蘇曉光

摘要：財務軟件在云計算平臺下發(fā)展普及的同時也面臨著信息安全的問題。在闡述云計算與財務軟件的安全現(xiàn)狀的基礎上，從技術的角度分析了云計算下財務軟件面臨的數(shù)據(jù)存儲、傳輸、使用和系統(tǒng)安全問題，并且針對存在的問題提出了發(fā)展云計算信息安全技術和健全云計算財務軟件使用管理兩方面的建議。

關鍵詞：云計算；財務軟件；財務安全

中圖分類號：TP311 文獻識別碼：A 文章編號：1001-828X（2017）009-0-02

Under the Cloud of Financial Software Security Issues

Su Xiao-guang

（1.Department of Equipment Economy and Management， National Navy University， WuHan 430033， China）

Abstract： The popularization of the financial software in a cloud computing platform development also faces the problem of information security.On cloud computing with the safety status of accounting software， on the basis of cloud computing is analyzed from the Angle of technology， data storage， transmission， facing financial software and system security problems， and put forward to solve the problems that exists in the development of cloud computing cloud computing technology and sound financial information security software using the management's advice.

Key words： Cloud computing； Financial software； Financial security

一、引言

最近十幾年來隨著互聯(lián)網(wǎng)技術的發(fā)展與普及，互聯(lián)網(wǎng)改變了社會生活的方方面面，各行各業(yè)。數(shù)據(jù)獲取也因為信息技術的發(fā)展變得容易，從PC終端到移動通信終端，數(shù)據(jù)積累量遠遠超過了人類以往的任何時期，數(shù)據(jù)規(guī)模以PB為單位進行衡量計算。財務數(shù)據(jù)的獲取、共享變得容易的同時，財務數(shù)據(jù)的規(guī)模、處理和安全等問題也逐漸凸顯。財務軟件的大量應用使系統(tǒng)性能有了較大飛躍，有效提高了整體系統(tǒng)的精確性、靈活性和快速反應能力。在大型跨國企業(yè)貿(mào)易頻繁、數(shù)據(jù)量巨大的今天，財務軟件不僅僅是在本地內(nèi)部局域網(wǎng)電腦上安裝使用，更是在向云計算的財務軟件快速發(fā)展。云計算下的財務服務以其低成本、按需付費、數(shù)據(jù)交流便捷等特點得到了許多企業(yè)的使用[1]。

在互聯(lián)網(wǎng)平臺下的財務軟件可以使財務統(tǒng)一管理，各地數(shù)據(jù)及時共享，即時的分析數(shù)據(jù)給企業(yè)提供規(guī)避風險的指導……這些優(yōu)點是以往的終端設備上財務軟件無法做到的。

云計算下的財務軟件在開放且動態(tài)的環(huán)境中運行。在利用云技術便捷的同時，也面臨著不可控和不確定性的風險，無論是非人為因素造成的故障、錯誤、意外損害以及人為因素方面的黑客入侵、操作錯誤等都將對企業(yè)造成巨大財產(chǎn)損失[2]。其中云計算下財務軟件如何確保用戶隱私、商業(yè)數(shù)據(jù)安全、數(shù)據(jù)庫數(shù)據(jù)備份安全以及有效地訪問控制等方面是必須解決的問題。

云計算下的財務軟件能否安全穩(wěn)定的運行，同時給企業(yè)提供安全的服務，即財務軟件安全性問題成為人們關心的焦點。關于財務軟件安全性標準，尤其是新環(huán)境下以云計算為依托發(fā)展起來的國內(nèi)財務軟件至今仍沒有一個統(tǒng)一的行業(yè)標準。在一些軍隊、國有企事業(yè)部門采購的財務軟件通常采用《軟件可靠性和安全性設計準則》GJB/Z 102 97和《信息技術軟件安全保障規(guī)范》GB/T 30998-2014等進行制定驗收測試指標。然而在云計算環(huán)境下，由于財務軟件開發(fā)環(huán)境變化，必然對軟件測試帶來一定程度的變化，軟件測試重點也應做出相對應的調(diào)整。軟件測試不僅需要關注傳統(tǒng)的軟件質量，而且還需考慮到云計算環(huán)境新的質量要求，如軟件動態(tài)環(huán)境下運行能力、安全可信性等。因此制定的測試方法面對在日益發(fā)展的互聯(lián)網(wǎng)環(huán)境需要不斷更新向前發(fā)展。云計算下的財務軟件安全問題已引起學術界的普遍關注，多從法規(guī)標準制定等宏觀方面提出了建議和措施，但是從云環(huán)境的技術層面探討的較少，基于此背景，本文主要從技術層面對財務軟件的安全性進行探討，希望能對云計算下財務軟件的安全問題提供解決參考。

