SaaS政務(wù)應(yīng)用風(fēng)險管控五招制敵

申請免費(fèi)試用、咨詢電話：400-8352-114

隨著SaaS風(fēng)生水起，在企業(yè)界風(fēng)風(fēng)火火，SaaS也開始映入黨政機(jī)構(gòu)的眼簾，引起他們的高度關(guān)注。那么SaaS這種類如IT租用、外包服務(wù)模式能否適用我國電子政務(wù)？機(jī)會前景如何？

國家信息化發(fā)展戰(zhàn)略明確提出：“創(chuàng)新電子政務(wù)建設(shè)的模式，逐步形成以政府為主、社會參與多元化投資機(jī)制，提高電子政務(wù)建設(shè)和運(yùn)行維護(hù)的專業(yè)化、社會化服務(wù)水平”。而在電子政務(wù)發(fā)展的新階段，這種創(chuàng)新的一個主要模式就是推動發(fā)展SaaS（有業(yè)界稱為“ASP模式”），將電子政務(wù)項(xiàng)目建設(shè)、日常運(yùn)行維護(hù)以及相關(guān)服務(wù)等工作，部分或全部委托給專業(yè)的IT外包服務(wù)提供商完成。

目前SaaS模式已在歐美發(fā)達(dá)國家日漸廣泛應(yīng)用，美國聯(lián)邦政府電子外包費(fèi)用2006年達(dá)150億美元，以年均18%的增長率快速增長，比如美國聯(lián)邦政府教育部IT系統(tǒng)從1998年開始外包給ACS公司，亞利桑納州政府將駕駛證管理信息系統(tǒng)外包給IBM，政府不投一分錢，只付租用管理費(fèi)；香港 2004-2006年的政府信息服務(wù)外包項(xiàng)目比率為64%，開支比率占89%。目前我國家經(jīng)貿(mào)委、中國證監(jiān)會等機(jī)關(guān)已經(jīng)部分或全部將IT軟硬件外包給專業(yè)公司運(yùn)營和管理，嶄露頭角。

然而勿庸諱言的是SaaS這種應(yīng)用方式，在實(shí)施、服務(wù)和運(yùn)營過程中要比通常想象的要復(fù)雜多，仍存在較大的安全風(fēng)險，尤其是對黨政機(jī)關(guān)這種國家、社會事務(wù)的公共管理機(jī)構(gòu)，其對IT應(yīng)用系統(tǒng)的可靠性、穩(wěn)定性、安全性等性能上比其他行業(yè)用戶有更高更嚴(yán)的要求，可以說對國內(nèi)機(jī)關(guān)單位而言，SaaS應(yīng)用模式的希望與困難、機(jī)遇與風(fēng)險并存。

電子政務(wù)應(yīng)用SaaS模式的風(fēng)險問題

基于互聯(lián)網(wǎng)的SaaS這種應(yīng)用服務(wù)模式尚處于初級階段，它在崎嶇中前行，在發(fā)展的過程中存在著不少亟待解決的問題，其中阻礙SaaS推廣應(yīng)用的主要障礙就是安全問題。

由于互聯(lián)網(wǎng)環(huán)境至今尚不完全成熟，給基于互聯(lián)網(wǎng)平臺的SaaS模式帶來了安全性（這里安全性還包括誠信與穩(wěn)定性兩個部分）的大難題。直到現(xiàn)在，這仍是SaaS急需取信市場的重要因素，成為SaaS的致命短板。在信息化應(yīng)用迅速普及的今天，尤其是基于Internet能多方內(nèi)外遠(yuǎn)程訪問的SaaS 平臺系統(tǒng)時刻遭遇著病毒、黑客甚至競爭對手獲取、篡改和破壞的風(fēng)險，稍有不慎，就會給黨政機(jī)關(guān)用戶帶來重大風(fēng)險損失。

