進入2009年，金融風暴席卷全球，企業(yè)倒閉、裁員之聲不絕于耳。許多中小企業(yè)為了節(jié)省開支不得不勒緊褲帶，但在精打細算的同時還必須尋求新的IT工具，以應對這個波及全球的經(jīng)濟寒冬。

　　據(jù)IDG預測顯示，2009年中將有10%的ERP軟件轉(zhuǎn)型為純SaaS。加上眾多媒體的熱烈討論，似乎SaaS ERP時代就快要到來了。但是在一路高歌猛進的同時，在SaaS上方卻籠罩著一片烏云，就是讓人擔心的SaaS ERP安全問題，也是SaaS ERP選型必須面對的第一關。

　　一、安全性是進入SaaS ERP時代的先決條件

　　SaaS ERP (軟件即服務)是一種通過互聯(lián)網(wǎng)提供ERP軟件的方式，是指由SaaS ERP提供商全權管理和維護軟件，客戶不再像傳統(tǒng)套裝ERP模式那樣需要花費大量投資用于硬件、軟件、人員進行系統(tǒng)維護，而只需支出一定的租賃服務費用，通過互聯(lián)網(wǎng)便可以隨時隨地享受到ERP軟件使用、專業(yè)維護服務和后續(xù)升級。SaaS ERP徹底顛覆了傳統(tǒng)軟件的運營和交付模式，免除了中小企業(yè)購買、構建和維護基礎設施和應用程序的巨大投資成本。在這個經(jīng)濟的冬天里，對于無力支付傳統(tǒng)套裝ERP高昂價格的中小企業(yè)來說，SaaS ERP給了它們ERP應用的新希望。

　　但勿庸諱言的是，SaaS ERP并不象有些服務商所說的：“SaaS ERP應用是和打開自來水龍頭就能用到水一樣方便”。SaaS ERP應用在實施、服務和運營過程中遇到的問題要比想象中的要復雜得多，而且它還可能會存在著較大的安全風險，如在可靠性、穩(wěn)定性、安全性上，尤其是在財務數(shù)據(jù)和隱私方面。因此，安全問題是SaaS ERP選型時必須慎重考慮的一個大問題。

　　簡單的說，SaaS ERP安全問題實際上是SaaS模式能否完全滿足ERP應用的安全和信任要求，包括安全、誠信與穩(wěn)定性三個部分。這里的信任不僅僅只是數(shù)據(jù)安全和應用安全，而且還包括能否隨時隨地的穩(wěn)定的訪問，還有服務商的信譽與誠信問題。否則，企業(yè)是不會放心地把喻為企業(yè)生命線的ERP應用構建于SaaS模式之上的。因此，克服安全問題是進入SaaS ERP時代的先決條件之一。

　　二、SaaS ERP選型必須考慮的六大安全問題

　　隨著加入SaaS ERP陣營的服務商越來越多，中小企業(yè)的選擇范圍也越來越大。然而，不管采用那種方法來選擇服務商，都不要忽略安全調(diào)查的重要性。IDG報告表示有2/3以上參與調(diào)查的受訪者表示會把安全問題作為SaaS ERP選型時重要的考慮因素，因為在安全問題上，SaaS ERP的風險一般來說會大于用戶在內(nèi)部自行架設軟件，而且對于企業(yè)內(nèi)部IT人員而言，外部式的SaaS ERP安全風險也頗難掌控。

　　(1)網(wǎng)絡傳輸安全和穩(wěn)定性問題

　　目前SaaS ERP產(chǎn)品大都處于初級階段，產(chǎn)品的成熟度、穩(wěn)定性尚不足。許多SaaS ERP產(chǎn)品看起來很美，但有時中看不中用，并無想象中好。用戶在使用SaaS ERP軟件的過程中，是通過互聯(lián)網(wǎng)而非企業(yè)局域網(wǎng)來傳輸數(shù)據(jù)，這樣商業(yè)數(shù)據(jù)就會在互聯(lián)網(wǎng)上的客戶端瀏覽器和服務器端之間傳輸。因此，數(shù)據(jù)傳輸安全、客戶端安全和服務器端安全是三個大問題。如何保證在網(wǎng)絡傳輸過程中數(shù)據(jù)的安全問題，成為用戶關注的焦點。

