电子政务应用SaaS模式风险与管控.docVIP

电子政务应用SaaS模式风险与管控 　　（吴勇毅）随着SaaS在企业界的风生水起，这种新的应用模式也开始映入了政府部门的眼帘，引起了他们的高度关注。那么，SaaS这种类如IT租用和外包服务的模式能否适用我国的电子政务？其机会前景又将如何呢？ 　　SaaS是一种利用互联网资源提供在线租用IT服务（主要以软件为主）的应用模式，由服务商提供全部一整套软硬件设备和专业服务，用户只需每月支付少量的租用管理费。将用户计算机通过互联网接入到运行平台，就可轻松享受到网上办公管理、客户关系管理、企业计划管理、财务管理和运维服务等一整套的信息化便利。SaaS主要包含两大应用内容，即租用和外包。 　　国家信息化发展战略明确提出：“创新电子政务建设的模式将逐步形成以政府为主、社会参与多元化的投资机制，以此来提高电子政务建设和运行维护的专业化、社会化服务水平。”而在电子政务发展的新阶段，创新的一个主要模式就是推动SaaS的应用，将电子政务项目的建设、日常运行维护以及相关服务等工作，部分或全部委托给专业的IT服务提供商完成。 　　事实上，政府机关采用SaaS模式发展电子政务建设能够使政府部门充分利用社会上的各种优质资源，低成本、高效率地快速推进电子政务应用系统的发展，并集中力量增强政府的管理服务功能、提高社会整体运作效率。所以，笔者建议国内可以借助这一模式进行相关的试点工作。 　　以税务信息系统为例，随着金税三期在全国的立项推广，它涉及到了软件的应用架构体系、省市集中的网络建设、两级数据处理中心规划、数据利用与决策支持系统、行政管理系统、外部信息交换、运行维护体系建设、安全灾备系统等内容，几乎囊括了所有高端的IT专业技术。面对这样复杂的专业化系统工程，以税务现有的信息化人员、技术水平和资金，是难于适应金税三期的要求的。可以预见，随着金税三期在全国范围的推进，会有越来越多的IT工作交给专门的IT机构去完成，税务系统的IT租用和外包已经是大势所趋。 　　然而，SaaS这种应用模式在实施、服务和运营过程中要比想象的复杂得多，并且存在着较大的安全风险，尤其是在政府机关和社会事务的公共管理机构中应用时，因为他们对IT应用系统的可靠性、稳定性和安全性等要比其他行业用户有更高、更严的要求。可以说，对政府而言，SaaS应用模式是希望与困难、机遇与风险并存。 　　 　　解决安全风险问题是关键 　　 　　基于互联网的SaaS应用服务模式尚处于初级阶段，在其发展过程中还存在着不少亟待解决的问题，其中阻碍SaaS应用推广的最大障碍就是安全问题。 　　由于互联网环境至今尚不完全成熟，这就给基于互联网平台的SaaS模式带来了安全性（这里的安全性还包括诚信与稳定性）的难题。直到今天，这仍然是SaaS急需取信市场的重要因素，并且也是SaaS的致命短板。因为基于互联网的、能多方内外远程访问的SaaS平台系统时刻有可能遭遇到病毒、黑客甚至是竞争对手获取、篡改和破坏的风险，稍有不慎就会给政府用户带来重大的损失。 　　据IDC调研统计表明，时下全球大约有四分之一的互联网应用服务提供商的网络安全和病毒防护措施达不到标准，同时也存在着失信的问题，IT服务公司人员更不可避免会接触到重要数据和机密，这就使得用户对SaaS所谓的“数据大中心”应用模式的担心是不无道理的。 　　而目前，电子政务运用SaaS模式主要有两大风险：一是数据丢失的风险；二是数据泄漏的风险。由于在物理上软件存在于SaaS提供商处，用户的确存在对数据失去控制和安全保护的可能。 　　对于政府部门而言，租用SaaS主机上的软件、由服务商来管理并把普通的数据放在主机上，不会有什么忧虑；但对一些重要的秘密和核心数据就会非常敏感。没有哪个SaaS服务商敢百分之百地保证资料不会在传输的过程中丢失或被入侵主机的黑客篡改和窃取，或被病毒破坏，或因为程序的Bug而不小心被其他使用者看到。 　　众所周知，在网络环境中传播和存储极易受到黑客或病毒的攻击，从而就会造成公文失密、信息被盗、被删除或被改写等严重后果。因此，对电子政务安全性的担忧，在很大程度上遏制了SaaS模式的电子政务的推广和普及。其次，SaaS服务商的内部人员可能存在诚信和职业道德等问题，造成内部滥用，也会发生操作失误、人为破坏和内部作案等重大问题。 　　再者，一些专家认为，目前我国SaaS模式尚缺乏第三方认证监督机制，这是一个较大的安全保障问题。随着互联网快速渗透到社会的各个层面以及各地企事业单位信息化进程的发展，如何建立一套权威、公正和资信力强的SaaS模式第三方认证监督机构及其规范制度法令，将是SaaS模式在政府机关普及和推广的可靠基础。第三方认证机构的可靠与否，对保证SaaS模式的安全性以及SaaS模式能否普及起着重要的作用。 　　 　　风险管控的