據(jù)IDC調(diào)研統(tǒng)計(jì)表明，時下全球大約四分之一的互聯(lián)網(wǎng)應(yīng)用服務(wù)提供商的網(wǎng)絡(luò)安全和病毒防護(hù)措施達(dá)不到標(biāo)準(zhǔn)，同時存在著失信問題，IT服務(wù)公司人員不可避免會接觸到重要數(shù)據(jù)、機(jī)密，使用戶對SaaS所謂的“數(shù)據(jù)大中心”應(yīng)用模式的擔(dān)心是不無道理的。

目前電子政務(wù)運(yùn)用SaaS模式有兩個風(fēng)險：1、數(shù)據(jù)丟失的風(fēng)險；2、數(shù)據(jù)泄漏的風(fēng)險。由于在物理上，軟件存在于SaaS提供商處，用戶存在對數(shù)據(jù)失去控制、安全保護(hù)的可能。

對于黨政機(jī)關(guān)用戶而言，租用SaaS主機(jī)上的軟件、由服務(wù)商來管理并把普通資料放在的主機(jī)上，不會有什么憂慮，但對一些如重要秘密、數(shù)據(jù)，都會非常敏感。沒有哪個SaaS商敢百分之百保證資料不會在傳輸過程中丟失或被入侵主機(jī)的黑客篡改、竊取，為病毒和破壞，或者因?yàn)槌绦虻腂ug 而不小心被其他使用者看到。眾所周知，在網(wǎng)絡(luò)環(huán)境中傳播和存儲，極易受到黑客、病毒攻擊，造成公文失密、信息被盜、被刪除或被改寫等嚴(yán)重后果，因此對電子政務(wù)安全性的擔(dān)憂，在很大程度上遏制了SaaS模式的電子化的推廣、普及。其次，SaaS服務(wù)商的內(nèi)部人員可能存有誠信、職業(yè)道德等問題，造成內(nèi)部濫用，發(fā)生操作失誤、人為破壞、內(nèi)部作案等重大問題。

再者，一些專家認(rèn)為，目前我國SaaS模式尚缺第三方認(rèn)證監(jiān)督機(jī)制，這是一個較大安全保障問題。隨著互聯(lián)網(wǎng)快速滲透到社會的各個層面以及各地機(jī)關(guān)企事業(yè)單位信息化進(jìn)程的發(fā)展，如何建立一套權(quán)威、公正、資信力強(qiáng)的SaaS模式第三方認(rèn)證監(jiān)督機(jī)構(gòu)及其規(guī)范制度法令，將是通過互聯(lián)網(wǎng)絡(luò)進(jìn)行SaaS模式在黨政機(jī)關(guān)普及推廣的可靠基礎(chǔ)。第三方認(rèn)證機(jī)構(gòu)的可靠與否，對保證SaaS模式的安全性及能否普及起著重要的作用。

電子政務(wù)應(yīng)用SaaS模式的風(fēng)險管控

在SaaS日益普遍的浪潮中，國內(nèi)黨政機(jī)關(guān)團(tuán)體應(yīng)該如何勇于創(chuàng)新，發(fā)揮SaaS的積極作用，管控、降低SaaS模式的應(yīng)用風(fēng)險，以最大程度保證組織IT項(xiàng)目的安全推廣應(yīng)用，推進(jìn)電子政務(wù)的發(fā)展？筆者認(rèn)為：

1、建立多層嚴(yán)密完善的安全防護(hù)體系。SaaS平臺應(yīng)通過與身份識別、傳輸加密、日志監(jiān)控、布式權(quán)限分配機(jī)制、數(shù)據(jù)庫安全性、文檔安全性、域安全性等技術(shù)充分結(jié)合，保證網(wǎng)絡(luò)傳輸時系統(tǒng)的應(yīng)用和數(shù)據(jù)存儲、傳輸?shù)陌踩浴４送?，平臺還應(yīng)通過對信息及操作人員設(shè)置不同的權(quán)限及權(quán)限的組合，形成多維的、多層次的、全方位的對信息進(jìn)行查看和操作的控制，最大保證電子政務(wù)在應(yīng)用SaaS模式中的安全和可靠。

