SaaS模式下企業(yè)信息化安全保障機(jī)制的構(gòu)建

（浙江財經(jīng)大學(xué)浙江杭州310018）

S aaS（Soft as a Service，軟件即服務(wù)）是 Salesforce 公司于2003年提出來的一種通過互聯(lián)網(wǎng)提供軟件應(yīng)用的服務(wù)模式。在這種模式下，用戶不用額外增加對信息系統(tǒng)的投資，而是采用租賃SaaS企業(yè)提供的業(yè)務(wù)服務(wù)的方式，直接通過互聯(lián)網(wǎng)來管理企業(yè)的各項(xiàng)業(yè)務(wù)活動。在SaaS模式下，廣大中小企業(yè)可以不用再構(gòu)建自己的信息系統(tǒng)設(shè)施，從而節(jié)約在硬件、軟件、維護(hù)等方面的開支，同時滿足信息管理需求。而對SaaS提供商來講，根據(jù)長尾理論，通過對大量中小企業(yè)用戶提供相近的服務(wù)，能夠取得較好的規(guī)模效益。例如Salesforce公司主要提供客戶關(guān)系管理（CRM）服務(wù)產(chǎn)品，從最初2004年上市時的1.1億美元市值發(fā)展到2015年初的390億美元市值，堪稱IT業(yè)中的奇跡。

一、我國SaaS企業(yè)的發(fā)展現(xiàn)狀

盡管SaaS在企業(yè)信息化進(jìn)程中具有明顯的優(yōu)勢，但SaaS在我國的發(fā)展并不是一帆風(fēng)順的。在SaaS的概念出現(xiàn)之前，同樣通過網(wǎng)絡(luò)提供軟件租賃的ASP（Application Service Provider，應(yīng)用軟件服務(wù)供應(yīng)商）模式在2000年曾經(jīng)風(fēng)靡一時，中國網(wǎng)通、用友偉庫、金蝶、漢普等公司紛紛推出各自的應(yīng)用產(chǎn)品，但由于當(dāng)時的網(wǎng)絡(luò)技術(shù)應(yīng)用、軟件功能、市場培育等方面發(fā)展還不成熟，ASP模式很快就銷聲匿跡。而后出現(xiàn)的SaaS應(yīng)用模式，在國外市場良好發(fā)展的刺激下，從2008年起國內(nèi)企業(yè)也紛紛推出相關(guān)應(yīng)用，如用友公司重新激活偉庫網(wǎng)（www.wecoo.com），轉(zhuǎn)向SaaS應(yīng)用，提供客戶關(guān)系管理（CRM）、供應(yīng)鏈管理（SCM）、財務(wù)核算等方面的服務(wù)；阿里軟件推出互聯(lián)平臺，高調(diào)進(jìn)入SaaS領(lǐng)域；金蝶公司則推出友商網(wǎng)。但在2010年之后，SaaS在我國又遭遇寒冬。2010年3月，阿里軟件發(fā)布公告稱將于2010年4月30日起關(guān)閉阿里軟件互聯(lián)平臺，并終止提供相關(guān)服務(wù)，在SaaS市場上掀起軒然大波；用友公司的偉庫網(wǎng)在2010年末全面轉(zhuǎn)型，改為電子商務(wù)平臺移動商街；2012年阿里巴巴外貿(mào)軟件全球?qū)氁蚕蛴脩舭l(fā)出停止服務(wù)的通知。金蝶、用友等大公司由于歷史原因造成的獨(dú)大使得中小SaaS提供商難以進(jìn)入市場。而傳統(tǒng)財務(wù)軟件向SaaS模式的轉(zhuǎn)化則因?yàn)槭杖肽Ｊ降南拗埔恢卑l(fā)展得不太成熟。

