造成的访问限制或速度限制或功能限制或存储限制。因此,只有有了可信平台,用户才能放心的构建基于SaaS之上的业务架构平台。二.SaaS平台在哪方面暗藏安全杀机?
随着加入SaaS阵营的服务商越来越多,企业的选择范围也越来越大。然而,不管采用那种方法来选择服务商,都不要忽略审慎的安全调查的重要性。在安全问题上,SaaS服务的风险一般来说会大于用户在内部自行架设软件。因此,有数据显示超过三分之二的公司表示安全信任是选择SaaS厂商时的重要考量,安全性始终是最大的难题。
(1)数据传输安全问题
用户在使用SaaS软件的过程中,是通过互联网而非企业局域网来传输数据,这样商业数据就会在客户端浏览器和服务器端之间传输。因此,数据传输安全、客户端安全和服务器端安全是三个大问题。如何保证数据传输过程中数据的安全性,成为用户关注的焦点,也是SaaS服务暗藏的第一个安全性杀机。
例如,在传输过程中,如何保证在互联网上的传输的数据不被黑客截获,传输过程中是否加密,或传输协议加密是否可靠。另一方面,SaaS软件都采用浏览器来访问,又因为身份验证和授权服务是系统安全性的起点。所以,用户还会担心登录是否安全,SaaS服务商有没有在登录安全上大下功夫。
(2)数据存储安全和数据备份安全
SaaS服务商存储数据的服务器是否有能力抵御互联网黑客的攻击,这也是众多中小企业最为关注的另一个问题。因为SaaS模式的数据存储在SaaS服务商的手上,而且时不时在新闻媒体上有听说到黑客可以随时破解并进入数据服务器获取数据,这听起来好像很可怕,当然就也更让用户担心他们的商业数据安全问题了。因此,数据存储和数据备份安全是SaaS服务在安全方面的最大的隐藏杀机,而且这个杀机严重时可能会造成致命影响。
根据SaaS模式的定义和方案,笔者们知道提供SaaS软件服务和传统的自建企业应用系统之间有重要区别,就是标准的SaaS 系统是多重租赁的,也就是多个不同的企业共用一套软件和数据库平台,虽然经过软件和数据库的隔离及保密技术,其特点是多个企业同时使用。因此,有没有严格的数据库安全技术很重要。例如,服务器和数据有没有隔离安全策略?如何保障不同应用数据之间的安全?企业之间数据有没有完全互相隔离,杜绝企业间数据的渗透等。还有,所有涉及用户机密数据部分是否全部采用密文保存,即便系统管理人员也无法得到原文。
另外,SaaS服务商提供了什么样的数据备份机制?一旦出现重大问题,如何恢复数据?有没有业务连续和灾难恢复保障策略?有没有实现灾难异地恢复?其中解决数据恢复的问题还包括是否需要中断业务操作来恢复备份等。最后,SaaS的机房是否安全,机房的安全性是否包括气体灭火、恒温恒湿、联网电子锁防盗、24小时专人和录像监控、网络设备带宽冗余、口令进入机房等。
(3)SaaS服务商是否能信任
SaaS服务的特点是由SaaS服务商完成所有的系统维护,如果当服务商提供服务时,技术人员可以很方便接触到用户商业数据时,这就存在用户对SaaS服务商的信任问题。毕竟在新闻媒体上经常能看到许多技术人员因为不满足公司,而造成彻底毁损数据、泄漏数据、出卖数据的事件。例如,SaaS服务商有没有部署非常高的、规范化的安全制度标准,还有能否受到客户的相关审查。但不幸的是许多调查显示,规范化安全制度标准正是许多SaaS服务商的安全软肋。
因此,SaaS用户担心的第三个问题是,就是如何保证在没有客户的许可下,SaaS服务商不能或不会查看或更改数据,服务商在内部管理上如何保证用户数据不被非法泄露,这是对服务商的信任问题,也是一个不容忽视的隐藏的杀机。
(4)缺乏第三方安全认证监督
目前SaaS模式尚缺第三方认证的监督机制,这是SaaS在保障安全信任问题上的重大不利因素之一。现在许多SaaS服务商的安全保证只是自家的说法,都说满足相关的法律法规监管,是王婆卖瓜,自卖自夸性质。因此,缺乏一个权威、公正、资信力强的SaaS第三方认证监督机构及其规范制度法令也常常会让SaaS服务暗藏安全杀机。三. 如何选择安全的SaaS应用服务?
SaaS应用给许多中小企业带来了新的机遇,但同时也带来更多安全性问题的挑战。因此,面对众多的SaaS软件,CIO应该如何有效选择安全的SaaS服务?
(1)判断服务商的主营方向,确保投入足够安全研发资金
SaaS服务提供商应具有良好经营状态、雄厚实力、众多成功案例与较长的服务历史。例如,考察所提供的SaaS是否是服务商的主营业务方向,因为如果SaaS服务是服务商的主营业务的话,服务商将会不断投入。同时,服务商的专业性研发实力也很关键,SaaS服务研发技术直接决定着所选择的SaaS产品的后续更新能否跟上安全发展的速度。
(2)考察厂商的安全信誉,建立信任关系
专业的SaaS厂商可能比用户更加注重安全方面的信誉,因为SaaS的“安全性”就是服务商的“饭碗”。就像在网上买东西,用户需要看的是厂商所获得的用户评价和媒体的口碑。一般来说,SaaS服务商对安全信誉越是重视,对SaaS安全的持续投入也会越多,如此良性循环,服务商就会可能拥有更丰富的安全经验。但也要注意的是,有些服务商仅仅把SaaS产品作为炒作的噱头,当作一条生财之道,并没有投入足够的资金在安全技术上来。
(3)考察服务商的安全规章制度
CIO要加强对SaaS服务商进行安全规章制度的考察、把脉。因为即使SaaS服务商投入大量资金在硬件安全和软件系统建设上,如果缺乏有效的管理制度也是会错漏百出的。因此,采用严格的数据安全制度和保密措施,是开展安全和保密工作的第一步,也是让用户安心放心的关键一步。
制度评估内容包括SaaS服务供应商是否建立了严格、规范的SaaS服务管理体系,是否拥有高水准、多层次的专业服务工程师队伍,能否提供完整、专业的配套业务体系,以及是否建立及时、准确的服务质量监控体系。这既是每一个SaaS服务商需要重视的问题,也是中小企业选择SaaS服务时的必须检查的重要事项之一。
(4)了解有没有第三方监理或相关认证
第三方安全监理和通过相关的安全认证是确保SaaS服务商在执行安全活动的一种国际通行惯例。用户应利用第三方监理这种社会化、科学化、公开化和专业化的监督机制来确保SaaS服务商在执行安全活动的效果。