云環(huán)境下中小企業(yè)會(huì)計(jì)信息安全問題探討

□

（西南科技大學(xué)經(jīng)濟(jì)管理學(xué)院 四川綿陽621000）

隨著我國信息產(chǎn)業(yè)的飛速發(fā)展，越來越多的企業(yè)開展了與信息技術(shù)相關(guān)的變革，中小企業(yè)作為我國企業(yè)的重要組成部分也參與到信息化改革的進(jìn)程中去。目前幾乎所有的中小企業(yè)都面臨著移動(dòng)、互聯(lián)社交和云環(huán)境三種改革。基于云環(huán)境開發(fā)的國內(nèi)中小企業(yè)服務(wù)使用的會(huì)計(jì)信息化軟件可以為企業(yè)帶來極大的便利性，從某種程度上講能有效地促進(jìn)我國中小企業(yè)的信息化變革，但中小企業(yè)財(cái)務(wù)信息化的云環(huán)境開發(fā)同時(shí)也存在諸多信息安全方面的問題，值得我們?nèi)ヌ轿龊脱芯俊?/p>

一、會(huì)計(jì)云計(jì)算

所謂云指的就是后臺(tái)網(wǎng)絡(luò)，云是一種基于網(wǎng)絡(luò)的運(yùn)算方式，采取“云”方式可以實(shí)現(xiàn)共同擁有軟件和硬件等資源和信息的目的，同時(shí)還可以根據(jù)需要向計(jì)算機(jī)和其他設(shè)備提供這些資源。云技術(shù)實(shí)現(xiàn)這種功能的主要技術(shù)手段是依據(jù)網(wǎng)絡(luò)相關(guān)服務(wù)的增加以及使用、交付模式，云技術(shù)所提供的資源一般是動(dòng)態(tài)易擴(kuò)展且具有虛擬化特征的資源。云計(jì)算可以看作是后臺(tái)計(jì)算，是網(wǎng)絡(luò)和互聯(lián)網(wǎng)的一種比喻說法。

當(dāng)前，會(huì)計(jì)云計(jì)算主要有三種實(shí)現(xiàn)方式：一是基礎(chǔ)設(shè)施級(jí)運(yùn)算。它是以數(shù)據(jù)庫和信息系統(tǒng)這些設(shè)備為基礎(chǔ)進(jìn)行的集成操作，基礎(chǔ)設(shè)施服務(wù)的完善依靠的是消費(fèi)者，通過互聯(lián)網(wǎng)這一途徑實(shí)現(xiàn)。二是平臺(tái)級(jí)服務(wù)。平臺(tái)級(jí)服務(wù)的平臺(tái)指的是軟件開發(fā)平臺(tái)，將這一平臺(tái)作為服務(wù)的一種形式。三是軟件級(jí)應(yīng)用。它以互聯(lián)網(wǎng)為平臺(tái)，供應(yīng)商向客戶提供軟件，軟件使用者不需要購買軟件，而是通過租用軟件的形式完成所需的功能。軟件級(jí)應(yīng)用是我國最常見的會(huì)計(jì)云計(jì)算方式。

二、會(huì)計(jì)云計(jì)算下中小企業(yè)信息化優(yōu)勢(shì)

