SaaS政務(wù)應(yīng)用風(fēng)險(xiǎn)管控五招制敵

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

隨著SaaS風(fēng)生水起，在企業(yè)界風(fēng)風(fēng)火火，SaaS也開(kāi)始映入黨政機(jī)構(gòu)的眼簾，引起他們的高度關(guān)注。那么SaaS這種類如IT租用、外包服務(wù)模式能否適用我國(guó)電子政務(wù)？機(jī)會(huì)前景如何？

國(guó)家信息化發(fā)展戰(zhàn)略明確提出：“創(chuàng)新電子政務(wù)建設(shè)的模式，逐步形成以政府為主、社會(huì)參與多元化投資機(jī)制，提高電子政務(wù)建設(shè)和運(yùn)行維護(hù)的專業(yè)化、社會(huì)化服務(wù)水平”。而在電子政務(wù)發(fā)展的新階段，這種創(chuàng)新的一個(gè)主要模式就是推動(dòng)發(fā)展SaaS（有業(yè)界稱為“ASP模式”），將電子政務(wù)項(xiàng)目建設(shè)、日常運(yùn)行維護(hù)以及相關(guān)服務(wù)等工作，部分或全部委托給專業(yè)的IT外包服務(wù)提供商完成。

目前SaaS模式已在歐美發(fā)達(dá)國(guó)家日漸廣泛應(yīng)用，美國(guó)聯(lián)邦政府電子外包費(fèi)用2006年達(dá)150億美元，以年均18%的增長(zhǎng)率快速增長(zhǎng)，比如美國(guó)聯(lián)邦政府教育部IT系統(tǒng)從1998年開(kāi)始外包給ACS公司，亞利桑納州政府將駕駛證管理信息系統(tǒng)外包給IBM，政府不投一分錢，只付租用管理費(fèi)；香港 2004-2006年的政府信息服務(wù)外包項(xiàng)目比率為64%，開(kāi)支比率占89%。目前我國(guó)家經(jīng)貿(mào)委、中國(guó)證監(jiān)會(huì)等機(jī)關(guān)已經(jīng)部分或全部將IT軟硬件外包給專業(yè)公司運(yùn)營(yíng)和管理，嶄露頭角。

然而勿庸諱言的是SaaS這種應(yīng)用方式，在實(shí)施、服務(wù)和運(yùn)營(yíng)過(guò)程中要比通常想象的要復(fù)雜多，仍存在較大的安全風(fēng)險(xiǎn)，尤其是對(duì)黨政機(jī)關(guān)這種國(guó)家、社會(huì)事務(wù)的公共管理機(jī)構(gòu)，其對(duì)IT應(yīng)用系統(tǒng)的可靠性、穩(wěn)定性、安全性等性能上比其他行業(yè)用戶有更高更嚴(yán)的要求，可以說(shuō)對(duì)國(guó)內(nèi)機(jī)關(guān)單位而言，SaaS應(yīng)用模式的希望與困難、機(jī)遇與風(fēng)險(xiǎn)并存。

電子政務(wù)應(yīng)用SaaS模式的風(fēng)險(xiǎn)問(wèn)題

基于互聯(lián)網(wǎng)的SaaS這種應(yīng)用服務(wù)模式尚處于初級(jí)階段，它在崎嶇中前行，在發(fā)展的過(guò)程中存在著不少亟待解決的問(wèn)題，其中阻礙SaaS推廣應(yīng)用的主要障礙就是安全問(wèn)題。

由于互聯(lián)網(wǎng)環(huán)境至今尚不完全成熟，給基于互聯(lián)網(wǎng)平臺(tái)的SaaS模式帶來(lái)了安全性（這里安全性還包括誠(chéng)信與穩(wěn)定性兩個(gè)部分）的大難題。直到現(xiàn)在，這仍是SaaS急需取信市場(chǎng)的重要因素，成為SaaS的致命短板。在信息化應(yīng)用迅速普及的今天，尤其是基于Internet能多方內(nèi)外遠(yuǎn)程訪問(wèn)的SaaS 平臺(tái)系統(tǒng)時(shí)刻遭遇著病毒、黑客甚至競(jìng)爭(zhēng)對(duì)手獲取、篡改和破壞的風(fēng)險(xiǎn)，稍有不慎，就會(huì)給黨政機(jī)關(guān)用戶帶來(lái)重大風(fēng)險(xiǎn)損失。

