胡洋

摘要：SaaS平臺(tái)模式在現(xiàn)今中小企業(yè)電子商務(wù)服務(wù)運(yùn)營(yíng)中占據(jù)著主導(dǎo)地位，減少了中小企業(yè)購(gòu)買(mǎi)、搭建和維護(hù)費(fèi)用，但存在著安全性、可靠性等一系列信息安全隱患。以往研究多傾向于對(duì)SaaS模式應(yīng)用的探討，而對(duì)中小企業(yè)應(yīng)用SaaS平臺(tái)模式的信息安全問(wèn)題研究較少。本研究在分析中小企業(yè)應(yīng)用SaaS平臺(tái)模式的必要性基礎(chǔ)上，指出了中小企業(yè)應(yīng)用SaaS平臺(tái)模式存在的信息安全隱患，并針對(duì)這些信息安全隱患提出了具體防范措施。

關(guān)鍵詞：中小企業(yè) ?SaaS ?信息安全

1 概述

隨著互聯(lián)網(wǎng)的飛速發(fā)展，將軟件作為一種商務(wù)服務(wù)形式提供給客戶(hù)的需求量迅速增加，其中最突出的就是SaaS平臺(tái)模式。在SaaS平臺(tái)模式給廣大中小企業(yè)用戶(hù)帶來(lái)諸多好處的同時(shí)也存在著諸如安全性、可靠性、穩(wěn)定性等信息安全隱患，有效防范這些信息安全隱患對(duì)中小企業(yè)發(fā)展和SaaS平臺(tái)模式的推廣都具有非常重要的意義。

2 SaaS平臺(tái)模式的界定

SaaS是Software-as-a-service的縮寫(xiě)，中文直譯過(guò)來(lái)就是軟件即服務(wù)。在中國(guó)學(xué)術(shù)期刊網(wǎng)絡(luò)出版總庫(kù)中以“SaaS”或“SaaS模式”為題名進(jìn)行檢索，可以分別檢索到893篇、256篇從2006年至今的相關(guān)學(xué)術(shù)文獻(xiàn)，可見(jiàn)對(duì)SaaS的相關(guān)研究已經(jīng)具有一定規(guī)模和基礎(chǔ)。許多學(xué)者對(duì)SaaS的概念進(jìn)行了界定，但僅限于措辭上的差異，基本意義相同，即：SaaS是基于互聯(lián)網(wǎng)提供軟件服務(wù)的軟件應(yīng)用模式。在該模式下，服務(wù)提供商將應(yīng)用軟件安裝在自己的服務(wù)器上，用戶(hù)可以根據(jù)自身需求，通過(guò)網(wǎng)絡(luò)向服務(wù)提供商購(gòu)買(mǎi)所需的應(yīng)用軟件服務(wù)，按照購(gòu)買(mǎi)服務(wù)的數(shù)量和時(shí)間向服務(wù)提供商支付費(fèi)用。目前業(yè)內(nèi)平臺(tái)型SaaS做的較好的服務(wù)供應(yīng)商有八百客、Salesforce等。

3 中小企業(yè)應(yīng)用SaaS平臺(tái)模式的必要性分析

3.1 中小企業(yè)應(yīng)用SaaS平臺(tái)模式的必要性。根據(jù)權(quán)威統(tǒng)計(jì)部門(mén)數(shù)據(jù)，一家中小企業(yè)每年用于企業(yè)信息化方面的投入至少需要20萬(wàn)元，對(duì)于我國(guó)四千多萬(wàn)家中小企業(yè)而言，能夠承受企業(yè)信息化年投入20萬(wàn)元以上的企業(yè)只占這些企業(yè)的5-10%。SaaS平臺(tái)模式減少了企業(yè)購(gòu)買(mǎi)、搭建、維護(hù)等費(fèi)用，是中小企業(yè)實(shí)現(xiàn)信息化的最好途徑。另外，SaaS平臺(tái)模式具有快速實(shí)施和低維護(hù)成本等優(yōu)勢(shì)，充分彌補(bǔ)了企業(yè)資金、人才等方面的短缺。相關(guān)數(shù)據(jù)顯示，截至2011年底，SaaS全球市值達(dá)到192億美元，正在被越來(lái)越多的中小企業(yè)用戶(hù)選擇使用。

3.2 應(yīng)用SaaS平臺(tái)模式的優(yōu)勢(shì)。與其他傳統(tǒng)商務(wù)模式相比，應(yīng)用SaaS平臺(tái)模式能夠給中小企業(yè)帶來(lái)的好處主要體現(xiàn)在以下幾方面：

