海比研究在針對中大型企業(yè)CIO的某項調(diào)研結(jié)果顯示，CIO們普遍認為，他們的企業(yè)面臨五大挑戰(zhàn)：信息化的風(fēng)險管理與控制、降低投入成本、縮短上線時間、IT本身的精細化管理，以及提升對業(yè)務(wù)創(chuàng)新的支持。并且有78%的企業(yè)將“信息化的風(fēng)險管理與控制”放在挑戰(zhàn)的首位。

　　企業(yè)信息化建設(shè)和實施是一個不斷發(fā)展變化的過程，信息化的風(fēng)險被界定為信息化可能或者實際帶來的消極威脅。企業(yè)信息化風(fēng)險具有多方面的影響。首先，企業(yè)信息化風(fēng)險影響公司整體發(fā)展戰(zhàn)略;第二，可能造成公司信息化建設(shè)的失敗導(dǎo)致信息化建設(shè)的整體失效，帶來難以估價的損失;第三，導(dǎo)致公司巨大的經(jīng)濟損失;第四，致使公司的社會信譽嚴重下降;第五，延誤公司競爭力的全面提升，使公司在未來的競爭中失去競爭優(yōu)勢。尤其在云計算逐步落地的今天，很多中大型企業(yè)都已部署或計劃部署基于云計算平臺的系統(tǒng)，云計算的安全問題一度被企業(yè)作為一大顧慮而推遲云部署的進程。

　　用友UAP作為信息化統(tǒng)一應(yīng)用平臺，是典型的大中型企業(yè)云平臺。它不僅覆蓋了客戶化開發(fā)、個性化配置、集成、運行、運維、IT服務(wù)管理等企業(yè)全生命周期管理，并且針對云計算具備完善的風(fēng)險管控體系，為企業(yè)維護系統(tǒng)和數(shù)據(jù)安全提供了很好的保障。

　　企業(yè)信息化面臨的風(fēng)險通常包括系統(tǒng)安全風(fēng)險、應(yīng)用安全風(fēng)險、數(shù)據(jù)安全風(fēng)險、管理安全風(fēng)險等。第一，系統(tǒng)安全風(fēng)險。由于操作系統(tǒng)、數(shù)據(jù)庫、B/S三層架構(gòu)中的應(yīng)用服務(wù)器等基礎(chǔ)軟件本身的漏洞和缺陷、用戶權(quán)限設(shè)置不合理以及一些不安全協(xié)議的使用等因素都可能構(gòu)成對系統(tǒng)的威脅;第二，應(yīng)用安全風(fēng)險。應(yīng)用程序設(shè)計不合理以及用戶權(quán)限設(shè)置不當，也會對系統(tǒng)構(gòu)成威脅。第三，數(shù)據(jù)安全風(fēng)險。對系統(tǒng)的備份與恢復(fù)重要性認識不足，不按要求定期進行備份，一旦發(fā)生意外，將會導(dǎo)致慘重的損失;第四，管理安全風(fēng)險。管理人員安全意識淡薄，業(yè)務(wù)處理流程不規(guī)范、管理制度不健全可能會對系統(tǒng)構(gòu)成安全隱患。

　　針對以上風(fēng)險，用友UAP提出了一個全面的安全實施和分析框架。首先從管理上，用友UAP建議指定好安全的策略，并嚴格按照安全策略執(zhí)行涉及安全的日常工作。建議云計算管理平臺只運行在DMZ，避免在公網(wǎng)上使用云管理平臺。另外建議在各級系統(tǒng)連接處，安裝適當?shù)姆阑饓捅O(jiān)控軟件，通過自動化的技術(shù)，排除系統(tǒng)的安全問題。

　　用友UAP的云計算解決方案，從物理設(shè)備保護、云計算基礎(chǔ)架構(gòu)、虛機系統(tǒng)到最終的應(yīng)用系統(tǒng)都提供完備的保護方案，它從物理安全、網(wǎng)絡(luò)安全、信息安全、業(yè)務(wù)安全幾個角度，考察云計算體系可能遇到的安全問題，并在安全軟件的支撐下，提供一定的安全監(jiān)控和預(yù)警能力。

　　其次，用友UAP具備強大的訪問控制與授權(quán)功能。用友UAP采用“插件”式安全模型，用戶能夠部署自己定制的身份驗證、授權(quán)和角色關(guān)系，也可以采用OS內(nèi)部的安全機制、數(shù)字證書認證或者其它方法，并能很容易的與其它安全認證系統(tǒng)集成，比如指紋認證系統(tǒng)、數(shù)字證書認證系統(tǒng)、加密卡/機等等。

　　第三，用友UAP具備真正安全的數(shù)據(jù)傳輸功能。用友UAP運行在基于自主知識產(chǎn)權(quán)的中間件上，所有數(shù)據(jù)都需從中間件層過濾，可以通過在中間件層對數(shù)據(jù)進行安全處理，來做到真正意義上的數(shù)據(jù)安全，從而再也不用擔心底層操作系統(tǒng)、硬件本身具有的系統(tǒng)漏洞或所留的后門對數(shù)據(jù)安全帶來的威脅。在用友UAP中間件層中，已經(jīng)對傳輸?shù)臄?shù)據(jù)進行了加密。算法除了一些經(jīng)典的如DES之外，還可根據(jù)用戶的需求采取具有自主知識產(chǎn)權(quán)的更高級別的加密算法。

　　第四，用友UAP集成了業(yè)界標準的安全技術(shù)?？梢院苋菀椎膶⒂糜衍浖渴鸬狡渌虡I(yè)應(yīng)用WEB服務(wù)器和應(yīng)用服務(wù)器上，從而利用這些服務(wù)器所提供的強大的安全管理與加密傳輸功能，比如Apache服務(wù)器， IBM的WebSphere，BEA的WebLogic等?？沙浞掷眠@些業(yè)界領(lǐng)先的Web層的安全管理與傳輸。在設(shè)備層次、網(wǎng)絡(luò)層次，我們與業(yè)界領(lǐng)先的安全服務(wù)供應(yīng)商合作，將為企業(yè)提供最健壯、最安全的支持。

　　除了直接的安全保障外，縮短信息化開發(fā)時間，降低開發(fā)成本等也是降低企業(yè)信息化風(fēng)險的重要表現(xiàn)。用友UAP平臺可提升軟件開發(fā)的效率和質(zhì)量，提高軟件適應(yīng)業(yè)務(wù)與技術(shù)變化的能力，縮短開發(fā)時間及降低開發(fā)成本，實現(xiàn)異構(gòu)系統(tǒng)之間的應(yīng)用整合，在提高軟件性能、穩(wěn)定性、可維護性等方面均有顯著效果，實現(xiàn)了大中型企業(yè)和公共組織軟件平臺領(lǐng)域的重大突破。目前用友UAP已經(jīng)擁有超過8000家大中型企業(yè)成功應(yīng)用，使企業(yè)產(chǎn)品開發(fā)效率比傳統(tǒng)模式提升60%以上，很大程度上減小了企業(yè)安全隱患。