云计算下的财务软件安全问题初探

中图分类号:Tp311 文献识别码:A 文章编号:1001-828X(2017)009-0-02

Under the Cloud of Financial Software Security Issues

Su Xiao-guang

(1.Department of Equipment Economy and Management, National Navy University, WuHan 430033, China)

Abstract: The popularization of the financial software in a cloud computing platform development also faces the problem of information security.On cloud computing with the safety status of accounting software, on the basis of cloud computing is analyzed from the Angle of technology, data storage, transmission, facing financial software and system security problems, and put forward to solve the problems that exists in the development of cloud computing cloud computing technology and sound financial information security software using the management's advice.

Key words: Cloud computing; Financial software; Financial security

一、引言

最近十?啄昀此孀呕チ?网技术的发展与普及,互联网改变了社会生活的方方面面,各行各业。数据获取也因为信息技术的发展变得容易,从pC终端到移动通信终端,数据积累量远远超过了人类以往的任何时期,数据规模以pB为单位进行衡量计算。财务数据的获取、共享变得容易的同时,财务数据的规模、处理和安全等问题也逐渐凸显。财务软件的大量应用使系统性能有了较大飞跃,有效提高了整体系统的精确性、灵活性和快速反应能力。在大型跨国企业贸易频繁、数据量巨大的今天,财务软件不仅仅是在本地内部局域网电脑上安装使用,更是在向云计算的财务软件快速发展。云计算下的财务服务以其低成本、按需付费、数据交流便捷等特点得到了许多企业的使用[1]。

在互联网平台下的财务软件可以使财务统一管理,各地数据及时共享,即时的分析数据给企业提供规避风险的指导……这些优点是以往的终端设备上财务软件无法做到的。

云计算下的财务软件在开放且动态的环境中运行。在利用云技术便捷的同时,也面临着不可控和不确定性的风险,无论是非人为因素造成的故障、错误、意外损害以及人为因素方面的黑客入侵、操作错误等都将对企业造成巨大财产损失[2]。其中云计算下财务软件如何确保用户隐私、商业数据安全、数据库数据备份安全以及有效地访问控制等方面是必须解决的问题。

云计算下的财务软件能否安全稳定的运行,同时给企业提供安全的服务,即财务软件安全性问题成为人们关心的焦点。关于财务软件安全性标准,尤其是新环境下以云计算为依托发展起来的国内财务软件至今仍没有一个统一的行业标准。在一些军队、国有企事业部门采购的财务软件通常采用《软件可靠性和安全性设计准则》GJB/Z 102 97和《信息技术软件安全保障规范》GB/T 30998-2014等进行制定验收测试指标。然而在云计算环境下,由于财务软件开发环境变化,必然对软件测试带来一定程度的变化,软件测试重点也应做出相对应的调整。软件测试不仅需要关注传统的软件质量,而且还需考虑到云计算环境新的质量要求,如软件动态环境下运行能力、安全可信性等。因此制定的测试方法面对在日益发展的互联网环境需要不断更新向前发展。云计算下的财务软件安全问题已引起学术界的普遍关注,多从法规标准制定等宏观方面提出了建议和措施,但是从云环境的技术层面探讨的较少,基于此背景,本文主要从技术层面对财务软件的安全性进行探讨,希望能对云计算下财务软件的安全问题提供解决参考。

二、云计算下财务软件的安全分析

关于云计算的定义,目前普遍采用的是美国国家标准与技术研究院(NIST)的定义[3]:云计算是一种按使用量付费的模式,这种模式提供可用的、便捷的、按需的网络访问, 进入可配置的计算资源共享池(资源包括网络、服务器、存储、应用软件和服务),这些资源能够被快速提供,只需投入很少的管理工作,或与服务供应商进行很少的交互。

由此可见,云计算环境天然的会存在数据依靠风险大的互联网通信和云存储服务器。云计算自身的结构特点是引起安全问题的主要原因。基于云计算下的财务软件也不可避免的面临云计算方面的安全问题。目前典型的集团公司都有公司内部各部门之间、分公司之间、企业与客户之间、企业与供应商之间、企业与金融集团之间财务往来账数量频繁、数据量巨大等特点,有一环出现问题都会造成不可预计的损失。除了传统财务软件的特殊性和专业性,其在云环境下还面临着其他一些新的风险[4]。对于云计算下的财务软件的安全性是关心的重中之重。 1.财务数据存储安全

