云環(huán)境下中小企業(yè)會計信息安全問題探討

□

（西南科技大學經濟管理學院 四川綿陽621000）

隨著我國信息產業(yè)的飛速發(fā)展，越來越多的企業(yè)開展了與信息技術相關的變革，中小企業(yè)作為我國企業(yè)的重要組成部分也參與到信息化改革的進程中去。目前幾乎所有的中小企業(yè)都面臨著移動、互聯社交和云環(huán)境三種改革。基于云環(huán)境開發(fā)的國內中小企業(yè)服務使用的會計信息化軟件可以為企業(yè)帶來極大的便利性，從某種程度上講能有效地促進我國中小企業(yè)的信息化變革，但中小企業(yè)財務信息化的云環(huán)境開發(fā)同時也存在諸多信息安全方面的問題，值得我們去探析和研究。

一、會計云計算

所謂云指的就是后臺網絡，云是一種基于網絡的運算方式，采取“云”方式可以實現共同擁有軟件和硬件等資源和信息的目的，同時還可以根據需要向計算機和其他設備提供這些資源。云技術實現這種功能的主要技術手段是依據網絡相關服務的增加以及使用、交付模式，云技術所提供的資源一般是動態(tài)易擴展且具有虛擬化特征的資源。云計算可以看作是后臺計算，是網絡和互聯網的一種比喻說法。

當前，會計云計算主要有三種實現方式：一是基礎設施級運算。它是以數據庫和信息系統這些設備為基礎進行的集成操作，基礎設施服務的完善依靠的是消費者，通過互聯網這一途徑實現。二是平臺級服務。平臺級服務的平臺指的是軟件開發(fā)平臺，將這一平臺作為服務的一種形式。三是軟件級應用。它以互聯網為平臺，供應商向客戶提供軟件，軟件使用者不需要購買軟件，而是通過租用軟件的形式完成所需的功能。軟件級應用是我國最常見的會計云計算方式。

二、會計云計算下中小企業(yè)信息化優(yōu)勢

與傳統的信息化模式相比，中小企業(yè)信息化進程采用云技術一般具有兩方面優(yōu)勢。

（一）降低了在會計管理以及信息化處理方面的費用

對于一些中小企業(yè)來說，信息化程度還不是很高，這些企業(yè)采用的服務器規(guī)模不大并且運行慢，整體質量低。企業(yè)需要在服務器維護上花費很多成本。企業(yè)信息化的領域比較局限，僅僅在財務、采購、銷售等領域實現，以保障企業(yè)必要的信息化管理要求。云會計出現以后，對于中小企業(yè)來說，可以大大降低會計成本，中小企業(yè)不用背負服務器和信息處理軟件等大投資的成本，而是可以通過租用供應商的硬件和軟件，實現企業(yè)的信息化服務。中小企業(yè)減少了在信息化處理過程中需要投入的購買硬件和軟件的投資，可以降低企業(yè)經營成本。不僅如此，對于服務器的維護以及軟件的升級等都不需要企業(yè)來考慮，這一部分所花費的費用也就可以減少，綜合可見，中小企業(yè)使用云會計服務后其信息化處理成本將會大大降低。

（二）保證了中小企業(yè)會計信息化的拓展需求

供應商為用戶提供了最專業(yè)的信息處理軟件，并且會不斷為這些軟件進行更新以提供更多功能，使得企業(yè)可以通過供應商獲得最先進的管理技術，更加全面、深入地滿足了企業(yè)對于信息處理的要求，并且還大大降低了中小企業(yè)在會計信息化進程中的風險。其次，云會計的實現是以云計算發(fā)展為前提的。中小企業(yè)可以在云空間內存儲企業(yè)的財務信息，即使中小企業(yè)的規(guī)模擴大，財務信息不斷增加也不用擔心其安全性和存儲空間的占用，另外，利用云會計技術，企業(yè)的財務信息等還可以同其他企業(yè)以及政府部門共享，發(fā)揮出中小企業(yè)在整個商業(yè)鏈中的作用，拓展企業(yè)會計信息的利用程度。隨著云技術的不斷發(fā)展，會計云計算會越來越多的用于企業(yè)的會計核算，而且云技術提供的會計信息可以共享到企業(yè)的各個領域，這大大提高了會計信息的使用價值。

