SaaS模式下企業信息化安全保障機制的構建

（浙江財經大學浙江杭州310018）

S aaS（Soft as a Service，軟件即服務）是 Salesforce 公司于2003年提出來的一種通過互聯網提供軟件應用的服務模式。在這種模式下，用戶不用額外增加對信息系統的投資，而是采用租賃SaaS企業提供的業務服務的方式，直接通過互聯網來管理企業的各項業務活動。在SaaS模式下，廣大中小企業可以不用再構建自己的信息系統設施，從而節約在硬件、軟件、維護等方面的開支，同時滿足信息管理需求。而對SaaS提供商來講，根據長尾理論，通過對大量中小企業用戶提供相近的服務，能夠取得較好的規模效益。例如Salesforce公司主要提供客戶關系管理（CRM）服務產品，從最初2004年上市時的1.1億美元市值發展到2015年初的390億美元市值，堪稱IT業中的奇跡。

一、我國SaaS企業的發展現狀

盡管SaaS在企業信息化進程中具有明顯的優勢，但SaaS在我國的發展并不是一帆風順的。在SaaS的概念出現之前，同樣通過網絡提供軟件租賃的ASP（Application Service Provider，應用軟件服務供應商）模式在2000年曾經風靡一時，中國網通、用友偉庫、金蝶、漢普等公司紛紛推出各自的應用產品，但由于當時的網絡技術應用、軟件功能、市場培育等方面發展還不成熟，ASP模式很快就銷聲匿跡。而后出現的SaaS應用模式，在國外市場良好發展的刺激下，從2008年起國內企業也紛紛推出相關應用，如用友公司重新激活偉庫網（www.wecoo.com），轉向SaaS應用，提供客戶關系管理（CRM）、供應鏈管理（SCM）、財務核算等方面的服務；阿里軟件推出互聯平臺，高調進入SaaS領域；金蝶公司則推出友商網。但在2010年之后，SaaS在我國又遭遇寒冬。2010年3月，阿里軟件發布公告稱將于2010年4月30日起關閉阿里軟件互聯平臺，并終止提供相關服務，在SaaS市場上掀起軒然大波；用友公司的偉庫網在2010年末全面轉型，改為電子商務平臺移動商街；2012年阿里巴巴外貿軟件全球寶也向用戶發出停止服務的通知。金蝶、用友等大公司由于歷史原因造成的獨大使得中小SaaS提供商難以進入市場。而傳統財務軟件向SaaS模式的轉化則因為收入模式的限制一直發展得不太成熟。

我國SaaS的市場規模隨著移動互聯網的發展仍在持續擴大。根據前瞻產業研究院發布的《中國SaaS（軟件運營服務）行業市場前瞻分析報告》數據，2015年我國SaaS的平均融資金額已達16 900萬元，融資案例飆漲至195起。資本集中至SaaS領域，使得SaaS迅速發展，規模不斷擴大。根據相關數據顯示，2015年我國SaaS的市場規模已達382億元。在用戶總量方面，2016年我國SaaS市場進入高速發展階段，用戶的總量激增，增長率達到71.2%。但是由于我國企業信息化程度不足，SaaS雖然正處于高速發展期，但沒有得到實質性的應用。除此之外，SaaS企業在發展過程中出現的業務轉型問題對我國SaaS市場的培育和發展也具有較大的負面影響。SaaS企業的經營轉型屬于企業自身的發展問題，但也受到市場監管和行業標準等外在因素的影響。用戶選擇SaaS模式進行信息化管理重點關注的是數據的安全性。電子數據具有容易被盜、毀損等特點，而用戶對存放在云端不為用戶所直接控制的數據有著本能的不信任感，再加上SaaS企業業務的中斷或轉型會給用戶帶來致命的影響，這些因素的疊加導致目前我國SaaS的應用模式無法快速推廣，市場規模落后于歐美等國家。

從以上分析可以看出，SaaS模式下企業的信息化安全來自于系統數據安全本身、用戶對SaaS系統安全的信任程度、SaaS企業對系統安全的保障程度等三個方面。因此，需要從這三個方面入手建立多維度的安全保障機制來解決SaaS的應用問題，以推動我國SaaS行業的發展，同時維護中小企業的基本權益，促進并推動我國SaaS企業參與國際競爭。

二、構建SaaS模式下企業信息化安全的多維保障機制

（一）建立SaaS行業標準體系，保障數據安全。構建SaaS行業標準體系，需要從數據安全和數據通用性兩個方面入手。

1.構建SaaS模式下的數據安全標準體系，提升SaaS提供商的數據安全控制水平。我國SaaS企業在經營發展過程中往往都是根據自身的業務發展需要而進行系統架構的設計和實施，整個行業還沒有形成一個基于互聯網環境下的用戶信息安全保障體系，如果發生用戶經營信息泄露，將會造成嚴重后果。SaaS模式下用戶的所有業務信息都存放在云端，信息的安全需要從技術、制度兩個層面進行考慮。技術層面的標準涉及到數據的傳輸、云端存儲、備份和恢復、訪問控制、加密技術、災難恢復等方面；制度層面的標準涉及到數據的隱私管理、合同管理、服務質量管理等方面。這些標準體系的構建需要由行業監管部門主導完成，我國在這方面的工作還沒有完全展開，而在歐美、日本等國已經建立了相應的技術標準，以推動本國云服務的發展。日本從2008年開始，在日本信息通信部的支持下，FMMC（Foundation for Multimedia Communications，多媒體通信基金會）開展了名為 “云服務的信息披露認證體系”的公共云服務認證，其中ASPIC具體負責ASP/SaaS、IaaS/PaaS和數據中心三類認證標準的制定。歐盟2012年末成立了“歐洲云合作指導委員會”，以推動協調云服務方面的相關工作，另外，歐洲電信標準化協會 （ETSI）和歐盟網絡與信息安全部（ENISA）已開始著手制定云服務數據、安全、服務等方面的標準。美國國家標準與技術研究院（NIST）編制了《800-53 REV3，Information Security》標準，對云服務的安全和服務質量等方面提出了具體要求。