我國SaaS的市場規(guī)模隨著移動互聯(lián)網(wǎng)的發(fā)展仍在持續(xù)擴(kuò)大。根據(jù)前瞻產(chǎn)業(yè)研究院發(fā)布的《中國SaaS（軟件運(yùn)營服務(wù)）行業(yè)市場前瞻分析報告》數(shù)據(jù)，2015年我國SaaS的平均融資金額已達(dá)16 900萬元，融資案例飆漲至195起。資本集中至SaaS領(lǐng)域，使得SaaS迅速發(fā)展，規(guī)模不斷擴(kuò)大。根據(jù)相關(guān)數(shù)據(jù)顯示，2015年我國SaaS的市場規(guī)模已達(dá)382億元。在用戶總量方面，2016年我國SaaS市場進(jìn)入高速發(fā)展階段，用戶的總量激增，增長率達(dá)到71.2%。但是由于我國企業(yè)信息化程度不足，SaaS雖然正處于高速發(fā)展期，但沒有得到實(shí)質(zhì)性的應(yīng)用。除此之外，SaaS企業(yè)在發(fā)展過程中出現(xiàn)的業(yè)務(wù)轉(zhuǎn)型問題對我國SaaS市場的培育和發(fā)展也具有較大的負(fù)面影響。SaaS企業(yè)的經(jīng)營轉(zhuǎn)型屬于企業(yè)自身的發(fā)展問題，但也受到市場監(jiān)管和行業(yè)標(biāo)準(zhǔn)等外在因素的影響。用戶選擇SaaS模式進(jìn)行信息化管理重點(diǎn)關(guān)注的是數(shù)據(jù)的安全性。電子數(shù)據(jù)具有容易被盜、毀損等特點(diǎn)，而用戶對存放在云端不為用戶所直接控制的數(shù)據(jù)有著本能的不信任感，再加上SaaS企業(yè)業(yè)務(wù)的中斷或轉(zhuǎn)型會給用戶帶來致命的影響，這些因素的疊加導(dǎo)致目前我國SaaS的應(yīng)用模式無法快速推廣，市場規(guī)模落后于歐美等國家。

從以上分析可以看出，SaaS模式下企業(yè)的信息化安全來自于系統(tǒng)數(shù)據(jù)安全本身、用戶對SaaS系統(tǒng)安全的信任程度、SaaS企業(yè)對系統(tǒng)安全的保障程度等三個方面。因此，需要從這三個方面入手建立多維度的安全保障機(jī)制來解決SaaS的應(yīng)用問題，以推動我國SaaS行業(yè)的發(fā)展，同時維護(hù)中小企業(yè)的基本權(quán)益，促進(jìn)并推動我國SaaS企業(yè)參與國際競爭。

二、構(gòu)建SaaS模式下企業(yè)信息化安全的多維保障機(jī)制

（一）建立SaaS行業(yè)標(biāo)準(zhǔn)體系，保障數(shù)據(jù)安全。構(gòu)建SaaS行業(yè)標(biāo)準(zhǔn)體系，需要從數(shù)據(jù)安全和數(shù)據(jù)通用性兩個方面入手。

1.構(gòu)建SaaS模式下的數(shù)據(jù)安全標(biāo)準(zhǔn)體系，提升SaaS提供商的數(shù)據(jù)安全控制水平。我國SaaS企業(yè)在經(jīng)營發(fā)展過程中往往都是根據(jù)自身的業(yè)務(wù)發(fā)展需要而進(jìn)行系統(tǒng)架構(gòu)的設(shè)計和實(shí)施，整個行業(yè)還沒有形成一個基于互聯(lián)網(wǎng)環(huán)境下的用戶信息安全保障體系，如果發(fā)生用戶經(jīng)營信息泄露，將會造成嚴(yán)重后果。SaaS模式下用戶的所有業(yè)務(wù)信息都存放在云端，信息的安全需要從技術(shù)、制度兩個層面進(jìn)行考慮。技術(shù)層面的標(biāo)準(zhǔn)涉及到數(shù)據(jù)的傳輸、云端存儲、備份和恢復(fù)、訪問控制、加密技術(shù)、災(zāi)難恢復(fù)等方面；制度層面的標(biāo)準(zhǔn)涉及到數(shù)據(jù)的隱私管理、合同管理、服務(wù)質(zhì)量管理等方面。這些標(biāo)準(zhǔn)體系的構(gòu)建需要由行業(yè)監(jiān)管部門主導(dǎo)完成，我國在這方面的工作還沒有完全展開，而在歐美、日本等國已經(jīng)建立了相應(yīng)的技術(shù)標(biāo)準(zhǔn)，以推動本國云服務(wù)的發(fā)展。日本從2008年開始，在日本信息通信部的支持下，F(xiàn)MMC（Foundation for Multimedia Communications，多媒體通信基金會）開展了名為 “云服務(wù)的信息披露認(rèn)證體系”的公共云服務(wù)認(rèn)證，其中ASPIC具體負(fù)責(zé)ASP/SaaS、IaaS/PaaS和數(shù)據(jù)中心三類認(rèn)證標(biāo)準(zhǔn)的制定。歐盟2012年末成立了“歐洲云合作指導(dǎo)委員會”，以推動協(xié)調(diào)云服務(wù)方面的相關(guān)工作，另外，歐洲電信標(biāo)準(zhǔn)化協(xié)會 （ETSI）和歐盟網(wǎng)絡(luò)與信息安全部（ENISA）已開始著手制定云服務(wù)數(shù)據(jù)、安全、服務(wù)等方面的標(biāo)準(zhǔn)。美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）編制了《800-53 REV3，Information Security》標(biāo)準(zhǔn)，對云服務(wù)的安全和服務(wù)質(zhì)量等方面提出了具體要求。