　　同時，網(wǎng)絡的穩(wěn)定性也是另一個受到用戶關注的問題，比如企業(yè)運營不能因為網(wǎng)絡的中斷或SaaS 主機被宕掉而停擺，網(wǎng)絡平臺必須保證網(wǎng)絡7*24小時安全可用。但網(wǎng)絡不穩(wěn)定性的變數(shù)很多，而且掌握在SaaS ERP服務商和網(wǎng)絡連接提供商手中，不能由企業(yè)用戶所能完全控制，存在風險高安全低。因此，網(wǎng)絡傳輸安全和穩(wěn)定性成了是SaaS ERP 選型第一個頭痛的問題。

　?。?）災難恢復時間和服務水準問題

　　說到安全性問題必然會涉及災難恢復時間和服務水準問題。因為對于大多數(shù)企業(yè)來說，當一個托管型SaaS ERP應用出現(xiàn)了故障時，業(yè)務人員可能在幾分鐘或者幾小時內(nèi)無法工作，簡單的損失還可以勉強接受。但是如果托管的SaaS ERP應用系統(tǒng)突然崩潰了，一些對企業(yè)來說至關重要的核心功能，比如制造或物流運輸就有可能出現(xiàn)停頓。更嚴重的話，可能會對財務業(yè)績造成極大的影響。因此，災難性安全恢復時間就是一個大的核心問題。

　　如果SaaS ERP服務商的銷售代表根本不知災難恢復時間和服務水準為何物的話，那么還是趕緊另尋別家吧。如果服務商聲稱其服務具有“五個九”（99.999%）的系統(tǒng)可用時間，那也不能輕信其一面之詞，必須看它的安全災難恢復白皮書。當然，企業(yè)最好還應當要求服務商對災難恢復時間和災難恢復水準出具書面承諾。

　?。?）數(shù)據(jù)存儲保護和備份安全問題

　　SaaS ERP服務商的數(shù)據(jù)安全采用什么存儲保護模型、采取了什么備份復制策略，也是企業(yè)在選型時應最為關注的問題，簡單的說就是數(shù)據(jù)存儲是否安全。例如，SaaS ERP服務商存儲數(shù)據(jù)的安全保護方案是否有能力抵御互聯(lián)網(wǎng)黑客和病毒的攻擊，因為在新聞媒體上時不時會聽說到黑客可以隨時破解并進入數(shù)據(jù)服務器獲取數(shù)據(jù)，或受到病毒攻擊而受到數(shù)據(jù)損壞或丟失，這些聽起來好像都很可怕，當然也就更讓用戶擔心他們的商業(yè)數(shù)據(jù)安全問題了。

　　另外，SaaS服務商提供了什么樣的數(shù)據(jù)備份機制也是選型的核心問題之一。一旦出現(xiàn)重大問題時是如何恢復數(shù)據(jù)的？有沒有業(yè)務連續(xù)和災難恢復保障策略？有沒有實現(xiàn)災難異地恢復方案？其中，在解決和處理數(shù)據(jù)恢復和備份時，是否需要用戶中斷業(yè)務操作等。有些SaaS ERP服務商在做好應有的保護措施時，還能同時提供給用戶自行備份服務，這些服務能夠讓用戶對其數(shù)據(jù)進行訪問和操作，當然也就讓用戶更為放心。

　　（4）防滲透保護和安全隔離問題

　　根據(jù)SaaS ERP模式的定義和方案，我們知道SaaS ERP和傳統(tǒng)自建的套裝ERP之間有一個重要的區(qū)別，就是標準的SaaS ERP系統(tǒng)是多重租賃的，也就是多個不同的企業(yè)共用一套軟件和數(shù)據(jù)庫平臺。雖然是經(jīng)過隔離及保密技術，但其特點是多個企業(yè)同時使用。因此，有沒有嚴格的防滲透保護安全技術很重要，也是選型的關注點之一。例如，SaaS ERP應用程序和數(shù)據(jù)有沒有安全隔離和防滲透保護策略，還有所有涉及用戶機密數(shù)據(jù)部分是否采用密文保存，即便是系統(tǒng)管理人員也無法得到原文。

