蘇曉光

摘要：財務(wù)軟件在云計算平臺下發(fā)展普及的同時也面臨著信息安全的問題。在闡述云計算與財務(wù)軟件的安全現(xiàn)狀的基礎(chǔ)上，從技術(shù)的角度分析了云計算下財務(wù)軟件面臨的數(shù)據(jù)存儲、傳輸、使用和系統(tǒng)安全問題，并且針對存在的問題提出了發(fā)展云計算信息安全技術(shù)和健全云計算財務(wù)軟件使用管理兩方面的建議。

關(guān)鍵詞：云計算；財務(wù)軟件；財務(wù)安全

中圖分類號：TP311 文獻識別碼：A 文章編號：1001-828X（2017）009-0-02

Under the Cloud of Financial Software Security Issues

Su Xiao-guang

（1.Department of Equipment Economy and Management， National Navy University， WuHan 430033， China）

Abstract： The popularization of the financial software in a cloud computing platform development also faces the problem of information security.On cloud computing with the safety status of accounting software， on the basis of cloud computing is analyzed from the Angle of technology， data storage， transmission， facing financial software and system security problems， and put forward to solve the problems that exists in the development of cloud computing cloud computing technology and sound financial information security software using the management's advice.

Key words： Cloud computing； Financial software； Financial security

一、引言

最近十幾年來隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展與普及，互聯(lián)網(wǎng)改變了社會生活的方方面面，各行各業(yè)。數(shù)據(jù)獲取也因為信息技術(shù)的發(fā)展變得容易，從PC終端到移動通信終端，數(shù)據(jù)積累量遠遠超過了人類以往的任何時期，數(shù)據(jù)規(guī)模以PB為單位進行衡量計算。財務(wù)數(shù)據(jù)的獲取、共享變得容易的同時，財務(wù)數(shù)據(jù)的規(guī)模、處理和安全等問題也逐漸凸顯。財務(wù)軟件的大量應(yīng)用使系統(tǒng)性能有了較大飛躍，有效提高了整體系統(tǒng)的精確性、靈活性和快速反應(yīng)能力。在大型跨國企業(yè)貿(mào)易頻繁、數(shù)據(jù)量巨大的今天，財務(wù)軟件不僅僅是在本地內(nèi)部局域網(wǎng)電腦上安裝使用，更是在向云計算的財務(wù)軟件快速發(fā)展。云計算下的財務(wù)服務(wù)以其低成本、按需付費、數(shù)據(jù)交流便捷等特點得到了許多企業(yè)的使用[1]。

在互聯(lián)網(wǎng)平臺下的財務(wù)軟件可以使財務(wù)統(tǒng)一管理，各地數(shù)據(jù)及時共享，即時的分析數(shù)據(jù)給企業(yè)提供規(guī)避風(fēng)險的指導(dǎo)……這些優(yōu)點是以往的終端設(shè)備上財務(wù)軟件無法做到的。

云計算下的財務(wù)軟件在開放且動態(tài)的環(huán)境中運行。在利用云技術(shù)便捷的同時，也面臨著不可控和不確定性的風(fēng)險，無論是非人為因素造成的故障、錯誤、意外損害以及人為因素方面的黑客入侵、操作錯誤等都將對企業(yè)造成巨大財產(chǎn)損失[2]。其中云計算下財務(wù)軟件如何確保用戶隱私、商業(yè)數(shù)據(jù)安全、數(shù)據(jù)庫數(shù)據(jù)備份安全以及有效地訪問控制等方面是必須解決的問題。