與傳統(tǒng)的信息化模式相比，中小企業(yè)信息化進(jìn)程采用云技術(shù)一般具有兩方面優(yōu)勢(shì)。

（一）降低了在會(huì)計(jì)管理以及信息化處理方面的費(fèi)用

對(duì)于一些中小企業(yè)來說，信息化程度還不是很高，這些企業(yè)采用的服務(wù)器規(guī)模不大并且運(yùn)行慢，整體質(zhì)量低。企業(yè)需要在服務(wù)器維護(hù)上花費(fèi)很多成本。企業(yè)信息化的領(lǐng)域比較局限，僅僅在財(cái)務(wù)、采購、銷售等領(lǐng)域?qū)崿F(xiàn)，以保障企業(yè)必要的信息化管理要求。云會(huì)計(jì)出現(xiàn)以后，對(duì)于中小企業(yè)來說，可以大大降低會(huì)計(jì)成本，中小企業(yè)不用背負(fù)服務(wù)器和信息處理軟件等大投資的成本，而是可以通過租用供應(yīng)商的硬件和軟件，實(shí)現(xiàn)企業(yè)的信息化服務(wù)。中小企業(yè)減少了在信息化處理過程中需要投入的購買硬件和軟件的投資，可以降低企業(yè)經(jīng)營成本。不僅如此，對(duì)于服務(wù)器的維護(hù)以及軟件的升級(jí)等都不需要企業(yè)來考慮，這一部分所花費(fèi)的費(fèi)用也就可以減少，綜合可見，中小企業(yè)使用云會(huì)計(jì)服務(wù)后其信息化處理成本將會(huì)大大降低。

（二）保證了中小企業(yè)會(huì)計(jì)信息化的拓展需求

供應(yīng)商為用戶提供了最專業(yè)的信息處理軟件，并且會(huì)不斷為這些軟件進(jìn)行更新以提供更多功能，使得企業(yè)可以通過供應(yīng)商獲得最先進(jìn)的管理技術(shù)，更加全面、深入地滿足了企業(yè)對(duì)于信息處理的要求，并且還大大降低了中小企業(yè)在會(huì)計(jì)信息化進(jìn)程中的風(fēng)險(xiǎn)。其次，云會(huì)計(jì)的實(shí)現(xiàn)是以云計(jì)算發(fā)展為前提的。中小企業(yè)可以在云空間內(nèi)存儲(chǔ)企業(yè)的財(cái)務(wù)信息，即使中小企業(yè)的規(guī)模擴(kuò)大，財(cái)務(wù)信息不斷增加也不用擔(dān)心其安全性和存儲(chǔ)空間的占用，另外，利用云會(huì)計(jì)技術(shù)，企業(yè)的財(cái)務(wù)信息等還可以同其他企業(yè)以及政府部門共享，發(fā)揮出中小企業(yè)在整個(gè)商業(yè)鏈中的作用，拓展企業(yè)會(huì)計(jì)信息的利用程度。隨著云技術(shù)的不斷發(fā)展，會(huì)計(jì)云計(jì)算會(huì)越來越多的用于企業(yè)的會(huì)計(jì)核算，而且云技術(shù)提供的會(huì)計(jì)信息可以共享到企業(yè)的各個(gè)領(lǐng)域，這大大提高了會(huì)計(jì)信息的使用價(jià)值。

三、會(huì)計(jì)云計(jì)算下中小企業(yè)的信息安全問題

從現(xiàn)實(shí)情況來看，云技術(shù)確實(shí)使得中小企業(yè)的信息化進(jìn)程得以提升，但是同時(shí)也帶來了不可避免的安全問題，因?yàn)榇鎯?chǔ)在云端的企業(yè)財(cái)務(wù)信息不同于保留在企業(yè)內(nèi)部的信息那樣不容易被挪用，相反，在云端的信息由于其開放性以及傳輸?shù)目焖傩院苋菀妆徽{(diào)用，在企業(yè)進(jìn)行會(huì)計(jì)運(yùn)算時(shí)需要將大量企業(yè)信息上傳到服務(wù)器，雖然云會(huì)計(jì)的服務(wù)提供商有嚴(yán)格的信息安全管理機(jī)制，但是在巨大的利益面前，這些信息的安全性勢(shì)必會(huì)減弱。

