二. SaaS ERP选型必须考虑的六大安全问题
随着加入SaaS ERP阵营的服务商越来越多,中小企业的选择范围也越来越大。然而,不管采用那种方法来选择服务商,都不要忽略安全调查的重要性。IDG报告表示有2/3以上参与调查的受访者表示会把安全问题作为SaaS ERP选型时重要的考虑因素,因为在安全问题上,SaaS ERP的风险一般来说会大于用户在内部自行架设软件,而且对于企业内部IT人员而言,外部式的SaaS ERP安全风险也颇难掌控。
(1)网络传输安全和稳定性问题
目前SaaS ERP产品大都处于初级阶段,产品的成熟度、稳定性尚不足。许多SaaS ERP产品看起来很美,但有时中看不中用,并无想象中好。用户在使用SaaS ERP软件的过程中,是通过互联网而非企业局域网来传输数据,这样商业数据就会在互联网上的客户端浏览器和服务器端之间传输。因此,数据传输安全、客户端安全和服务器端安全是三个大问题。如何保证在网络传输过程中数据的安全问题,成为用户关注的焦点。
同时,网络的稳定性也是另一个受到用户关注的问题,比如企业运营不能因为网络的中断或SaaS 主机被宕掉而停摆,网络平台必须保证网络7*24小时安全可用。但网络不稳定性的变数很多,而且掌握在SaaS ERP服务商和网络连接提供商手中,不能由企业用户所能完全控制,存在风险高安全低。因此,网络传输安全和稳定性成了是SaaS ERP 选型第一个头痛的问题。
(2)灾难恢复时间和服务水准问题
说到安全性问题必然会涉及灾难恢复时间和服务水准问题。因为对于大多数企业来说,当一个托管型SaaS ERP应用出现了故障时,业务人员可能在几分钟或者几小时内无法工作,简单的损失还可以勉强接受。但是如果托管的SaaS ERP应用系统突然崩溃了,一些对企业来说至关重要的核心功能,比如制造或物流运输就有可能出现停顿。更严重的话,可能会对财务业绩造成极大的影响。因此,灾难性安全恢复时间就是一个大的核心问题。
如果SaaS ERP服务商的销售代表根本不知灾难恢复时间和服务水准为何物的话,那么还是赶紧另寻别家吧。如果服务商声称其服务具有“五个九”(99.999%)的系统可用时间,那也不能轻信其一面之词,必须看它的安全灾难恢复白皮书。当然,企业最好还应当要求服务商对灾难恢复时间和灾难恢复水准出具书面承诺。
(3)数据存储保护和备份安全问题
SaaS ERP服务商的数据安全采用什么存储保护模型、采取了什么备份复制策略,也是企业在选型时应最为关注的问题,简单的说就是数据存储是否安全。例如,SaaS ERP服务商存储数据的安全保护方案是否有能力抵御互联网黑客和病毒的攻击,因为在新闻媒体上时不时会听说到黑客可以随时破解并进入数据服务器获取数据,或受到病毒攻击而受到数据损坏或丢失,这些听起来好像都很可怕,当然也就更让用户担心他们的商业数据安全问题了。
另外,SaaS服务商提供了什么样的数据备份机制也是选型的核心问题之一。一旦出现重大问题时是如何恢复数据的?有没有业务连续和灾难恢复保障策略?有没有实现灾难异地恢复方案?其中,在解决和处理数据恢复和备份时,是否需要用户中断业务操作等。有些SaaS ERP服务商在做好应有的保护措施时,还能同时提供给用户自行备份服务,这些服务能够让用户对其数据进行访问和操作,当然也就让用户更为放心。
(4)防渗透保护和安全隔离问题
根据SaaS ERP模式的定义和方案,我们知道SaaS ERP和传统自建的套装ERP之间有一个重要的区别,就是标准的SaaS ERP系统是多重租赁的,也就是多个不同的企业共用一套软件和数据库平台。虽然是经过隔离及保密技术,但其特点是多个企业同时使用。因此,有没有严格的防渗透保护安全技术很重要,也是选型的关注点之一。例如,SaaS ERP应用程序和数据有没有安全隔离和防渗透保护策略,还有所有涉及用户机密数据部分是否采用密文保存,即便是系统管理人员也无法得到原文。
(5)服务商的安全诚信问题
把企业营运资料全盘委托给服务商保管,还会遇到一些非技术性的困境,就是谁可以保证机密资料不会被泄露。换句话说就是:SaaS ERP服务商能否值得信任和服务商的诚信问题。SaaS ERP的特点是由服务商完成所有的系统维护,如果当服务商提供服务时,技术人员可以很方便接触到用户商业数据时,这时就存在着用户对SaaS ERP服务商的信任问题。毕竟,我们在新闻媒体上经常看到许多技术人员因为对公司的不满而造成损毁数据、泄漏数据、出卖数据的事件。
SaaS ERP服务商信誉问题可从两个方面考察:一是服务商的诚信程度;二是服务商有没有部署规范化的安全管理制度。但不幸的是,许多调查结果显示规范化安全管理制度是许多SaaS ERP服务商的安全软肋。因此,如何保证在没有客户的许可下,SaaS ERP服务商不会查看或更改数据,用户数据不会被非法泄露,是选型时一个不容忽视的问题。
(6)是否有第三方监理或相关资质认证
目前许多SaaS ERP提供商尚缺乏第三方监督和相关权威的资质认证,这是SaaS ERP在安全保障问题上的重大欠缺之一。许多SaaS服务商的安全保证只是自家的说法,都说满足相关的法律法规监管,是王婆卖瓜,自卖自夸性质。因此,在选型时考察和验证第三方资质认证是最基本的动作之一。