三、會計云計算下中小企業(yè)的信息安全問題

從現實情況來看，云技術確實使得中小企業(yè)的信息化進程得以提升，但是同時也帶來了不可避免的安全問題，因為存儲在云端的企業(yè)財務信息不同于保留在企業(yè)內部的信息那樣不容易被挪用，相反，在云端的信息由于其開放性以及傳輸的快速性很容易被調用，在企業(yè)進行會計運算時需要將大量企業(yè)信息上傳到服務器，雖然云會計的服務提供商有嚴格的信息安全管理機制，但是在巨大的利益面前，這些信息的安全性勢必會減弱。

（一）會計信息的存儲安全及其問題

中小企業(yè)將企業(yè)的會計信息存儲在云端非常的方便快捷，在中小企業(yè)需要這些會計信息時還可以很快地從服務器中把信息調用出來。但是，只要企業(yè)的信息傳輸到云端，其位置便不是固定的，而是被供應商分布存儲。用戶并不清楚會計的具體存儲位置，而云會計的服務提供商如果擅自違法利用某些特殊的權限會給中小企業(yè)帶來不良的后果，如果存儲安全制度不完善，存儲在云端的信息就很容易被盜走，勢必造成很大的安全隱患。這就使得存儲在云端的會計信息急需解決數據的完整性、機密性以及安全性等重要問題。保障會計信息安全的最常用的做法是采用數據加密的方式。為了確保會計信息的安全，必須采用可靠的會計信息數據加密算法，這必須考慮到算法的先進性以及經濟性。但云會計技術的使用者在信息處理和加密等技術上并不熟悉，所以不能夠獨自完成加密工作，需要供應商提供服務支持，但云會計服務提供商面臨的客戶量十分巨大，這就需要為大量的用戶提供各種加密算法，這大大增加了云會計服務商提供安全管理的難度。由于云會計服務提供商管理難度的加大，會導致人員配置的增多，再加上因特網的開放性，難免會出現一些新的問題。由于云會計服務提供商出于自身利益或者其他原因，有意或者無意地泄露了一些企業(yè)的機密信息，或者一些網絡黑客侵入到服務器中，通過病毒或者其他的盜取軟件從服務器中盜取到競爭對手的商業(yè)機密，這些都會對企業(yè)的經營造成嚴重的損失，使得企業(yè)的發(fā)展受制于人。

（二）會計信息的傳輸

傳統會計信息技術管理下，企業(yè)在傳輸內部會計信息時，往往不需要對傳輸的數據進行加密，雖然有時也做一些必要的加密，但是總體來說十分安全，但是在云會計下，信息需要傳輸到網絡，在傳輸過程中，更需要注意信息的安全問題，一是需要保證傳輸到云端的信息的完整性，防止信息丟失，二是需要保證信息的安全性，防止被盜走。在這種情況下，云服務供應商要研究開發(fā)和使用更加復雜的加密算法，還要特別注意防止企業(yè)的會計信息泄露給沒有經過授權的用戶，而企業(yè)也要根據需要在傳輸協議中加強對會計信息工作完整性的校驗。會計信息的傳輸必須依賴于互聯網，但信息傳輸的載體會不斷的變化，近幾年來手機、ipad等都成為信息傳遞的載體，這使得信息流動的載體的確認手段也必須豐富多樣。而在云服務提供商進行數據交換時，有時競爭對手會截取競爭企業(yè)的會計信息，然后做一些手腳，信息在網絡上傳輸也隨時會留下痕跡和信息記錄，黑客等技術人員就是利用這些蛛絲馬跡來獲取競爭對手的信息，正是由于這些情況的出現，使得應用云會計時的安全問題值得深思并找到解決之道。