（一）會(huì)計(jì)信息的存儲(chǔ)安全及其問題

中小企業(yè)將企業(yè)的會(huì)計(jì)信息存儲(chǔ)在云端非常的方便快捷，在中小企業(yè)需要這些會(huì)計(jì)信息時(shí)還可以很快地從服務(wù)器中把信息調(diào)用出來。但是，只要企業(yè)的信息傳輸?shù)皆贫耍湮恢帽悴皇枪潭ǖ?，而是被供?yīng)商分布存儲(chǔ)。用戶并不清楚會(huì)計(jì)的具體存儲(chǔ)位置，而云會(huì)計(jì)的服務(wù)提供商如果擅自違法利用某些特殊的權(quán)限會(huì)給中小企業(yè)帶來不良的后果，如果存儲(chǔ)安全制度不完善，存儲(chǔ)在云端的信息就很容易被盜走，勢(shì)必造成很大的安全隱患。這就使得存儲(chǔ)在云端的會(huì)計(jì)信息急需解決數(shù)據(jù)的完整性、機(jī)密性以及安全性等重要問題。保障會(huì)計(jì)信息安全的最常用的做法是采用數(shù)據(jù)加密的方式。為了確保會(huì)計(jì)信息的安全，必須采用可靠的會(huì)計(jì)信息數(shù)據(jù)加密算法，這必須考慮到算法的先進(jìn)性以及經(jīng)濟(jì)性。但云會(huì)計(jì)技術(shù)的使用者在信息處理和加密等技術(shù)上并不熟悉，所以不能夠獨(dú)自完成加密工作，需要供應(yīng)商提供服務(wù)支持，但云會(huì)計(jì)服務(wù)提供商面臨的客戶量十分巨大，這就需要為大量的用戶提供各種加密算法，這大大增加了云會(huì)計(jì)服務(wù)商提供安全管理的難度。由于云會(huì)計(jì)服務(wù)提供商管理難度的加大，會(huì)導(dǎo)致人員配置的增多，再加上因特網(wǎng)的開放性，難免會(huì)出現(xiàn)一些新的問題。由于云會(huì)計(jì)服務(wù)提供商出于自身利益或者其他原因，有意或者無意地泄露了一些企業(yè)的機(jī)密信息，或者一些網(wǎng)絡(luò)黑客侵入到服務(wù)器中，通過病毒或者其他的盜取軟件從服務(wù)器中盜取到競爭對(duì)手的商業(yè)機(jī)密，這些都會(huì)對(duì)企業(yè)的經(jīng)營造成嚴(yán)重的損失，使得企業(yè)的發(fā)展受制于人。

（二）會(huì)計(jì)信息的傳輸

傳統(tǒng)會(huì)計(jì)信息技術(shù)管理下，企業(yè)在傳輸內(nèi)部會(huì)計(jì)信息時(shí)，往往不需要對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密，雖然有時(shí)也做一些必要的加密，但是總體來說十分安全，但是在云會(huì)計(jì)下，信息需要傳輸?shù)骄W(wǎng)絡(luò)，在傳輸過程中，更需要注意信息的安全問題，一是需要保證傳輸?shù)皆贫说男畔⒌耐暾?，防止信息丟失，二是需要保證信息的安全性，防止被盜走。在這種情況下，云服務(wù)供應(yīng)商要研究開發(fā)和使用更加復(fù)雜的加密算法，還要特別注意防止企業(yè)的會(huì)計(jì)信息泄露給沒有經(jīng)過授權(quán)的用戶，而企業(yè)也要根據(jù)需要在傳輸協(xié)議中加強(qiáng)對(duì)會(huì)計(jì)信息工作完整性的校驗(yàn)。會(huì)計(jì)信息的傳輸必須依賴于互聯(lián)網(wǎng)，但信息傳輸?shù)妮d體會(huì)不斷的變化，近幾年來手機(jī)、ipad等都成為信息傳遞的載體，這使得信息流動(dòng)的載體的確認(rèn)手段也必須豐富多樣。而在云服務(wù)提供商進(jìn)行數(shù)據(jù)交換時(shí)，有時(shí)競爭對(duì)手會(huì)截取競爭企業(yè)的會(huì)計(jì)信息，然后做一些手腳，信息在網(wǎng)絡(luò)上傳輸也隨時(shí)會(huì)留下痕跡和信息記錄，黑客等技術(shù)人員就是利用這些蛛絲馬跡來獲取競爭對(duì)手的信息，正是由于這些情況的出現(xiàn)，使得應(yīng)用云會(huì)計(jì)時(shí)的安全問題值得深思并找到解決之道。