云計算下的財務(wù)軟件能否安全穩(wěn)定的運行，同時給企業(yè)提供安全的服務(wù)，即財務(wù)軟件安全性問題成為人們關(guān)心的焦點。關(guān)于財務(wù)軟件安全性標(biāo)準(zhǔn)，尤其是新環(huán)境下以云計算為依托發(fā)展起來的國內(nèi)財務(wù)軟件至今仍沒有一個統(tǒng)一的行業(yè)標(biāo)準(zhǔn)。在一些軍隊、國有企事業(yè)部門采購的財務(wù)軟件通常采用《軟件可靠性和安全性設(shè)計準(zhǔn)則》GJB/Z 102 97和《信息技術(shù)軟件安全保障規(guī)范》GB/T 30998-2014等進行制定驗收測試指標(biāo)。然而在云計算環(huán)境下，由于財務(wù)軟件開發(fā)環(huán)境變化，必然對軟件測試帶來一定程度的變化，軟件測試重點也應(yīng)做出相對應(yīng)的調(diào)整。軟件測試不僅需要關(guān)注傳統(tǒng)的軟件質(zhì)量，而且還需考慮到云計算環(huán)境新的質(zhì)量要求，如軟件動態(tài)環(huán)境下運行能力、安全可信性等。因此制定的測試方法面對在日益發(fā)展的互聯(lián)網(wǎng)環(huán)境需要不斷更新向前發(fā)展。云計算下的財務(wù)軟件安全問題已引起學(xué)術(shù)界的普遍關(guān)注，多從法規(guī)標(biāo)準(zhǔn)制定等宏觀方面提出了建議和措施，但是從云環(huán)境的技術(shù)層面探討的較少，基于此背景，本文主要從技術(shù)層面對財務(wù)軟件的安全性進行探討，希望能對云計算下財務(wù)軟件的安全問題提供解決參考。

二、云計算下財務(wù)軟件的安全分析

關(guān)于云計算的定義，目前普遍采用的是美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）的定義[3]：云計算是一種按使用量付費的模式，這種模式提供可用的、便捷的、按需的網(wǎng)絡(luò)訪問， 進入可配置的計算資源共享池（資源包括網(wǎng)絡(luò)、服務(wù)器、存儲、應(yīng)用軟件和服務(wù)），這些資源能夠被快速提供，只需投入很少的管理工作，或與服務(wù)供應(yīng)商進行很少的交互。

由此可見，云計算環(huán)境天然的會存在數(shù)據(jù)依靠風(fēng)險大的互聯(lián)網(wǎng)通信和云存儲服務(wù)器。云計算自身的結(jié)構(gòu)特點是引起安全問題的主要原因?；谠朴嬎阆碌呢攧?wù)軟件也不可避免的面臨云計算方面的安全問題。目前典型的集團公司都有公司內(nèi)部各部門之間、分公司之間、企業(yè)與客戶之間、企業(yè)與供應(yīng)商之間、企業(yè)與金融集團之間財務(wù)往來賬數(shù)量頻繁、數(shù)據(jù)量巨大等特點，有一環(huán)出現(xiàn)問題都會造成不可預(yù)計的損失。除了傳統(tǒng)財務(wù)軟件的特殊性和專業(yè)性，其在云環(huán)境下還面臨著其他一些新的風(fēng)險[4]。對于云計算下的財務(wù)軟件的安全性是關(guān)心的重中之重。

1.財務(wù)數(shù)據(jù)存儲安全

財務(wù)數(shù)據(jù)的云存儲是基于云計算平臺，通過將網(wǎng)絡(luò)中可以利用的存儲設(shè)備進行整合后對財務(wù)的數(shù)據(jù)進行存儲和訪問讀取。云計算平臺是借助云虛擬化（cloud virtualization）對存儲設(shè)備進行整合實現(xiàn)的。云計算虛擬化是通過編寫的軟件程序?qū)⑽锢淼挠嬎阍O(shè)備劃分為一個或多個虛擬機（virtual machine，即VM），用戶通過調(diào)用這些可以使用的虛擬機進行計算任務(wù)。云存儲這種外包模式的方式本身就存在著許多不安全因素。首先云存儲也是基于現(xiàn)在的計算機技術(shù)進行分布式的整合，現(xiàn)有的計算機漏洞也會完全的移植到云端上。其次這種云計算模式下，使用者對于私有數(shù)據(jù)的控制權(quán)和所有權(quán)不可避免的造成了分離，因為云存儲的數(shù)據(jù)是在不同物理設(shè)備之間共享的基礎(chǔ)上實現(xiàn)的。