（三）會計信息的使用

會計信息可以說是企業(yè)商業(yè)機密的集中地，一般只有企業(yè)的管理者以及財務人員才能接觸到企業(yè)財務信息。這是因為在會計信息的使用環(huán)節(jié)若出現了重大問題，則會對企業(yè)產生致命的影響，甚至會導致企業(yè)的破產和倒閉。因此，云環(huán)境下，會計信息的安全防護非常重要，服務商必須做到萬無一失，從而解決客戶對系統安全性的擔心。而云會計的服務提供商還要保證企業(yè)存放的會計信息的安全性并防止信息的泄漏，這些都是使用云會計服務提供商和中小企業(yè)亟待解決的問題。企業(yè)的財務人員并不具備使用財務信息處理系統的保密常識，并且其保密意識往往也很低，而相關的操作人員在工作中會出現人員和機器的分離，還有些企業(yè)出于方便用戶的目的，將賬號密碼設置簡化、操作權限設置不當等，導致會計信息在使用過程中存在重大安全風險。

由于會計的云計算模式，很多企業(yè)的信息儲存在同一個位置的情況并不罕見，企業(yè)的會計信息具有核心機密性，絕大多數的中小企業(yè)都會擔心會計信息的安全，而且出于防范意識更是會擔心自己的機密信息被別人知道。在云會計系統中，從上傳到存儲再到提取會涉及到種種安全問題。這些安全問題如果想要解決，只能依靠供應商的不斷壯大，其安全技術的不斷提升以及所提供的軟件的不斷更新。一旦企業(yè)會計信息數據的動態(tài)調整成為常態(tài)，中小企業(yè)在選擇云會計時必須考慮提供商如何保證企業(yè)數據遷移、傳輸的完整性以及準確性。

四、云計算下中小企業(yè)會計信息安全的策略選擇

中小企業(yè)信息安全政策需要根據云環(huán)境的特點制定，從云技術本身、中小企業(yè)信息化管理以及云會計服務供應商三個角度入手。

（一）云技術本身

云技術本身就具有安全防范的功能，云技術可以對訪問者的身份進行認證和管理，還要加強電子密鑰的管理技術，對企業(yè)存放于云中的會計信息數據進行加密，并由企業(yè)掌握算法的密鑰，有效防止服務商和未授權用戶訪問數據。還要利用虛擬機對信息安全進行保護，由各類服務商提供服務器，對黑客、惡意軟件的入侵進行不間斷地檢測和防御，構建中小企業(yè)的虛擬化的安全網關。

（二）中小企業(yè)信息化管理

云會計服務提供商自身的技術水平會給中小企業(yè)會計信息安全帶來風險以外，本企業(yè)的非授權員工在工作過程或多或少也會出現各種錯誤操作，這都會導致企業(yè)的會計信息安全受到威脅。企業(yè)在內部管理和內部控制過程中，必須要加強對員工在云會計系統中權限的管理，只有部門的核心領導才有權對云系統中每個賬號的權限進行開通、變更以及刪除。中小企業(yè)在與供應商達成安全協議時，要注意對于企業(yè)的賬號密碼等信息的審閱權利，供應商應該記錄下公司每個賬號的動用情況，并交給公司的管理者。這樣可以保證權限不被濫用，避免了本企業(yè)的非授權員工泄露或破壞企業(yè)內部的會計信息。