（三）會(huì)計(jì)信息的使用

會(huì)計(jì)信息可以說是企業(yè)商業(yè)機(jī)密的集中地，一般只有企業(yè)的管理者以及財(cái)務(wù)人員才能接觸到企業(yè)財(cái)務(wù)信息。這是因?yàn)樵跁?huì)計(jì)信息的使用環(huán)節(jié)若出現(xiàn)了重大問題，則會(huì)對(duì)企業(yè)產(chǎn)生致命的影響，甚至?xí)?dǎo)致企業(yè)的破產(chǎn)和倒閉。因此，云環(huán)境下，會(huì)計(jì)信息的安全防護(hù)非常重要，服務(wù)商必須做到萬無一失，從而解決客戶對(duì)系統(tǒng)安全性的擔(dān)心。而云會(huì)計(jì)的服務(wù)提供商還要保證企業(yè)存放的會(huì)計(jì)信息的安全性并防止信息的泄漏，這些都是使用云會(huì)計(jì)服務(wù)提供商和中小企業(yè)亟待解決的問題。企業(yè)的財(cái)務(wù)人員并不具備使用財(cái)務(wù)信息處理系統(tǒng)的保密常識(shí)，并且其保密意識(shí)往往也很低，而相關(guān)的操作人員在工作中會(huì)出現(xiàn)人員和機(jī)器的分離，還有些企業(yè)出于方便用戶的目的，將賬號(hào)密碼設(shè)置簡化、操作權(quán)限設(shè)置不當(dāng)?shù)?，?dǎo)致會(huì)計(jì)信息在使用過程中存在重大安全風(fēng)險(xiǎn)。

由于會(huì)計(jì)的云計(jì)算模式，很多企業(yè)的信息儲(chǔ)存在同一個(gè)位置的情況并不罕見，企業(yè)的會(huì)計(jì)信息具有核心機(jī)密性，絕大多數(shù)的中小企業(yè)都會(huì)擔(dān)心會(huì)計(jì)信息的安全，而且出于防范意識(shí)更是會(huì)擔(dān)心自己的機(jī)密信息被別人知道。在云會(huì)計(jì)系統(tǒng)中，從上傳到存儲(chǔ)再到提取會(huì)涉及到種種安全問題。這些安全問題如果想要解決，只能依靠供應(yīng)商的不斷壯大，其安全技術(shù)的不斷提升以及所提供的軟件的不斷更新。一旦企業(yè)會(huì)計(jì)信息數(shù)據(jù)的動(dòng)態(tài)調(diào)整成為常態(tài)，中小企業(yè)在選擇云會(huì)計(jì)時(shí)必須考慮提供商如何保證企業(yè)數(shù)據(jù)遷移、傳輸?shù)耐暾砸约皽?zhǔn)確性。

四、云計(jì)算下中小企業(yè)會(huì)計(jì)信息安全的策略選擇

中小企業(yè)信息安全政策需要根據(jù)云環(huán)境的特點(diǎn)制定，從云技術(shù)本身、中小企業(yè)信息化管理以及云會(huì)計(jì)服務(wù)供應(yīng)商三個(gè)角度入手。

（一）云技術(shù)本身

云技術(shù)本身就具有安全防范的功能，云技術(shù)可以對(duì)訪問者的身份進(jìn)行認(rèn)證和管理，還要加強(qiáng)電子密鑰的管理技術(shù)，對(duì)企業(yè)存放于云中的會(huì)計(jì)信息數(shù)據(jù)進(jìn)行加密，并由企業(yè)掌握算法的密鑰，有效防止服務(wù)商和未授權(quán)用戶訪問數(shù)據(jù)。還要利用虛擬機(jī)對(duì)信息安全進(jìn)行保護(hù)，由各類服務(wù)商提供服務(wù)器，對(duì)黑客、惡意軟件的入侵進(jìn)行不間斷地檢測(cè)和防御，構(gòu)建中小企業(yè)的虛擬化的安全網(wǎng)關(guān)。

