軟件Ｓａａｓ模式下安全風險策略探討

摘要：近年來，將軟件作為一種服務形式提供給客戶的需求逐漸增加，其中最突出的就是形成軟件即服務(Software as a Service，SaaS)模式。這種新模式的出現正是順應了這個需求，用軟件服務代替傳統的軟件產品銷售，不僅可以使軟件免于盜版的困擾，而且可以降低軟件消費企業購買、構建和維護基礎設施以及應用程序的成本和困難。但SaaS模式需要用戶將數據存放在服務供應商提供的存儲介質上，因而使得數據的專屬性、可靠性和安全性受到一定程度的威脅。文章主要對當前SaaS模式下的網絡安全隱患進行了分析，并探討了SaaS模式下網絡安全隱患的防范策略。

關鍵詞：SaaS；網絡安全；計算機網絡；軟件

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)05-1pppp-0c

1 引言

隨著互聯網的迅猛發展，特別是Web2.0的興起，將軟件作為一種服務形式提供給客戶的需求逐漸增加，軟件產業正在發生越來越大的變化，其中最突出的就是形成軟件即服務(Software as a Service，SaaS)模式。這種新模式的出現正是順應了用軟件服務代替傳統的軟件產品銷售，不僅可以使軟件免于盜版的困擾，而且可以降低軟件消費企業購買、構建和維護基礎設施以及應用程序的成本和困難。所以軟件SaaS模式開始在中小企業中流行起來，在此種方案模式下，軟件服務商將自己的財務軟件放在服務器上，利用網絡向其用戶單位有償提供在線的財務管理系統應用服務，并負責對租用者承擔維護和管理軟件、提供技術支援等責任。用戶單位只需登錄到SaaS服務商的站點，訪問其被授權使用的軟件應用系統，就可以在該系統中進行一系列功能操作，很受中小企業用戶的歡迎。然而，在這種模式下，租用者的數據需要保存在軟件供應商指定的存儲系統中，不管在感覺上還是在具體操作過程中，都存在一定的安全風險。

2 軟件SaaS模式應用的優勢

由于軟件SaaS模式應用是網絡技術、軟件技術、計算機技術的融合應用，中小企業采用此種解決方案的優勢較為明顯：

(1)可突破時空局限，用戶單位操作人員可實現在線應用、分散辦公、移動辦公，可以在任何可以上網的地方應用相應軟件系統，而不必增加任何特別的軟件和硬件投資。

(2)系統建設具備快速、簡捷的交付、設置和培訓等特點。

(3)采用“一對多”模式，是一種多訂戶系統構架，可以同時支持數千名用戶同時使用。

(4)用戶投入成本較低，一般按照服務模式進行付費，用多少付多少，也可按使用時間支付，小型企業可不再需要兼職會計人員。

(5)數據交換接口友好，包括數據的導入和數據的導出等，便于SaaS的數據與客戶內部的系統進行數據的輸入和輸出。

鑒于SaaS模式的簡單、前期投資小等諸多優點，目前軟件SaaS模式應用已在傳統的CRM軟件，財務軟件領域掀起了一股在線應用的熱潮。如XTools、阿里軟件，以及傳統軟件供應商用友、金蝶、金算盤等企業也紛紛加入SaaS的行列，用友旗下的偉庫網成為財務SaaS模式成功的典范。金蝶也于2007年底推出友商網，開始財務軟件的SaaS模式應用。

3 軟件SaaS應用面臨的安全隱患

然而，值得注意的是，盡管軟件SaaS模式具有明顯的優勢，面臨著良好的發展機遇，但它也面臨著重大的挑戰。由于軟件SaaS模式的解決方案要求將租用單位的全部相關數據存放在服務供應商提供的平臺上，使得其企業數據的專屬性、可靠性和安全性面臨較大風險，其中最主要的問題就是數據的安全性，已經在相當程度上制約著軟件SaaS模式進一步推廣和應用。這些風險主要包括：

(1)管理安全風險。管理安全風險是指由于財務人員缺乏網絡信息安全基本知識，不遵守相關的信息安全規則，造成數據損失、泄露而帶來的風險。如網上報賬，使得操作員和信息使用者干預系統的機會增多，從而加大了變更電子憑證、銀行結算單及其他賬單等惡性事件發生的可能性。

(2)信息安全風險。目前SaaS數據庫缺少強力有效的加密措施，他方可以方便地從外部打開修改，使用戶信息泄露和被惡意篡改，甚至被刪除，造成整個網絡系統癱瘓，無法運行、數據丟失等，給用戶單位造成損失。

(3)非法入侵風險。由于財務SaaS使用的是公用通信線路，一些人可能出于各種目的，損壞網絡設備，在網絡上對財務系統進行黑客程序的測試運行等入侵活動，給系統造成較大破壞。

