ASP模式下IT外包中的信息安全风险及其缓解策略
2014-04-29任怀飞
作者简介:任怀飞(1965-),男,汉族,四川达州人,管理学博士,高级工程师。研究方向:IT服务提供及外包,新制度经济学。
摘要:ASP模式的IT外包,能给中小型企业带来很大的收益,但也存在很大的风险,其中ASP客户最为担心的是信息安全风险。分析了ASP模式下主要的信息安全风险及其风险因素,并针对ASP提供商、ASP客户、信息安全认证和审计和信息安全法律环境的建立和完善四个方面提出了相应的风险缓解措施。
关键词:ASP、IT外包;信息安全;风险;缓解措施一、引言
应用服务提供商(ASP)是指通过广域网、以租用的方式、根据合同所确定服务级别,向客户提供应用服务的第三方公司,这种新的IT外包模式在给客户带来收益同时,也带来了许多潜在的风险,其中信息安全风险是客户最为担心的。目前国内外关于ASP模式下IT外包中的信息安全风险研究方面的文献较少,本文就是针对这一问题展开研究。
二、基于ASP模式的IT服务外包中信息安全风险及其原因
ASP模式下的信息安全是所有客户首先要考虑,并最为重视的问题,一旦基于ASP模式的有价值信息受到攻击,通常来说将会带来以下问题:
(1)机密性损失:攻击者会取得非授权的访问权限,用于访问存储于ASP計算机系统上或传输过程中的数据。
(2)完整性损失:攻击者能够操作和修改存储在ASP计算机系统或传输过程中的有价值数据。
(3)服务可用性损失:攻击者将会对客户公司带来损害,使得客户不能访问存储在ASP计算机系统的的数据和应用。
(4)由于合法绑定而产生的交易停止:由于不能通过ASP的系统发出或接收有价值数据,使得合作伙伴中的部分人拒绝执行进一步的交易,从而使交易被耽误。
(5)真是性损失:攻击者会通过假冒的身份骗过ASP的身份验证系统进入计算机系统,使得有价值信息的真实性无法保证。
三、ASP模式下信息安全风险的缓解策略
(一)ASP提供商所采取的信息安全风险防范策略分析
很明显,在基于ASP模式的IT服务外包情形中,ASP提供商必须承担主要的信息安全责任,为此必须采取一系列的信息安全措施来保证客户的信息安全。对于ASP来说,制定一套信息安全指导方针是非常重要的。这些指导方针将包括由ASP提供商采用的信息安全措施,使得ASP提供商能够向其客户详细阐述哪些安全机制用于应对哪些威胁,哪些特定安全特性用于有效地保护和控制客户的有价值信息。简而言之,如果ASP提供商能够提供高级别的信息安全保护,那么提供给客户的服务就会更好。
(二)客户方所采取的信息安全风险防范策略分析
对客户来说,ASP客户自己也必须满足一些要求才能成功地实施一套基于ASP模式的全面信息安全解决方案。在客户方,有各种的技术先决条件的要求,理想的情况是他们需要得到一个具有公共密钥能力的智能卡来执行所有基于证书安全功能。
(三)ASP模式下的信息安全认证和审计
ASP模式将会向公共服务的方向发展,ASP提供商将积累起极大的客户群,而在ASP模式的早期,这些客户主要是内部IT力量较弱的中小型客户,这些客户缺乏选择合格服务提供商的能力,这就要求ASP提供商要主动要求第三方的信息安全机构对其信息安全能力进行客观、公正和有公信力的认证和审计,对认证和审计通过的ASP提供商颁发信息安全证书,这样就会减少客户在采用ASP模式进行信息技术服务外包的信息安全顾虑[1-3]。
(四)信息安全法律环境的建立和完善
信息安全是一个全球都关心的话题,各个国家都在制定相应的信息安全的法律法规来保护个人和组织的信息安全和隐私。对此,国家应该出台相应的保护机构隐私的法律法规,打消他们担心企业的财务和交易信息通过ASP提供商被政府随意获得的担忧。
另外,在ASP提供商和客户签订的服务合同中应有确实遭受信息安全风险损失对服务提供商的处罚条款,这样,客户对ASP提供商才更有信任感,ASP提供商业就有压力改进信息安全的措施。
四、结论
以上讨论了正在兴起的ASP行业正在解决的信息安全问题,如果这一问题能够得到很好的解决,ASP提供商将会获得信任和成功。ASP行业是一个新生并有广阔前景的市场,但信息安全问题却使这一新兴行业失去了光彩。虽然通用的IT安全原则可以适用于ASP模式,同时针对这一行业的一些特殊的需求也是需要特别注意考虑的。随着技术和管理的成熟,ASP模式会变得越来越安全。(作者单位:重庆工程职业技术学院)
基金项目:2014年重庆市教育委员会人文社会科学研究项目(14SKS30),重庆工程职业技术学院院级重点科研课题资助项目(RWA201302)
参考文献:
[1]高阳,曾小青.基于ASP模式的信息化解决方案[J].科学管理研究,2003,21(3):45-51
[2]Alexander L.Factor著,孙延明译.应用服务供应商(ASP)解决方案[M].北京:电子工业出版社,2003年2月.
[3]Gray Palmatier著,谢文亮等译.应用服务提供商配置宝典[M].北京:科学出版社,2003年6月.
