云計算下的財務軟件安全問題初探

蘇曉光

摘要：財務軟件在云計算平臺下發展普及的同時也面臨著信息安全的問題。在闡述云計算與財務軟件的安全現狀的基礎上，從技術的角度分析了云計算下財務軟件面臨的數據存儲、傳輸、使用和系統安全問題，并且針對存在的問題提出了發展云計算信息安全技術和健全云計算財務軟件使用管理兩方面的建議。

關鍵詞：云計算；財務軟件；財務安全

中圖分類號：TP311 文獻識別碼：A 文章編號：1001-828X（2017）009-0-02

Under the Cloud of Financial Software Security Issues

Su Xiao-guang

（1.Department of Equipment Economy and Management， National Navy University， WuHan 430033， China）

Abstract： The popularization of the financial software in a cloud computing platform development also faces the problem of information security.On cloud computing with the safety status of accounting software， on the basis of cloud computing is analyzed from the Angle of technology， data storage， transmission， facing financial software and system security problems， and put forward to solve the problems that exists in the development of cloud computing cloud computing technology and sound financial information security software using the management's advice.

Key words： Cloud computing； Financial software； Financial security

一、引言

最近十幾年來隨著互聯網技術的發展與普及，互聯網改變了社會生活的方方面面，各行各業。數據獲取也因為信息技術的發展變得容易，從PC終端到移動通信終端，數據積累量遠遠超過了人類以往的任何時期，數據規模以PB為單位進行衡量計算。財務數據的獲取、共享變得容易的同時，財務數據的規模、處理和安全等問題也逐漸凸顯。財務軟件的大量應用使系統性能有了較大飛躍，有效提高了整體系統的精確性、靈活性和快速反應能力。在大型跨國企業貿易頻繁、數據量巨大的今天，財務軟件不僅僅是在本地內部局域網電腦上安裝使用，更是在向云計算的財務軟件快速發展。云計算下的財務服務以其低成本、按需付費、數據交流便捷等特點得到了許多企業的使用[1]。

在互聯網平臺下的財務軟件可以使財務統一管理，各地數據及時共享，即時的分析數據給企業提供規避風險的指導……這些優點是以往的終端設備上財務軟件無法做到的。

云計算下的財務軟件在開放且動態的環境中運行。在利用云技術便捷的同時，也面臨著不可控和不確定性的風險，無論是非人為因素造成的故障、錯誤、意外損害以及人為因素方面的黑客入侵、操作錯誤等都將對企業造成巨大財產損失[2]。其中云計算下財務軟件如何確保用戶隱私、商業數據安全、數據庫數據備份安全以及有效地訪問控制等方面是必須解決的問題。

云計算下的財務軟件能否安全穩定的運行，同時給企業提供安全的服務，即財務軟件安全性問題成為人們關心的焦點。關于財務軟件安全性標準，尤其是新環境下以云計算為依托發展起來的國內財務軟件至今仍沒有一個統一的行業標準。在一些軍隊、國有企事業部門采購的財務軟件通常采用《軟件可靠性和安全性設計準則》GJB/Z 102 97和《信息技術軟件安全保障規范》GB/T 30998-2014等進行制定驗收測試指標。然而在云計算環境下，由于財務軟件開發環境變化，必然對軟件測試帶來一定程度的變化，軟件測試重點也應做出相對應的調整。軟件測試不僅需要關注傳統的軟件質量，而且還需考慮到云計算環境新的質量要求，如軟件動態環境下運行能力、安全可信性等。因此制定的測試方法面對在日益發展的互聯網環境需要不斷更新向前發展。云計算下的財務軟件安全問題已引起學術界的普遍關注，多從法規標準制定等宏觀方面提出了建議和措施，但是從云環境的技術層面探討的較少，基于此背景，本文主要從技術層面對財務軟件的安全性進行探討，希望能對云計算下財務軟件的安全問題提供解決參考。

二、云計算下財務軟件的安全分析

關于云計算的定義，目前普遍采用的是美國國家標準與技術研究院（NIST）的定義[3]：云計算是一種按使用量付費的模式，這種模式提供可用的、便捷的、按需的網絡訪問， 進入可配置的計算資源共享池（資源包括網絡、服務器、存儲、應用軟件和服務），這些資源能夠被快速提供，只需投入很少的管理工作，或與服務供應商進行很少的交互。

由此可見，云計算環境天然的會存在數據依靠風險大的互聯網通信和云存儲服務器。云計算自身的結構特點是引起安全問題的主要原因。基于云計算下的財務軟件也不可避免的面臨云計算方面的安全問題。目前典型的集團公司都有公司內部各部門之間、分公司之間、企業與客戶之間、企業與供應商之間、企業與金融集團之間財務往來賬數量頻繁、數據量巨大等特點，有一環出現問題都會造成不可預計的損失。除了傳統財務軟件的特殊性和專業性，其在云環境下還面臨著其他一些新的風險[4]。對于云計算下的財務軟件的安全性是關心的重中之重。

