從台灣個資外洩頻傳的資安環境來看,大多的線上服務業者或消費型電子商務在資安方面並未有太大的建樹,若沒有嚴謹的安全管理觀念,儘管照片上鎖,仍讓人有工程師可以把照片偷出來的疑慮。
SaaS未來方向
在整個Web 2.0的帶動之下,看到了蓬勃的網際網路商務營運的再次興起,令人無法不注意到未來軟體發展的方向,也就是以線上服務、租賃方式的SaaS (Software as a Service, 軟體即服務),透過現有的網際網路基礎建設,提供軟體功能的服務,絕佳的先天條件是隨需、隨處都可以變成你的辦公室,也不需擔心IT 環境的問題,專心地做商務營運。但是,也有其後天的限制,也就是人的天性,不願意將商務上重要的資料放在其他公司的電腦中,尤其是現在網路駭客造成的資料外洩,根本就是無止盡的天天一爆。在這個時空環境之下,SaaS即將變成資安業者最大的新戰場,這絕非是空口白話,如果有注意國外IT大廠與網路服務巨人的動向便可以窺知一二,提供商務服務支撐消費型服務,以資安功能加值線上服務,大量地評估併購功能型的資安小廠,變成旗下的服務功能,這就是打造未來戰場的新方向球。
但是,從台灣現在發展的環境來看,大多的線上服務業者或消費型電子商務在資安方面並未有太大的建樹,而資安事件、個資外洩、網購詐騙頻傳造成信任感下降導致營收受創,這是難以避免的陣痛期。試想,當一個免費提供你放照片、部落格、檔案與郵件的線上服務網站,沒有很嚴謹的安全管理觀念,儘管你的照片上鎖,還是不免讓人質疑為何會有工程師可以把照片偷出來的疑慮。因此,資訊安全不只是功能上的安全防護,而是管理上流程上的安全管制與稽核。資安是SaaS新戰場一點也不為過。
資安廠商有已經有不少搶先卡位,進入線上服務市場,像是趨勢科技、OpenFind,都已將在這一塊上面有長足的發展。趨勢科技董事長張明正在談到對趨勢科技第2個10年的發展時表示:「In-the-cloud時代已經來臨,趨勢科技所推展的軟體服務化,將結合雲端技術,未來在網路環境與使用者習慣上,透過遠端控管即可處理客戶端龐大資料量。」已推出包括過濾惡意網址的網頁/郵件的信譽評等服務(WRS/ERS),以及將來能遠端檢查企業網站弱點掃瞄的服務等。網擎資訊線上服務部資深經理李孟秋指出,除了原本的郵件代管之外,包括郵件安全、郵件備份、郵件稽核等,網擎都將推出SaaS服務。以垃圾郵件過濾來說,過去企業大多自建垃圾郵件過濾系統,但如果透過SaaS服務,所有郵件先經過資服業者的過濾、並且阻擋病毒信,則可為企業節省更多頻寬,這部份國外早有這樣的服務,如Google之前購併的Postini也是提供郵件過濾線上服務。李孟秋表示,SaaS能讓企業享受不須建置、立刻開通且隨時更新的服務,這對資安威脅快速變化的現今環境來說最為適合,但要建置SaaS服務模式的廠商所需的技術門檻也不低。
台灣的下一波優勢在哪?
究竟台灣在這一波潮流之下,優勢在哪裡呢?想一想,台灣的高品質製造、設計、量產,對了,就是像華碩易PC、技嘉UMPC、精星、微星等,所生產的小型質輕的小型化電腦裝置,這些裝置上面通常沒辦法安裝很多東西,以力求其容量和效能的先天限制下發會最佳的效能。不過,這些行動裝置均具備上網的能力,如果可以把這些服務與台灣所生產的裝置做結合,當這些裝置外銷出去時,也就是把台灣的線上服務帶到國外,直接行銷全世界。這個模式不只iPhone在用,許多IT大廠也開始體會到在競爭環境下,唯有「使用習慣」與「應用軟體」可以綁住客戶的心和不得不的需求。當下一代行動上網環境建置完成之後,這樣的應用會更「恐怖」。
SaaS關鍵問題在信任感
試想貴重物品銀行保險箱、錢存銀行、把個人資料交給戶政機關,好像都是天經地義的事情,都是因為信任,雖然現在保險箱也被監守自盜、政府機關資料也被盜賣,但是大多數的人還是有「習慣性」的信賴與不得不的強制行為。雖然線上服務的信賴感可能還是得花上一段時間培養,但是廠商絕對不能因此而心存僥倖,何況線上服務是沒有分國家地理區域的,只要您做得好有賣點,直接就是跨出國際,網際網路是你翻身的好地方。因此,在SaaS的不同服務模式下,資安業者其實有很好的著力點,使用SaaS軟體服務型態,讓運用網路技術與資源共享已成為資訊服務產業的主流,資安變成標準配備,資安服務乘著線上服務行銷網路世界。包含:應用軟體代管、軟體隨選即用都可以套用不同的資安管理服務與產品,客戶在分享IT共通架構及伺服器時如何做好資安控管,外部的資安基礎防禦等。當然,最重要的還是要透過做好資安防護與管理,才能真正找回顧客的信任。
樹大招風:Web Threat是SaaS隱憂
2008年3月初,許多知名網站如Wired.com與ZDNET等均被犯罪集團大量植入iframe的標籤,利用其網站的知名度被Google等搜尋引擎快速建檔,間接變成散播犯罪工具的幫手,網路安全目前的隱憂莫過於此,因為商務網站是開放的平台,加上現在 Web threat已經變成犯罪集團最容易鎖定與撒網捕魚的重點手法,舊的技術加上新的犯罪思維,就變成新的犯罪管道,加上駭客產業鏈已經成形與實體犯罪掛勾,對於SaaS的業者是十足的隱憂。但是,對於資安業者而言,危機就是商機,資安的需求來自於人性的不信任,如何充分地解決安全需求,同時也是SaaS的成功關鍵。