SaaS型軟體選型的安全問題

saas時代即將來臨，現在大部分的廠商在布局crm軟體的saas應用，據idg**顯示，2023年中將有10%的erp軟體轉型為純saas。

一. 安全性是進入saas erp時代的先決條件

saas erp(軟體即服務)是一種通過提供erp軟體的方式，是指由saaserp提供商全權管理和維護軟體，客戶不再像傳統套裝erp模式那樣需要花費大量投資用於硬體、軟體、人員進行系統維護，而只需支出一定的租賃服務費用，通過網際網路便可以隨時隨地享受到erp軟體使用、專業維護服務和後續公升級。saaserp徹底顛覆了傳統軟體的運營和交付模式，免除了中小企業購買、構建和維護基礎設施和應用程式的巨大投資成本。在這個經濟的冬天裡，對於無力支付傳統套裝erp高昂**的中小企業來說，saaserp給了它們erp應用的新希望。

但勿庸諱言的是，saas erp並不象有些服務商所說的：「saaserp應用是和開啟自來水龍頭就能用到水一樣方便」。saaserp應用在實施、服務和運營過程中遇到的問題要比想象中的要複雜得多，而且它還可能會存在著較大的安全風險，如在可靠性、穩定性、安全性上，尤其是在財務資料和隱私方面。因此，安全問題是saaserp選型時必須慎重考慮的乙個大問題。

簡單的說，saaserp安全問題實際上是saas模式能否完全滿足erp應用的安全和信任要求，包括安全、誠信與穩定性三個部分。這裡的信任不僅僅只是資料安全和應用安全，而且還包括能否隨時隨地的穩定的訪問，還有服務商的信譽與誠信問題。否則，企業是不會放心地把喻為企業生命線的erp應用構建於saas模式之上的。因此，克服安全問題是進入saaserp時代的先決條件之一。

二. saas erp選型必須考慮的六大安全問題

隨著加入saaserp陣營的服務商越來越多，中小企業的選擇範圍也越來越大。然而，不管採用那種方法來選擇服務商，都不要忽略安全調查的重要性。idg報告表示有2/3以上參與調查的受訪者表示會把安全問題作為saaserp選型時重要的考慮因素，因為在安全問題上，saaserp的風險一般來說會大於使用者在內部自行架設軟體，而且對於企業內部it人員而言，外部式的saaserp安全風險也頗難掌控。

(1)網路傳輸安全和穩定性問題

目前saaserp產品大都處於初級階段，產品的成熟度、穩定性尚不足。許多saaserp產品看起來很美，但有時中看不中用，並無想象中好。使用者在使用saaserp軟體的過程中，是通過網際網路而非企業區域網來傳輸資料，這樣商業資料就會在網際網路上的客戶端瀏覽器和伺服器端之間傳輸。因此，資料傳輸安全、客戶端安全和伺服器端安全是三個大問題。如何保證在網路傳輸過程中資料的安全問題，成為使用者關注的焦點。

同時，網路的穩定性也是另乙個受到使用者關注的問題，比如企業運營不能因為網路的中斷或saas主機被宕掉而停擺，網路平台必須保證網路7*24小時安全可用。但網路不穩定性的變數很多，而且掌握在saaserp服務商和網路連線提供商手中，不能由企業使用者所能完全控制，存在風險高安全低。因此，網路傳輸安全和穩定性成了是saaserp選型第乙個頭痛的問題。

(2)災難恢復時間和服務水準問題

說到安全性問題必然會涉及災難恢復時間和服務水準問題。因為對於大多數企業來說，當乙個託管型saaserp應用出現了故障時，業務人員可能在幾分鐘或者幾小時內無法工作，簡單的損失還可以勉強接受。但是如果託管的saaserp應用系統突然崩潰了，一些對企業來說至關重要的核心功能，比如製造或物流運輸就有可能出現停頓。更嚴重的話，可能會對財務業績造成極大的影響。因此，災難性安全恢復時間就是乙個大的核心問題。

如果saaserp服務商的銷售代表根本不知災難恢復時間和服務水準為何物的話，那麼還是趕緊另尋別家吧。如果服務商聲稱其服務具有「五個九」(99.999%)的系統可用時間，那也不能輕信其一面之詞，必須看它的安全災難恢復***。當然，企業最好還應當要求服務商對災難恢復時間和災難恢復水準出具書面承諾。

(3)資料儲存保護和備份安全問題

saaserp服務商的資料安全採用什麼儲存保護模型、採取了什麼備份複製策略，也是企業在選型時應最為關注的問題，簡單的說就是資料儲存是否安全。例如，saaserp服務商儲存資料的安全保護方案是否有能力抵禦網際網路黑客和病毒的攻擊，因為在新聞**上時不時會聽說到黑客可以隨時破解並進入資料伺服器獲取資料，或受到病毒攻擊而受到資料損壞或丟失，這些聽起來好像都很可怕，當然也就更讓使用者擔心他們的商業資料安全問題了。