二、云計算下財務軟件的安全分析

關于云計算的定義，目前普遍采用的是美國國家標準與技術研究院（NIST）的定義[3]：云計算是一種按使用量付費的模式，這種模式提供可用的、便捷的、按需的網(wǎng)絡訪問， 進入可配置的計算資源共享池（資源包括網(wǎng)絡、服務器、存儲、應用軟件和服務），這些資源能夠被快速提供，只需投入很少的管理工作，或與服務供應商進行很少的交互。

由此可見，云計算環(huán)境天然的會存在數(shù)據(jù)依靠風險大的互聯(lián)網(wǎng)通信和云存儲服務器。云計算自身的結構特點是引起安全問題的主要原因?；谠朴嬎阆碌呢攧哲浖膊豢杀苊獾拿媾R云計算方面的安全問題。目前典型的集團公司都有公司內(nèi)部各部門之間、分公司之間、企業(yè)與客戶之間、企業(yè)與供應商之間、企業(yè)與金融集團之間財務往來賬數(shù)量頻繁、數(shù)據(jù)量巨大等特點，有一環(huán)出現(xiàn)問題都會造成不可預計的損失。除了傳統(tǒng)財務軟件的特殊性和專業(yè)性，其在云環(huán)境下還面臨著其他一些新的風險[4]。對于云計算下的財務軟件的安全性是關心的重中之重。

1.財務數(shù)據(jù)存儲安全

財務數(shù)據(jù)的云存儲是基于云計算平臺，通過將網(wǎng)絡中可以利用的存儲設備進行整合后對財務的數(shù)據(jù)進行存儲和訪問讀取。云計算平臺是借助云虛擬化（cloud virtualization）對存儲設備進行整合實現(xiàn)的。云計算虛擬化是通過編寫的軟件程序將物理的計算設備劃分為一個或多個虛擬機（virtual machine，即VM），用戶通過調(diào)用這些可以使用的虛擬機進行計算任務。云存儲這種外包模式的方式本身就存在著許多不安全因素。首先云存儲也是基于現(xiàn)在的計算機技術進行分布式的整合，現(xiàn)有的計算機漏洞也會完全的移植到云端上。其次這種云計算模式下，使用者對于私有數(shù)據(jù)的控制權和所有權不可避免的造成了分離，因為云存儲的數(shù)據(jù)是在不同物理設備之間共享的基礎上實現(xiàn)的。

依托云服務的軟件數(shù)據(jù)庫因為事故導致的數(shù)據(jù)缺失將會對客戶造成巨大損失，如國際互聯(lián)網(wǎng)巨頭谷歌公司在2012年就曾造成眾多Gmail郵箱賬號被刪除，大面積數(shù)據(jù)丟失的事故。甚至有些服務提供商為了聲譽會故意隱瞞數(shù)據(jù)的丟失等情況發(fā)生。由于現(xiàn)在商業(yè)的發(fā)展，財務數(shù)據(jù)規(guī)模和數(shù)據(jù)交換、分析，對于云存儲的財務數(shù)據(jù)的存儲管理顯得尤為重要。然而云存儲服務面臨的數(shù)據(jù)規(guī)模越來越龐大，對于分散于各處讀取財務數(shù)據(jù)再匯總存儲數(shù)據(jù)存儲的完整性也存在著許多困難去進行驗證[5]。例如現(xiàn)實中大型集團企業(yè)的財務系統(tǒng)中單個表中記錄條數(shù)就超過上億條，所有的財務數(shù)據(jù)集中在一起存儲在云端中，這些海量的數(shù)據(jù)確保完整的存儲和不丟失是很難進行驗證的。

2.財務數(shù)據(jù)傳輸安全

使用者將屬于商業(yè)機密的財務數(shù)據(jù)存儲到公有云服務器，數(shù)據(jù)的機密性非常容易遭受到內(nèi)外部的入侵威脅[6]。數(shù)據(jù)在云計算平臺中訪問的授權、認證、訪問認可、審計追蹤，即訪問控制（access control）需要嚴格的安全認證。除云端與終端設備的連接外，還要考慮用戶與云端的連接安全。為確保使用者的數(shù)據(jù)在傳輸與存儲過程中的財務信息安全，財務數(shù)據(jù)在傳輸過程中通常是對上傳到數(shù)據(jù)提前進行加密處理后再上傳至服務器，在需要訪問讀取時再通過解密算法解密后讀取。加密技術主要由算法和密鑰組成。現(xiàn)階段國內(nèi)常用的數(shù)據(jù)加密算法分為：對稱加密和非對稱加密兩種類型。目前的做法通常是在數(shù)據(jù)上傳到云計算平臺前預先進行加密處理，在數(shù)據(jù)需要被調(diào)用時再由使用者進行逆向的解密。目前云數(shù)據(jù)在傳輸共享中通常采用的代理重加密算法或屬性加密算法。這兩種算法都有各自的優(yōu)點，但是在實際中還是會存在著漏洞，造成信息泄露的潛在危險。

