助推中小企业信息化 完善ASP公共服务平台中的安全体系

中国电信股份有限公司上海研究院 成建波

2006年11月13日 13:47:04

-------------------------------------------------------------------------------------------------------

    近年来，随着中小企业信息化市场的发展，ASP公共服务平台以降低企业初期投入、满足企业跨地域办公的需求、降低大量系统维护费用等诸多优势，解决了中小企业在信息化进程中的很多难题。为不同的企业用户提供各类应用软件的在线租赁服务，这是ASP公共服务平台不同于传统企业应用系统的最大区别。
 
    国内巨大的市场发展潜力吸引了各类IT厂商进入ASP公共服务领域，希望凭借自身具备的软件和硬件优势迅速转型、拓展业务。同时，运营商作为带宽提供者也在探索介入ASP市场之路，如中国电信以“商务领航”为品牌，已经开始在全国推出面向中小企业的ASP租赁式应用。对于ASP公共服务平台的运营商来说，企业应用的复杂性、企业用户应用数据的重要性是必须重视的问题，对此需要从平台建设、业务运营等方面进行全面考虑。
 
1.ASP公共服务平台的安全性亟待提升
 
    由于历史文化、技术、市场等方面的因素，加上国内企业在观念、发展水平方面与国外企业有一定的距离，国内ASP市场的形成和发展与理想目标相比还有相当大的差距，广大的企业客户对于数据的安全性、保密性和网络稳定性等存有疑虑，造成ASP应用市场发展缓慢。
 
     到目前为止，安全性仍然是制约ASP公共服务平台迅速发展的主要因素。利用网络进行数据传输，不可避免存在着数据失真和泄密的可能性，许多企业担心自己的商业机密被竞争对手得到，这对抗风险能力弱的中小企业来说是致命的。而且，一旦ASP服务器受到攻击中断服务，租用ASP服务的中小企业将不得不停止运作，这将对以实时服务为特征的企业造成难以估量的损失。
 
2.ASP公共服务平台的系统架构
 
     安全、稳定的ASP应用平台是有效进行ASP市场推广的基础和保障，因此在平台系统架构上，应具备门户接入、业务引擎、应用集成、业务支撑、接口等内容。
 
    门户接入层是平台与用户及合作伙伴的边界，作为企业用户、合作伙伴以及ASP运营商管理人员统一登录的门户。业务引擎层是被ASP平台上各个应用产品所调用的公共业务功能，包括认证鉴权、业务能力、消息服务和应用发布引擎等功能模块。应用集成层为用户提供多种信息化应用服务，这些应用系统通过接口集成到ASP平台上，用户由平台门户进入使用信息化应用。业务支撑层是面向ASP运营商提供应用支撑和业务管理功能的集合，包括客户管理、产品管理、业务管理、合作伙伴管理、计费账务结算、客户服务、系统管理、统计报表等多个功能模块。接口层是ASP平台与外部各应用系统之间的功能集合，主要提供支撑及应用扩展功能，包括支撑系统接口、应用集成接口、增值业务接口、统一支付接口等。
 
     整个平台架构在底层的硬件和网络基础设施上，并部署在IDC机房，组成完善的ASP企业信息服务平台，为中小企业用户提供专业级的服务。
 
3.ASP公共服务平台的安全要求
 
     ASP公共服务平台不同于传统的企业应用系统，它是一个电信级的提供综合应用的运营管理平台。因此，在设计ASP平台的安全性时，除了考虑网络层面基本的防攻击、防非法侵入、防病毒等要求之外，还需要保证只有合法用户可以访问和使用平台提供的服务，保证用户只能使用自己权限范围内的应用，只能查看有权限使用的应用数据；保证用户保存在平台上的数据文件的安全，不会被其他用户甚至是系统管理员私自查看；甚至当ASP服务商出现灾难停止服务或者用户停止使用ASP服务时，对企业用户来说，仍然持有完整、安全的应用数据，保证企业能够继续正常运作。
 
    为满足上述要求，平台设计要求采用完善的安全性机制，从多方面保证系统的安全性。ASP平台的特殊性决定了其对于安全的重要性，在安全方面某一种安全技术只能保障某一个方面的安全访问，平台既需要保障网络访问安全，还要保障企业用户的基本信息和使用数据安全，所以必须在各个层面同时采取相关的安全机制来实现。平台的安全架构是利用各个层面的安全机制统一保障平台的安全稳定和数据保密，需要全面考虑ASP平台的安全体系，包括物理设备层、网络层、数据层、应用层、管理层。
 
4.ASP公共服务平台的运营要求
 
——数据备份。为了避免ASP在运营中发生灾难，导致服务停止的情况发生，需要通过定时的数据备份和安全管理机制，保护企业客户的数据安全。这里所说的备份既包括ASP平台本身的数据备份，还要定期对用户使用平台所产生的数据进行备份，保证即使ASP停止服务，用户仍然可以获得尽量完整、安全的数据，避免数据丢失为用户带来严重后果。即使用户选择自建系统，也能够继续保证企业正常运作。如可以考虑定期（按季度）对用户数据备份，以光盘的形式给予用户，同时收取一定的增值服务费或采取赠送的方式，提高用户的信任度，以吸引更多的用户。在用户服务期满停止使用ASP应用后，应将用户的所有数据以规定格式提供给用户，解决用户的后顾之忧。
 
——责任界定。通过完整的具有国家法律效力的合作协议，解决企业客户和ASP运营商有关数据安全责任界定的问题，并且在业务受理和使用过程中完全遵照该协议的约定，是ASP运营商秉持诚信经营的原则，对客户所做的承诺。
 
——客户解释。针对客户对于使用公共租赁式服务所产生的安全性方面的疑惑，应耐心、细致地做好解释工作。比如，对于电信运营商发展ASP具有得天独厚的优势，利用IDC稳定可靠的高带宽互联网接入、安全可靠的电信级机房环境和高速访问其他运营网络，以及电信运营商在平台建设与运营方面的人员和经验优势，能够确保系统安全稳定运行。用户的数据是相互独立的，也就是说其他企业或用户无法看到该用户的数据。同时，可以通过引导与询问的方式，向客户说明。如企业当前的数据及网络安全靠的是公司内部员工的忠诚及公司内部的技术安全保障，一旦员工跳槽，很难保证数据安全，可能会出现公司机密、数据泄露现象；至于网络技术安全问题，客户自身在技术上的安全保障水平和电信级别的运营商相比，哪个更安全呢？对于企业来说，业务数据就像一个人的积蓄，是选择电信级数据库存放还是放在公司的数据库，其区别就犹如将积蓄放在银行还是自己的家中。
 
    完善ASP公共服务平台是推进中小企业信息化的重要手段，只有通过以上系统架构、技术保障、安全性、业务运营等多维度的保障，才能确保ASP公共服务平台的安全、稳定、可靠，进而才有可能将业务做大做强。