隨著(zhù)加入SaaS ERP陣營(yíng)的服務(wù)商越來(lái)越多,中小企業(yè)的選擇范圍也越來(lái)越大。然而,不管采用那種方法來(lái)選擇服務(wù)商,都不要忽略安全調查的重要性。IDG報告表示有2/3以上參與調查的受訪(fǎng)者表示會(huì )把安全問(wèn)題作為SaaS ERP選型時(shí)重要的考慮因素,因為在安全問(wèn)題上,SaaS ERP的風(fēng)險一般來(lái)說(shuō)會(huì )大于用戶(hù)在內部自行架設軟件,而且對于企業(yè)內部IT人員而言,外部式的SaaS ERP安全風(fēng)險也頗難掌控。
1.網(wǎng)絡(luò )傳輸安全和穩定性問(wèn)題
目前SaaS ERP產(chǎn)品大都處于初級階段,產(chǎn)品的成熟度、穩定性尚不足。許多SaaS ERP產(chǎn)品看起來(lái)很美,但有時(shí)中看不中用,并無(wú)想象中好。用戶(hù)在使用SaaS ERP軟件的過(guò)程中,是通過(guò)互聯(lián)網(wǎng)而非企業(yè)局域網(wǎng)來(lái)傳輸數據,這樣商業(yè)數據就會(huì )在互聯(lián)網(wǎng)上的客戶(hù)端瀏覽器和服務(wù)器端之間傳輸。因此,數據傳輸安全、客戶(hù)端安全和服務(wù)器端安全是三個(gè)大問(wèn)題。如何保證在網(wǎng)絡(luò )傳輸過(guò)程中數據的安全問(wèn)題,成為用戶(hù)關(guān)注的焦點(diǎn)。
同時(shí),網(wǎng)絡(luò )的穩定性也是另一個(gè)受到用戶(hù)關(guān)注的問(wèn)題,比如企業(yè)運營(yíng)不能因為網(wǎng)絡(luò )的中斷或SaaS 主機被宕掉而停擺,網(wǎng)絡(luò )平臺必須保證網(wǎng)絡(luò )7*24小時(shí)安全可用。但網(wǎng)絡(luò )不穩定性的變數很多,而且掌握在SaaS ERP服務(wù)商和網(wǎng)絡(luò )連接提供商手中,不能由企業(yè)用戶(hù)所能完全控制,存在風(fēng)險高安全低。因此,網(wǎng)絡(luò )傳輸安全和穩定性成了是SaaS ERP 選型第一個(gè)頭痛的問(wèn)題。
2.災難恢復時(shí)間和服務(wù)水準問(wèn)題
說(shuō)到安全性問(wèn)題必然會(huì )涉及災難恢復時(shí)間和服務(wù)水準問(wèn)題。因為對于大多數企業(yè)來(lái)說(shuō),當一個(gè)托管型SaaS ERP應用出現了故障時(shí),業(yè)務(wù)人員可能在幾分鐘或者幾小時(shí)內無(wú)法工作,簡(jiǎn)單的損失還可以勉強接受。但是如果托管的SaaS ERP應用系統突然崩潰了,一些對企業(yè)來(lái)說(shuō)至關(guān)重要的核心功能,比如制造或物流運輸就有可能出現停頓。更嚴重的話(huà),可能會(huì )對財務(wù)業(yè)績(jì)造成極大的影響。因此,災難性安全恢復時(shí)間就是一個(gè)大的核心問(wèn)題。
如果SaaS ERP服務(wù)商的銷(xiāo)售代表根本不知災難恢復時(shí)間和服務(wù)水準為何物的話(huà),那么還是趕緊另尋別家吧。如果服務(wù)商聲稱(chēng)其服務(wù)具有“五個(gè)九”(99.999%)的系統可用時(shí)間,那也不能輕信其一面之詞,必須看它的安全災難恢復白皮書(shū)。當然,企業(yè)最好還應當要求服務(wù)商對災難恢復時(shí)間和災難恢復水準出具書(shū)面承諾。
3.數據存儲保護和備份安全問(wèn)題