2.構建SaaS模式下數據通用性標準體系，促進市場競爭。因為提供SaaS是企業的商業行為，一方面，SaaS提供商在經營過程中可能會出現由各種原因造成的服務中斷，如經營虧損、業務轉型等情況造成SaaS企業無法繼續提供服務，而用戶自身的業務還將繼續，此時就需要將業務資料進行遷移，以免對用戶的持續性經營造成不利影響；另一方面，SaaS用戶在享用對方提供的服務時也有重新選擇其他SaaS提供商的權利，也有遷移數據的需要。因此為了保證業務遷移、轉換提供商等正常市場行為的順利展開，關鍵步驟就是構建云端業務數據的通用性標準體系。數據通用性標準體系的構建需要根據具體SaaS的業務類型來進行，如客戶關系管理（CRM）、財務管理（FM）、供應鏈管理（SCM）、人事管理（HR）等。每項業務都需要建立市場認可的通用數據結構，依據這一結構標準可以實現企業數據的自由流動，既可以將業務數據遷移至其他SaaS提供商，也可以轉換為本地平臺繼續進行業務處理。這樣的數據通用標準體系將有利于打破某些SaaS提供商的壟斷，維護廣大中小企業的利益，消除用戶使用SaaS模式構建企業信息化的顧慮，對于SaaS市場的培育和健康發展將產生積極影響。

（二）引入第三方鑒證服務，對SaaS模式提供專業判斷，提高SaaS的可信任度。注冊信息系統審計師（CISA，Certified Information System Auditor）是由信息系統審計與控制協會（ISACA）認證授予的，專門從事信息系統審計領域工作的執業人員。企業構建基于本地平臺的信息系統時，可以借助信息系統審計業務來評價所使用信息系統的安全性、可靠性，專業的注冊信息系統審計師可以在一定程度上對企業所應用的信息系統給出專業判斷，維護企業數據的安全、提高業務處理的效率。這樣的鑒證業務對企業信息系統的應用和推廣具有積極作用。在應用SaaS模式實現企業信息化的情況下，依然可以借鑒這種方法，由SaaS企業對自身系統進行第三方鑒證，以推動SaaS業務的發展。當然，對SaaS模式下的信息系統進行審計與對企業本地平臺信息系統進行審計有很大不同，具體表現在審計的委托人不同、審計報告的使用范圍存在差異、內部控制模式不同、審計目的不同等多方面。利用第三方鑒證服務提升SaaS系統的可信度是未來發展的一個方向，但還需要在審計程序、審計方法等方面做進一步研究。此外，政府部門和行業協會在這方面應該有所作為，從制度和法規的角度入手推動SaaS系統鑒證服務的應用。如美國醫療行業要求第三方機構對云服務提供商進行監督審查。

（三）發展SaaS保險業務，建立企業數據受損、業務中斷的損失賠償機制。在SaaS模式的發展過程中，中小企業用戶所關注的重點問題還是數據安全問題。安全問題可能來自于SaaS提供的軟件系統、硬件系統、網絡系統，也可能來自于SaaS提供商自身的發展戰略。有些問題可以通過建立相應的標準和第三方鑒證服務來避免，如數據遷移問題、硬件故障、網絡傳輸問題等，但類似于用友偉庫網轉型、阿里軟件互聯平臺關閉等情況，還是會給企業造成一定的數據安全隱患和業務中斷風險，進而引發經濟賠償問題。此外，作為互聯網經濟發展過程中的新興事物，SaaS模式也存在一定的不確定因素，單純依靠用戶和SaaS提供商的合同約定是無法全面保障雙方利益的，需要更高層面的設計來減少雙方的損失和風險。因此，發展SaaS保險業務將成為推動SaaS模式發展的重要因素。

SaaS的安全問題可能會給用戶造成損失，通過開發和SaaS業務相關的保險產品，可以消除中小企業應用SaaS模式構建信息化管理的后顧之憂。SaaS保險業務的展開可以從兩個角度入手，一是為SaaS企業提供保險服務，可以保障SaaS業務供給的持續性；二是為SaaS用戶提供保險服務，保障用戶使用SaaS系統的權益。國際上已經有保險公司在進行嘗試。2013年5月，國際管理服務提供商行業協會（MSPA）與經紀公司Lockton Affinity聯合面向全球云服務提供商推出云計算和管理服務保險；2013年6月，美國保險公司Liberty Mutual也開始提供云計算保單。我國目前還沒有推出相關保險產品，但我國中小企業數量巨大，信息化程度較低，對SaaS模式有著強大的需求，在移動互聯網和移動智能終端快速發展的環境下，此項保險業務的展開將會產生雙贏的局面。

三、結論

在構建SaaS應用多維安全保障機制的過程中，SaaS模式下的數據安全標準體系和數據通用標準體系是保障SaaS用戶數據安全的基礎，通過引入第三方鑒證服務可以提升SaaS用戶對數據安全的信任，同時可以促進SaaS企業加強安全保障措施，保險機制的引入則可以解除雙方的后顧之憂，是促進SaaS業務快速發展的推手。目前，我國移動智能終端的普及使得移動互聯網的應用前景更為廣闊，SaaS市場也隨之快速膨脹，其中個人用戶市場的發展最為迅速，這對企業用戶的市場有一定的帶動作用。在構建了多維安全保障機制的前提下，伴隨著移動互聯網應用的發展，我國SaaS模式下的企業信息化也將實現質的飛躍。