淺議云會(huì)計(jì)下中小醫(yī)藥企業(yè)會(huì)計(jì)信息安全

邢雅萍

摘 要：云會(huì)計(jì)為中小醫(yī)藥企業(yè)的會(huì)計(jì)信息化提供了便利，但是因?yàn)樵茣?huì)計(jì)具有特殊性，和會(huì)計(jì)信息的特殊性，務(wù)必要重視會(huì)計(jì)信息的安全問(wèn)題，在本文當(dāng)中對(duì)此進(jìn)行了分析，并且從技術(shù)和宏觀兩個(gè)層面作出的討論，提出了安全對(duì)策，僅供參考。

關(guān)鍵詞：云會(huì)計(jì)? 中小醫(yī)藥企業(yè)? 會(huì)計(jì)信息? 安全

一、云會(huì)計(jì)下中小醫(yī)藥企業(yè)會(huì)計(jì)信息安全問(wèn)題

云會(huì)計(jì)環(huán)境下，因?yàn)闀?huì)計(jì)信息基本上都是在互聯(lián)網(wǎng)上，這里就會(huì)遇到一個(gè)問(wèn)題，即網(wǎng)絡(luò)信息安全問(wèn)題。中小醫(yī)藥企業(yè)會(huì)計(jì)信息是非常敏感的信息，會(huì)計(jì)信息泄露對(duì)于企業(yè)而言是非常重大的問(wèn)題。

具體來(lái)說(shuō)，包括終端被攻擊而導(dǎo)致會(huì)計(jì)信息泄露。同時(shí)因?yàn)樵茣?huì)計(jì)依托互聯(lián)網(wǎng)，在互聯(lián)網(wǎng)上傳輸?shù)臅?huì)計(jì)信息，可能會(huì)因?yàn)楦鞣N網(wǎng)絡(luò)上的故障問(wèn)題而導(dǎo)致會(huì)計(jì)信息在發(fā)送過(guò)程當(dāng)中丟包，而導(dǎo)致接受的不全面，這會(huì)造成非常典型的會(huì)計(jì)信息失真問(wèn)題，因?yàn)橹行♂t(yī)藥企業(yè)的會(huì)計(jì)信息存儲(chǔ)在云端，而必然會(huì)受到云會(huì)計(jì)服務(wù)提供商的制約。

二、云會(huì)計(jì)下中小醫(yī)藥企業(yè)會(huì)計(jì)信息安全對(duì)策

（一）技術(shù)層面的信息安全對(duì)策

程序或者網(wǎng)頁(yè)在數(shù)據(jù)傳輸當(dāng)中只要能夠抓下數(shù)據(jù)包，一般就可以知道這個(gè)數(shù)據(jù)的內(nèi)容，對(duì)于這樣的網(wǎng)絡(luò)接口，于爬蟲(chóng)工程師而言簡(jiǎn)直就是福音，要抓數(shù)據(jù)輕而易舉。在云會(huì)計(jì)環(huán)境下中小醫(yī)藥企業(yè)的會(huì)計(jì)信息均存儲(chǔ)在云端上，企業(yè)要用到會(huì)計(jì)信息時(shí)，終端和云端之間就會(huì)有交互，而會(huì)計(jì)信息非常敏感，簡(jiǎn)單說(shuō)就是涉及到企業(yè)的商業(yè)機(jī)密，針對(duì)可能的抓包行為，在前后端的網(wǎng)絡(luò)交互當(dāng)中API調(diào)用時(shí)數(shù)據(jù)的安全可以采取統(tǒng)一使用https方案，請(qǐng)求簽名防止數(shù)據(jù)被篡改。同時(shí)要有身份確認(rèn)機(jī)制，使用ssl pinning來(lái)防止抓包，對(duì)所有請(qǐng)求以及相應(yīng)都進(jìn)行加解密操作。這里比較理想的方式就是數(shù)據(jù)加密，即便是存在安全漏洞，攻擊者進(jìn)入了系統(tǒng)并且獲得了數(shù)據(jù)，但是因?yàn)閿?shù)據(jù)是加密的，拿到數(shù)據(jù)要么無(wú)法打開(kāi)，要么出現(xiàn)亂碼，這在很大程度上可以提升網(wǎng)絡(luò)數(shù)據(jù)存儲(chǔ)和傳輸過(guò)程的安全性。

