（浙江财经大学浙江杭州310018）

S aaS（Soft as a Service，软件即服务）是 Salesforce 公司于2003年提出来的一种通过互联网提供软件应用的服务模式。在这种模式下，用户不用额外增加对信息系统的投资，而是采用租赁SaaS企业提供的业务服务的方式，直接通过互联网来管理企业的各项业务活动。在SaaS模式下，广大中小企业可以不用再构建自己的信息系统设施，从而节约在硬件、软件、维护等方面的开支，同时满足信息管理需求。而对SaaS提供商来讲，根据长尾理论，通过对大量中小企业用户提供相近的服务，能够取得较好的规模效益。例如Salesforce公司主要提供客户关系管理（CRM）服务产品，从最初2004年上市时的1.1亿美元市值发展到2015年初的390亿美元市值，堪称IT业中的奇迹。

一、我国SaaS企业的发展现状

尽管SaaS在企业信息化进程中具有明显的优势，但SaaS在我国的发展并不是一帆风顺的。在SaaS的概念出现之前，同样通过网络提供软件租赁的ASP（Application Service Provider，应用软件服务供应商）模式在2000年曾经风靡一时，中国网通、用友伟库、金蝶、汉普等公司纷纷推出各自的应用产品，但由于当时的网络技术应用、软件功能、市场培育等方面发展还不成熟，ASP模式很快就销声匿迹。而后出现的SaaS应用模式，在国外市场良好发展的刺激下，从2008年起国内企业也纷纷推出相关应用，如用友公司重新激活伟库网（www.wecoo.com），转向SaaS应用，提供客户关系管理（CRM）、供应链管理（SCM）、财务核算等方面的服务；阿里软件推出互联平台，高调进入SaaS领域；金蝶公司则推出友商网。但在2010年之后，SaaS在我国又遭遇寒冬。2010年3月，阿里软件发布公告称将于2010年4月30日起关闭阿里软件互联平台，并终止提供相关服务，在SaaS市场上掀起轩然大波；用友公司的伟库网在2010年末全面转型，改为电子商务平台移动商街；2012年阿里巴巴外贸软件全球宝也向用户发出停止服务的通知。金蝶、用友等大公司由于历史原因造成的独大使得中小SaaS提供商难以进入市场。而传统财务软件向SaaS模式的转化则因为收入模式的限制一直发展得不太成熟。

我国SaaS的市场规模随着移动互联网的发展仍在持续扩大。根据前瞻产业研究院发布的《中国SaaS（软件运营服务）行业市场前瞻分析报告》数据，2015年我国SaaS的平均融资金额已达16 900万元，融资案例飙涨至195起。资本集中至SaaS领域，使得SaaS迅速发展，规模不断扩大。根据相关数据显示，2015年我国SaaS的市场规模已达382亿元。在用户总量方面，2016年我国SaaS市场进入高速发展阶段，用户的总量激增，增长率达到71.2%。但是由于我国企业信息化程度不足，SaaS虽然正处于高速发展期，但没有得到实质性的应用。除此之外，SaaS企业在发展过程中出现的业务转型问题对我国SaaS市场的培育和发展也具有较大的负面影响。SaaS企业的经营转型属于企业自身的发展问题，但也受到市场监管和行业标准等外在因素的影响。用户选择SaaS模式进行信息化管理重点关注的是数据的安全性。电子数据具有容易被盗、毁损等特点，而用户对存放在云端不为用户所直接控制的数据有着本能的不信任感，再加上SaaS企业业务的中断或转型会给用户带来致命的影响，这些因素的叠加导致目前我国SaaS的应用模式无法快速推广，市场规模落后于欧美等国家。

从以上分析可以看出，SaaS模式下企业的信息化安全来自于系统数据安全本身、用户对SaaS系统安全的信任程度、SaaS企业对系统安全的保障程度等三个方面。因此，需要从这三个方面入手建立多维度的安全保障机制来解决SaaS的应用问题，以推动我国SaaS行业的发展，同时维护中小企业的基本权益，促进并推动我国SaaS企业参与国际竞争。

二、构建SaaS模式下企业信息化安全的多维保障机制

（一）建立SaaS行业标准体系，保障数据安全。构建SaaS行业标准体系，需要从数据安全和数据通用性两个方面入手。

1.构建SaaS模式下的数据安全标准体系，提升SaaS提供商的数据安全控制水平。我国SaaS企业在经营发展过程中往往都是根据自身的业务发展需要而进行系统架构的设计和实施，整个行业还没有形成一个基于互联网环境下的用户信息安全保障体系，如果发生用户经营信息泄露，将会造成严重后果。SaaS模式下用户的所有业务信息都存放在云端，信息的安全需要从技术、制度两个层面进行考虑。技术层面的标准涉及到数据的传输、云端存储、备份和恢复、访问控制、加密技术、灾难恢复等方面；制度层面的标准涉及到数据的隐私管理、合同管理、服务质量管理等方面。这些标准体系的构建需要由行业监管部门主导完成，我国在这方面的工作还没有完全展开，而在欧美、日本等国已经建立了相应的技术标准，以推动本国云服务的发展。日本从2008年开始，在日本信息通信部的支持下，FMMC（Foundation for Multimedia Communications，多媒体通信基金会）开展了名为 “云服务的信息披露认证体系”的公共云服务认证，其中ASPIC具体负责ASP/SaaS、IaaS/PaaS和数据中心三类认证标准的制定。欧盟2012年末成立了“欧洲云合作指导委员会”，以推动协调云服务方面的相关工作，另外，欧洲电信标准化协会 （ETSI）和欧盟网络与信息安全部（ENISA）已开始着手制定云服务数据、安全、服务等方面的标准。美国国家标准与技术研究院（NIST）编制了《800-53 REV3，Information Security》标准，对云服务的安全和服务质量等方面提出了具体要求。