2、對核心信息、重要機(jī)密的部分項(xiàng)目可自建數(shù)據(jù)中心。在美國一些重要政府部門雖然軟件服務(wù)仍然采用租賃、外包模式，但卻有計(jì)劃將數(shù)據(jù)中心拿回“家”來，自建數(shù)據(jù)中心。

比如不安于把涉及核心信息、重要機(jī)密的項(xiàng)目放在SaaS服務(wù)商信息中心里，就在自己的單位另建一個服務(wù)器，把核心信息、重要機(jī)密的系統(tǒng)部分和其他系統(tǒng)做一個物理上的隔離，以防數(shù)據(jù)的丟失、泄露。這種自建數(shù)據(jù)中心的模式是SaaS在政府機(jī)構(gòu)應(yīng)用中的一種變異，現(xiàn)在美國政府一些重點(diǎn)機(jī)關(guān)部門正逐漸采用此種方式。數(shù)據(jù)信息中心由租用變?yōu)樽越?，一旦?shù)據(jù)中心發(fā)展壯大，便可以此自建平臺，由“別人為我服務(wù)”變?yōu)椤拔覟閯e人服務(wù)”，甚至可能演變成專門為政府機(jī)構(gòu)提供IT服務(wù)、具有政府性質(zhì)的第三方服務(wù)中心。

3、加強(qiáng)對SaaS服務(wù)供應(yīng)商資信的評估。評估內(nèi)容包括SaaS服務(wù)供應(yīng)商能否建立嚴(yán)格、規(guī)范的SaaS服務(wù)管理體系，是否擁有高水準(zhǔn)、多層次的專業(yè)服務(wù)工程師隊(duì)伍，能否提供完整、專業(yè)的配套業(yè)務(wù)體系，以及能否建立及時、準(zhǔn)確的服務(wù)質(zhì)量監(jiān)控體系。對內(nèi)，機(jī)關(guān)用戶應(yīng)組建一個相應(yīng)的特別小組來評估 SaaS服務(wù)提供商，為SaaS的建設(shè)提供咨詢、評估。

4、建立SaaS電子政務(wù)項(xiàng)目第三方監(jiān)理制度。這是規(guī)范我國電子政務(wù)外包行為和市場秩序，確保電子政務(wù)SaaS模式建設(shè)績效的一種國行通行慣例。我們同樣應(yīng)利用第三方監(jiān)理這種社會化、科學(xué)化、公平化和專業(yè)化的監(jiān)督機(jī)制確保障項(xiàng)目按質(zhì)、按期完成，更合理、有效地保障SaaS資源應(yīng)用模式的成功。

5、制定實(shí)施SaaS模式的行政許可制。對承租SaaS模式之下電子政務(wù)工程和服務(wù)的企業(yè)實(shí)行行政許可，讓那些經(jīng)濟(jì)、技術(shù)實(shí)力雄厚、信譽(yù)好、保密管理嚴(yán)格的企業(yè)獲得資質(zhì)而承包電子政務(wù)外包工程和服務(wù)。

另外，SaaS信息系統(tǒng)模式的安全是一個非常突出的問題，需要各級國家機(jī)關(guān)工作部門嚴(yán)格執(zhí)行信息安全等法律法規(guī)，依法履行監(jiān)管職責(zé)，以確保電子政務(wù)中的信息和信息系統(tǒng)安全。同時，在推行電子政務(wù)SaaS模式化的應(yīng)用推廣過程中，需要轉(zhuǎn)變、完善有關(guān)風(fēng)險的觀念和體制，存在較大的創(chuàng)新風(fēng)險，因此，國內(nèi)機(jī)關(guān)用戶在考慮應(yīng)用SaaS模式時，應(yīng)采取先易后難、先簡后繁、先硬件后軟件、先一般項(xiàng)目后核心部分、先部分后整體的具體辦法，循序漸進(jìn)逐步推廣。（CIO時代網(wǎng)）