1.財務數據存儲安全

財務數據的云存儲是基于云計算平臺，通過將網絡中可以利用的存儲設備進行整合后對財務的數據進行存儲和訪問讀取。云計算平臺是借助云虛擬化（cloud virtualization）對存儲設備進行整合實現的。云計算虛擬化是通過編寫的軟件程序將物理的計算設備劃分為一個或多個虛擬機（virtual machine，即VM），用戶通過調用這些可以使用的虛擬機進行計算任務。云存儲這種外包模式的方式本身就存在著許多不安全因素。首先云存儲也是基于現在的計算機技術進行分布式的整合，現有的計算機漏洞也會完全的移植到云端上。其次這種云計算模式下，使用者對于私有數據的控制權和所有權不可避免的造成了分離，因為云存儲的數據是在不同物理設備之間共享的基礎上實現的。

依托云服務的軟件數據庫因為事故導致的數據缺失將會對客戶造成巨大損失，如國際互聯網巨頭谷歌公司在2012年就曾造成眾多Gmail郵箱賬號被刪除，大面積數據丟失的事故。甚至有些服務提供商為了聲譽會故意隱瞞數據的丟失等情況發生。由于現在商業的發展，財務數據規模和數據交換、分析，對于云存儲的財務數據的存儲管理顯得尤為重要。然而云存儲服務面臨的數據規模越來越龐大，對于分散于各處讀取財務數據再匯總存儲數據存儲的完整性也存在著許多困難去進行驗證[5]。例如現實中大型集團企業的財務系統中單個表中記錄條數就超過上億條，所有的財務數據集中在一起存儲在云端中，這些海量的數據確保完整的存儲和不丟失是很難進行驗證的。

2.財務數據傳輸安全

使用者將屬于商業機密的財務數據存儲到公有云服務器，數據的機密性非常容易遭受到內外部的入侵威脅[6]。數據在云計算平臺中訪問的授權、認證、訪問認可、審計追蹤，即訪問控制（access control）需要嚴格的安全認證。除云端與終端設備的連接外，還要考慮用戶與云端的連接安全。為確保使用者的數據在傳輸與存儲過程中的財務信息安全，財務數據在傳輸過程中通常是對上傳到數據提前進行加密處理后再上傳至服務器，在需要訪問讀取時再通過解密算法解密后讀取。加密技術主要由算法和密鑰組成。現階段國內常用的數據加密算法分為：對稱加密和非對稱加密兩種類型。目前的做法通常是在數據上傳到云計算平臺前預先進行加密處理，在數據需要被調用時再由使用者進行逆向的解密。目前云數據在傳輸共享中通常采用的代理重加密算法或屬性加密算法。這兩種算法都有各自的優點，但是在實際中還是會存在著漏洞，造成信息泄露的潛在危險。

此外，數據在傳輸過程中也存在著完整性驗證的問題。

3.財務數據使用安全

財務數據對于一個企業來說，其重要性毋庸置疑。由于其機密性，財務數據訪問權的使用者嚴格限定在財務部門及相關人員。由于云計算的特殊性，財務軟件數據的訪問首先需要對使用者身份進行確認。使用者需要在不同地點、終端和時間進行財務數據的上傳和訪問，客觀上造成信息密碼外泄的幾率大大增加。使用者對財務數據進行有意或無意的刪改，數據恢復和同步是需要考慮的問題[7]。對于使用者訪問權限的管理、防止權限被非法獲取、客服權限對數據訪問的意外或故意造成的沖突等權限管理機制的普遍性問題可以結合一些動態的訪問控制模型來加以解決，如動態口令、物理密鑰、電子密鑰等方式，根據用戶實際情況靈活制定安全策略。

目前云計算服務大多屬于商業運作，云服務的提供者存在于私人機構中，如谷歌、亞馬遜、微軟等知名互聯網企業，因此存在著無論技術多先進，財務信息都不可避免的會在云計算服務機構的掌控中。當這些信息被云計算服務提供方內部人員非法掌握后，對企業的在金融等市場方面將會帶來巨大的影響。因此對于云計算平臺的選擇和第三方監管是需要考慮到的一個前提。

4.財務軟件系統安全

財務軟件在程序的編寫上需要考慮到多種情況。如我國和其他國家在財務、稅收上政策的差異性，跨國公司等大型企業涉及外匯業務的管理，企業內各部門財務數據接口靈活性、軟件容錯性、財務軟件和金融集體數據交換的高效性以及面對行業復雜的業務需求的擴展性，在這一些列的要求下，軟件的必須經過不斷更新，及時發現程序漏洞或問題，及時補丁確保財務軟件系統的安全性。在大型集團企業中，財務數據量巨大，保證數據在軟件中能夠完整保存、備份、訪問，同時能夠快速準確的將整個數據通過設定的算法直觀的把趨勢和財務狀態顯示出來，對于財務軟件本身的數據庫數據處理能力和分析能力是極大的考驗。同時，目前財務軟件行業存在著使用者財務人員對于財務法規和行業規范熟悉卻不了解編程；許多程序員熟悉精通軟件編寫但是對于財會的規范比較陌生，因此會造成編寫的財務軟件存在著一定程度上的不合理性和一些算法上的問題。

