SaaS電子政務(wù) 風險管控五招制“敵”

申請免費試用、咨詢電話：400-8352-114

隨著SaaS風生水起，在企業(yè)界風風火火，SaaS也開始映入黨政機構(gòu)的眼簾，引起他們的高度關(guān)注。那么SaaS這種類如IT租用、外包服務(wù)模式能否適用我國電子政務(wù)？機會前景如何？

國家信息化發(fā)展戰(zhàn)略明確提出：“創(chuàng)新電子政務(wù)建設(shè)的模式，逐步形成以政府為主、社會參與多元化投資機制，提高電子政務(wù)建設(shè)和運行維護的專業(yè)化、社會化服務(wù)水平”。而在電子政務(wù)發(fā)展的新階段，這種創(chuàng)新的一個主要模式就是推動發(fā)展SaaS（有業(yè)界稱為“ASP模式”），將電子政務(wù)項目建設(shè)、日常運行維護以及相關(guān)服務(wù)等工作，部分或全部委托給專業(yè)的IT外包服務(wù)提供商完成。

目前SaaS模式已在歐美發(fā)達國家日漸廣泛應(yīng)用，美國聯(lián)邦政府電子外包費用2006年達150億美元，以年均18%的增長率快速增長，比如美國聯(lián)邦政府教育部IT系統(tǒng)從1998年開始外包給ACS公司，亞利桑納州政府將駕駛證管理信息系統(tǒng)外包給IBM，政府不投一分錢，只付租用管理費；香港2004-2006年的政府信息服務(wù)外包項目比率為64%，開支比率占89%。目前我國家經(jīng)貿(mào)委、中國證監(jiān)會等機關(guān)已經(jīng)部分或全部將IT軟硬件外包給專業(yè)公司運營和管理，嶄露頭角。

然而勿庸諱言的是SaaS這種應(yīng)用方式，在實施、服務(wù)和運營過程中要比通常想象的要復(fù)雜多，仍存在較大的安全風險，尤其是對黨政機關(guān)這種國家、社會事務(wù)的公共管理機構(gòu)，其對IT應(yīng)用系統(tǒng)的可靠性、穩(wěn)定性、安全性等性能上比其他行業(yè)用戶有更高更嚴的要求，可以說對國內(nèi)機關(guān)單位而言，SaaS應(yīng)用模式的希望與困難、機遇與風險并存。

電子政務(wù)應(yīng)用SaaS模式的風險問題

基于互聯(lián)網(wǎng)的SaaS這種應(yīng)用服務(wù)模式尚處于初級階段，它在崎嶇中前行，在發(fā)展的過程中存在著不少亟待解決的問題，其中阻礙SaaS推廣應(yīng)用的主要障礙就是安全問題。

由于互聯(lián)網(wǎng)環(huán)境至今尚不完全成熟，給基于互聯(lián)網(wǎng)平臺的SaaS模式帶來了安全性（這里安全性還包括誠信與穩(wěn)定性兩個部分）的大難題。直到現(xiàn)在，這仍是SaaS急需取信市場的重要因素，成為SaaS的致命短板。在信息化應(yīng)用迅速普及的今天，尤其是基于Internet能多方內(nèi)外遠程訪問的SaaS平臺系統(tǒng)時刻遭遇著病毒、黑客甚至競爭對手獲取、篡改和破壞的風險，稍有不慎，就會給黨政機關(guān)用戶帶來重大風險損失。

據(jù)IDC調(diào)研統(tǒng)計表明，時下全球大約四分之一的互聯(lián)網(wǎng)應(yīng)用服務(wù)提供商的網(wǎng)絡(luò)安全和病毒防護措施達不到標準，同時存在著失信問題，IT服務(wù)公司人員不可避免會接觸到重要數(shù)據(jù)、機密，使用戶對SaaS所謂的“數(shù)據(jù)大中心”應(yīng)用模式的擔心是不無道理的。

目前電子政務(wù)運用SaaS模式有兩個風險：1、數(shù)據(jù)丟失的風險；2、數(shù)據(jù)泄漏的風險。由于在物理上，軟件存在于SaaS提供商處，用戶存在對數(shù)據(jù)失去控制、安全保護的可能。

對于黨政機關(guān)用戶而言，租用SaaS主機上的軟件、由服務(wù)商來管理并把普通資料放在的主機上，不會有什么憂慮，但對一些如重要秘密、數(shù)據(jù)，都會非常敏感。沒有哪個SaaS商敢百分之百保證資料不會在傳輸過程中丟失或被入侵主機的黑客篡改、竊取，為病毒和破壞，或者因為程序的Bug 而不小心被其他使用者看到。眾所周知，在網(wǎng)絡(luò)環(huán)境中傳播和存儲，極易受到黑客、病毒攻擊，造成公文失密、信息被盜、被刪除或被改寫等嚴重后果，因此對電子政務(wù)安全性的擔憂，在很大程度上遏制了SaaS模式的電子化的推廣、普及。其次，SaaS服務(wù)商的內(nèi)部人員可能存有誠信、職業(yè)道德等問題，造成內(nèi)部濫用，發(fā)生操作失誤、人為破壞、內(nèi)部作案等重大問題。

