SaaS漸進電子政務 應用風險管控五招制敵
國家信息化發展戰略明確提出:“創新電子政務建設的模式,逐步形成以政府為主、社會參與多元化投資機制,提高電子政務建設和運行維護的專業化、社會化服務水平”。而在電子政務發展的新階段,這種創新的一個主要模式就是推動發展SaaS(有業界稱為“ASP模式”),將電子政務項目建設、日常運行維護以及相關服務等工作,部分或全部委托給專業的IT外包服務提供商完成。
目前SaaS模式已在歐美發達國家日漸廣泛應用,美國聯邦政府電子外包費用2006年達150億美元,以年均18%的增長率快速增長,比如美國聯邦政府教育部IT系統從1998年開始外包給ACS公司,亞利桑納州政府將駕駛證管理信息系統外包給IBM,政府不投一分錢,只付租用管理費;香港 2004-2006年的政府信息服務外包項目比率為64%,開支比率占89%。目前我國家經貿委、中國證監會等機關已經部分或全部將IT軟硬件外包給專業公司運營和管理,嶄露頭角。
然而勿庸諱言的是SaaS這種應用方式,在實施、服務和運營過程中要比通常想象的要復雜多,仍存在較大的安全風險,尤其是對黨政機關這種國家、社會事務的公共管理機構,其對IT應用系統的可靠性、穩定性、安全性等性能上比其他行業用戶有更高更嚴的要求,可以說對國內機關單位而言,SaaS應用模式的希望與困難、機遇與風險并存。
電子政務應用SaaS模式的風險問題
基于互聯網的SaaS這種應用服務模式尚處于初級階段,它在崎嶇中前行,在發展的過程中存在著不少亟待解決的問題,其中阻礙SaaS推廣應用的主要障礙就是安全問題。
由于互聯網環境至今尚不完全成熟,給基于互聯網平臺的SaaS模式帶來了安全性(這里安全性還包括誠信與穩定性兩個部分)的大難題。直到現在,這仍是SaaS急需取信市場的重要因素,成為SaaS的致命短板。在信息化應用迅速普及的今天,尤其是基于Internet能多方內外遠程訪問的SaaS 平臺系統時刻遭遇著病毒、黑客甚至競爭對手獲取、篡改和破壞的風險,稍有不慎,就會給黨政機關用戶帶來重大風險損失。
據IDC調研統計表明,時下全球大約四分之一的互聯網應用服務提供商的網絡安全和病毒防護措施達不到標準,同時存在著失信問題,IT服務公司人員不可避免會接觸到重要數據、機密,使用戶對SaaS所謂的“數據大中心”應用模式的擔心是不無道理的。
目前電子政務運用SaaS模式有兩個風險:
1.數據丟失的風險;
2.數據泄漏的風險。
由于在物理上,軟件存在于SaaS提供商處,用戶存在對數據失去控制、安全保護的可能。
對于黨政機關用戶而言,租用SaaS主機上的軟件、由服務商來管理并把普通資料放在的主機上,不會有什么憂慮,但對一些如重要秘密、數據,都會非常敏感。沒有哪個SaaS商敢百分之百保證資料不會在傳輸過程中丟失或被入侵主機的黑客篡改、竊取,為病毒和破壞,或者因為程序的Bug 而不小心被其他使用者看到。眾所周知,在網絡環境中傳播和存儲,極易受到黑客、病毒攻擊,造成公文失密、信息被盜、被刪除或被改寫等嚴重后果,因此對電子政務安全性的擔憂,在很大程度上遏制了SaaS模式的電子化的推廣、普及。其次,SaaS服務商的內部人員可能存有誠信、職業道德等問題,造成內部濫用,發生操作失誤、人為破壞、內部作案等重大問題。
再者,一些專家認為,目前我國SaaS模式尚缺第三方認證監督機制,這是一個較大安全保障問題。隨著互聯網快速滲透到社會的各個層面以及各地機關企事業單位信息化進程的發展,如何建立一套權威、公正、資信力強的SaaS模式第三方認證監督機構及其規范制度法令,將是通過互聯網絡進行SaaS模式在黨政機關普及推廣的可靠基礎。第三方認證機構的可靠與否,對保證SaaS模式的安全性及能否普及起著重要的作用。
電子政務應用SaaS模式的風險管控
在SaaS日益普遍的浪潮中,國內黨政機關團體應該如何勇于創新,發揮SaaS的積極作用,管控、降低SaaS模式的應用風險,以最大程度保證組織IT項目的安全推廣應用,推進電子政務的發展?筆者認為:
1.建立多層嚴密完善的安全防護體系。SaaS平臺應通過與身份識別、傳輸加密、日志監控、布式權限分配機制、數據庫安全性、文檔安全性、域安全性等技術充分結合,保證網絡傳輸時系統的應用和數據存儲、傳輸的安全性。此外,平臺還應通過對信息及操作人員設置不同的權限及權限的組合,形成多維的、多層次的、全方位的對信息進行查看和操作的控制,最大保證電子政務在應用SaaS模式中的安全和可靠。
2.對核心信息、重要機密的部分項目可自建數據中心。在美國一些重要政府部門雖然軟件服務仍然采用租賃、外包模式,但卻有計劃將數據中心拿回“家”來,自建數據中心。
比如不安于把涉及核心信息、重要機密的項目放在SaaS服務商信息中心里,就在自己的單位另建一個服務器,把核心信息、重要機密的系統部分和其他系統做一個物理上的隔離,以防數據的丟失、泄露。這種自建數據中心的模式是SaaS在政府機構應用中的一種變異,現在美國政府一些重點機關部門正逐漸采用此種方式。數據信息中心由租用變為自建,一旦數據中心發展壯大,便可以此自建平臺,由“別人為我服務”變為“我為別人服務”,甚至可能演變成專門為政府機構提供IT服務、具有政府性質的第三方服務中心。
3.加強對SaaS服務供應商資信的評估。評估內容包括SaaS服務供應商能否建立嚴格、規范的SaaS服務管理體系,是否擁有高水準、多層次的專業服務工程師隊伍,能否提供完整、專業的配套業務體系,以及能否建立及時、準確的服務質量監控體系。對內,機關用戶應組建一個相應的特別小組來評估 SaaS服務提供商,為SaaS的建設提供咨詢、評估。
4.建立SaaS電子政務項目第三方監理制度。這是規范我國電子政務外包行為和市場秩序,確保電子政務SaaS模式建設績效的一種國行通行慣例。我們同樣應利用第三方監理這種社會化、科學化、公平化和專業化的監督機制確保障項目按質、按期完成,更合理、有效地保障SaaS資源應用模式的成功。
5.制定實施SaaS模式的行政許可制。對承租SaaS模式之下電子政務工程和服務的企業實行行政許可,讓那些經濟、技術實力雄厚、信譽好、保密管理嚴格的企業獲得資質而承包電子政務外包工程和服務。
另外,SaaS信息系統模式的安全是一個非常突出的問題,需要各級國家機關工作部門嚴格執行信息安全等法律法規,依法履行監管職責,以確保電子政務中的信息和信息系統安全。同時,在推行電子政務SaaS模式化的應用推廣過程中,需要轉變、完善有關風險的觀念和體制,存在較大的創新風險,因此,國內機關用戶在考慮應用SaaS模式時,應采取先易后難、先簡后繁、先硬件后軟件、先一般項目后核心部分、先部分后整體的具體辦法,循序漸進逐步推廣。
【編輯推薦】