SaaS ERP服務(wù)商的數據安全采用什么存儲保護模型、采取了什么備份復制策略,也是企業(yè)在選型時(shí)應最為關(guān)注的問(wèn)題,簡(jiǎn)單的說(shuō)就是數據存儲是否安全。例如,SaaS ERP服務(wù)商存儲數據的安全保護方案是否有能力抵御互聯(lián)網(wǎng)黑客和病毒的攻擊,因為在新聞媒體上時(shí)不時(shí)會(huì )聽(tīng)說(shuō)到黑客可以進(jìn)入數據服務(wù)器獲取數據,或受到病毒攻擊而受到數據損壞或丟失,這些聽(tīng)起來(lái)好像都很可怕,當然也就更讓用戶(hù)擔心他們的商業(yè)數據安全問(wèn)題了。
另外,SaaS服務(wù)商提供了什么樣的數據備份機制也是選型的核心問(wèn)題之一。一旦出現重大問(wèn)題時(shí)是如何恢復數據的?有沒(méi)有業(yè)務(wù)連續和災難恢復保障策略?有沒(méi)有實(shí)現災難異地恢復方案?其中,在解決和處理數據恢復和備份時(shí),是否需要用戶(hù)中斷業(yè)務(wù)操作等。有些SaaS ERP服務(wù)商在做好應有的保護措施時(shí),還能同時(shí)提供給用戶(hù)自行備份服務(wù),這些服務(wù)能夠讓用戶(hù)對其數據進(jìn)行訪(fǎng)問(wèn)和操作,當然也就讓用戶(hù)更為放心。
4.防滲透保護和安全隔離問(wèn)題
根據SaaS ERP模式的定義和方案,我們知道SaaS ERP和傳統自建的套裝ERP之間有一個(gè)重要的區別,就是標準的SaaS ERP系統是多重租賃的,也就是多個(gè)不同的企業(yè)共用一套軟件和數據庫平臺。雖然是經(jīng)過(guò)隔離及保密技術(shù),但其特點(diǎn)是多個(gè)企業(yè)同時(shí)使用。因此,有沒(méi)有嚴格的防滲透保護安全技術(shù)很重要,也是選型的關(guān)注點(diǎn)之一。例如,SaaS ERP應用程序和數據有沒(méi)有安全隔離和防滲透保護策略,還有所有涉及用戶(hù)機密數據部分是否采用密文保存,即便是系統管理人員也無(wú)法得到原文。
5.服務(wù)商的安全誠信問(wèn)題
把企業(yè)營(yíng)運資料全盤(pán)委托給服務(wù)商保管,還會(huì )遇到一些非技術(shù)性的困境,就是誰(shuí)可以保證機密資料不會(huì )被泄露。換句話(huà)說(shuō)就是:SaaS ERP服務(wù)商能否值得信任和服務(wù)商的誠信問(wèn)題。SaaS ERP的特點(diǎn)是由服務(wù)商完成所有的系統維護,如果當服務(wù)商提供服務(wù)時(shí),技術(shù)人員可以很方便接觸到用戶(hù)商業(yè)數據時(shí),這時(shí)就存在著(zhù)用戶(hù)對SaaS ERP服務(wù)商的信任問(wèn)題。畢竟,我們在新聞媒體上經(jīng)常看到許多技術(shù)人員因為對公司的不滿(mǎn)而造成損毀數據、泄漏數據、出賣(mài)數據的事件。
SaaS ERP服務(wù)商信譽(yù)問(wèn)題可從兩個(gè)方面考察:一是服務(wù)商的誠信程度;二是服務(wù)商有沒(méi)有部署規范化的安全管理制度。但不幸的是,許多調查結果顯示規范化安全管理制度是許多SaaS ERP服務(wù)商的安全軟肋。因此,如何保證在沒(méi)有客戶(hù)的許可下,SaaS ERP服務(wù)商不會(huì )查看或更改數據,用戶(hù)數據不會(huì )被非法泄露,是選型時(shí)一個(gè)不容忽視的問(wèn)題。
6.是否有第三方監理或相關(guān)資質(zhì)認證
目前許多SaaS ERP提供商尚缺乏第三方監督和相關(guān)權威的資質(zhì)認證,這是SaaS ERP在安全保障問(wèn)題上的重大欠缺之一。許多SaaS服務(wù)商的安全保證只是自家的說(shuō)法,都說(shuō)滿(mǎn)足相關(guān)的法律法規監管,是王婆賣(mài)瓜,自賣(mài)自夸性質(zhì)。因此,在選型時(shí)考察和驗證第三方資質(zhì)認證是最基本的動(dòng)作之一。