據(jù)IDC調(diào)研統(tǒng)計(jì)表明，時(shí)下全球大約四分之一的互聯(lián)網(wǎng)應(yīng)用服務(wù)提供商的網(wǎng)絡(luò)安全和病毒防護(hù)措施達(dá)不到標(biāo)準(zhǔn)，同時(shí)存在著失信問(wèn)題，IT服務(wù)公司人員不可避免會(huì)接觸到重要數(shù)據(jù)、機(jī)密，使用戶對(duì)SaaS所謂的“數(shù)據(jù)大中心”應(yīng)用模式的擔(dān)心是不無(wú)道理的。

目前電子政務(wù)運(yùn)用SaaS模式有兩個(gè)風(fēng)險(xiǎn)：1、數(shù)據(jù)丟失的風(fēng)險(xiǎn)；2、數(shù)據(jù)泄漏的風(fēng)險(xiǎn)。由于在物理上，軟件存在于SaaS提供商處，用戶存在對(duì)數(shù)據(jù)失去控制、安全保護(hù)的可能。

對(duì)于黨政機(jī)關(guān)用戶而言，租用SaaS主機(jī)上的軟件、由服務(wù)商來(lái)管理并把普通資料放在的主機(jī)上，不會(huì)有什么憂慮，但對(duì)一些如重要秘密、數(shù)據(jù)，都會(huì)非常敏感。沒(méi)有哪個(gè)SaaS商敢百分之百保證資料不會(huì)在傳輸過(guò)程中丟失或被入侵主機(jī)的黑客篡改、竊取，為病毒和破壞，或者因?yàn)槌绦虻腂ug 而不小心被其他使用者看到。眾所周知，在網(wǎng)絡(luò)環(huán)境中傳播和存儲(chǔ)，極易受到黑客、病毒攻擊，造成公文失密、信息被盜、被刪除或被改寫(xiě)等嚴(yán)重后果，因此對(duì)電子政務(wù)安全性的擔(dān)憂，在很大程度上遏制了SaaS模式的電子化的推廣、普及。其次，SaaS服務(wù)商的內(nèi)部人員可能存有誠(chéng)信、職業(yè)道德等問(wèn)題，造成內(nèi)部濫用，發(fā)生操作失誤、人為破壞、內(nèi)部作案等重大問(wèn)題。

再者，一些專家認(rèn)為，目前我國(guó)SaaS模式尚缺第三方認(rèn)證監(jiān)督機(jī)制，這是一個(gè)較大安全保障問(wèn)題。隨著互聯(lián)網(wǎng)快速滲透到社會(huì)的各個(gè)層面以及各地機(jī)關(guān)企事業(yè)單位信息化進(jìn)程的發(fā)展，如何建立一套權(quán)威、公正、資信力強(qiáng)的SaaS模式第三方認(rèn)證監(jiān)督機(jī)構(gòu)及其規(guī)范制度法令，將是通過(guò)互聯(lián)網(wǎng)絡(luò)進(jìn)行SaaS模式在黨政機(jī)關(guān)普及推廣的可靠基礎(chǔ)。第三方認(rèn)證機(jī)構(gòu)的可靠與否，對(duì)保證SaaS模式的安全性及能否普及起著重要的作用。

電子政務(wù)應(yīng)用SaaS模式的風(fēng)險(xiǎn)管控

在SaaS日益普遍的浪潮中，國(guó)內(nèi)黨政機(jī)關(guān)團(tuán)體應(yīng)該如何勇于創(chuàng)新，發(fā)揮SaaS的積極作用，管控、降低SaaS模式的應(yīng)用風(fēng)險(xiǎn)，以最大程度保證組織IT項(xiàng)目的安全推廣應(yīng)用，推進(jìn)電子政務(wù)的發(fā)展？筆者認(rèn)為：

1、建立多層嚴(yán)密完善的安全防護(hù)體系。SaaS平臺(tái)應(yīng)通過(guò)與身份識(shí)別、傳輸加密、日志監(jiān)控、布式權(quán)限分配機(jī)制、數(shù)據(jù)庫(kù)安全性、文檔安全性、域安全性等技術(shù)充分結(jié)合，保證網(wǎng)絡(luò)傳輸時(shí)系統(tǒng)的應(yīng)用和數(shù)據(jù)存儲(chǔ)、傳輸?shù)陌踩浴４送?，平臺(tái)還應(yīng)通過(guò)對(duì)信息及操作人員設(shè)置不同的權(quán)限及權(quán)限的組合，形成多維的、多層次的、全方位的對(duì)信息進(jìn)行查看和操作的控制，最大保證電子政務(wù)在應(yīng)用SaaS模式中的安全和可靠。