（二）中小企業(yè)信息化管理

云會(huì)計(jì)服務(wù)提供商自身的技術(shù)水平會(huì)給中小企業(yè)會(huì)計(jì)信息安全帶來風(fēng)險(xiǎn)以外，本企業(yè)的非授權(quán)員工在工作過程或多或少也會(huì)出現(xiàn)各種錯(cuò)誤操作，這都會(huì)導(dǎo)致企業(yè)的會(huì)計(jì)信息安全受到威脅。企業(yè)在內(nèi)部管理和內(nèi)部控制過程中，必須要加強(qiáng)對(duì)員工在云會(huì)計(jì)系統(tǒng)中權(quán)限的管理，只有部門的核心領(lǐng)導(dǎo)才有權(quán)對(duì)云系統(tǒng)中每個(gè)賬號(hào)的權(quán)限進(jìn)行開通、變更以及刪除。中小企業(yè)在與供應(yīng)商達(dá)成安全協(xié)議時(shí)，要注意對(duì)于企業(yè)的賬號(hào)密碼等信息的審閱權(quán)利，供應(yīng)商應(yīng)該記錄下公司每個(gè)賬號(hào)的動(dòng)用情況，并交給公司的管理者。這樣可以保證權(quán)限不被濫用，避免了本企業(yè)的非授權(quán)員工泄露或破壞企業(yè)內(nèi)部的會(huì)計(jì)信息。

想要解決云會(huì)計(jì)的信息安全問題，需要從多個(gè)方面著手，首先是硬件，比如服務(wù)器硬件和存儲(chǔ)設(shè)備，然后是軟件系統(tǒng)的安全，信息化安全管理系統(tǒng)的建立應(yīng)該是每個(gè)企業(yè)根據(jù)自身特點(diǎn)而形成的，除了企業(yè)需要建立自身的安全管理系統(tǒng)外，云會(huì)計(jì)服務(wù)的提供商更應(yīng)著重保護(hù)用戶的信息安全。中小企業(yè)作為云會(huì)計(jì)技術(shù)的使用客戶，在眾多的信息安全問題中，絕大部分安全風(fēng)險(xiǎn)都是用戶的風(fēng)險(xiǎn)防范意識(shí)差造成，必須加強(qiáng)用戶的安全管理意識(shí)，這對(duì)于會(huì)計(jì)信息的安全保障是十分重要的。用戶的安全管理包括用戶的權(quán)限管理以及用戶授權(quán)審批與控制的各個(gè)流程。企業(yè)內(nèi)部不同崗位都應(yīng)有不同的云會(huì)計(jì)操作權(quán)限以保證信息的安全，當(dāng)該用戶的崗位職責(zé)權(quán)限發(fā)生變化時(shí)，必須迅速調(diào)整權(quán)限。還有，企業(yè)的各個(gè)賬戶和密碼都應(yīng)該加以保護(hù)，尤其是對(duì)于企業(yè)的員工來說，一定要有很好的保密意識(shí)，這就需要企業(yè)進(jìn)行培訓(xùn)，不泄漏密碼給任何人。企業(yè)要按照用戶安全管理的要求進(jìn)行檢查以及審核。企業(yè)必須根據(jù)會(huì)計(jì)信息的安全性規(guī)定，通過建立信息安全管理體系，規(guī)定好每個(gè)用戶的操作權(quán)限，以及安全的操作流程，通過體系和制度對(duì)安全操作加以規(guī)定和約束。企業(yè)還要完善對(duì)各用戶的會(huì)計(jì)信息系統(tǒng)以及操作行為的操作備忘，要詳細(xì)記錄使用會(huì)計(jì)信息系統(tǒng)的人員名單、操作時(shí)間、操作范圍、操作功能、涉及的信息等內(nèi)容。為防止用戶的錯(cuò)誤操作，中小企業(yè)的會(huì)計(jì)信息系統(tǒng)必須對(duì)用戶的操作行為進(jìn)行不間斷的審計(jì)和監(jiān)控，當(dāng)會(huì)計(jì)信息出現(xiàn)安全風(fēng)險(xiǎn)和事故時(shí)追求法律責(zé)任的有效證據(jù)。

