电子政务应用SaaS模式的风险与管控研究

随着SaaS在企业界的风生水起，这种新的应用模式也开始映入了政府部门的眼帘，引起了他们的高度关注。那么，SaaS这种类如IT租用和外包服务的模式能否适用我国的电子政务?其机会前景又将如何呢?

SaaS是一种利用互联网资源提供在线租用IT服务(主要以软件为主)的应用模式，由服务商提供全部一整套软硬件设备和专业服务，用户只需每月支付少量的租用管理费。将用户计算机通过互联网接入到运行平台，就可轻松享受到网上办公管理、客户关系管理、企业计划管理、财务管理和运维服务等一整套的信息化便利。SaaS主要包含两大应用内容，即租用和外包。

国家信息化发展战略明确提出：“创新电子政务建设的模式将逐步形成以政府为主、社会参与多元化的投资机制，以此来提高电子政务建设和运行维护的专业化、社会化服务水平。”而在电子政务发展的新阶段，创新的一个主要模式就是推动SaaS的应用，将电子政务项目的建设、日常运行维护以及相关服务等工作，部分或全部委托给专业的IT服务提供商完成。

事实上，政府机关采用SaaS模式发展电子政务建设能够使政府部门充分利用社会上的各种优质资源，低成本、高效率地快速推进电子政务应用系统的发展，并集中力量增强政府的管理服务功能、提高社会整体运作效率。所以，笔者建议国内可以借助这一模式进行相关的试点工作。

以税务信息系统为例，随着金税三期在全国的立项推广，它涉及到了软件的应用架构体系、省市集中的网络建设、两级数据处理中心规划、数据利用与决策支持系统、行政管理系统、外部信息交换、运行维护体系建设、安全灾备系统等内容，几乎囊括了所有高端的IT专业技术。面对这样复杂的专业化系统工程，以税务现有的信息化人员、技术水平和资金，是难于适应金税三期的要求的。可以预见，随着金税三期在全国范围的推进，会有越来越多的IT工作交给专门的IT机构去完成，税务系统的IT租用和外包已经是大势所趋。

然而，SaaS这种应用模式在实施、服务和运营过程中要比想象的复杂得多，并且存在着较大的安全风险，尤其是在政府机关和社会事务的公共管理机构中应用时，因为他们对IT应用系统的可靠性、稳定性和安全性等要比其他行业用户有更高、更严的要求。可以说，对政府而言，SaaS应用模式是希望与困难、机遇与风险并存。

解决安全风险问题是关键

基于互联网的SaaS应用服务模式尚处于初级阶段，在其发展过程中还存在着不少亟待解决的问题，其中阻碍SaaS应用推广的最大障碍就是安全问题。

由于互联网环境至今尚不完全成熟，这就给基于互联网平台的SaaS模式带来了安全性(这里的安全性还包括诚信与稳定性)的难题。直到今天，这仍然是SaaS急需取信市场的重要因素，并且也是SaaS的致命短板。因为基于互联网的、能多方内外远程访问的SaaS平台系统时刻有可能遭遇到病毒、黑客甚至是竞争对手获取、篡改和破坏的风险，稍有不慎就会给政府用户带来重大的损失。

据IDC调研统计表明，时下全球大约有四分之一的互联网应用服务提供商的网络安全和病毒防护措施达不到标准，同时也存在着失信的问题，IT服务公司人员更不可避免会接触到重要数据和机密，这就使得用户对SaaS所谓的“数据大中心”应用模式的担心是不无道理的。

而目前，电子政务运用SaaS模式主要有两大风险：一是数据丢失的风险;二是数据泄漏的风险。由于在物理上软件存在于SaaS提供商处，用户的确存在对数据失去控制和安全保护的可能。

对于政府部门而言，租用SaaS主机上的软件、由服务商来管理并把普通的数据放在主机上，不会有什么忧虑;但对一些重要的秘密和核心数据就会非常敏感。没有哪个SaaS服务商敢百分之百地保证资料不会在传输的过程中丢失或被入侵主机的黑客篡改和窃取，或被病毒破坏，或因为程序的Bug而不小心被其他使用者看到。