2、對(duì)核心信息、重要機(jī)密的部分項(xiàng)目可自建數(shù)據(jù)中心。在美國(guó)一些重要政府部門(mén)雖然軟件服務(wù)仍然采用租賃、外包模式，但卻有計(jì)劃將數(shù)據(jù)中心拿回“家”來(lái)，自建數(shù)據(jù)中心。

比如不安于把涉及核心信息、重要機(jī)密的項(xiàng)目放在SaaS服務(wù)商信息中心里，就在自己的單位另建一個(gè)服務(wù)器，把核心信息、重要機(jī)密的系統(tǒng)部分和其他系統(tǒng)做一個(gè)物理上的隔離，以防數(shù)據(jù)的丟失、泄露。這種自建數(shù)據(jù)中心的模式是SaaS在政府機(jī)構(gòu)應(yīng)用中的一種變異，現(xiàn)在美國(guó)政府一些重點(diǎn)機(jī)關(guān)部門(mén)正逐漸采用此種方式。數(shù)據(jù)信息中心由租用變?yōu)樽越?，一旦?shù)據(jù)中心發(fā)展壯大，便可以此自建平臺(tái)，由“別人為我服務(wù)”變?yōu)椤拔覟閯e人服務(wù)”，甚至可能演變成專門(mén)為政府機(jī)構(gòu)提供IT服務(wù)、具有政府性質(zhì)的第三方服務(wù)中心。

3、加強(qiáng)對(duì)SaaS服務(wù)供應(yīng)商資信的評(píng)估。評(píng)估內(nèi)容包括SaaS服務(wù)供應(yīng)商能否建立嚴(yán)格、規(guī)范的SaaS服務(wù)管理體系，是否擁有高水準(zhǔn)、多層次的專業(yè)服務(wù)工程師隊(duì)伍，能否提供完整、專業(yè)的配套業(yè)務(wù)體系，以及能否建立及時(shí)、準(zhǔn)確的服務(wù)質(zhì)量監(jiān)控體系。對(duì)內(nèi)，機(jī)關(guān)用戶應(yīng)組建一個(gè)相應(yīng)的特別小組來(lái)評(píng)估 SaaS服務(wù)提供商，為SaaS的建設(shè)提供咨詢、評(píng)估。

4、建立SaaS電子政務(wù)項(xiàng)目第三方監(jiān)理制度。這是規(guī)范我國(guó)電子政務(wù)外包行為和市場(chǎng)秩序，確保電子政務(wù)SaaS模式建設(shè)績(jī)效的一種國(guó)行通行慣例。我們同樣應(yīng)利用第三方監(jiān)理這種社會(huì)化、科學(xué)化、公平化和專業(yè)化的監(jiān)督機(jī)制確保障項(xiàng)目按質(zhì)、按期完成，更合理、有效地保障SaaS資源應(yīng)用模式的成功。

5、制定實(shí)施SaaS模式的行政許可制。對(duì)承租SaaS模式之下電子政務(wù)工程和服務(wù)的企業(yè)實(shí)行行政許可，讓那些經(jīng)濟(jì)、技術(shù)實(shí)力雄厚、信譽(yù)好、保密管理嚴(yán)格的企業(yè)獲得資質(zhì)而承包電子政務(wù)外包工程和服務(wù)。

另外，SaaS信息系統(tǒng)模式的安全是一個(gè)非常突出的問(wèn)題，需要各級(jí)國(guó)家機(jī)關(guān)工作部門(mén)嚴(yán)格執(zhí)行信息安全等法律法規(guī)，依法履行監(jiān)管職責(zé)，以確保電子政務(wù)中的信息和信息系統(tǒng)安全。同時(shí)，在推行電子政務(wù)SaaS模式化的應(yīng)用推廣過(guò)程中，需要轉(zhuǎn)變、完善有關(guān)風(fēng)險(xiǎn)的觀念和體制，存在較大的創(chuàng)新風(fēng)險(xiǎn)，因此，國(guó)內(nèi)機(jī)關(guān)用戶在考慮應(yīng)用SaaS模式時(shí)，應(yīng)采取先易后難、先簡(jiǎn)后繁、先硬件后軟件、先一般項(xiàng)目后核心部分、先部分后整體的具體辦法，循序漸進(jìn)逐步推廣。（CIO時(shí)代網(wǎng)）