軟件Ｓａａｓ模式下安全風(fēng)險策略探討

摘要：近年來，將軟件作為一種服務(wù)形式提供給客戶的需求逐漸增加，其中最突出的就是形成軟件即服務(wù)(Software as a Service，SaaS)模式。這種新模式的出現(xiàn)正是順應(yīng)了這個需求，用軟件服務(wù)代替?zhèn)鹘y(tǒng)的軟件產(chǎn)品銷售，不僅可以使軟件免于盜版的困擾，而且可以降低軟件消費企業(yè)購買、構(gòu)建和維護基礎(chǔ)設(shè)施以及應(yīng)用程序的成本和困難。但SaaS模式需要用戶將數(shù)據(jù)存放在服務(wù)供應(yīng)商提供的存儲介質(zhì)上，因而使得數(shù)據(jù)的專屬性、可靠性和安全性受到一定程度的威脅。文章主要對當(dāng)前SaaS模式下的網(wǎng)絡(luò)安全隱患進行了分析，并探討了SaaS模式下網(wǎng)絡(luò)安全隱患的防范策略。

關(guān)鍵詞：SaaS；網(wǎng)絡(luò)安全；計算機網(wǎng)絡(luò)；軟件

中圖分類號：TP393文獻標(biāo)識碼：A文章編號：1009-3044(2008)05-1pppp-0c

1 引言

隨著互聯(lián)網(wǎng)的迅猛發(fā)展，特別是Web2.0的興起，將軟件作為一種服務(wù)形式提供給客戶的需求逐漸增加，軟件產(chǎn)業(yè)正在發(fā)生越來越大的變化，其中最突出的就是形成軟件即服務(wù)(Software as a Service，SaaS)模式。這種新模式的出現(xiàn)正是順應(yīng)了用軟件服務(wù)代替?zhèn)鹘y(tǒng)的軟件產(chǎn)品銷售，不僅可以使軟件免于盜版的困擾，而且可以降低軟件消費企業(yè)購買、構(gòu)建和維護基礎(chǔ)設(shè)施以及應(yīng)用程序的成本和困難。所以軟件SaaS模式開始在中小企業(yè)中流行起來，在此種方案模式下，軟件服務(wù)商將自己的財務(wù)軟件放在服務(wù)器上，利用網(wǎng)絡(luò)向其用戶單位有償提供在線的財務(wù)管理系統(tǒng)應(yīng)用服務(wù)，并負(fù)責(zé)對租用者承擔(dān)維護和管理軟件、提供技術(shù)支援等責(zé)任。用戶單位只需登錄到SaaS服務(wù)商的站點，訪問其被授權(quán)使用的軟件應(yīng)用系統(tǒng)，就可以在該系統(tǒng)中進行一系列功能操作，很受中小企業(yè)用戶的歡迎。然而，在這種模式下，租用者的數(shù)據(jù)需要保存在軟件供應(yīng)商指定的存儲系統(tǒng)中，不管在感覺上還是在具體操作過程中，都存在一定的安全風(fēng)險。

2 軟件SaaS模式應(yīng)用的優(yōu)勢

由于軟件SaaS模式應(yīng)用是網(wǎng)絡(luò)技術(shù)、軟件技術(shù)、計算機技術(shù)的融合應(yīng)用，中小企業(yè)采用此種解決方案的優(yōu)勢較為明顯：

(1)可突破時空局限，用戶單位操作人員可實現(xiàn)在線應(yīng)用、分散辦公、移動辦公，可以在任何可以上網(wǎng)的地方應(yīng)用相應(yīng)軟件系統(tǒng)，而不必增加任何特別的軟件和硬件投資。

(2)系統(tǒng)建設(shè)具備快速、簡捷的交付、設(shè)置和培訓(xùn)等特點。

(3)采用“一對多”模式，是一種多訂戶系統(tǒng)構(gòu)架，可以同時支持?jǐn)?shù)千名用戶同時使用。

(4)用戶投入成本較低，一般按照服務(wù)模式進行付費，用多少付多少，也可按使用時間支付，小型企業(yè)可不再需要兼職會計人員。

(5)數(shù)據(jù)交換接口友好，包括數(shù)據(jù)的導(dǎo)入和數(shù)據(jù)的導(dǎo)出等，便于SaaS的數(shù)據(jù)與客戶內(nèi)部的系統(tǒng)進行數(shù)據(jù)的輸入和輸出。