(4)感染病毒風險。局域網與互聯網連接，使計算機系統感染病毒的機率大為增加，病毒防范的難度更大，任何在互聯網上的行為都有可能使計算機系統感染病毒。

(5)服務商軟件自身的不穩定因素也給SaaS系統帶來安全隱患。同時供應商的綜合實力也決定了服務的穩定，如果實力偏弱的供應商在提供若干年的服務后倒閉，而企業已習慣于在其平臺的應用，則遷移系統和使用習慣改變所產生的代價也將是巨大的。

很明顯，由于軟件SaaS系統的在線性、易變性等特點，企業遭遇諸如咨信保護風險、內部和外部侵入風險、破壞與舞弊風險、交易完整風險以及無形資產難于計價等風險更大一些。

4 SaaS應用風險防范策略

隨著互聯網的應用得到不斷深化，軟件SaaS模式應用面臨不確定性、復雜化等風險增加，建立SaaS系統新的安全管理模式勢在必行。惟其如此，才能全面有效地增強軟件SaaS系統抵御風險的能力，提高SaaS系統整體營運效率。

(1)建立多層備份機制。做好軟件SaaS系統的安全防護，一個重點就是要分層次地采用服務器雙機熱備份、RAID鏡像技術、財務及管理軟件系統自動備份等多種保護方式。尤其要指出的是必須定期將必要的備份數據刻錄到光盤中，保證數據在損壞后可以及時恢復。

(2)建立多級權限控制機制。在軟件SaaS系統應用中要努力實行用戶級控制、數據庫級控制和網絡系統級控制相結合的多級權限控制機制。用戶級能對網絡用戶進行合理的權限分工，實現操作權限的集中化管理，強化系統管理員對軟件各模塊操作的統一授權；數據庫級能防止不道德的軟件人員對財務資料進行非法篡改；網絡系統級能防止因斷電、通信線路故障等意外所引起的資料損毀。

(3)重點實施全方位的網絡系統安全防御措施。這些措施包括：

a．部署防火墻，防止外部非法用戶訪問，為數據傳輸、轉換設置一道電子屏障。

b．采用組合加密技術(密鑰技術)，專用密鑰與公開密鑰組合加密效果更佳。

c．運用數字簽名，驗證對方身份、保證數據完整性；數字簽名還可以建立不可否認機制，便于查找造成網絡事故的原因。

d．使用安全協議，主要有：安全電子交易規范、安全套接字層協議及安全超文本傳輸協議等。

f．應積極采用反病毒技術，同時財務軟件可掛接或捆綁第三方反病毒軟件，加強軟件自身的防病毒能力。

g．對外來軟件和傳輸的數據也必須經過病毒檢查。

(4)制定、實施日常安全管理制度。其具體措施有：

a．企業應按照財務電算化的要求，按責、權、利相結合的原則，建立健全財務SaaS系統崗位責任制度、安全日志制度等。

b．要制定統管全局的網絡信息安全制度，統籌規范網絡信息安全的管理，做到有章可循、有法可依。

c．制定操作員運行安全對策。提醒財務人員要定期修改密碼，防止泄露賬號及密碼，對網絡系統軟件、數據庫管理系統軟件、財務軟件要及時安裝發布的補丁程序或升級，提高整個系統的安全性。

d．建立適應網絡系統的內部安全控制體系，由原來單一的財務部門轉變為財務部門和計算機管理部門共同控制，由單純的手工控制轉化為組織控制、手工控制和程序控制相結合的全面內部控制。

5 結束語

總而言之，以在線租用為主體的軟件SaaS模式作為IT 應用服務的一種新模式，目前在我國仍然處于市場培育和萌芽階段。作為一種新興的經營模式，其安全性必須要得到充分有效的保障，這是軟件SaaS模式得以全面推廣、成功應用的前提，只有這樣，軟件SaaS應用平臺模式才會迎來一個更為明媚的春天。

參考文獻：

[1]周亞建.網絡安全加固技術[M].電子工業出版社，2007.07.

[2]趙安軍.網絡安全技術與應用[M].人民郵電出版社，2007.07.

[3]張逸.軟件設計精要與模式[M].電子工業出版社，2007.04.

[4][美]巴斯，[美]克萊門茨，[美]凱茲曼，著，車立紅，譯.軟件構架實踐[M].清華大學出版社，2004.03.

收稿日期：2008-01-10

作者簡介：何艷，女，助理講師，重慶市醫藥高等專科學校計算機教研組，工學學士；肖麗，女，講師，重慶教育學院計算機與現代教育技術系，工學碩士。