部署前的考虑

    正如后文“要不要采用SaaS”里面讨论的那样，HealthPlex Software需要比较微软、Oracle和Salesforce.com的CRM应用软件。成本估计结果显示，第一年的部署成本对SaaS应用软件有利。 

    先从规划和设计说起。首先要解决的问题是，评估每个产品的功能。Bluewolf集团的Eric Berridge说，他平均要用两周的时间找客户洽谈，评估SaaS和内部部署软件各自的功能。每周的咨询费为2500美元，共计5000美元。 

    一旦HealthPlex让SaaS应用软件运行起来、了解了功能，Berridge就会建议进行差距分析（gap analysis），比较一下公司现有的要求与应用软件的功能。差距分析团队的成员包括：外部顾问、HealthPlex的技术专家以及服务提供商的人员（该人了解该公司的业务流程，确保应用软件满足用户需求）。差距分析后会显示局限性；可以向提供商购买另外一种或多种应用软件的许可证，或者编写定制代码，以此弥补局限性。 

    SaaS应用软件启动并运行后，团队就能了解软件的实际情况。这便于调查该软件具有的功能和特性。相比之下，对内部部署软件进行差距分析来得比较复杂。HealthPlex可以要求试用内部部署软件，但这意味着需要投入大笔费用组建试用软件所需的基础设施。另外，差距分析团队专心阅读编制的文档，以便清楚了解软件的功能和特性。 

    Berridge说，内部部署软件的差距分析所需时间往往长达服务软件的两倍。 

    接下来分析服务级别协议（SLA）和许可证协议。HealthPlex会请顾问和内部法律和IT部门的代表与SaaS提供商一起评审SLA。讨论的SLA应包括正常运行时间保证；万一达不到这种保证，对方给予的赔偿；以及用来度量正常运行时间的机制。 

    HealthPlex打算加入要求服务衡量指标更细化的条款，比如应用软件的响应时间――60秒过后才更新用户屏幕内容的服务从技术上来说仍是“正常的”，但用户的生产力及满意度会随之下降。该公司将评审提供商的业务连续性功能。对方有应急发电机来提供备用电吗？对方在多个地域分散的数据中心提供服务吗？ 

    至于内部部署软件方面，HealthPlex必须评估厂商的许可证协议，尤其是与技术支持有关的条款。HealthPlex需要弄清楚许可证要求对方提供哪种级别的支持，还要与提供商和内部部署软件厂商的参考客户（reference account）进行交谈。 

    对SaaS和内部部署软件项目而言，SLA和许可证的评审往往需要同样长的时间。 

    若采用服务模式，HealthPlex还需要另一笔费用，因为尽职调查迫使它需要评审提供商的安全基础设施。正如读者调查表明的那样，SaaS方面的一个首要问题在于，提供商可能无法为数据提供足够高的安全性，以满足内部政策和外部法规。比如要是采用CRM应用软件，HealthPlex的客户信息和销售数据将放在提供商的托管中心。所以在签合同之前，HealthPlex要花时间详细了解提供商如何保护其数据中心及放在数据中心的应用服务器和数据库的安全。 

    无论你的SaaS提供商是运行自己的数据中心，还是向托管服务提供商租用，它都应当有牢固的物理和逻辑访问控制机制，包括有限制的机器访问，以及借助多因子验证进入作业区。 

    HealthPlex很可能会与提供商的另外一家或者多家客户（有可能是HealthPlex的竞争对手）共享一个数据库。因而，提供商必须能够证明它可以安全地分隔数据。另外，提供商的网络应落实足够有效的控制，包括防火墙和入侵检测系统。数据中心应当有物理安全机制，防止未授权者访问硬件、控制系统。 

    另一个问题是应用软件。SQL注入等攻击旨在诱骗Web应用软件透露数据，并不要求攻击者访问数据库。因而，HealthPlex会询问提供商的软件开发流程。开发人员是否在安全地编写代码方面受过良好培训？开发生命周期是否包括安全评估？应用软件在部署之前是否经过漏洞测试？如何进行这种测试？ 

    最后，HealthPlex会询问提供商是否定期请第三方审查应用软件，包括Web应用漏洞扫描及人工渗透测试。 

    请注意，安全评审的全面性取决于诸多因素，比如客户及业务的规模：一家大型金融服务公司可能会派首席技术官飞赴数据中心，亲自进行审查、评审软件代码。而小公司可能只是下载提供商的安全白皮书就了事。 

    我们估计，HealthPlex会派有安全专长的内部IT员工花40个小时来评审提供商自己的编制文档和第三方审查报告，与参考客户交流，打电话给提供商的某位安全或者操作工程师了解情况。