据IDC调研统计表明,时下全球大约有四分之一的互联网应用服务提供商的网络安全和病毒防护措施达不到标准,同时也存在着失信的问题,IT服务公司人员更不可避免会接触到重要数据和机密,这就使得用户对SaaS所谓的“数据大中心”应用模式的担心是不无道理的。
而目前,电子政务运用SaaS模式主要有两大风险:一是数据丢失的风险;二是数据泄漏的风险。由于在物理上软件存在于SaaS提供商处,用户的确存在对数据失去控制和安全保护的可能。
对于政府部门而言,租用SaaS主机上的软件、由服务商来管理并把普通的数据放在主机上,不会有什么忧虑;但对一些重要的秘密和核心数据就会非常敏感。没有哪个SaaS服务商敢百分之百地保证资料不会在传输的过程中丢失或被入侵主机的黑客篡改和窃取,或被病毒破坏,或因为程序的Bug而不小心被其他使用者看到。
众所周知,在网络环境中传播和存储极易受到黑客或病毒的攻击,从而就会造成公文失密、信息被盗、被删除或被改写等严重后果。因此,对电子政务安全性的担忧,在很大程度上遏制了SaaS模式的电子政务的推广和普及。其次,SaaS服务商的内部人员可能存在诚信和职业道德等问题,造成内部滥用,也会发生操作失误、人为破坏和内部作案等重大问题。
再者,一些专家认为,目前我国SaaS模式尚缺乏第三方认证监督机制,这是一个较大的安全保障问题。随着互联网快速渗透到社会的各个层面以及各地企事业单位信息化进程的发展,如何建立一套权威、公正和资信力强的SaaS模式第三方认证监督机构及其规范制度法令,将是SaaS模式在政府机关普及和推广的可靠基础。第三方认证机构的可靠与否,对保证SaaS模式的安全性以及SaaS模式能否普及起着重要的作用。
风险管控的五大建议
国内政府部门应该如何发挥SaaS的积极作用,同时管控和降低SaaS模式的应用风险,以最大程度地保证IT项目的安全应用,并推进电子政务的发展呢?笔者有以下五个方面的建议。
第一,建立多层严密完善的安全防护体系。SaaS平台应该通过与身份识别、传输加密、日志监控、分布式权限分配机制、数据库安全性、文档安全性、域安全性等技术的充分结合,保证网络传输时系统的应用和数据存储传输的安全性。此外,SaaS平台还应该通过对信息及操作人员设置不同的权限及权限的组合,形成多维的、多层次的、全方位的对信息进行查看和操作的控制,最大限度地保证电子政务在应用SaaS模式时的安全和可靠。