2.构建SaaS模式下数据通用性标准体系，促进市场竞争。因为提供SaaS是企业的商业行为，一方面，SaaS提供商在经营过程中可能会出现由各种原因造成的服务中断，如经营亏损、业务转型等情况造成SaaS企业无法继续提供服务，而用户自身的业务还将继续，此时就需要将业务资料进行迁移，以免对用户的持续性经营造成不利影响；另一方面，SaaS用户在享用对方提供的服务时也有重新选择其他SaaS提供商的权利，也有迁移数据的需要。因此为了保证业务迁移、转换提供商等正常市场行为的顺利展开，关键步骤就是构建云端业务数据的通用性标准体系。数据通用性标准体系的构建需要根据具体SaaS的业务类型来进行，如客户关系管理（CRM）、财务管理（FM）、供应链管理（SCM）、人事管理（HR）等。每项业务都需要建立市场认可的通用数据结构，依据这一结构标准可以实现企业数据的自由流动，既可以将业务数据迁移至其他SaaS提供商，也可以转换为本地平台继续进行业务处理。这样的数据通用标准体系将有利于打破某些SaaS提供商的垄断，维护广大中小企业的利益，消除用户使用SaaS模式构建企业信息化的顾虑，对于SaaS市场的培育和健康发展将产生积极影响。

（二）引入第三方鉴证服务，对SaaS模式提供专业判断，提高SaaS的可信任度。注册信息系统审计师（CISA，Certified Information System Auditor）是由信息系统审计与控制协会（ISACA）认证授予的，专门从事信息系统审计领域工作的执业人员。企业构建基于本地平台的信息系统时，可以借助信息系统审计业务来评价所使用信息系统的安全性、可靠性，专业的注册信息系统审计师可以在一定程度上对企业所应用的信息系统给出专业判断，维护企业数据的安全、提高业务处理的效率。这样的鉴证业务对企业信息系统的应用和推广具有积极作用。在应用SaaS模式实现企业信息化的情况下，依然可以借鉴这种方法，由SaaS企业对自身系统进行第三方鉴证，以推动SaaS业务的发展。当然，对SaaS模式下的信息系统进行审计与对企业本地平台信息系统进行审计有很大不同，具体表现在审计的委托人不同、审计报告的使用范围存在差异、内部控制模式不同、审计目的不同等多方面。利用第三方鉴证服务提升SaaS系统的可信度是未来发展的一个方向，但还需要在审计程序、审计方法等方面做进一步研究。此外，政府部门和行业协会在这方面应该有所作为，从制度和法规的角度入手推动SaaS系统鉴证服务的应用。如美国医疗行业要求第三方机构对云服务提供商进行监督审查。

（三）发展SaaS保险业务，建立企业数据受损、业务中断的损失赔偿机制。在SaaS模式的发展过程中，中小企业用户所关注的重点问题还是数据安全问题。安全问题可能来自于SaaS提供的软件系统、硬件系统、网络系统，也可能来自于SaaS提供商自身的发展战略。有些问题可以通过建立相应的标准和第三方鉴证服务来避免，如数据迁移问题、硬件故障、网络传输问题等，但类似于用友伟库网转型、阿里软件互联平台关闭等情况，还是会给企业造成一定的数据安全隐患和业务中断风险，进而引发经济赔偿问题。此外，作为互联网经济发展过程中的新兴事物，SaaS模式也存在一定的不确定因素，单纯依靠用户和SaaS提供商的合同约定是无法全面保障双方利益的，需要更高层面的设计来减少双方的损失和风险。因此，发展SaaS保险业务将成为推动SaaS模式发展的重要因素。

SaaS的安全问题可能会给用户造成损失，通过开发和SaaS业务相关的保险产品，可以消除中小企业应用SaaS模式构建信息化管理的后顾之忧。SaaS保险业务的展开可以从两个角度入手，一是为SaaS企业提供保险服务，可以保障SaaS业务供给的持续性；二是为SaaS用户提供保险服务，保障用户使用SaaS系统的权益。国际上已经有保险公司在进行尝试。2013年5月，国际管理服务提供商行业协会（MSPA）与经纪公司Lockton Affinity联合面向全球云服务提供商推出云计算和管理服务保险；2013年6月，美国保险公司Liberty Mutual也开始提供云计算保单。我国目前还没有推出相关保险产品，但我国中小企业数量巨大，信息化程度较低，对SaaS模式有着强大的需求，在移动互联网和移动智能终端快速发展的环境下，此项保险业务的展开将会产生双赢的局面。

三、结论

在构建SaaS应用多维安全保障机制的过程中，SaaS模式下的数据安全标准体系和数据通用标准体系是保障SaaS用户数据安全的基础，通过引入第三方鉴证服务可以提升SaaS用户对数据安全的信任，同时可以促进SaaS企业加强安全保障措施，保险机制的引入则可以解除双方的后顾之忧，是促进SaaS业务快速发展的推手。目前，我国移动智能终端的普及使得移动互联网的应用前景更为广阔，SaaS市场也随之快速膨胀，其中个人用户市场的发展最为迅速，这对企业用户的市场有一定的带动作用。在构建了多维安全保障机制的前提下，伴随着移动互联网应用的发展，我国SaaS模式下的企业信息化也将实现质的飞跃。