鑒于SaaS模式的簡單、前期投資小等諸多優(yōu)點，目前軟件SaaS模式應(yīng)用已在傳統(tǒng)的CRM軟件，財務(wù)軟件領(lǐng)域掀起了一股在線應(yīng)用的熱潮。如XTools、阿里軟件，以及傳統(tǒng)軟件供應(yīng)商用友、金蝶、金算盤等企業(yè)也紛紛加入SaaS的行列，用友旗下的偉庫網(wǎng)成為財務(wù)SaaS模式成功的典范。金蝶也于2007年底推出友商網(wǎng)，開始財務(wù)軟件的SaaS模式應(yīng)用。

3 軟件SaaS應(yīng)用面臨的安全隱患

然而，值得注意的是，盡管軟件SaaS模式具有明顯的優(yōu)勢，面臨著良好的發(fā)展機遇，但它也面臨著重大的挑戰(zhàn)。由于軟件SaaS模式的解決方案要求將租用單位的全部相關(guān)數(shù)據(jù)存放在服務(wù)供應(yīng)商提供的平臺上，使得其企業(yè)數(shù)據(jù)的專屬性、可靠性和安全性面臨較大風(fēng)險，其中最主要的問題就是數(shù)據(jù)的安全性，已經(jīng)在相當(dāng)程度上制約著軟件SaaS模式進一步推廣和應(yīng)用。這些風(fēng)險主要包括：

(1)管理安全風(fēng)險。管理安全風(fēng)險是指由于財務(wù)人員缺乏網(wǎng)絡(luò)信息安全基本知識，不遵守相關(guān)的信息安全規(guī)則，造成數(shù)據(jù)損失、泄露而帶來的風(fēng)險。如網(wǎng)上報賬，使得操作員和信息使用者干預(yù)系統(tǒng)的機會增多，從而加大了變更電子憑證、銀行結(jié)算單及其他賬單等惡性事件發(fā)生的可能性。

(2)信息安全風(fēng)險。目前SaaS數(shù)據(jù)庫缺少強力有效的加密措施，他方可以方便地從外部打開修改，使用戶信息泄露和被惡意篡改，甚至被刪除，造成整個網(wǎng)絡(luò)系統(tǒng)癱瘓，無法運行、數(shù)據(jù)丟失等，給用戶單位造成損失。

(3)非法入侵風(fēng)險。由于財務(wù)SaaS使用的是公用通信線路，一些人可能出于各種目的，損壞網(wǎng)絡(luò)設(shè)備，在網(wǎng)絡(luò)上對財務(wù)系統(tǒng)進行黑客程序的測試運行等入侵活動，給系統(tǒng)造成較大破壞。

(4)感染病毒風(fēng)險。局域網(wǎng)與互聯(lián)網(wǎng)連接，使計算機系統(tǒng)感染病毒的機率大為增加，病毒防范的難度更大，任何在互聯(lián)網(wǎng)上的行為都有可能使計算機系統(tǒng)感染病毒。

(5)服務(wù)商軟件自身的不穩(wěn)定因素也給SaaS系統(tǒng)帶來安全隱患。同時供應(yīng)商的綜合實力也決定了服務(wù)的穩(wěn)定，如果實力偏弱的供應(yīng)商在提供若干年的服務(wù)后倒閉，而企業(yè)已習(xí)慣于在其平臺的應(yīng)用，則遷移系統(tǒng)和使用習(xí)慣改變所產(chǎn)生的代價也將是巨大的。

很明顯，由于軟件SaaS系統(tǒng)的在線性、易變性等特點，企業(yè)遭遇諸如咨信保護風(fēng)險、內(nèi)部和外部侵入風(fēng)險、破壞與舞弊風(fēng)險、交易完整風(fēng)險以及無形資產(chǎn)難于計價等風(fēng)險更大一些。

4 SaaS應(yīng)用風(fēng)險防范策略

隨著互聯(lián)網(wǎng)的應(yīng)用得到不斷深化，軟件SaaS模式應(yīng)用面臨不確定性、復(fù)雜化等風(fēng)險增加，建立SaaS系統(tǒng)新的安全管理模式勢在必行。惟其如此，才能全面有效地增強軟件SaaS系統(tǒng)抵御風(fēng)險的能力，提高SaaS系統(tǒng)整體營運效率。

(1)建立多層備份機制。做好軟件SaaS系統(tǒng)的安全防護，一個重點就是要分層次地采用服務(wù)器雙機熱備份、RAID鏡像技術(shù)、財務(wù)及管理軟件系統(tǒng)自動備份等多種保護方式。尤其要指出的是必須定期將必要的備份數(shù)據(jù)刻錄到光盤中，保證數(shù)據(jù)在損壞后可以及時恢復(fù)。