财务数据的云存储是基于云计算平台,通过将网络中可以利用的存储设备进行整合后对财务的数据进行存储和访问读取。云计算平台是借助云虚拟化(cloud virtualization)对存储设备进行整合实现的。云计算虚拟化是通过编写的软件程序将物理的计算设备划分为一个或多个虚拟机(virtual machine,即VM),用户通过调用这些可以使用的虚拟机进行计算任务。云存储这种外包模式的方式本身就存在着许多不安全因素。首先云存储也是基于现在的计算机技术进行分布式的整合,现有的计算机漏洞也会完全的移植到云端上。其次这种云计算模式下,使用者对于私有数据的控制权和所有权不可避免的造成了分离,因为云存储的数据是在不同物理设备之间共享的基础上实现的。

依托云服务的软件数据库因为事故导致的数据缺失将会对客户造成巨大损失,如国际互联网巨头谷歌公司在2012年就曾造成众多Gmail邮箱账号被删除,大面积数据丢失的事故。甚至有些服务提供商为了声誉会故意隐瞒数据的丢失等情况发生。由于现在商业的发展,财务数据规模和数据交换、分析,对于云存储的财务数据的存储管理显得尤为重要。然而云存储服务面临的数据规模越来越庞大,对于分散于各处读取财务数据再汇总存储数据存储的完整性也存在着许多困难去进行验证[5]。例如现实中大型集团企业的财务系统中单个表中记录条数就超过上亿条,所有的财务数据集中在一起存储在云端中,这些海量的数据确保完整的存储和不丢失是很难进行验证的。

2.财务数据传输安全

使用者将属于商业机密的财务数据存储到公有云服务器,数据的机密性非常容易遭受到内外部的入侵威胁[6]。数据在云计算平台中访问的授权、认证、访问认可、审计追踪,即访问控制(access control)需要严格的安全认证。除云端与终端设备的连接外,还要考虑用户与云端的连接安全。为确保使用者的数据在传输与存储过程中的财务信息安全,财务数据在传输过程中通常是对上传到数据提前进行加密处理后再上?髦练?务器,在需要访问读取时再通过解密算法解密后读取。加密技术主要由算法和密钥组成。现阶段国内常用的数据加密算法分为:对称加密和非对称加密两种类型。目前的做法通常是在数据上传到云计算平台前预先进行加密处理,在数据需要被调用时再由使用者进行逆向的解密。目前云数据在传输共享中通常采用的代理重加密算法或属性加密算法。这两种算法都有各自的优点,但是在实际中还是会存在着漏洞,造成信息泄露的潜在危险。

此外,数据在传输过程中也存在着完整性验证的问题。

3.财务数据使用安全

财务数据对于一个企业来说,其重要性毋庸置疑。由于其机密性,财务数据访问权的使用者严格限定在财务部门及相关人员。由于云计算的特殊性,财务软件数据的访问首先需要对使用者身份进行确认。使用者需要在不同地点、终端和时间进行财务数据的上传和访问,客观上造成信息密码外泄的几率大大增加。使用者对财务数据进行有意或无意的删改,数据恢复和同步是需要考虑的问题[7]。对于使用者访问权限的管理、防止权限被非法获取、客服权限对数据访问的意外或故意造成的冲突等权限管理机制的普遍性问题可以结合一些动态的访问控制模型来加以解决,如动态口令、物理密钥、电子密钥等方式,根据用户实际情况灵活制定安全策略。

目前云计算服务大多属于商业运作,云服务的提供者存在于私人机构中,如谷歌、亚马逊、微软等知名互联网企业,因此存在着无论技术多先进,财务信息都不可避免的会在云计算服务机构的掌控中。当这些信息被云计算服务提供方内部人员非法掌握后,对企业的在金融等市场方面将会带来巨大的影响。因此对于云计算平台的选择和第三方监管是需要考虑到的一个前提。

