SaaS电子政务 风险管控五招制“敌”

随着SaaS风生水起,在企业界风风火火,SaaS也开始映入党政机构的眼帘,引起他们的高度关注。那么SaaS这种类如IT租用、外包服务模式能否适用我国电子政务?机会前景如何?

国家信息化发展战略明确提出:“创新电子政务建设的模式,逐步形成以政府为主、社会参与多元化投资机制,提高电子政务建设和运行维护的专业化、社会化服务水平”。而在电子政务发展的新阶段,这种创新的一个主要模式就是推动发展SaaS(有业界称为“ASP模式”),将电子政务项目建设、日常运行维护以及相关服务等工作,部分或全部委托给专业的IT外包服务提供商完成。

目前SaaS模式已在欧美发达国家日渐广泛应用,美国联邦政府电子外包费用2006年达150亿美元,以年均18%的增长率快速增长,比如美国联邦政府教育部IT系统从1998年开始外包给ACS公司,亚利桑纳州政府将驾驶证管理信息系统外包给IBM,政府不投一分钱,只付租用管理费;香港2004-2006年的政府信息服务外包项目比率为64%,开支比率占89%。目前我国家经贸委、中国证监会等机关已经部分或全部将IT软硬件外包给专业公司运营和管理,崭露头角。

然而勿庸讳言的是SaaS这种应用方式,在实施、服务和运营过程中要比通常想象的要复杂多,仍存在较大的安全风险,尤其是对党政机关这种国家、社会事务的公共管理机构,其对IT应用系统的可靠性、稳定性、安全性等性能上比其他行业用户有更高更严的要求,可以说对国内机关单位而言,SaaS应用模式的希望与困难、机遇与风险并存。

电子政务应用SaaS模式的风险问题

基于互联网的SaaS这种应用服务模式尚处于初级阶段,它在崎岖中前行,在发展的过程中存在着不少亟待解决的问题,其中阻碍SaaS推广应用的主要障碍就是安全问题。

由于互联网环境至今尚不完全成熟,给基于互联网平台的SaaS模式带来了安全性(这里安全性还包括诚信与稳定性两个部分)的大难题。直到现在,这仍是SaaS急需取信市场的重要因素,成为SaaS的致命短板。在信息化应用迅速普及的今天,尤其是基于Internet能多方内外远程访问的SaaS平台系统时刻遭遇着病毒、黑客甚至竞争对手获取、篡改和破坏的风险,稍有不慎,就会给党政机关用户带来重大风险损失。

据IDC调研统计表明,时下全球大约四分之一的互联网应用服务提供商的网络安全和病毒防护措施达不到标准,同时存在着失信问题,IT服务公司人员不可避免会接触到重要数据、机密,使用户对SaaS所谓的“数据大中心”应用模式的担心是不无道理的。

目前电子政务运用SaaS模式有两个风险:1、数据丢失的风险;2、数据泄漏的风险。由于在物理上,软件存在于SaaS提供商处,用户存在对数据失去控制、安全保护的可能。

对于党政机关用户而言,租用SaaS主机上的软件、由服务商来管理并把普通资料放在的主机上,不会有什么忧虑,但对一些如重要秘密、数据,都会非常敏感。没有哪个SaaS商敢百分之百保证资料不会在传输过程中丢失或被入侵主机的黑客篡改、窃取,为病毒和破坏,或者因为程序的Bug 而不小心被其他使用者看到。众所周知,在网络环境中传播和存储,极易受到黑客、病毒攻击,造成公文失密、信息被盗、被删除或被改写等严重后果,因此对电子政务安全性的担忧,在很大程度上遏制了SaaS模式的电子化的推广、普及。其次,SaaS服务商的内部人员可能存有诚信、职业道德等问题,造成内部滥用,发生操作失误、人为破坏、内部作案等重大问题。

再者,一些专家认为,目前我国SaaS模式尚缺第三方认证监督机制,这是一个较大安全保障问题。随着互联网快速渗透到社会的各个层面以及各地机关企事业单位信息化进程的发展,如何建立一套权威、公正、资信力强的SaaS模式第三方认证监督机构及其规范制度法令,将是通过互联网络进行SaaS模式在党政机关普及推广的可靠基础。第三方认证机构的可靠与否,对保证SaaS模式的安全性及能否普及起着重要的作用。

电子政务应用SaaS模式的风险管控

在SaaS日益普遍的浪潮中,国内党政机关团体应该如何勇于创新,发挥SaaS的积极作用,管控、降低SaaS模式的应用风险,以最大程度保证组织IT项目的安全推广应用,推进电子政务的发展?笔者认为:

1、建立多层严密完善的安全防护体系。SaaS平台应通过与身份识别、传输加密、日志监控、布式权限分配机制、数据库安全性、文档安全性、域安全性等技术充分结合,保证网络传输时系统的应用和数据存储、传输的安全性。此外,平台还应通过对信息及操作人员设置不同的权限及权限的组合,形成多维的、多层次的、全方位的对信息进行查看和操作的控制,最大保证电子政务在应用SaaS模式中的安全和可靠。

2、对核心信息、重要机密的部分项目可自建数据中心。在美国一些重要政府部门虽然软件服务仍然采用租赁、外包模式,但却有计划将数据中心拿回“家”来,自建数据中心。

比如不安于把涉及核心信息、重要机密的项目放在SaaS服务商信息中心里,就在自己的单位另建一个服务器,把核心信息、重要机密的系统部分和其他系统做一个物理上的隔离,以防数据的丢失、泄露。这种自建数据中心的模式是SaaS在政府机构应用中的一种变异,现在美国政府一些重点机关部门正逐渐采用此种方式。数据信息中心由租用变为自建,一旦数据中心发展壮大,便可以此自建平台,由“别人为我服务”变为“我为别人服务”,甚至可能演变成专门为政府机构提供IT服务、具有政府性质的第三方服务中心。

3、加强对SaaS服务供应商资信的评估。评估内容包括SaaS服务供应商能否建立严格、规范的SaaS服务管理体系,是否拥有高水准、多层次的专业服务工程师队伍,能否提供完整、专业的配套业务体系,以及能否建立及时、准确的服务质量监控体系。对内,机关用户应组建一个相应的特别小组来评估SaaS服务提供商,为SaaS的建设提供咨询、评估。

4、建立SaaS电子政务项目第三方监理制度。这是规范我国电子政务外包行为和市场秩序,确保电子政务SaaS模式建设绩效的一种国行通行惯例。我们同样应利用第三方监理这种社会化、科学化、公平化和专业化的监督机制确保障项目按质、按期完成,更合理、有效地保障SaaS资源应用模式的成功。

5、制定实施SaaS模式的行政许可制。对承租SaaS模式之下电子政务工程和服务的企业实行行政许可,让那些经济、技术实力雄厚、信誉好、保密管理严格的企业获得资质而承包电子政务外包工程和服务。

另外,SaaS信息系统模式的安全是一个非常突出的问题,需要各级国家机关工作部门严格执行信息安全等法律法规,依法履行监管职责,以确保电子政务中的信息和信息系统安全。同时,在推行电子政务SaaS模式化的应用推广过程中,需要转变、完善有关风险的观念和体制,存在较大的创新风险,因此,国内机关用户在考虑应用SaaS模式时,应采取先易后难、先简后繁、先硬件后软件、先一般项目后核心部分、先部分后整体的具体办法,循序渐进逐步推广。