(2)建立多級權(quán)限控制機制。在軟件SaaS系統(tǒng)應(yīng)用中要努力實行用戶級控制、數(shù)據(jù)庫級控制和網(wǎng)絡(luò)系統(tǒng)級控制相結(jié)合的多級權(quán)限控制機制。用戶級能對網(wǎng)絡(luò)用戶進行合理的權(quán)限分工，實現(xiàn)操作權(quán)限的集中化管理，強化系統(tǒng)管理員對軟件各模塊操作的統(tǒng)一授權(quán)；數(shù)據(jù)庫級能防止不道德的軟件人員對財務(wù)資料進行非法篡改；網(wǎng)絡(luò)系統(tǒng)級能防止因斷電、通信線路故障等意外所引起的資料損毀。

(3)重點實施全方位的網(wǎng)絡(luò)系統(tǒng)安全防御措施。這些措施包括：

a．部署防火墻，防止外部非法用戶訪問，為數(shù)據(jù)傳輸、轉(zhuǎn)換設(shè)置一道電子屏障。

b．采用組合加密技術(shù)(密鑰技術(shù))，專用密鑰與公開密鑰組合加密效果更佳。

c．運用數(shù)字簽名，驗證對方身份、保證數(shù)據(jù)完整性；數(shù)字簽名還可以建立不可否認(rèn)機制，便于查找造成網(wǎng)絡(luò)事故的原因。

d．使用安全協(xié)議，主要有：安全電子交易規(guī)范、安全套接字層協(xié)議及安全超文本傳輸協(xié)議等。

f．應(yīng)積極采用反病毒技術(shù)，同時財務(wù)軟件可掛接或捆綁第三方反病毒軟件，加強軟件自身的防病毒能力。

g．對外來軟件和傳輸?shù)臄?shù)據(jù)也必須經(jīng)過病毒檢查。

(4)制定、實施日常安全管理制度。其具體措施有：

a．企業(yè)應(yīng)按照財務(wù)電算化的要求，按責(zé)、權(quán)、利相結(jié)合的原則，建立健全財務(wù)SaaS系統(tǒng)崗位責(zé)任制度、安全日志制度等。

b．要制定統(tǒng)管全局的網(wǎng)絡(luò)信息安全制度，統(tǒng)籌規(guī)范網(wǎng)絡(luò)信息安全的管理，做到有章可循、有法可依。

c．制定操作員運行安全對策。提醒財務(wù)人員要定期修改密碼，防止泄露賬號及密碼，對網(wǎng)絡(luò)系統(tǒng)軟件、數(shù)據(jù)庫管理系統(tǒng)軟件、財務(wù)軟件要及時安裝發(fā)布的補丁程序或升級，提高整個系統(tǒng)的安全性。

d．建立適應(yīng)網(wǎng)絡(luò)系統(tǒng)的內(nèi)部安全控制體系，由原來單一的財務(wù)部門轉(zhuǎn)變?yōu)樨攧?wù)部門和計算機管理部門共同控制，由單純的手工控制轉(zhuǎn)化為組織控制、手工控制和程序控制相結(jié)合的全面內(nèi)部控制。

5 結(jié)束語

總而言之，以在線租用為主體的軟件SaaS模式作為IT 應(yīng)用服務(wù)的一種新模式，目前在我國仍然處于市場培育和萌芽階段。作為一種新興的經(jīng)營模式，其安全性必須要得到充分有效的保障，這是軟件SaaS模式得以全面推廣、成功應(yīng)用的前提，只有這樣，軟件SaaS應(yīng)用平臺模式才會迎來一個更為明媚的春天。

參考文獻：

[1]周亞建.網(wǎng)絡(luò)安全加固技術(shù)[M].電子工業(yè)出版社，2007.07.

[2]趙安軍.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用[M].人民郵電出版社，2007.07.

[3]張逸.軟件設(shè)計精要與模式[M].電子工業(yè)出版社，2007.04.

[4][美]巴斯，[美]克萊門茨，[美]凱茲曼，著，車立紅，譯.軟件構(gòu)架實踐[M].清華大學(xué)出版社，2004.03.

收稿日期：2008-01-10

作者簡介：何艷，女，助理講師，重慶市醫(yī)藥高等專科學(xué)校計算機教研組，工學(xué)學(xué)士；肖麗，女，講師，重慶教育學(xué)院計算機與現(xiàn)代教育技術(shù)系，工學(xué)碩士。