- 易迪拓培训,专注于微波、射频、天线设计工程师的培养
SaaS ERP选型遭受六大安全问题拷问
录入:edatop.com 点击:
(4)防渗透保护和安全隔离问题
根据SaaS ERP模式的定义和方案,我们知道SaaS ERP和传统自建的套装ERP之间有一个重要的区别,就是标准的SaaS ERP系统是多重租赁的,也就是多个不同的企业共用一套软件和数据库平台。虽然是经过隔离及保密技术,但其特点是多个企业同时使用。因此,有没有严格的防渗透保护安全技术很重要,也是选型的关注点之一。例如,SaaS ERP应用程序和数据有没有安全隔离和防渗透保护策略,还有所有涉及用户机密数据部分是否采用密文保存,即便是系统管理人员也无法得到原文。
(5)服务商的安全诚信问题
把企业营运资料全盘委托给服务商保管,还会遇到一些非技术性的困境,就是谁可以保证机密资料不会被泄露。换句话说就是:SaaS ERP服务商能否值得信任和服务商的诚信问题。SaaS ERP的特点是由服务商完成所有的系统维护,如果当服务商提供服务时,技术人员可以很方便接触到用户商业数据时,这时就存在着用户对SaaS ERP服务商的信任问题。毕竟,我们在新闻媒体上经常看到许多技术人员因为对公司的不满而造成损毁数据、泄漏数据、出卖数据的事件。
SaaS ERP服务商信誉问题可从两个方面考察:一是服务商的诚信程度;二是服务商有没有部署规范化的安全管理制度。但不幸的是,许多调查结果显示规范化安全管理制度是许多SaaS ERP服务商的安全软肋。因此,如何保证在没有客户的许可下,SaaS ERP服务商不会查看或更改数据,用户数据不会被非法泄露,是选型时一个不容忽视的问题。
(6)是否有第三方监理或相关资质认证
目前许多SaaS ERP提供商尚缺乏第三方监督和相关权威的资质认证,这是SaaS ERP在安全保障问题上的重大欠缺之一。许多SaaS服务商的安全保证只是自家的说法,都说满足相关的法律法规监管,是王婆卖瓜,自卖自夸性质。因此,在选型时考察和验证第三方资质认证是最基本的动作之一。
三、评估服务商是否有安全意识的对策
SaaS ERP应用给许多中小企业带来了新的机遇,但同时也带来更多安全性问题的挑战。因此,面对众多的SaaS ERP服务商,如何评估其是否有安全意识是选型的一个核心环节。一般可从以下几个方面进行。
(1)考察服务商是否投入足够安全专项资金
安全保障技术是需要不断投入大量的资金,因此考察服务商是否投入足够安全专项资金是一个简单而有用的方式之一。例如,考察服务商是否把SaaS ERP作为主营业务方向,或考察服务商在安全保障方面的技术实力。因为只要服务商不断在安全上投入专项研发资金,就能保证其安全技术的先进性。
(2)考察服务商的安全信誉和资质认证
专业的SaaS ERP服务商可能比用户更加注重安全信誉,因为"安全信誉口碑"是服务商的"饭碗"。就像在网上买东西,用户需要看的是厂商所获得的用户评价和媒体的口碑。一般来说,SaaS ERP服务商对安全信誉越是重视,对安全的持续投入也会越多,也可能会拥有更丰富的安全保障经验。
但也要注意的是,有些服务商仅仅把SaaS ERP产品作为炒作的噱头,当作一条生财之道,并没有投入足够的资金在安全技术上来。因此,获得一个权威、资信力强的SaaS ERP第三方认证监督机构颁发的资质证书,不但是确保SaaS服务商在执行安全活动的一种国际通行惯例,也是服务商在安全投入的信心保证。
(3)考察服务商的安全管理制度
评估SaaS ERP服务商是否有安全意识的最关键一点,就是要加强对服务商安全管理制度的深入考察。因为即使SaaS ERP服务商投入大量资金在硬件安全和软件系统建设上,如果缺乏有效的安全管理制度也是会错漏百出的。评估包括SaaS ERP服务商是否建立了严格、规范的安全质量监控体系,以及是否拥有高水准、多层次的专业安全工程师队伍等。这既是每一个SaaS ERP服务商自身需要重视的问题,也是中小企业选型SaaS ERP服务时的必检事项之一。