2.構(gòu)建SaaS模式下數(shù)據(jù)通用性標(biāo)準(zhǔn)體系，促進(jìn)市場競爭。因?yàn)樘峁㏒aaS是企業(yè)的商業(yè)行為，一方面，SaaS提供商在經(jīng)營過程中可能會出現(xiàn)由各種原因造成的服務(wù)中斷，如經(jīng)營虧損、業(yè)務(wù)轉(zhuǎn)型等情況造成SaaS企業(yè)無法繼續(xù)提供服務(wù)，而用戶自身的業(yè)務(wù)還將繼續(xù)，此時就需要將業(yè)務(wù)資料進(jìn)行遷移，以免對用戶的持續(xù)性經(jīng)營造成不利影響；另一方面，SaaS用戶在享用對方提供的服務(wù)時也有重新選擇其他SaaS提供商的權(quán)利，也有遷移數(shù)據(jù)的需要。因此為了保證業(yè)務(wù)遷移、轉(zhuǎn)換提供商等正常市場行為的順利展開，關(guān)鍵步驟就是構(gòu)建云端業(yè)務(wù)數(shù)據(jù)的通用性標(biāo)準(zhǔn)體系。數(shù)據(jù)通用性標(biāo)準(zhǔn)體系的構(gòu)建需要根據(jù)具體SaaS的業(yè)務(wù)類型來進(jìn)行，如客戶關(guān)系管理（CRM）、財務(wù)管理（FM）、供應(yīng)鏈管理（SCM）、人事管理（HR）等。每項(xiàng)業(yè)務(wù)都需要建立市場認(rèn)可的通用數(shù)據(jù)結(jié)構(gòu)，依據(jù)這一結(jié)構(gòu)標(biāo)準(zhǔn)可以實(shí)現(xiàn)企業(yè)數(shù)據(jù)的自由流動，既可以將業(yè)務(wù)數(shù)據(jù)遷移至其他SaaS提供商，也可以轉(zhuǎn)換為本地平臺繼續(xù)進(jìn)行業(yè)務(wù)處理。這樣的數(shù)據(jù)通用標(biāo)準(zhǔn)體系將有利于打破某些SaaS提供商的壟斷，維護(hù)廣大中小企業(yè)的利益，消除用戶使用SaaS模式構(gòu)建企業(yè)信息化的顧慮，對于SaaS市場的培育和健康發(fā)展將產(chǎn)生積極影響。

（二）引入第三方鑒證服務(wù)，對SaaS模式提供專業(yè)判斷，提高SaaS的可信任度。注冊信息系統(tǒng)審計師（CISA，Certified Information System Auditor）是由信息系統(tǒng)審計與控制協(xié)會（ISACA）認(rèn)證授予的，專門從事信息系統(tǒng)審計領(lǐng)域工作的執(zhí)業(yè)人員。企業(yè)構(gòu)建基于本地平臺的信息系統(tǒng)時，可以借助信息系統(tǒng)審計業(yè)務(wù)來評價所使用信息系統(tǒng)的安全性、可靠性，專業(yè)的注冊信息系統(tǒng)審計師可以在一定程度上對企業(yè)所應(yīng)用的信息系統(tǒng)給出專業(yè)判斷，維護(hù)企業(yè)數(shù)據(jù)的安全、提高業(yè)務(wù)處理的效率。這樣的鑒證業(yè)務(wù)對企業(yè)信息系統(tǒng)的應(yīng)用和推廣具有積極作用。在應(yīng)用SaaS模式實(shí)現(xiàn)企業(yè)信息化的情況下，依然可以借鑒這種方法，由SaaS企業(yè)對自身系統(tǒng)進(jìn)行第三方鑒證，以推動SaaS業(yè)務(wù)的發(fā)展。當(dāng)然，對SaaS模式下的信息系統(tǒng)進(jìn)行審計與對企業(yè)本地平臺信息系統(tǒng)進(jìn)行審計有很大不同，具體表現(xiàn)在審計的委托人不同、審計報告的使用范圍存在差異、內(nèi)部控制模式不同、審計目的不同等多方面。利用第三方鑒證服務(wù)提升SaaS系統(tǒng)的可信度是未來發(fā)展的一個方向，但還需要在審計程序、審計方法等方面做進(jìn)一步研究。此外，政府部門和行業(yè)協(xié)會在這方面應(yīng)該有所作為，從制度和法規(guī)的角度入手推動SaaS系統(tǒng)鑒證服務(wù)的應(yīng)用。如美國醫(yī)療行業(yè)要求第三方機(jī)構(gòu)對云服務(wù)提供商進(jìn)行監(jiān)督審查。