此外，數(shù)據(jù)在傳輸過程中也存在著完整性驗證的問題。

3.財務數(shù)據(jù)使用安全

財務數(shù)據(jù)對于一個企業(yè)來說，其重要性毋庸置疑。由于其機密性，財務數(shù)據(jù)訪問權的使用者嚴格限定在財務部門及相關人員。由于云計算的特殊性，財務軟件數(shù)據(jù)的訪問首先需要對使用者身份進行確認。使用者需要在不同地點、終端和時間進行財務數(shù)據(jù)的上傳和訪問，客觀上造成信息密碼外泄的幾率大大增加。使用者對財務數(shù)據(jù)進行有意或無意的刪改，數(shù)據(jù)恢復和同步是需要考慮的問題[7]。對于使用者訪問權限的管理、防止權限被非法獲取、客服權限對數(shù)據(jù)訪問的意外或故意造成的沖突等權限管理機制的普遍性問題可以結合一些動態(tài)的訪問控制模型來加以解決，如動態(tài)口令、物理密鑰、電子密鑰等方式，根據(jù)用戶實際情況靈活制定安全策略。

目前云計算服務大多屬于商業(yè)運作，云服務的提供者存在于私人機構中，如谷歌、亞馬遜、微軟等知名互聯(lián)網(wǎng)企業(yè)，因此存在著無論技術多先進，財務信息都不可避免的會在云計算服務機構的掌控中。當這些信息被云計算服務提供方內(nèi)部人員非法掌握后，對企業(yè)的在金融等市場方面將會帶來巨大的影響。因此對于云計算平臺的選擇和第三方監(jiān)管是需要考慮到的一個前提。

4.財務軟件系統(tǒng)安全

財務軟件在程序的編寫上需要考慮到多種情況。如我國和其他國家在財務、稅收上政策的差異性，跨國公司等大型企業(yè)涉及外匯業(yè)務的管理，企業(yè)內(nèi)各部門財務數(shù)據(jù)接口靈活性、軟件容錯性、財務軟件和金融集體數(shù)據(jù)交換的高效性以及面對行業(yè)復雜的業(yè)務需求的擴展性，在這一些列的要求下，軟件的必須經(jīng)過不斷更新，及時發(fā)現(xiàn)程序漏洞或問題，及時補丁確保財務軟件系統(tǒng)的安全性。在大型集團企業(yè)中，財務數(shù)據(jù)量巨大，保證數(shù)據(jù)在軟件中能夠完整保存、備份、訪問，同時能夠快速準確的將整個數(shù)據(jù)通過設定的算法直觀的把趨勢和財務狀態(tài)顯示出來，對于財務軟件本身的數(shù)據(jù)庫數(shù)據(jù)處理能力和分析能力是極大的考驗。同時，目前財務軟件行業(yè)存在著使用者財務人員對于財務法規(guī)和行業(yè)規(guī)范熟悉卻不了解編程；許多程序員熟悉精通軟件編寫但是對于財會的規(guī)范比較陌生，因此會造成編寫的財務軟件存在著一定程度上的不合理性和一些算法上的問題。

云計算下財務軟件的界面操作系統(tǒng)、數(shù)據(jù)傳輸協(xié)議、數(shù)據(jù)庫管理系統(tǒng)等方面存在著基于網(wǎng)絡協(xié)議的漏洞，如果遭到攻擊將會不可避免的造成財務軟件系統(tǒng)信息泄露甚至篡改。因此財務軟件要有自身的防御考慮，加大對軟件靜態(tài)和動態(tài)環(huán)境下的缺陷預測，做好全面的測試。

三、財務軟件系統(tǒng)建議

云計算下的財務軟件系統(tǒng)其本質也屬于云應用。最大限度的解決云計算下財務軟件安全的問題，首先需要解決云計算本身的安全問題，可以分別從技術層面和法規(guī)管理兩方面出發(fā)，完善財務軟件的漏洞和改進存在的隱患，發(fā)揮出云計算下低價格、高靈活的技術優(yōu)勢，克服安全問題帶來的發(fā)展限制，讓更多的企業(yè)能夠放心的使用。