依托云服務(wù)的軟件數(shù)據(jù)庫因為事故導(dǎo)致的數(shù)據(jù)缺失將會對客戶造成巨大損失，如國際互聯(lián)網(wǎng)巨頭谷歌公司在2012年就曾造成眾多Gmail郵箱賬號被刪除，大面積數(shù)據(jù)丟失的事故。甚至有些服務(wù)提供商為了聲譽會故意隱瞞數(shù)據(jù)的丟失等情況發(fā)生。由于現(xiàn)在商業(yè)的發(fā)展，財務(wù)數(shù)據(jù)規(guī)模和數(shù)據(jù)交換、分析，對于云存儲的財務(wù)數(shù)據(jù)的存儲管理顯得尤為重要。然而云存儲服務(wù)面臨的數(shù)據(jù)規(guī)模越來越龐大，對于分散于各處讀取財務(wù)數(shù)據(jù)再匯總存儲數(shù)據(jù)存儲的完整性也存在著許多困難去進行驗證[5]。例如現(xiàn)實中大型集團企業(yè)的財務(wù)系統(tǒng)中單個表中記錄條數(shù)就超過上億條，所有的財務(wù)數(shù)據(jù)集中在一起存儲在云端中，這些海量的數(shù)據(jù)確保完整的存儲和不丟失是很難進行驗證的。

2.財務(wù)數(shù)據(jù)傳輸安全

使用者將屬于商業(yè)機密的財務(wù)數(shù)據(jù)存儲到公有云服務(wù)器，數(shù)據(jù)的機密性非常容易遭受到內(nèi)外部的入侵威脅[6]。數(shù)據(jù)在云計算平臺中訪問的授權(quán)、認證、訪問認可、審計追蹤，即訪問控制（access control）需要嚴(yán)格的安全認證。除云端與終端設(shè)備的連接外，還要考慮用戶與云端的連接安全。為確保使用者的數(shù)據(jù)在傳輸與存儲過程中的財務(wù)信息安全，財務(wù)數(shù)據(jù)在傳輸過程中通常是對上傳到數(shù)據(jù)提前進行加密處理后再上傳至服務(wù)器，在需要訪問讀取時再通過解密算法解密后讀取。加密技術(shù)主要由算法和密鑰組成?，F(xiàn)階段國內(nèi)常用的數(shù)據(jù)加密算法分為：對稱加密和非對稱加密兩種類型。目前的做法通常是在數(shù)據(jù)上傳到云計算平臺前預(yù)先進行加密處理，在數(shù)據(jù)需要被調(diào)用時再由使用者進行逆向的解密。目前云數(shù)據(jù)在傳輸共享中通常采用的代理重加密算法或?qū)傩约用芩惴?。這兩種算法都有各自的優(yōu)點，但是在實際中還是會存在著漏洞，造成信息泄露的潛在危險。

此外，數(shù)據(jù)在傳輸過程中也存在著完整性驗證的問題。

3.財務(wù)數(shù)據(jù)使用安全

財務(wù)數(shù)據(jù)對于一個企業(yè)來說，其重要性毋庸置疑。由于其機密性，財務(wù)數(shù)據(jù)訪問權(quán)的使用者嚴(yán)格限定在財務(wù)部門及相關(guān)人員。由于云計算的特殊性，財務(wù)軟件數(shù)據(jù)的訪問首先需要對使用者身份進行確認。使用者需要在不同地點、終端和時間進行財務(wù)數(shù)據(jù)的上傳和訪問，客觀上造成信息密碼外泄的幾率大大增加。使用者對財務(wù)數(shù)據(jù)進行有意或無意的刪改，數(shù)據(jù)恢復(fù)和同步是需要考慮的問題[7]。對于使用者訪問權(quán)限的管理、防止權(quán)限被非法獲取、客服權(quán)限對數(shù)據(jù)訪問的意外或故意造成的沖突等權(quán)限管理機制的普遍性問題可以結(jié)合一些動態(tài)的訪問控制模型來加以解決，如動態(tài)口令、物理密鑰、電子密鑰等方式，根據(jù)用戶實際情況靈活制定安全策略。

目前云計算服務(wù)大多屬于商業(yè)運作，云服務(wù)的提供者存在于私人機構(gòu)中，如谷歌、亞馬遜、微軟等知名互聯(lián)網(wǎng)企業(yè)，因此存在著無論技術(shù)多先進，財務(wù)信息都不可避免的會在云計算服務(wù)機構(gòu)的掌控中。當(dāng)這些信息被云計算服務(wù)提供方內(nèi)部人員非法掌握后，對企業(yè)的在金融等市場方面將會帶來巨大的影響。因此對于云計算平臺的選擇和第三方監(jiān)管是需要考慮到的一個前提。