根据SaaS ERP模式的定义和方案,我们知道SaaS ERP和传统自建的套装ERP之间有一个重要的区别,就是标准的SaaS ERP系统是多重租赁的,也就是多个不同的企业共用一套软件和数据库平台。虽然是经过隔离及保密技术,但其特点是多个企业同时使用。因此,有没有严格的防渗透保护安全技术很重要,也是选型的关注点之一。例如,SaaS ERP应用程序和数据有没有安全隔离和防渗透保护策略,还有所有涉及用户机密数据部分是否采用密文保存,即便是系统管理人员也无法得到原文。
(5)服务商的安全诚信问题
把企业营运资料全盘委托给服务商保管,还会遇到一些非技术性的困境,就是谁可以保证机密资料不会被泄露。换句话说就是:SaaS ERP服务商能否值得信任和服务商的诚信问题。SaaS ERP的特点是由服务商完成所有的系统维护,如果当服务商提供服务时,技术人员可以很方便接触到用户商业数据时,这时就存在着用户对SaaS ERP服务商的信任问题。毕竟,我们在新闻媒体上经常看到许多技术人员因为对公司的不满而造成损毁数据、泄漏数据、出卖数据的事件。
SaaS ERP服务商信誉问题可从两个方面考察:一是服务商的诚信程度;二是服务商有没有部署规范化的安全管理制度。但不幸的是,许多调查结果显示规范化安全管理制度是许多SaaS ERP服务商的安全软肋。因此,如何保证在没有客户的许可下,SaaS ERP服务商不会查看或更改数据,用户数据不会被非法泄露,是选型时一个不容忽视的问题。
(6)是否有第三方监理或相关资质认证
目前许多SaaS ERP提供商尚缺乏第三方监督和相关权威的资质认证,这是SaaS ERP在安全保障问题上的重大欠缺之一。许多SaaS服务商的安全保证只是自家的说法,都说满足相关的法律法规监管,是王婆卖瓜,自卖自夸性质。因此,在选型时考察和验证第三方资质认证是最基本的动作之一。
三、评估服务商是否有安全意识的对策
SaaS ERP应用给许多中小企业带来了新的机遇,但同时也带来更多安全性问题的挑战。因此,面对众多的SaaS ERP服务商,如何评估其是否有安全意识是选型的一个核心环节。一般可从以下几个方面进行。
(1)考察服务商是否投入足够安全专项资金
安全保障技术是需要不断投入大量的资金,因此考察服务商是否投入足够安全专项资金是一个简单而有用的方式之一。例如,考察服务商是否把SaaS ERP作为主营业务方向,或考察服务商在安全保障方面的技术实力。因为只要服务商不断在安全上投入专项研发资金,就能保证其安全技术的先进性。
(2)考察服务商的安全信誉和资质认证
专业的SaaS ERP服务商可能比用户更加注重安全信誉,因为"安全信誉口碑"是服务商的"饭碗"。就像在网上买东西,用户需要看的是厂商所获得的用户评价和媒体的口碑。一般来说,SaaS ERP服务商对安全信誉越是重视,对安全的持续投入也会越多,也可能会拥有更丰富的安全保障经验。
但也要注意的是,有些服务商仅仅把SaaS ERP产品作为炒作的噱头,当作一条生财之道,并没有投入足够的资金在安全技术上来。因此,获得一个权威、资信力强的SaaS ERP第三方认证监督机构颁发的资质证书,不但是确保SaaS服务商在执行安全活动的一种国际通行惯例,也是服务商在安全投入的信心保证。
(3)考察服务商的安全管理制度
评估SaaS ERP服务商是否有安全意识的最关键一点,就是要加强对服务商安全管理制度的深入考察。因为即使SaaS ERP服务商投入大量资金在硬件安全和软件系统建设上,如果缺乏有效的安全管理制度也是会错漏百出的。评估包括SaaS ERP服务商是否建立了严格、规范的安全质量监控体系,以及是否拥有高水准、多层次的专业安全工程师队伍等。这既是每一个SaaS ERP服务商自身需要重视的问题,也是中小企业选型SaaS ERP服务时的必检事项之一。
上一篇:联通3G优先网络建设
确定“三不”原则
下一篇:深入解析Oracle数据库安全策略