　?。?）服務商的安全誠信問題

　　把企業(yè)營運資料全盤委托給服務商保管，還會遇到一些非技術性的困境，就是誰可以保證機密資料不會被泄露。換句話說就是：SaaS ERP服務商能否值得信任和服務商的誠信問題。SaaS ERP的特點是由服務商完成所有的系統(tǒng)維護，如果當服務商提供服務時，技術人員可以很方便接觸到用戶商業(yè)數(shù)據(jù)時，這時就存在著用戶對SaaS ERP服務商的信任問題。畢竟，我們在新聞媒體上經(jīng)?？吹皆S多技術人員因為對公司的不滿而造成損毀數(shù)據(jù)、泄漏數(shù)據(jù)、出賣數(shù)據(jù)的事件。

　　SaaS ERP服務商信譽問題可從兩個方面考察：一是服務商的誠信程度；二是服務商有沒有部署規(guī)范化的安全管理制度。但不幸的是，許多調(diào)查結果顯示規(guī)范化安全管理制度是許多SaaS ERP服務商的安全軟肋。因此，如何保證在沒有客戶的許可下，SaaS ERP服務商不會查看或更改數(shù)據(jù)，用戶數(shù)據(jù)不會被非法泄露，是選型時一個不容忽視的問題。

　?。?）是否有第三方監(jiān)理或相關資質(zhì)認證

　　目前許多SaaS ERP提供商尚缺乏第三方監(jiān)督和相關權威的資質(zhì)認證，這是SaaS ERP在安全保障問題上的重大欠缺之一。許多SaaS服務商的安全保證只是自家的說法，都說滿足相關的法律法規(guī)監(jiān)管，是王婆賣瓜，自賣自夸性質(zhì)。因此，在選型時考察和驗證第三方資質(zhì)認證是最基本的動作之一。

　　三、評估服務商是否有安全意識的對策

　　SaaS ERP應用給許多中小企業(yè)帶來了新的機遇，但同時也帶來更多安全性問題的挑戰(zhàn)。因此，面對眾多的SaaS ERP服務商，如何評估其是否有安全意識是選型的一個核心環(huán)節(jié)。一般可從以下幾個方面進行。

　?。?）考察服務商是否投入足夠安全專項資金

　　安全保障技術是需要不斷投入大量的資金，因此考察服務商是否投入足夠安全專項資金是一個簡單而有用的方式之一。例如，考察服務商是否把SaaS ERP作為主營業(yè)務方向，或考察服務商在安全保障方面的技術實力。因為只要服務商不斷在安全上投入專項研發(fā)資金，就能保證其安全技術的先進性。

　?。?）考察服務商的安全信譽和資質(zhì)認證

　　專業(yè)的SaaS ERP服務商可能比用戶更加注重安全信譽，因為“安全信譽口碑”是服務商的“飯碗”。就像在網(wǎng)上買東西，用戶需要看的是廠商所獲得的用戶評價和媒體的口碑。一般來說，SaaS ERP服務商對安全信譽越是重視，對安全的持續(xù)投入也會越多，也可能會擁有更豐富的安全保障經(jīng)驗。

　　但也要注意的是，有些服務商僅僅把SaaS ERP產(chǎn)品作為炒作的噱頭，當作一條生財之道，并沒有投入足夠的資金在安全技術上來。因此，獲得一個權威、資信力強的SaaS ERP第三方認證監(jiān)督機構頒發(fā)的資質(zhì)證書，不但是確保SaaS服務商在執(zhí)行安全活動的一種國際通行慣例，也是服務商在安全投入的信心保證。

　?。?）考察服務商的安全管理制度

　　評估SaaS ERP服務商是否有安全意識的最關鍵一點，就是要加強對服務商安全管理制度的深入考察。因為即使SaaS ERP服務商投入大量資金在硬件安全和軟件系統(tǒng)建設上，如果缺乏有效的安全管理制度也是會錯漏百出的。評估包括SaaS ERP服務商是否建立了嚴格、規(guī)范的安全質(zhì)量監(jiān)控體系，以及是否擁有高水準、多層次的專業(yè)安全工程師隊伍等。這既是每一個SaaS ERP服務商自身需要重視的問題，也是中小企業(yè)選型SaaS ERP服務時的必檢事項之一。