SaaS風潮蔓延到資安應用

根據研究單位Gartner預測，到2011年有25％的商業軟體將推出SaaS（Software as a Service，軟體代管）模式。在臺灣，SaaS風潮從去年在CRM（客戶關係管理）供應商Salesforce.com發酵後，今年也有資安廠商搭上這一波風潮，提供包括網頁安全檢查、源碼檢測，以及線上備份還原的軟體代管服務。

SaaS就是透過網路提供商業應用軟體的一種服務，且軟體與資料的存放，都放在供應端，這也成為SaaS最大特色。源碼檢測廠商阿碼科技日前推出網站入侵即刻通報服務：CodeSecure Protector後，並持續於5月底推出CodeSecure Frontline源碼檢測線上服務，都是採用SaaS的軟體代管方式。

研究資料顯示，有7成的駭客攻擊，直接針對網站與Web應用程式而來，不論是因為軟體漏洞未修補前，讓駭客有機會發動零時差攻擊（Zero Day Attack），或者是常見的網頁被植入木馬、後門、病毒或惡意程式，甚至是首頁置換、網站內容竄改、網站結構破壞等，這種攻擊輕者使用者帳號、密碼被盜，重者企業機密資料外洩、企業形象受損。

為了確保企業網站與Web應用程式的安全性，阿碼科技透過遠端軟體驗證技術，提供中、小型企業網站安全檢查的線上服務。該公司創辦人兼執行長黃耀文表示，企業用戶只需要以訂閱方式，每個月支付1,500元的月費，阿碼科技將以每半小時檢查1次的方式，提供企業網站與Web應用程式，24×7的即時監控服務。他說，若遇有網站遭到入侵，除了電子郵件、簡訊方式外，在上班時間，還有專人告知企業用戶，該公司網站遭到何種方式的入侵，並告知解決方式。

目前有一些企業對於網頁遭到置換，一定時間內，便會將已備份的網站內容做自動回復。一位資安專家認為，這種做近端偵測然後把備份的資料還原，是一種治標不治本的作法，「因為網站既有的漏洞，並沒有解決，這種方法，對於植入木馬或後門程式等攻擊手法，難收偵測之效。」他認為，重點仍在於「確保網站與Web應用程式的安全性，其他作為只是自我安慰而已。」

因此，阿碼科技也將在5月底推出源碼檢測線上服務。黃耀文說，企業用戶只需要上傳程式碼，由阿碼科技線上檢測原始碼是否存在Web安全弱點，並即時提供報告與修正建議。透過這樣的線上服務，企業用戶將可免去建置、安裝與維護的成本。

除了阿碼科技先後推出SaaS的線上服務外，資安廠商賽門鐵克日前也推出，該公司第一個SaaS 測試版（Beta）的服務。這是一個針對中、小型企業提供線上備份、還原空間的Symantec Protection Network，賽門鐵克認為，即便是中、小型企業，仍須要穩定可擴充性的異地備援能力，透過向賽門鐵克訂閱這樣的線上服務，可以達到成本效益的節省。目前推出測試版，初步提供25GB的線上儲存空間，預計今年下半年將正式推出該項服務。賽門鐵克在日前已經上市的消費性防毒軟體諾頓360中，也首度提供網路使用者2GB線上網站儲存空間。

臺灣趨勢科技總經理洪偉淦表示，由於防毒就是一個需要線上隨時連線、更新的服務，許多企業用戶也都定期續約、定期繳費，雖然不同於服務軟體與客戶資料，都存放在供應商端的SaaS模式，但他認為，要重新教育顧客瞭解這種軟體代管營運模式，反而不利業務拓展。洪偉淦說，趨勢科技暫時不會推出SaaS的資安服務。

除了供應商提供軟體代管服務外，臺灣也有物流業者在今年初，把自家的貨況追蹤系統，委由原本的軟體開發廠商代管。該名物流業者認為，因為代管的軟體不涉及機密資料外洩，加上軟體開發商可以在第一時間做後續維運，也使得管理效率較好。

在去年10月，應用程式傳輸基礎建設廠商Citrix，其線上軟體部門Citrix Online，在去年也推出SaaS服務模式的軟體，包含Citrix GoToMeeting、Citrix GoToWebinar、Citrix GoToAssist以及Citrix GoToMyPC。文⊙黃彥棻