4.財務(wù)軟件系統(tǒng)安全

財務(wù)軟件在程序的編寫上需要考慮到多種情況。如我國和其他國家在財務(wù)、稅收上政策的差異性，跨國公司等大型企業(yè)涉及外匯業(yè)務(wù)的管理，企業(yè)內(nèi)各部門財務(wù)數(shù)據(jù)接口靈活性、軟件容錯性、財務(wù)軟件和金融集體數(shù)據(jù)交換的高效性以及面對行業(yè)復(fù)雜的業(yè)務(wù)需求的擴展性，在這一些列的要求下，軟件的必須經(jīng)過不斷更新，及時發(fā)現(xiàn)程序漏洞或問題，及時補丁確保財務(wù)軟件系統(tǒng)的安全性。在大型集團企業(yè)中，財務(wù)數(shù)據(jù)量巨大，保證數(shù)據(jù)在軟件中能夠完整保存、備份、訪問，同時能夠快速準(zhǔn)確的將整個數(shù)據(jù)通過設(shè)定的算法直觀的把趨勢和財務(wù)狀態(tài)顯示出來，對于財務(wù)軟件本身的數(shù)據(jù)庫數(shù)據(jù)處理能力和分析能力是極大的考驗。同時，目前財務(wù)軟件行業(yè)存在著使用者財務(wù)人員對于財務(wù)法規(guī)和行業(yè)規(guī)范熟悉卻不了解編程；許多程序員熟悉精通軟件編寫但是對于財會的規(guī)范比較陌生，因此會造成編寫的財務(wù)軟件存在著一定程度上的不合理性和一些算法上的問題。

云計算下財務(wù)軟件的界面操作系統(tǒng)、數(shù)據(jù)傳輸協(xié)議、數(shù)據(jù)庫管理系統(tǒng)等方面存在著基于網(wǎng)絡(luò)協(xié)議的漏洞，如果遭到攻擊將會不可避免的造成財務(wù)軟件系統(tǒng)信息泄露甚至篡改。因此財務(wù)軟件要有自身的防御考慮，加大對軟件靜態(tài)和動態(tài)環(huán)境下的缺陷預(yù)測，做好全面的測試。

三、財務(wù)軟件系統(tǒng)建議

云計算下的財務(wù)軟件系統(tǒng)其本質(zhì)也屬于云應(yīng)用。最大限度的解決云計算下財務(wù)軟件安全的問題，首先需要解決云計算本身的安全問題，可以分別從技術(shù)層面和法規(guī)管理兩方面出發(fā)，完善財務(wù)軟件的漏洞和改進存在的隱患，發(fā)揮出云計算下低價格、高靈活的技術(shù)優(yōu)勢，克服安全問題帶來的發(fā)展限制，讓更多的企業(yè)能夠放心的使用。

1.發(fā)展云計算信息安全技術(shù)

科技在不斷的向前發(fā)展，現(xiàn)有的技術(shù)手段也面臨著不斷落后的危機。具體云計算的安全包含以下三個方面：云虛擬化安全、云數(shù)據(jù)安全和云系統(tǒng)安全。因此對于云計算下的財務(wù)軟件平臺從數(shù)據(jù)的存儲、數(shù)據(jù)的傳輸、訪問控制、權(quán)限管理等方面出發(fā)，加大對軟件和硬件安全研究的投入，將最新的研究成果迅速轉(zhuǎn)化為成果，如最新的量子計算機加密技術(shù)等。

云虛擬化安全：云虛擬化是云計算的核心，它的安全與否具有重要的意義。要解決云虛擬化安全問題就必須及時掌握現(xiàn)在國內(nèi)外最新的攻擊和防御技術(shù)，做好軟件和硬件上的技術(shù)更新準(zhǔn)備。