云計算下財務軟件的界面操作系統、數據傳輸協議、數據庫管理系統等方面存在著基于網絡協議的漏洞，如果遭到攻擊將會不可避免的造成財務軟件系統信息泄露甚至篡改。因此財務軟件要有自身的防御考慮，加大對軟件靜態和動態環境下的缺陷預測，做好全面的測試。

三、財務軟件系統建議

云計算下的財務軟件系統其本質也屬于云應用。最大限度的解決云計算下財務軟件安全的問題，首先需要解決云計算本身的安全問題，可以分別從技術層面和法規管理兩方面出發，完善財務軟件的漏洞和改進存在的隱患，發揮出云計算下低價格、高靈活的技術優勢，克服安全問題帶來的發展限制，讓更多的企業能夠放心的使用。

1.發展云計算信息安全技術

科技在不斷的向前發展，現有的技術手段也面臨著不斷落后的危機。具體云計算的安全包含以下三個方面：云虛擬化安全、云數據安全和云系統安全。因此對于云計算下的財務軟件平臺從數據的存儲、數據的傳輸、訪問控制、權限管理等方面出發，加大對軟件和硬件安全研究的投入，將最新的研究成果迅速轉化為成果，如最新的量子計算機加密技術等。

云虛擬化安全：云虛擬化是云計算的核心，它的安全與否具有重要的意義。要解決云虛擬化安全問題就必須及時掌握現在國內外最新的攻擊和防御技術，做好軟件和硬件上的技術更新準備。

云數據安全：財務數據的數量大、交換頻繁等特點，因此在數據共享算法、訪問控制技術、加密技術等方面做到使用先進靈活的方式，針對企業需求特點進行合理選擇，通過合理的搭配防御技術，把單一防御技術的短板進行彌補。

云系統安全：充分考慮到現有技術下的防御和攻擊技術，針對攻擊技術做好應對措施，同時根據財務軟件數據特點，做好系統的安全風險評估，將使用者數據信息安全泄露風險降到最低。

因此要全面的提升云計算下財務軟件的安全性就必須綜合運用云虛擬化安全、云數據安全、云系統安全所涉及的多種防御機制，協調各個層面的安全技術，不能只投入巨大的財力物力于某一個方面或者依賴于某一個方面，造成其他薄弱環節成為安全的隱患。設計完善的安全方案，再根據企業要求和特點進行靈活配置，又快又好的投入到使用中去。

2.健全云計算財務軟件使用管理

歸根到底，使用者是財務軟件的核心。對于使用者需要進行必要的約束和規范從而將安全隱患降到最低。

使用者從企業自身情況出發，結合所使用財務軟件實際，規范使用，建立一個切實可行的，滿足需求的財務軟件管理措施。對于財務軟件使用者，在上崗前請專業人員進行崗位培訓，培養基本的保密意識、保密手段和職業素養，掌握軟件的安全使用流程；根據不同崗位，分配不同的使用訪問權限以及建立崗位變動后權限的回收制度； 建立物理或電子密鑰，并記錄使用者使用情況，對操作情況進行審計，建立追責機制；充分理清使用者的權限和職責，使用者知曉自己使用造成問題的處置方法……通過對使用者的約束和規范，從源頭上把財務軟件因為人為原因發生問題的幾率降到最低。加強使用者的管理對于云計算下財務軟件的安全有著舉足輕重的意義。

四、結語

云計算下財務軟件的共享數據資源、虛擬化等技術帶來了特有的安全問題，并產生了企業對其安全性的擔憂。 相信隨著科學技術的發展、財務軟件市場經濟下商家的競爭和一系列法規政策的出臺，云計算下的財務軟件產業會變得更加的安全可靠，存在的問題被逐步解決，成為能讓企業信賴的財務管理平臺。讓更多的企業享受到云計算下財務軟件具有的廉價成本與便捷辦公條件。

參考文獻：

[1]陳平，周歡，楊周南.云會計下會計信息安全問題探析[J].會計信息化，2013（9）：28-31.

[2]張玉清，王曉菲，劉玉峰，等.云計算環境安全綜述[J].軟件學報，2016，27（6）：1328-1348.

[3]National Institute of Standards and Technology. The NIST definition of cloud computing. Technical Report， No.800-145， 2011. http：//csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf.

[4]劉會芳.對當前財務軟件的應用及思考[J].經濟，2016（5）：113-114.

[5]張曉寧，孫澤明，董冰，等.財務軟件數據庫安全與審計技術研究[J].智能計算機與應用，2016，6（2）：34-37.

[6]錢金花.會計信息化下財務軟件的特點分析[J]江蘇科技信息，2016，1（3）：61-62.

[7]李曼.云計算與財務信息化應用發展探究[J].農村科技與經濟，2016，27（18）：116.