ASP模式下IT外包中的信息安全風險及其緩解策略

作者簡介：任懷飛（1965-），男，漢族，四川達州人，管理學博士，高級工程師。研究方向：IT服務(wù)提供及外包，新制度經(jīng)濟學。

摘要：ASP模式的IT外包，能給中小型企業(yè)帶來很大的收益，但也存在很大的風險，其中ASP客戶最為擔心的是信息安全風險。分析了ASP模式下主要的信息安全風險及其風險因素，并針對ASP提供商、ASP客戶、信息安全認證和審計和信息安全法律環(huán)境的建立和完善四個方面提出了相應(yīng)的風險緩解措施。

關(guān)鍵詞：ASP、IT外包;信息安全;風險;緩解措施一、引言

應(yīng)用服務(wù)提供商（ASP）是指通過廣域網(wǎng)、以租用的方式、根據(jù)合同所確定服務(wù)級別，向客戶提供應(yīng)用服務(wù)的第三方公司，這種新的IT外包模式在給客戶帶來收益同時，也帶來了許多潛在的風險，其中信息安全風險是客戶最為擔心的。目前國內(nèi)外關(guān)于ASP模式下IT外包中的信息安全風險研究方面的文獻較少，本文就是針對這一問題展開研究。

二、基于ASP模式的IT服務(wù)外包中信息安全風險及其原因

ASP模式下的信息安全是所有客戶首先要考慮，并最為重視的問題，一旦基于ASP模式的有價值信息受到攻擊，通常來說將會帶來以下問題：

（1）機密性損失：攻擊者會取得非授權(quán)的訪問權(quán)限，用于訪問存儲于ASP計算機系統(tǒng)上或傳輸過程中的數(shù)據(jù)。

（2）完整性損失：攻擊者能夠操作和修改存儲在ASP計算機系統(tǒng)或傳輸過程中的有價值數(shù)據(jù)。

（3）服務(wù)可用性損失：攻擊者將會對客戶公司帶來損害，使得客戶不能訪問存儲在ASP計算機系統(tǒng)的的數(shù)據(jù)和應(yīng)用。

（4）由于合法綁定而產(chǎn)生的交易停止：由于不能通過ASP的系統(tǒng)發(fā)出或接收有價值數(shù)據(jù)，使得合作伙伴中的部分人拒絕執(zhí)行進一步的交易，從而使交易被耽誤。

（5）真是性損失：攻擊者會通過假冒的身份騙過ASP的身份驗證系統(tǒng)進入計算機系統(tǒng)，使得有價值信息的真實性無法保證。

三、ASP模式下信息安全風險的緩解策略

（一）ASP提供商所采取的信息安全風險防范策略分析

很明顯，在基于ASP模式的IT服務(wù)外包情形中，ASP提供商必須承擔主要的信息安全責任，為此必須采取一系列的信息安全措施來保證客戶的信息安全。對于ASP來說，制定一套信息安全指導方針是非常重要的。這些指導方針將包括由ASP提供商采用的信息安全措施，使得ASP提供商能夠向其客戶詳細闡述哪些安全機制用于應(yīng)對哪些威脅，哪些特定安全特性用于有效地保護和控制客戶的有價值信息。簡而言之，如果ASP提供商能夠提供高級別的信息安全保護，那么提供給客戶的服務(wù)就會更好。

（二）客戶方所采取的信息安全風險防范策略分析

對客戶來說，ASP客戶自己也必須滿足一些要求才能成功地實施一套基于ASP模式的全面信息安全解決方案。在客戶方，有各種的技術(shù)先決條件的要求，理想的情況是他們需要得到一個具有公共密鑰能力的智能卡來執(zhí)行所有基于證書安全功能。

（三）ASP模式下的信息安全認證和審計

ASP模式將會向公共服務(wù)的方向發(fā)展，ASP提供商將積累起極大的客戶群，而在ASP模式的早期，這些客戶主要是內(nèi)部IT力量較弱的中小型客戶，這些客戶缺乏選擇合格服務(wù)提供商的能力，這就要求ASP提供商要主動要求第三方的信息安全機構(gòu)對其信息安全能力進行客觀、公正和有公信力的認證和審計，對認證和審計通過的ASP提供商頒發(fā)信息安全證書，這樣就會減少客戶在采用ASP模式進行信息技術(shù)服務(wù)外包的信息安全顧慮[1-3]。

（四）信息安全法律環(huán)境的建立和完善

信息安全是一個全球都關(guān)心的話題，各個國家都在制定相應(yīng)的信息安全的法律法規(guī)來保護個人和組織的信息安全和隱私。對此，國家應(yīng)該出臺相應(yīng)的保護機構(gòu)隱私的法律法規(guī)，打消他們擔心企業(yè)的財務(wù)和交易信息通過ASP提供商被政府隨意獲得的擔憂。

另外，在ASP提供商和客戶簽訂的服務(wù)合同中應(yīng)有確實遭受信息安全風險損失對服務(wù)提供商的處罰條款，這樣，客戶對ASP提供商才更有信任感，ASP提供商業(yè)就有壓力改進信息安全的措施。

四、結(jié)論

以上討論了正在興起的ASP行業(yè)正在解決的信息安全問題，如果這一問題能夠得到很好的解決，ASP提供商將會獲得信任和成功。ASP行業(yè)是一個新生并有廣闊前景的市場，但信息安全問題卻使這一新興行業(yè)失去了光彩。雖然通用的IT安全原則可以適用于ASP模式，同時針對這一行業(yè)的一些特殊的需求也是需要特別注意考慮的。隨著技術(shù)和管理的成熟，ASP模式會變得越來越安全。（作者單位：重慶工程職業(yè)技術(shù)學院）

基金項目：2014年重慶市教育委員會人文社會科學研究項目（14SKS30），重慶工程職業(yè)技術(shù)學院院級重點科研課題資助項目（RWA201302）

參考文獻：

[1]高陽，曾小青.基于ASP模式的信息化解決方案[J].科學管理研究，2003，21（3）：45-51

[2]Alexander L.Factor著，孫延明譯.應(yīng)用服務(wù)供應(yīng)商（ASP）解決方案[M].北京：電子工業(yè)出版社，2003年2月.

[3]Gray Palmatier著，謝文亮等譯.應(yīng)用服務(wù)提供商配置寶典[M].北京：科學出版社，2003年6月.