（三）發(fā)展SaaS保險業(yè)務(wù)，建立企業(yè)數(shù)據(jù)受損、業(yè)務(wù)中斷的損失賠償機(jī)制。在SaaS模式的發(fā)展過程中，中小企業(yè)用戶所關(guān)注的重點(diǎn)問題還是數(shù)據(jù)安全問題。安全問題可能來自于SaaS提供的軟件系統(tǒng)、硬件系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)，也可能來自于SaaS提供商自身的發(fā)展戰(zhàn)略。有些問題可以通過建立相應(yīng)的標(biāo)準(zhǔn)和第三方鑒證服務(wù)來避免，如數(shù)據(jù)遷移問題、硬件故障、網(wǎng)絡(luò)傳輸問題等，但類似于用友偉庫網(wǎng)轉(zhuǎn)型、阿里軟件互聯(lián)平臺關(guān)閉等情況，還是會給企業(yè)造成一定的數(shù)據(jù)安全隱患和業(yè)務(wù)中斷風(fēng)險，進(jìn)而引發(fā)經(jīng)濟(jì)賠償問題。此外，作為互聯(lián)網(wǎng)經(jīng)濟(jì)發(fā)展過程中的新興事物，SaaS模式也存在一定的不確定因素，單純依靠用戶和SaaS提供商的合同約定是無法全面保障雙方利益的，需要更高層面的設(shè)計來減少雙方的損失和風(fēng)險。因此，發(fā)展SaaS保險業(yè)務(wù)將成為推動SaaS模式發(fā)展的重要因素。

SaaS的安全問題可能會給用戶造成損失，通過開發(fā)和SaaS業(yè)務(wù)相關(guān)的保險產(chǎn)品，可以消除中小企業(yè)應(yīng)用SaaS模式構(gòu)建信息化管理的后顧之憂。SaaS保險業(yè)務(wù)的展開可以從兩個角度入手，一是為SaaS企業(yè)提供保險服務(wù)，可以保障SaaS業(yè)務(wù)供給的持續(xù)性；二是為SaaS用戶提供保險服務(wù)，保障用戶使用SaaS系統(tǒng)的權(quán)益。國際上已經(jīng)有保險公司在進(jìn)行嘗試。2013年5月，國際管理服務(wù)提供商行業(yè)協(xié)會（MSPA）與經(jīng)紀(jì)公司Lockton Affinity聯(lián)合面向全球云服務(wù)提供商推出云計算和管理服務(wù)保險；2013年6月，美國保險公司Liberty Mutual也開始提供云計算保單。我國目前還沒有推出相關(guān)保險產(chǎn)品，但我國中小企業(yè)數(shù)量巨大，信息化程度較低，對SaaS模式有著強(qiáng)大的需求，在移動互聯(lián)網(wǎng)和移動智能終端快速發(fā)展的環(huán)境下，此項(xiàng)保險業(yè)務(wù)的展開將會產(chǎn)生雙贏的局面。

三、結(jié)論

在構(gòu)建SaaS應(yīng)用多維安全保障機(jī)制的過程中，SaaS模式下的數(shù)據(jù)安全標(biāo)準(zhǔn)體系和數(shù)據(jù)通用標(biāo)準(zhǔn)體系是保障SaaS用戶數(shù)據(jù)安全的基礎(chǔ)，通過引入第三方鑒證服務(wù)可以提升SaaS用戶對數(shù)據(jù)安全的信任，同時可以促進(jìn)SaaS企業(yè)加強(qiáng)安全保障措施，保險機(jī)制的引入則可以解除雙方的后顧之憂，是促進(jìn)SaaS業(yè)務(wù)快速發(fā)展的推手。目前，我國移動智能終端的普及使得移動互聯(lián)網(wǎng)的應(yīng)用前景更為廣闊，SaaS市場也隨之快速膨脹，其中個人用戶市場的發(fā)展最為迅速，這對企業(yè)用戶的市場有一定的帶動作用。在構(gòu)建了多維安全保障機(jī)制的前提下，伴隨著移動互聯(lián)網(wǎng)應(yīng)用的發(fā)展，我國SaaS模式下的企業(yè)信息化也將實(shí)現(xiàn)質(zhì)的飛躍。