針對(duì)數(shù)據(jù)加密而言，現(xiàn)階段有密碼加密技術(shù)、屬性基加密技術(shù)、并行計(jì)算加密技術(shù)等等安全性相對(duì)較高的數(shù)據(jù)加密方法。在本節(jié)中主要以屬性基加密為依據(jù)，這種加密技術(shù)在目前來(lái)說(shuō)相對(duì)先進(jìn)，可比較有效地應(yīng)對(duì)現(xiàn)在的數(shù)據(jù)挖掘。在屬性基加密的應(yīng)用當(dāng)中，加密不會(huì)對(duì)數(shù)據(jù)訪問(wèn)的用戶數(shù)量、身份以及數(shù)據(jù)用途作出限制，但是訪問(wèn)數(shù)據(jù)的用戶需要提供滿足要求的密鑰求能獲取到數(shù)據(jù)，當(dāng)需要調(diào)用加密的密文，訪問(wèn)用戶必須要與密文的屬性相匹配。而對(duì)應(yīng)的密鑰是隨機(jī)產(chǎn)生的，在破解上存在難度，對(duì)串謀、策略破解等都具有很好的防范效果，一般都比較適合定向數(shù)據(jù)傳輸和隱私管理等方面。對(duì)于中小醫(yī)藥企業(yè)而言，會(huì)計(jì)信息是非常重要的隱私信息，而且在云會(huì)計(jì)下信息存儲(chǔ)在固定的云端，滿足上述要求，當(dāng)企業(yè)要用到會(huì)計(jì)信息時(shí)，屬性基加密時(shí)訪問(wèn)的用戶需要滿足中小醫(yī)藥企業(yè)、會(huì)計(jì)，企業(yè)名稱(chēng)等屬性要求，才能從云端獲取到數(shù)據(jù)，而拿到數(shù)據(jù)的用戶同樣需要滿足相應(yīng)的屬性要求，才能得到相應(yīng)的密鑰進(jìn)行解密。

通過(guò)數(shù)據(jù)加密后，即便數(shù)據(jù)包被爬蟲(chóng)工程師抓取到了，或者是系統(tǒng)被調(diào)用了網(wǎng)絡(luò)接口，但是返回的數(shù)據(jù)是加密的，只要加密算法不出現(xiàn)問(wèn)題，即便被抓包數(shù)據(jù)內(nèi)容也并無(wú)大的影響。

（二）宏觀層面的信息安全對(duì)策

一方面云會(huì)計(jì)供應(yīng)商和中小醫(yī)藥企業(yè)的管理很關(guān)鍵，對(duì)于云會(huì)計(jì)供應(yīng)商而言，必須要有完善的內(nèi)部管理體制，提高自身企業(yè)的信任度，因?yàn)榭蛻舻臅?huì)計(jì)信息存儲(chǔ)在供應(yīng)商提供的云服務(wù)器上，如果供應(yīng)商監(jiān)守自盜，問(wèn)題非常嚴(yán)重，所以自身要具備強(qiáng)大的安全意識(shí)和內(nèi)部管理體制，并且不斷提升云端的安全防護(hù)，防止客戶遭受損失。而中小醫(yī)藥企業(yè)則需要培育安全責(zé)任意識(shí)，尤其有權(quán)限的會(huì)計(jì)操作人員必須要清楚認(rèn)識(shí)到保密的重要性。

另一方面，則是既然已經(jīng)存在云會(huì)計(jì)，那么國(guó)家方面就需要有相應(yīng)的政策來(lái)規(guī)范云會(huì)計(jì)行業(yè)，通過(guò)制定云會(huì)計(jì)的會(huì)計(jì)信息安全標(biāo)準(zhǔn)，規(guī)范云會(huì)計(jì)市場(chǎng)。同時(shí)結(jié)合國(guó)家的相關(guān)政策提高云會(huì)計(jì)行業(yè)的入行門(mén)檻保證進(jìn)入行業(yè)的云會(huì)計(jì)服務(wù)商具備真正的技術(shù)實(shí)力，和高信用度。并且要定期對(duì)服務(wù)商進(jìn)行評(píng)估。當(dāng)然對(duì)中小醫(yī)藥企業(yè)同樣需要評(píng)估，而且是重點(diǎn)評(píng)估，確保中小醫(yī)藥企業(yè)會(huì)計(jì)信息質(zhì)量。

三、結(jié)束語(yǔ)

綜上所述，云會(huì)計(jì)環(huán)境下，中小醫(yī)藥企業(yè)如果使用云會(huì)計(jì)來(lái)實(shí)現(xiàn)會(huì)計(jì)信息化，那么必須要重視信息安全問(wèn)題，從技術(shù)層面上來(lái)說(shuō)，可通過(guò)數(shù)據(jù)加密的方式來(lái)確保會(huì)計(jì)信息安全，從宏觀層面來(lái)說(shuō)中小醫(yī)藥企業(yè)、云會(huì)計(jì)提供商以及國(guó)家要共同發(fā)力保證會(huì)計(jì)信息安全。

參考文獻(xiàn)：

[1]梅雨.企業(yè)會(huì)計(jì)信息安全：影響因素、風(fēng)險(xiǎn)問(wèn)題與管控建議[J].商業(yè)會(huì)計(jì)，2016.