1.發(fā)展云計算信息安全技術

科技在不斷的向前發(fā)展，現(xiàn)有的技術手段也面臨著不斷落后的危機。具體云計算的安全包含以下三個方面：云虛擬化安全、云數(shù)據(jù)安全和云系統(tǒng)安全。因此對于云計算下的財務軟件平臺從數(shù)據(jù)的存儲、數(shù)據(jù)的傳輸、訪問控制、權限管理等方面出發(fā)，加大對軟件和硬件安全研究的投入，將最新的研究成果迅速轉化為成果，如最新的量子計算機加密技術等。

云虛擬化安全：云虛擬化是云計算的核心，它的安全與否具有重要的意義。要解決云虛擬化安全問題就必須及時掌握現(xiàn)在國內(nèi)外最新的攻擊和防御技術，做好軟件和硬件上的技術更新準備。

云數(shù)據(jù)安全：財務數(shù)據(jù)的數(shù)量大、交換頻繁等特點，因此在數(shù)據(jù)共享算法、訪問控制技術、加密技術等方面做到使用先進靈活的方式，針對企業(yè)需求特點進行合理選擇，通過合理的搭配防御技術，把單一防御技術的短板進行彌補。

云系統(tǒng)安全：充分考慮到現(xiàn)有技術下的防御和攻擊技術，針對攻擊技術做好應對措施，同時根據(jù)財務軟件數(shù)據(jù)特點，做好系統(tǒng)的安全風險評估，將使用者數(shù)據(jù)信息安全泄露風險降到最低。

因此要全面的提升云計算下財務軟件的安全性就必須綜合運用云虛擬化安全、云數(shù)據(jù)安全、云系統(tǒng)安全所涉及的多種防御機制，協(xié)調(diào)各個層面的安全技術，不能只投入巨大的財力物力于某一個方面或者依賴于某一個方面，造成其他薄弱環(huán)節(jié)成為安全的隱患。設計完善的安全方案，再根據(jù)企業(yè)要求和特點進行靈活配置，又快又好的投入到使用中去。

2.健全云計算財務軟件使用管理

歸根到底，使用者是財務軟件的核心。對于使用者需要進行必要的約束和規(guī)范從而將安全隱患降到最低。

使用者從企業(yè)自身情況出發(fā)，結合所使用財務軟件實際，規(guī)范使用，建立一個切實可行的，滿足需求的財務軟件管理措施。對于財務軟件使用者，在上崗前請專業(yè)人員進行崗位培訓，培養(yǎng)基本的保密意識、保密手段和職業(yè)素養(yǎng)，掌握軟件的安全使用流程；根據(jù)不同崗位，分配不同的使用訪問權限以及建立崗位變動后權限的回收制度； 建立物理或電子密鑰，并記錄使用者使用情況，對操作情況進行審計，建立追責機制；充分理清使用者的權限和職責，使用者知曉自己使用造成問題的處置方法……通過對使用者的約束和規(guī)范，從源頭上把財務軟件因為人為原因發(fā)生問題的幾率降到最低。加強使用者的管理對于云計算下財務軟件的安全有著舉足輕重的意義。

四、結語

云計算下財務軟件的共享數(shù)據(jù)資源、虛擬化等技術帶來了特有的安全問題，并產(chǎn)生了企業(yè)對其安全性的擔憂。 相信隨著科學技術的發(fā)展、財務軟件市場經(jīng)濟下商家的競爭和一系列法規(guī)政策的出臺，云計算下的財務軟件產(chǎn)業(yè)會變得更加的安全可靠，存在的問題被逐步解決，成為能讓企業(yè)信賴的財務管理平臺。讓更多的企業(yè)享受到云計算下財務軟件具有的廉價成本與便捷辦公條件。

參考文獻：

[1]陳平，周歡，楊周南.云會計下會計信息安全問題探析[J].會計信息化，2013（9）：28-31.

[2]張玉清，王曉菲，劉玉峰，等.云計算環(huán)境安全綜述[J].軟件學報，2016，27（6）：1328-1348.

[3]National Institute of Standards and Technology. The NIST definition of cloud computing. Technical Report， No.800-145， 2011. http：//csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf.

[4]劉會芳.對當前財務軟件的應用及思考[J].經(jīng)濟，2016（5）：113-114.

[5]張曉寧，孫澤明，董冰，等.財務軟件數(shù)據(jù)庫安全與審計技術研究[J].智能計算機與應用，2016，6（2）：34-37.

[6]錢金花.會計信息化下財務軟件的特點分析[J]江蘇科技信息，2016，1（3）：61-62.

[7]李曼.云計算與財務信息化應用發(fā)展探究[J].農(nóng)村科技與經(jīng)濟，2016，27（18）：116.