云數(shù)據(jù)安全：財務(wù)數(shù)據(jù)的數(shù)量大、交換頻繁等特點，因此在數(shù)據(jù)共享算法、訪問控制技術(shù)、加密技術(shù)等方面做到使用先進靈活的方式，針對企業(yè)需求特點進行合理選擇，通過合理的搭配防御技術(shù)，把單一防御技術(shù)的短板進行彌補。

云系統(tǒng)安全：充分考慮到現(xiàn)有技術(shù)下的防御和攻擊技術(shù)，針對攻擊技術(shù)做好應(yīng)對措施，同時根據(jù)財務(wù)軟件數(shù)據(jù)特點，做好系統(tǒng)的安全風(fēng)險評估，將使用者數(shù)據(jù)信息安全泄露風(fēng)險降到最低。

因此要全面的提升云計算下財務(wù)軟件的安全性就必須綜合運用云虛擬化安全、云數(shù)據(jù)安全、云系統(tǒng)安全所涉及的多種防御機制，協(xié)調(diào)各個層面的安全技術(shù)，不能只投入巨大的財力物力于某一個方面或者依賴于某一個方面，造成其他薄弱環(huán)節(jié)成為安全的隱患。設(shè)計完善的安全方案，再根據(jù)企業(yè)要求和特點進行靈活配置，又快又好的投入到使用中去。

2.健全云計算財務(wù)軟件使用管理

歸根到底，使用者是財務(wù)軟件的核心。對于使用者需要進行必要的約束和規(guī)范從而將安全隱患降到最低。

使用者從企業(yè)自身情況出發(fā)，結(jié)合所使用財務(wù)軟件實際，規(guī)范使用，建立一個切實可行的，滿足需求的財務(wù)軟件管理措施。對于財務(wù)軟件使用者，在上崗前請專業(yè)人員進行崗位培訓(xùn)，培養(yǎng)基本的保密意識、保密手段和職業(yè)素養(yǎng)，掌握軟件的安全使用流程；根據(jù)不同崗位，分配不同的使用訪問權(quán)限以及建立崗位變動后權(quán)限的回收制度； 建立物理或電子密鑰，并記錄使用者使用情況，對操作情況進行審計，建立追責(zé)機制；充分理清使用者的權(quán)限和職責(zé)，使用者知曉自己使用造成問題的處置方法……通過對使用者的約束和規(guī)范，從源頭上把財務(wù)軟件因為人為原因發(fā)生問題的幾率降到最低。加強使用者的管理對于云計算下財務(wù)軟件的安全有著舉足輕重的意義。

四、結(jié)語

云計算下財務(wù)軟件的共享數(shù)據(jù)資源、虛擬化等技術(shù)帶來了特有的安全問題，并產(chǎn)生了企業(yè)對其安全性的擔(dān)憂。 相信隨著科學(xué)技術(shù)的發(fā)展、財務(wù)軟件市場經(jīng)濟下商家的競爭和一系列法規(guī)政策的出臺，云計算下的財務(wù)軟件產(chǎn)業(yè)會變得更加的安全可靠，存在的問題被逐步解決，成為能讓企業(yè)信賴的財務(wù)管理平臺。讓更多的企業(yè)享受到云計算下財務(wù)軟件具有的廉價成本與便捷辦公條件。

參考文獻：

[1]陳平，周歡，楊周南.云會計下會計信息安全問題探析[J].會計信息化，2013（9）：28-31.

[2]張玉清，王曉菲，劉玉峰，等.云計算環(huán)境安全綜述[J].軟件學(xué)報，2016，27（6）：1328-1348.

[3]National Institute of Standards and Technology. The NIST definition of cloud computing. Technical Report， No.800-145， 2011. http：//csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf.

[4]劉會芳.對當(dāng)前財務(wù)軟件的應(yīng)用及思考[J].經(jīng)濟，2016（5）：113-114.

[5]張曉寧，孫澤明，董冰，等.財務(wù)軟件數(shù)據(jù)庫安全與審計技術(shù)研究[J].智能計算機與應(yīng)用，2016，6（2）：34-37.

[6]錢金花.會計信息化下財務(wù)軟件的特點分析[J]江蘇科技信息，2016，1（3）：61-62.

[7]李曼.云計算與財務(wù)信息化應(yīng)用發(fā)展探究[J].農(nóng)村科技與經(jīng)濟，2016，27（18）：116.