再者，一些專家認為，目前我國SaaS模式尚缺第三方認證監(jiān)督機制，這是一個較大安全保障問題。隨著互聯(lián)網(wǎng)快速滲透到社會的各個層面以及各地機關(guān)企事業(yè)單位信息化進程的發(fā)展，如何建立一套權(quán)威、公正、資信力強的SaaS模式第三方認證監(jiān)督機構(gòu)及其規(guī)范制度法令，將是通過互聯(lián)網(wǎng)絡(luò)進行SaaS模式在黨政機關(guān)普及推廣的可靠基礎(chǔ)。第三方認證機構(gòu)的可靠與否，對保證SaaS模式的安全性及能否普及起著重要的作用。

電子政務(wù)應(yīng)用SaaS模式的風險管控

在SaaS日益普遍的浪潮中，國內(nèi)黨政機關(guān)團體應(yīng)該如何勇于創(chuàng)新，發(fā)揮SaaS的積極作用，管控、降低SaaS模式的應(yīng)用風險，以最大程度保證組織IT項目的安全推廣應(yīng)用，推進電子政務(wù)的發(fā)展？筆者認為:

1、建立多層嚴密完善的安全防護體系。SaaS平臺應(yīng)通過與身份識別、傳輸加密、日志監(jiān)控、布式權(quán)限分配機制、數(shù)據(jù)庫安全性、文檔安全性、域安全性等技術(shù)充分結(jié)合，保證網(wǎng)絡(luò)傳輸時系統(tǒng)的應(yīng)用和數(shù)據(jù)存儲、傳輸?shù)陌踩?。此外，平臺還應(yīng)通過對信息及操作人員設(shè)置不同的權(quán)限及權(quán)限的組合，形成多維的、多層次的、全方位的對信息進行查看和操作的控制，最大保證電子政務(wù)在應(yīng)用SaaS模式中的安全和可靠。

2、對核心信息、重要機密的部分項目可自建數(shù)據(jù)中心。在美國一些重要政府部門雖然軟件服務(wù)仍然采用租賃、外包模式，但卻有計劃將數(shù)據(jù)中心拿回“家”來，自建數(shù)據(jù)中心。

比如不安于把涉及核心信息、重要機密的項目放在SaaS服務(wù)商信息中心里，就在自己的單位另建一個服務(wù)器，把核心信息、重要機密的系統(tǒng)部分和其他系統(tǒng)做一個物理上的隔離，以防數(shù)據(jù)的丟失、泄露。這種自建數(shù)據(jù)中心的模式是SaaS在政府機構(gòu)應(yīng)用中的一種變異，現(xiàn)在美國政府一些重點機關(guān)部門正逐漸采用此種方式。數(shù)據(jù)信息中心由租用變?yōu)樽越ǎ坏?shù)據(jù)中心發(fā)展壯大，便可以此自建平臺，由“別人為我服務(wù)”變?yōu)椤拔覟閯e人服務(wù)”，甚至可能演變成專門為政府機構(gòu)提供IT服務(wù)、具有政府性質(zhì)的第三方服務(wù)中心。

3、加強對SaaS服務(wù)供應(yīng)商資信的評估。評估內(nèi)容包括SaaS服務(wù)供應(yīng)商能否建立嚴格、規(guī)范的SaaS服務(wù)管理體系，是否擁有高水準、多層次的專業(yè)服務(wù)工程師隊伍，能否提供完整、專業(yè)的配套業(yè)務(wù)體系，以及能否建立及時、準確的服務(wù)質(zhì)量監(jiān)控體系。對內(nèi)，機關(guān)用戶應(yīng)組建一個相應(yīng)的特別小組來評估SaaS服務(wù)提供商，為SaaS的建設(shè)提供咨詢、評估。

4、建立SaaS電子政務(wù)項目第三方監(jiān)理制度。這是規(guī)范我國電子政務(wù)外包行為和市場秩序，確保電子政務(wù)SaaS模式建設(shè)績效的一種國行通行慣例。我們同樣應(yīng)利用第三方監(jiān)理這種社會化、科學化、公平化和專業(yè)化的監(jiān)督機制確保障項目按質(zhì)、按期完成，更合理、有效地保障SaaS資源應(yīng)用模式的成功。

5、制定實施SaaS模式的行政許可制。對承租SaaS模式之下電子政務(wù)工程和服務(wù)的企業(yè)實行行政許可，讓那些經(jīng)濟、技術(shù)實力雄厚、信譽好、保密管理嚴格的企業(yè)獲得資質(zhì)而承包電子政務(wù)外包工程和服務(wù)。

另外，SaaS信息系統(tǒng)模式的安全是一個非常突出的問題，需要各級國家機關(guān)工作部門嚴格執(zhí)行信息安全等法律法規(guī)，依法履行監(jiān)管職責，以確保電子政務(wù)中的信息和信息系統(tǒng)安全。同時，在推行電子政務(wù)SaaS模式化的應(yīng)用推廣過程中，需要轉(zhuǎn)變、完善有關(guān)風險的觀念和體制，存在較大的創(chuàng)新風險，因此，國內(nèi)機關(guān)用戶在考慮應(yīng)用SaaS模式時，應(yīng)采取先易后難、先簡后繁、先硬件后軟件、先一般項目后核心部分、先部分后整體的具體辦法，循序漸進逐步推廣。（IT168）