另外，saas服務商提供了什麼樣的資料備份機制也是選型的核心問題之一。一旦出現重大問題時是如何恢復資料的？有沒有業務連續和災難恢復保障策略？有沒有實現災難異地恢復方案？其中，在解決和處理資料恢復和備份時，是否需要使用者中斷業務操作等。有些saaserp服務商在做好應有的保護措施時,還能同時提供給使用者自行備份服務，這些服務能夠讓使用者對其資料進行訪問和操作，當然也就讓使用者更為放心。

(4)防滲透保護和安全隔離問題

根據saas erp模式的定義和方案，我們知道saaserp和傳統自建的套裝erp之間有乙個重要的區別，就是標準的saaserp系統是多重租賃的，也就是多個不同的企業共用一套軟體和資料庫平台。雖然是經過隔離及保密技術，但其特點是多個企業同時使用。因此，有沒有嚴格的防滲透保護安全技術很重要，也是選型的關注點之一。例如，saaserp應用程式和資料有沒有安全隔離和防滲透保護策略，還有所有涉及使用者機密資料部分是否採用密文儲存，即便是系統管理人員也無法得到原文。

(5)服務商的安全誠信問題

把企業營運資料全盤委託給服務商保管，還會遇到一些非技術性的困境，就是誰可以保證機密資料不會被洩露。換句話說就是：saaserp服務商能否值得信任和服務商的誠信問題。saaserp的特點是由服務商完成所有的系統維護，如果當服務商提供服務時，技術人員可以很方便接觸到使用者商業資料時，這時就存在著使用者對saaserp服務商的信任問題。畢竟，我們在新聞**上經常看到許多技術人員因為對公司的不滿而造成損毀資料、洩漏資料、出賣資料的事件。

saaserp服務商信譽問題可從兩個方面考察：一是服務商的誠信程度；二是服務商有沒有部署規範化的安全管理制度。但不幸的是，許多調查結果顯示規範化安全管理制度是許多saaserp服務商的安全軟肋。因此，如何保證在沒有客戶的許可下，saaserp服務商不會檢視或更改資料，使用者資料不會被非法洩露，是選型時乙個不容忽視的問題。

(6)是否有第三方監理或相關資質認證

目前許多saaserp提供商尚缺乏第三方監督和相關權威的資質認證，這是saaserp在安全保障問題上的重大欠缺之一。許多saas服務商的安全保證只是自家的說法，都說滿足相關的法律法規監管，是王婆賣瓜,自賣自誇性質。因此，在選型時考察和驗證第三方資質認證是最基本的動作之一。

三. 評估服務商是否有安全意識的對策

saaserp應用給許多中小企業帶來了新的機遇，但同時也帶來更多安全性問題的挑戰。因此，面對眾多的saaserp服務商，如何評估其是否有安全意識是選型的乙個核心環節。一般可從以下幾個方面進行。

(1)考察服務商是否投入足夠安全專項資金

安全保障技術是需要不斷投入大量的資金，因此考察服務商是否投入足夠安全專項資金是乙個簡單而有用的方式之一。例如，考察服務商是否把saaserp作為主營業務方向，或考察服務商在安全保障方面的技術實力。因為只要服務商不斷在安全上投入專項研發資金，就能保證其安全技術的先進性。

(2)考察服務商的安全信譽和資質認證

專業的saaserp服務商可能比使用者更加注重安全信譽，因為「安全信譽口碑」是服務商的「飯碗」。就像在網上買東西，使用者需要看的是廠商所獲得的使用者評價和**的口碑。一般來說，saaserp服務商對安全信譽越是重視，對安全的持續投入也會越多，也可能會擁有更豐富的安全保障經驗。

但也要注意的是，有些服務商僅僅把saaserp產品作為炒作的噱頭，當作一條生財之道，並沒有投入足夠的資金在安全技術上來。因此，獲得乙個權威、資信力強的saaserp第三方認證監督機構頒發的資質證書，不但是確保saas服務商在執行安全活動的一種國際通行慣例，也是服務商在安全投入的信心保證。

(3)考察服務商的安全管理制度

評估saaserp服務商是否有安全意識的最關鍵一點，就是要加強對服務商安全管理制度的深入考察。因為即使saaserp服務商投入大量資金在硬體安全和軟體系統建設上，如果缺乏有效的安全管理制度也是會錯漏百出的。評估包括saaserp服務商是否建立了嚴格、規範的安全質量監控體系，以及是否擁有高水準、多層次的專業安全工程師隊伍等。這既是每乙個saaserp服務商自身需要重視的問題，也是中小企業選型saaserp服務時的必檢事項之一。

**：

SaaS型軟體選型的安全問題

解讀SaaS的8個安全問題

微軟資料外洩事件突顯 SaaS 的安全問題

資料安全問題成當前SAAS使用者拒絕關鍵

SaaS型軟體選型的安全問題

解讀SaaS的8個安全問題

微軟資料外洩事件突顯 SaaS 的安全問題

資料安全問題成當前SAAS使用者拒絕關鍵

相關推薦