①風(fēng)險(xiǎn)小。SaaS平臺(tái)模式主要以托管方式來(lái)提供服務(wù)，這較大程度地降低了由軟件開(kāi)發(fā)給企業(yè)帶來(lái)的巨大投入風(fēng)險(xiǎn)。②投入少。SaaS平臺(tái)模式服務(wù)提供商通常是按照企業(yè)租用平臺(tái)模塊的數(shù)量和時(shí)間進(jìn)行收費(fèi)。因此，SaaS平臺(tái)模式的總體投入要比傳統(tǒng)模式的企業(yè)信息化投入小得多。SaaS平臺(tái)模式與傳統(tǒng)模式的企業(yè)信息化預(yù)算分配對(duì)比如圖1所示（圖中比例僅用于表示不同模式企業(yè)信息化預(yù)算變化趨勢(shì)，并不代表真實(shí)比例）。③維護(hù)費(fèi)用低。應(yīng)用SaaS平臺(tái)模式，企業(yè)既不需要支付高額的維護(hù)費(fèi)用又不需要安排專(zhuān)業(yè)人員對(duì)軟件進(jìn)行管理，這從很大程度上緩解了企業(yè)的資金和人力壓力。

■

圖1 ?SaaS平臺(tái)模式與傳統(tǒng)模式企業(yè)信息化預(yù)算對(duì)比

4 中小企業(yè)應(yīng)用SaaS平臺(tái)模式存在的信息安全隱患

盡管中小企業(yè)應(yīng)用SaaS平臺(tái)模式具有諸多優(yōu)勢(shì)，但同時(shí)也面臨著巨大的挑戰(zhàn)。對(duì)于中小企業(yè)特別是處于快速成長(zhǎng)期的中小企業(yè)而言，其最核心的企業(yè)價(jià)值就是客戶(hù)的數(shù)據(jù)等信息，因此信息安全是企業(yè)管理者最關(guān)心的問(wèn)題[4]。由于SaaS平臺(tái)模式的解決方案要求將用戶(hù)的全部相關(guān)數(shù)據(jù)存放在服務(wù)供應(yīng)商提供的平臺(tái)上，這使得企業(yè)數(shù)據(jù)在安全性、可靠性、穩(wěn)定性等方面存在較大的信息安全隱患。分析機(jī)構(gòu)IDC的分析師Laura DuBois表示：“中小型企業(yè)必須非常謹(jǐn)慎的挑選供應(yīng)商以存儲(chǔ)他們寶貴的數(shù)據(jù)”。

4.1 安全性隱患。安全性隱患是SaaS平臺(tái)模式面對(duì)的首要問(wèn)題。對(duì)于企業(yè)來(lái)說(shuō)，數(shù)據(jù)的安全性至關(guān)重要，尤其是作為企業(yè)核心機(jī)密的財(cái)務(wù)數(shù)據(jù)和客戶(hù)信息。安全性隱患主要體現(xiàn)在以下兩方面：一方面，財(cái)務(wù)管理人員由于缺乏網(wǎng)絡(luò)信息安全知識(shí)和對(duì)信息安全規(guī)則的認(rèn)識(shí)不足而造成的數(shù)據(jù)丟失、泄露等隱患。例如，網(wǎng)上報(bào)賬會(huì)使外界干預(yù)系統(tǒng)的機(jī)會(huì)增多，從而加大了更改訂單、銀行結(jié)算單等惡性事件發(fā)生的可能性。另一方面，由于目前SaaS 平臺(tái)模式數(shù)據(jù)庫(kù)缺少有效的數(shù)據(jù)加密措施，外界可以輕而易舉地從外部打開(kāi)數(shù)據(jù)庫(kù)并進(jìn)行修改，從而加大了客戶(hù)信息遭到泄漏、惡意篡改，甚至被刪除，造成整個(gè)網(wǎng)絡(luò)系統(tǒng)癱瘓的可能性。

4.2 可靠性隱患。可靠性隱患主要體現(xiàn)在網(wǎng)絡(luò)病毒和非法入侵兩方面。一是由于企業(yè)使用SaaS平臺(tái)模式必須將其局域網(wǎng)與互聯(lián)網(wǎng)相連接，因此，使SaaS平臺(tái)系統(tǒng)感染病毒的機(jī)率大大增加，病毒防范的難度加大，任何在互聯(lián)網(wǎng)上的行為都有可能使SaaS平臺(tái)系統(tǒng)感染病毒。二是由于SaaS平臺(tái)模式采用的是公用通信線(xiàn)路，因此存在惡意損壞網(wǎng)絡(luò)設(shè)備、在網(wǎng)絡(luò)上對(duì)系統(tǒng)進(jìn)行非法入侵活動(dòng)等可靠性隱患。

4.3 穩(wěn)定性隱患。穩(wěn)定性隱患主要是指網(wǎng)絡(luò)延遲。由于SaaS平臺(tái)模式服務(wù)提供商在數(shù)據(jù)庫(kù)設(shè)計(jì)上普遍采用大型商用關(guān)系型數(shù)據(jù)庫(kù)和集群技術(shù)，使許多個(gè)企業(yè)用戶(hù)共享一個(gè)數(shù)據(jù)庫(kù)，當(dāng)用戶(hù)訪(fǎng)問(wèn)量驟然增加時(shí)，勢(shì)必增加響應(yīng)延遲，影響平臺(tái)服務(wù)的穩(wěn)定性。