4.财务软件系统安全

财务软件在程序的编写上需要考虑到多种情况。如我国和其他国家在财务、税收上政策的差异性,跨国公司等大型企业涉及外汇业务的管理,企业内各部门财务数据接口灵活性、软件容错性、财务软件和金融集体数据交换的高效性以及面对行业复杂的业务需求的扩展性,在这一些列的要求下,软件的必须经过不断更新,及时发现程序漏洞或问题,及时补丁确保财务软件系统的安全性。在大型集团企业中,财务数据量巨大,保证数据在软件中能够完整保存、备份、访问,同时能够快速准确的将整个数据通过设定的算法直观的把趋势和财务状态显示出来,对于财务软件本身的数据库数据处理能力和分析能力是极大的考验。同时,目前财务软件行业存在着使用者财务人员对于财务法规和行业规范熟悉却不了解编程;许多程序员熟悉精通软件编写但是对于财会的规范比较陌生,因此会造成编写的财务软件存在着一定程度上的不合理性和一些算法上的问题。

云计算下财务软件的界面操作系统、数据传输协议、数据库管理系统等方面存在着基于网络协议的漏洞,如果遭到攻击将会不可避免的造成财务软件系统信息泄露甚至篡改。因此财务软件要有自身的防御考虑,加大对软件静态和动态环境下的缺陷预测,做好全面的测试。

三、财务软件系统建议

云计算下的财务软件系统其本质也属于云应用。最大限度的解决云计算下财务软件安全的问题,首先需要解决云计算本身的安全问题,可以分别从技术层面和法规管理两方面出发,完善财务软件的漏洞和改进存在的隐患,发挥出云计算下低价格、高灵活的技术优势,克服安全问题带来的发展限制,让更多的企业能够放心的使用。

1.发展云计算信息安全技术

科技在不断的向前发展,现有的技术手段也面临着不断落后的危机。具体云计算的安全包含以下三个方面:云虚拟化安全、云数据安全和云系统安全。因此对于云计算下的财务软件平台从数据的存储、数据的传输、访问控制、权限管理等方面出发,加大对软件和硬件安全研究的投入,将最新的研究成果迅速转化为成果,如最新的量子计算机加密技术等。

云虚拟化安全:云虚拟化是云计算的核心,它的安全与否具有重要的意义。要解决云虚拟化安全问题就必须及时掌握现在国内外最新的攻击和防御技术,做好软件和硬件上的技术更新准备。 云数据安全:财务数据的数量大、交换频繁等特点,因此在数据共享算法、访问控制技术、加密技术等方面做到使用先进灵活的方式,针对企业需求特点进行合理选择,通过合理的搭配防御技术,把单一防御技术的短板进行弥补。

云系统安全:充分考虑到现有技术下的防御和攻击技术,针对攻击技术做好应对措施,同时根据财务软件数据特点,做好系统的安全风险评估,将使用者数据信息安全泄露风险降到最低。

因此要全面的提升云计算下财务软件的安全性就必须综合运用云虚拟化安全、云数据安全、云系统安全所涉及的多种防御机制,协调各个层面的安全技术,不能只投入巨大的财力物力于某一个方面或者依赖于某一个方面,造成其他薄弱环节成为安全的隐患。设计完善的安全方案,再根据企业要求和特点进行灵活配置,又快又好的投入到使用中去。

2.健全云计算财务软件使用管理

归根到底,使用者是财务软件的核心。对于使用者需要进行必要的约束和规范从而将安全隐患降到最低。

使用者从企业自身情况出发,结合所使用财务软件实际,规范使用,建立一个切实可行的,满足需求的财务软件管理措施。对于财务软件使用者,在上岗前请专业人员进行岗位培训,培养基本的保密意识、保密手段和职业素养,掌握软件的安全使用流程;根据不同岗位,分配不同的使用访问权限以及建立岗位变动后权限的回收制度; 建立物理或电子密钥,并记录使用者使用情况,对操作情况进行审计,建立追责机制;充分理清使用者的权限和职责,使用者知晓自己使用造成问题的处置方法……通过对使用者的约束和规范,从源头上把财务软件因为人为原因发生问题的几率降到最低。加强使用者的管理对于云计算下财务软件的安全有着举足轻重的意义。

四、结语

云计算下财务软件的共享数据资源、虚拟化等技术带来了特有的安全问题,并产生了企业对其安全性的担忧。 相信随着科学技术的发展、财务软件市场经济下商家的竞争和一系列法规政策的出台,云计算下的财务软件产业会变得更加的安全可靠,存在的问题被逐步解决,成为能让企业信赖的财务管理平台。让更多的企业享受到云计算下财务软件具有的廉价成本与便捷办公条件。