ASP平台缺失“安全魅力”

中小企业信息化公共服务平台(简称ASP平台)造成不信任的一个重要因素是，信息安全措施不足以让人放心地把企业的机密信息放置其中。

早在去年8月份，国家发改委和信息产业部共同宣布组织实施“中小企业信息化推进工程”，这项工程包括万家中小企业的免费培训、百万中小企业上网等，有望大大提高中小企业的信息化水平。此项工程得到了主流电信运营商的鼎立支持，各大运营商都充分利用自己的网络资源优势和客户资源优势推出了自己的中小企业信息化公共服务平台，如广东电信推出的“蓝色魅力”、上海电信推出的“理想商务”平台、江西电信推出的“商务领航”、网通推出的“宽带商务”等。另外，不少地方政府相关部门也推出了中小企业信息化公共服务平台，让中小企业可以低成本地利用信息化手段来提高管理水平和生产率。

所谓中小企业信息化公共服务平台，简称ASP平台，就是让中小企业无需投资昂贵的硬件、软件系统和网络设施，以及配置专业的IT技术人才，只要有电脑上网就可以以浏览器方式登录ASP平台，使用企业信息化所需的所有服务，包括域名注册、企业邮局、虚拟主机、主机托管、网站设计（包括自助生成系统）、供求信息、企业即时通信、网站在线帮助、在线杀毒、客户关系管理（CRM）、进销存管理、办公自动化（针对不同的行业）、供应链管理（SCM）、ERP、商业智能、知识管理、业务流程管理、企业POS、企业服务总线、企业门户、网络传真、网络电话（VoIP）、企业短信和移动办公等。但据有关媒体报道，面对电信运营商和有关政府部门的大投入，中小企业并不买账，出现建设热闹、买单使用少的现象。甚至面对免费赠送，一些中小企业也不愿使用。是中小企业不需要这些信息化服务吗？答案当然是否定的。

笔者认为，主要原因是中小企业用户不信任ASP服务平台。造成这种不信任的一个重要因素是，ASP服务平台的信息安全措施不足以让用户放心地把企业的机密信息（如客户信息、财务信息）放在上面，是这些平台缺乏“安全魅力”。那么，ASP服务平台应该采用哪些技术措施才能让用户放心呢？除了防火墙等必要的网络安全措施外，还需要有确保机密信息安全的技术措施。

首先，ASP平台的所有应用服务器一定要部署全球通用的、支持所有浏览器的、真正 128 位的 SSL 数字证书。这样可以确保用户在使用浏览器登录各个应用系统时，从浏览器到ASP服务器之间所有机密信息的高强度加密传输，从而有效地保证了用户账号、密码和企业机密信息的机密性和完整性，杜绝非法窃听和非法篡改。

其次，ASP平台应为每个平台用户颁发一个全球通用的客户端数字证书（个人数字证书和单位数字证书）。该证书用于登录ASP平台各个应用系统的身份认证和用于每个交易的数字签名，从而杜绝了使用简单的用户名/口令认证系统容易造成的机密信息泄露，同时提供了网上交易不可否认的证据。为了杜绝使用公用电脑（网吧）和专用电脑的间谍软件（木马软件）或其他可能的手段非法使用数字证书问题，推荐对安全要求高的企业用户使用USB Key移动数字证书来确保是真实的用户在合法登录各个应用系统，在登录时把USB Key插入电脑的USB口，退出登录时拔下即可。

另外，ASP平台中涉及到企业核心机密信息的系统（如客户关系管理系统、办公自动化系统）应该使用用户的客户端数字证书来加密存储机密信息。这使得该机密信息只有用户本人使用用户自己的数字证书才能阅读（即使是ASP平台系统管理员也无法看到，因为客户端数字证书在用户手中），ASP平台就像房地产开发商，房子卖或租给用户就要把房子的钥匙给用户，只有用户本人使用该钥匙才能进屋，这个钥匙就是分配给ASP用户的客户端数字证书。只有这样，才能让用户放心地使用ASP平台。

以上三个方面的解决方案是相辅相成的，服务器采用SSL数字证书保证了机密信息的从用户浏览器到服务器之间的加密传输，而客户端数字证书则既保证了只有合法用户才能访问自己的ASP账户而不用担心密码被盗问题，又保证了只有用户本人才能阅读和查询用户的机密信息。只有这样，才能从技术上彻底解决企业用户对存放机密信息到ASP平台上泄密的担心，才能真正让ASP平台发挥作用，真正推动中小企业信息化进程，真正提升中国中小企业的竞争力。

这些技术在国际上一些典型的ASP应用中已经被采用。比如，CRM服务提供商SalesNet就部署了GeoTrust的超真SSL数字证书，而SaleForce则部署了VeriSign的SSL数字证书。不过，目前国内许多ASP平台并没有采用类似的安全措施。比如，在访问深圳电信的“蓝色魅力”网站和上海电信的“理想商务”网站时可以发现，上文提到的三个方面的信息安全措施，一个也没有被采用，这很难让用户放心使用。