5 防范信息安全隱患的措施

針對(duì)SaaS平臺(tái)模式存在的安全性、可靠性、穩(wěn)定性等信息安全隱患，無(wú)論是SaaS服務(wù)提供商還是企業(yè)用戶(hù)，都應(yīng)該積極采取各種防范措施，減少信息安全隱患的發(fā)生。

5.1 增強(qiáng)信息安全防范意識(shí)。提高信息安全防范意識(shí)是保證SaaS平臺(tái)模式信息安全的重要前提。對(duì)于SaaS平臺(tái)模式服務(wù)提供商而言，要增強(qiáng)信息安全防范意識(shí)，首先要制定統(tǒng)管全局的信息安全管理制度，明確責(zé)任，使信息安全管理有章可循，有法可依;其次要加強(qiáng)對(duì)系統(tǒng)維護(hù)人員和技術(shù)支持人員的職業(yè)道德教育，使其在職業(yè)操守上能夠恪守職責(zé)。

5.2 確保硬件設(shè)備安全。硬件設(shè)備安全是SaaS平臺(tái)正常運(yùn)營(yíng)的基本保障。SaaS服務(wù)提供商應(yīng)將SaaS平臺(tái)服務(wù)器、通信設(shè)備等硬件設(shè)備設(shè)置在一個(gè)高度安全的場(chǎng)所，該場(chǎng)所應(yīng)具有防火、防盜、防靜電設(shè)施，配有溫度和濕度控制設(shè)備，并且電源安全符合網(wǎng)絡(luò)設(shè)備要求，從而確保硬件設(shè)備安全。

5.3 建立身份認(rèn)證和訪(fǎng)問(wèn)控制。在認(rèn)證與授權(quán)方面可以通過(guò)對(duì)信息操作人員設(shè)置不同的權(quán)限及權(quán)限組合形成多維、多層次、全方位的身份認(rèn)證和訪(fǎng)問(wèn)控制，最大限度地保證SaaS平臺(tái)模式的安全性和可靠性。

5.4 采用服務(wù)器雙機(jī)熱備份模式。在數(shù)據(jù)存儲(chǔ)上可采用服務(wù)器雙機(jī)熱備份技術(shù)來(lái)對(duì)數(shù)據(jù)進(jìn)行存儲(chǔ)和備份。SaaS平臺(tái)模式服務(wù)提供商同時(shí)設(shè)立兩個(gè)服務(wù)器數(shù)據(jù)中心，一個(gè)服務(wù)器數(shù)據(jù)中心為主服務(wù)器，進(jìn)行日常數(shù)據(jù)處理，另一個(gè)服務(wù)器數(shù)據(jù)中心作為冗余備份。當(dāng)主服務(wù)器出現(xiàn)故障時(shí)，備用服務(wù)器將自動(dòng)接管所有服務(wù)，待主服務(wù)器恢復(fù)正常工作后，備用服務(wù)器自動(dòng)交還服務(wù)。這樣能夠減少由于服務(wù)器或防火墻故障問(wèn)題而停止運(yùn)行帶來(lái)的信息安全隱患。

6 結(jié)束語(yǔ)

隨著互聯(lián)網(wǎng)應(yīng)用的不斷深化，SaaS平臺(tái)模式在被越來(lái)越多中小企業(yè)應(yīng)用的同時(shí)，面臨的各種安全隱患也會(huì)不斷增加。作為一種新興的電子商務(wù)運(yùn)營(yíng)模式，其安全性必須得到充分有效的保障。因此，只有不斷地探索各種信息安全的關(guān)鍵應(yīng)用技術(shù)和防范措施才能全面有效地增強(qiáng)SaaS平臺(tái)模式抵御信息安全隱患的能力，從而提高SaaS平臺(tái)系統(tǒng)整體營(yíng)運(yùn)效率，使SaaS平臺(tái)模式得以全面推廣。

參考文獻(xiàn)：

[1]劉飛，張力濤，張志輝.SaaS安全風(fēng)險(xiǎn)對(duì)策研究[J].信息系統(tǒng)工程，2010.10.

[2]宋國(guó)江.SaaS：信息安全的新途徑[J].軟件世界，2007.8.

[3]徐新華.基于SaaS的中小企業(yè)信息技術(shù)應(yīng)用[J].寧波理工學(xué)院學(xué)報(bào)，2010.10.

[4]劉奇，孫威，楊陽(yáng).中小企業(yè)SaaS信息模式分析[J].經(jīng)濟(jì)研究導(dǎo)刊，2010.8.