（三）云會(huì)計(jì)服務(wù)供應(yīng)商

對(duì)于云會(huì)計(jì)服務(wù)的供應(yīng)商必須做好信息系統(tǒng)的數(shù)據(jù)備份工作，備份可以增加一份，比如既要有一個(gè)日常的備份，還要增加一個(gè)異地的備份，一式兩份可以保證當(dāng)一份數(shù)據(jù)出現(xiàn)問題時(shí)可以調(diào)用另一份數(shù)據(jù)，不至于丟失重要的數(shù)據(jù)，從而導(dǎo)致?lián)p失。

定期地進(jìn)行數(shù)據(jù)的恢復(fù)性測(cè)試非常重要，所以云技術(shù)服務(wù)供應(yīng)商還要根據(jù)情況建立完善的數(shù)據(jù)恢復(fù)性測(cè)試制度，并需要書面記錄其測(cè)試結(jié)果，通過測(cè)試減少應(yīng)急狀態(tài)下，處理突發(fā)事故的失誤，增強(qiáng)數(shù)據(jù)的安全性，保證用戶正常業(yè)務(wù)的有效進(jìn)行。

會(huì)計(jì)信息的安全絕大程度上決定于會(huì)計(jì)信息系統(tǒng)的安全性，而會(huì)計(jì)信息的安全性又與會(huì)計(jì)信息系統(tǒng)的功能以及會(huì)計(jì)信息系統(tǒng)的可信性密切相關(guān)。從現(xiàn)實(shí)情況來看，單純由供應(yīng)商提供安全防護(hù)以及企業(yè)自身提高安全意識(shí)并不能滿足對(duì)安全的需求，需要國家相關(guān)安全部門的介入，通過安全部門將各大供應(yīng)商在安全防護(hù)方面的優(yōu)勢(shì)加以融合，從而提出更具有針對(duì)性的安全防護(hù)措施，通過各大系統(tǒng)聯(lián)合對(duì)付安全漏洞來解決一些難以攻克的安全難題。

會(huì)計(jì)信息是組成會(huì)計(jì)信息系統(tǒng)的主要單位，這要求中小企業(yè)必須對(duì)云服務(wù)提供的會(huì)計(jì)信息有充足的信任，否則會(huì)計(jì)信息的安全性也就無從談起。也就是說必須先增加客戶對(duì)會(huì)計(jì)信息系統(tǒng)的信任程度，只有客戶充分的信任云會(huì)計(jì)系統(tǒng)，其可靠性才會(huì)更高，客戶的信任程度指的就是客戶在應(yīng)用供應(yīng)商提供的云服務(wù)時(shí)對(duì)這一系統(tǒng)的主觀感受，往往有很多因素決定了客戶的使用感受，比如客戶在使用軟件時(shí)，軟件所表現(xiàn)出的專業(yè)性、可靠性、可用性等等。而安全性、實(shí)時(shí)性、可維護(hù)性以及可用性這些都屬于可信性的范圍。

企業(yè)選擇好供應(yīng)商提供的信息處理系統(tǒng)之后，會(huì)查看這一系統(tǒng)所表現(xiàn)出的可信屬性，如果這一系統(tǒng)可以實(shí)現(xiàn)企業(yè)需要實(shí)現(xiàn)的工作任務(wù)，那么其可信性就高，當(dāng)客戶定制完需要的功能，供應(yīng)商提供了相應(yīng)的系統(tǒng)時(shí)，需要對(duì)這一系統(tǒng)進(jìn)行可行性的評(píng)估，以保證系統(tǒng)的可信性達(dá)標(biāo)。

綜上可以看出，信息技術(shù)的發(fā)展是二十一世紀(jì)最偉大的進(jìn)步，它影響到了生活的方方面面，作為時(shí)代發(fā)展的一大趨勢(shì)，企業(yè)以及服務(wù)供應(yīng)商和國家相關(guān)部門必須聯(lián)合起來，為了保障整個(gè)經(jīng)濟(jì)社會(huì)的信息安全而共同努力，保證企業(yè)能夠在安全的信息環(huán)境中持續(xù)、穩(wěn)定經(jīng)營發(fā)展。