想要解決云會計的信息安全問題，需要從多個方面著手，首先是硬件，比如服務器硬件和存儲設備，然后是軟件系統的安全，信息化安全管理系統的建立應該是每個企業(yè)根據自身特點而形成的，除了企業(yè)需要建立自身的安全管理系統外，云會計服務的提供商更應著重保護用戶的信息安全。中小企業(yè)作為云會計技術的使用客戶，在眾多的信息安全問題中，絕大部分安全風險都是用戶的風險防范意識差造成，必須加強用戶的安全管理意識，這對于會計信息的安全保障是十分重要的。用戶的安全管理包括用戶的權限管理以及用戶授權審批與控制的各個流程。企業(yè)內部不同崗位都應有不同的云會計操作權限以保證信息的安全，當該用戶的崗位職責權限發(fā)生變化時，必須迅速調整權限。還有，企業(yè)的各個賬戶和密碼都應該加以保護，尤其是對于企業(yè)的員工來說，一定要有很好的保密意識，這就需要企業(yè)進行培訓，不泄漏密碼給任何人。企業(yè)要按照用戶安全管理的要求進行檢查以及審核。企業(yè)必須根據會計信息的安全性規(guī)定，通過建立信息安全管理體系，規(guī)定好每個用戶的操作權限，以及安全的操作流程，通過體系和制度對安全操作加以規(guī)定和約束。企業(yè)還要完善對各用戶的會計信息系統以及操作行為的操作備忘，要詳細記錄使用會計信息系統的人員名單、操作時間、操作范圍、操作功能、涉及的信息等內容。為防止用戶的錯誤操作，中小企業(yè)的會計信息系統必須對用戶的操作行為進行不間斷的審計和監(jiān)控，當會計信息出現安全風險和事故時追求法律責任的有效證據。

（三）云會計服務供應商

對于云會計服務的供應商必須做好信息系統的數據備份工作，備份可以增加一份，比如既要有一個日常的備份，還要增加一個異地的備份，一式兩份可以保證當一份數據出現問題時可以調用另一份數據，不至于丟失重要的數據，從而導致損失。

定期地進行數據的恢復性測試非常重要，所以云技術服務供應商還要根據情況建立完善的數據恢復性測試制度，并需要書面記錄其測試結果，通過測試減少應急狀態(tài)下，處理突發(fā)事故的失誤，增強數據的安全性，保證用戶正常業(yè)務的有效進行。

會計信息的安全絕大程度上決定于會計信息系統的安全性，而會計信息的安全性又與會計信息系統的功能以及會計信息系統的可信性密切相關。從現實情況來看，單純由供應商提供安全防護以及企業(yè)自身提高安全意識并不能滿足對安全的需求，需要國家相關安全部門的介入，通過安全部門將各大供應商在安全防護方面的優(yōu)勢加以融合，從而提出更具有針對性的安全防護措施，通過各大系統聯合對付安全漏洞來解決一些難以攻克的安全難題。

會計信息是組成會計信息系統的主要單位，這要求中小企業(yè)必須對云服務提供的會計信息有充足的信任，否則會計信息的安全性也就無從談起。也就是說必須先增加客戶對會計信息系統的信任程度，只有客戶充分的信任云會計系統，其可靠性才會更高，客戶的信任程度指的就是客戶在應用供應商提供的云服務時對這一系統的主觀感受，往往有很多因素決定了客戶的使用感受，比如客戶在使用軟件時，軟件所表現出的專業(yè)性、可靠性、可用性等等。而安全性、實時性、可維護性以及可用性這些都屬于可信性的范圍。

企業(yè)選擇好供應商提供的信息處理系統之后，會查看這一系統所表現出的可信屬性，如果這一系統可以實現企業(yè)需要實現的工作任務，那么其可信性就高，當客戶定制完需要的功能，供應商提供了相應的系統時，需要對這一系統進行可行性的評估，以保證系統的可信性達標。

綜上可以看出，信息技術的發(fā)展是二十一世紀最偉大的進步，它影響到了生活的方方面面，作為時代發(fā)展的一大趨勢，企業(yè)以及服務供應商和國家相關部門必須聯合起來，為了保障整個經濟社會的信息安全而共同努力，保證企業(yè)能夠在安全的信息環(huán)境中持續(xù)、穩(wěn)定經營發(fā)展。