24周年

財(cái)稅實(shí)務(wù) 高薪就業(yè) 學(xué)歷教育
APP下載
APP下載新用戶掃碼下載
立享專屬優(yōu)惠

安卓版本:8.7.20 蘋果版本:8.7.20

開發(fā)者:北京正保會(huì)計(jì)科技有限公司

應(yīng)用涉及權(quán)限:查看權(quán)限>

APP隱私政策:查看政策>

HD版本上線:點(diǎn)擊下載>

SaaS選型過程中 必須考慮的安全問題

來源: 泡泡網(wǎng) 編輯: 2009/11/26 09:08:24  字體:

  隨著加入SaaS ERP陣營的服務(wù)商越來越多,中小企業(yè)的選擇范圍也越來越大。然而,不管采用那種方法來選擇服務(wù)商,都不要忽略安全調(diào)查的重要性。IDG報(bào)告表示有2/3以上參與調(diào)查的受訪者表示會(huì)把安全問題作為SaaS ERP選型時(shí)重要的考慮因素,因?yàn)樵诎踩珕栴}上,SaaS ERP的風(fēng)險(xiǎn)一般來說會(huì)大于用戶在內(nèi)部自行架設(shè)軟件,而且對(duì)于企業(yè)內(nèi)部IT人員而言,外部式的SaaS ERP安全風(fēng)險(xiǎn)也頗難掌控。

  1 網(wǎng)絡(luò)傳輸安全和穩(wěn)定性問題

  目前SaaS ERP產(chǎn)品大都處于初級(jí)階段,產(chǎn)品的成熟度、穩(wěn)定性尚不足。許多SaaS ERP產(chǎn)品看起來很美,但有時(shí)中看不中用,并無想象中好。用戶在使用SaaS ERP軟件的過程中,是通過互聯(lián)網(wǎng)而非企業(yè)局域網(wǎng)來傳輸數(shù)據(jù),這樣商業(yè)數(shù)據(jù)就會(huì)在互聯(lián)網(wǎng)上的客戶端瀏覽器和服務(wù)器端之間傳輸。因此,數(shù)據(jù)傳輸安全、客戶端安全和服務(wù)器端安全是三個(gè)大問題。如何保證在網(wǎng)絡(luò)傳輸過程中數(shù)據(jù)的安全問題,成為用戶關(guān)注的焦點(diǎn)。

  同時(shí),網(wǎng)絡(luò)的穩(wěn)定性也是另一個(gè)受到用戶關(guān)注的問題,比如企業(yè)運(yùn)營不能因?yàn)榫W(wǎng)絡(luò)的中斷或SaaS 主機(jī)被宕掉而停擺,網(wǎng)絡(luò)平臺(tái)必須保證網(wǎng)絡(luò)7×24小時(shí)安全可用。但網(wǎng)絡(luò)不穩(wěn)定性的變數(shù)很多,而且掌握在SaaS ERP服務(wù)商和網(wǎng)絡(luò)連接提供商手中,不能由企業(yè)用戶所能完全控制,存在風(fēng)險(xiǎn)高安全低。因此,網(wǎng)絡(luò)傳輸安全和穩(wěn)定性成了是SaaS ERP 選型第一個(gè)頭痛的問題。

  2 災(zāi)難恢復(fù)時(shí)間和服務(wù)水準(zhǔn)問題

  說到安全性問題必然會(huì)涉及災(zāi)難恢復(fù)時(shí)間和服務(wù)水準(zhǔn)問題。因?yàn)閷?duì)于大多數(shù)企業(yè)來說,當(dāng)一個(gè)托管型SaaS ERP應(yīng)用出現(xiàn)了故障時(shí),業(yè)務(wù)人員可能在幾分鐘或者幾小時(shí)內(nèi)無法工作,簡(jiǎn)單的損失還可以勉強(qiáng)接受。但是如果托管的SaaS ERP應(yīng)用系統(tǒng)突然崩潰了,一些對(duì)企業(yè)來說至關(guān)重要的核心功能,比如制造或物流運(yùn)輸就有可能出現(xiàn)停頓。更嚴(yán)重的話,可能會(huì)對(duì)財(cái)務(wù)業(yè)績(jī)?cè)斐蓸O大的影響。因此,災(zāi)難性安全恢復(fù)時(shí)間就是一個(gè)大的核心問題。

  如果SaaS ERP服務(wù)商的銷售代表根本不知災(zāi)難恢復(fù)時(shí)間和服務(wù)水準(zhǔn)為何物的話,那么還是趕緊另尋別家吧。如果服務(wù)商聲稱其服務(wù)具有“五個(gè)九”(99.999%)的系統(tǒng)可用時(shí)間,那也不能輕信其一面之詞,必須看它的安全災(zāi)難恢復(fù)白皮書。當(dāng)然,企業(yè)最好還應(yīng)當(dāng)要求服務(wù)商對(duì)災(zāi)難恢復(fù)時(shí)間和災(zāi)難恢復(fù)水準(zhǔn)出具書面承諾。