众所周知，在网络环境中传播和存储极易受到黑客或病毒的攻击，从而就会造成公文失密、信息被盗、被删除或被改写等严重后果。因此，对电子政务安全性的担忧，在很大程度上遏制了SaaS模式的电子政务的推广和普及。其次，SaaS服务商的内部人员可能存在诚信和职业道德等问题，造成内部滥用，也会发生操作失误、人为破坏和内部作案等重大问题。

再者，一些专家认为，目前我国SaaS模式尚缺乏第三方认证监督机制，这是一个较大的安全保障问题。随着互联网快速渗透到社会的各个层面以及各地企事业单位信息化进程的发展，如何建立一套权威、公正和资信力强的SaaS模式第三方认证监督机构及其规范制度法令，将是SaaS模式在政府机关普及和推广的可靠基础。第三方认证机构的可靠与否，对保证SaaS模式的安全性以及SaaS模式能否普及起着重要的作用。

风险管控的五大建议

国内政府部门应该如何发挥SaaS的积极作用，同时管控和降低SaaS模式的应用风险，以最大程度地保证IT项目的安全应用，并推进电子政务的发展呢?笔者有以下五个方面的建议。

第一，建立多层严密完善的安全防护体系。SaaS平台应该通过与身份识别、传输加密、日志监控、分布式权限分配机制、数据库安全性、文档安全性、域安全性等技术的充分结合，保证网络传输时系统的应用和数据存储传输的安全性。此外，SaaS平台还应该通过对信息及操作人员设置不同的权限及权限的组合，形成多维的、多层次的、全方位的对信息进行查看和操作的控制，最大限度地保证电子政务在应用SaaS模式时的安全和可靠。

第二，对核心信息和重要机密的部分可自建数据中心。在美国，一些重要的政府部门虽然在软件服务上采用了租赁和外包模式，但却也有计划地将数据中心拿回“家”来，自建数据中心。比如不把涉及核心信息和重要机密的项目放在SaaS服务商的信息中心里，在自己的单位另建一个服务器，把这部分系统与其他系统做一些物理上的隔离，以防数据的丢失和泄露。这种自建数据中心的模式是SaaS在政府机构中应用的一种变异，现在美国政府一些重点机关部门正在逐渐采用这种方式。数据信息中心由租用变为自建，一旦数据中心发展壮大，便可以以此自建平台，由“别人为我服务”变为“我为别人服务”，甚至可能演变成专门为政府机构提供IT服务、具有政府性质的第三方服务中心。

第三，加强对SaaS服务供应商资信的评估。评估内容包括SaaS服务供应商能否建立严格和规范的SaaS服务管理体系，是否拥有高水准、多层次的专业服务工程师队伍，能否提供完整和专业的配套业务体系，以及能否建立及时、准确的服务质量监控体系。另外，对内应组建一个相应的特别小组来评估SaaS服务提供商，为SaaS的建设提供咨询和评估。

第四，建立SaaS电子政务项目第三方监理制度。这是规范我国电子政务外包行为并确保电子政务SaaS模式建设绩效的一种通行惯例。我们同样也应该利用第三方监理这种社会化、科学化、公平化和专业化的监督机制确保项目按质、按期完成，更合理更有效地保障SaaS应用模式的成功。

第五，制定实施SaaS模式的行政许可制。对承租SaaS模式之下的电子政务工程和服务的企业实行行政许可，让那些经济、技术实力雄厚、信誉好、保密管理严格的企业获得资质。

最后还要特别强调的是，在推行电子政务SaaS模式应用的过程中，需要转变和完善有关风险的观念和体制。因此，政府机关用户在考虑应用SaaS模式时，应采取先易后难、先简后繁、先一般项目后核心部分、先部分后整体的具体办法，循序渐进地逐步推广。