  3 數(shù)據(jù)存儲(chǔ)保護(hù)和備份安全問題

  SaaS ERP服務(wù)商的數(shù)據(jù)安全采用什么存儲(chǔ)保護(hù)模型、采取了什么備份復(fù)制策略,也是企業(yè)在選型時(shí)應(yīng)最為關(guān)注的問題,簡(jiǎn)單的說就是數(shù)據(jù)存儲(chǔ)是否安全。例如,SaaS ERP服務(wù)商存儲(chǔ)數(shù)據(jù)的安全保護(hù)方案是否有能力抵御互聯(lián)網(wǎng)黑客和病毒的攻擊,因?yàn)樵谛侣劽襟w上時(shí)不時(shí)會(huì)聽說到黑客可以進(jìn)入數(shù)據(jù)服務(wù)器獲取數(shù)據(jù),或受到病毒攻擊而受到數(shù)據(jù)損壞或丟失,這些聽起來好像都很可怕,當(dāng)然也就更讓用戶擔(dān)心他們的商業(yè)數(shù)據(jù)安全問題了。

  另外,SaaS服務(wù)商提供了什么樣的數(shù)據(jù)備份機(jī)制也是選型的核心問題之一。一旦出現(xiàn)重大問題時(shí)是如何恢復(fù)數(shù)據(jù)的?有沒有業(yè)務(wù)連續(xù)和災(zāi)難恢復(fù)保障策略?有沒有實(shí)現(xiàn)災(zāi)難異地恢復(fù)方案?其中,在解決和處理數(shù)據(jù)恢復(fù)和備份時(shí),是否需要用戶中斷業(yè)務(wù)操作等。有些SaaS ERP服務(wù)商在做好應(yīng)有的保護(hù)措施時(shí),還能同時(shí)提供給用戶自行備份服務(wù),這些服務(wù)能夠讓用戶對(duì)其數(shù)據(jù)進(jìn)行訪問和操作,當(dāng)然也就讓用戶更為放心。

  4 防滲透保護(hù)和安全隔離問題

  根據(jù)SaaS ERP模式的定義和方案,我們知道SaaS ERP和傳統(tǒng)自建的套裝ERP之間有一個(gè)重要的區(qū)別,就是標(biāo)準(zhǔn)的SaaS ERP系統(tǒng)是多重租賃的,也就是多個(gè)不同的企業(yè)共用一套軟件和數(shù)據(jù)庫平臺(tái)。雖然是經(jīng)過隔離及保密技術(shù),但其特點(diǎn)是多個(gè)企業(yè)同時(shí)使用。因此,有沒有嚴(yán)格的防滲透保護(hù)安全技術(shù)很重要,也是選型的關(guān)注點(diǎn)之一。例如,SaaS ERP應(yīng)用程序和數(shù)據(jù)有沒有安全隔離和防滲透保護(hù)策略,還有所有涉及用戶機(jī)密數(shù)據(jù)部分是否采用密文保存,即便是系統(tǒng)管理人員也無法得到原文。

  5 服務(wù)商的安全誠信問題

  把企業(yè)營運(yùn)資料全盤委托給服務(wù)商保管,還會(huì)遇到一些非技術(shù)性的困境,就是誰可以保證機(jī)密資料不會(huì)被泄露。換句話說就是:SaaS ERP服務(wù)商能否值得信任和服務(wù)商的誠信問題。SaaS ERP的特點(diǎn)是由服務(wù)商完成所有的系統(tǒng)維護(hù),如果當(dāng)服務(wù)商提供服務(wù)時(shí),技術(shù)人員可以很方便接觸到用戶商業(yè)數(shù)據(jù)時(shí),這時(shí)就存在著用戶對(duì)SaaS ERP服務(wù)商的信任問題。畢竟,我們?cè)谛侣劽襟w上經(jīng)??吹皆S多技術(shù)人員因?yàn)閷?duì)公司的不滿而造成損毀數(shù)據(jù)、泄漏數(shù)據(jù)、出賣數(shù)據(jù)的事件。

  SaaS ERP服務(wù)商信譽(yù)問題可從兩個(gè)方面考察:一是服務(wù)商的誠信程度;二是服務(wù)商有沒有部署規(guī)范化的安全管理制度。但不幸的是,許多調(diào)查結(jié)果顯示規(guī)范化安全管理制度是許多SaaS ERP服務(wù)商的安全軟肋。因此,如何保證在沒有客戶的許可下,SaaS ERP服務(wù)商不會(huì)查看或更改數(shù)據(jù),用戶數(shù)據(jù)不會(huì)被非法泄露,是選型時(shí)一個(gè)不容忽視的問題。

  6 是否有第三方監(jiān)理或相關(guān)資質(zhì)認(rèn)證

  目前許多SaaS ERP提供商尚缺乏第三方監(jiān)督和相關(guān)權(quán)威的資質(zhì)認(rèn)證,這是SaaS ERP在安全保障問題上的重大欠缺之一。許多SaaS服務(wù)商的安全保證只是自家的說法,都說滿足相關(guān)的法律法規(guī)監(jiān)管,是王婆賣瓜,自賣自夸性質(zhì)。因此,在選型時(shí)考察和驗(yàn)證第三方資質(zhì)認(rèn)證是最基本的動(dòng)作之一。

責(zé)任編輯:zoe
回到頂部
折疊
網(wǎng)站地圖

Copyright © 2000 - m.jnjuyue.cn All Rights Reserved. 北京正保會(huì)計(jì)科技有限公司 版權(quán)所有

京B2-20200959 京ICP備20012371號(hào)-7 出版物經(jīng)營許可證 京公網(wǎng)安備 11010802044457號(hào)