防范SaaS模式下電子財(cái)務(wù)的風(fēng)險(xiǎn)

申請免費(fèi)試用、咨詢電話：400-8352-114

近年來，一種新型財(cái)務(wù)核算解決方案——財(cái)務(wù)SaaS（Software as a Service，軟件即服務(wù)）開始在中小企業(yè)中流行開來。在此種方案模式下，軟件服務(wù)商將自己的財(cái)務(wù)軟件放在服務(wù)器上，利用網(wǎng)絡(luò)向其用戶單位有償提供在線的財(cái)務(wù)管理系統(tǒng)應(yīng)用服務(wù)，并負(fù)責(zé)對租用者承擔(dān)維護(hù)和管理軟件、提供技術(shù)支援等責(zé)任。租賃者只需登錄到SaaS服務(wù)商的站點(diǎn)，訪問其被授權(quán)使用的財(cái)務(wù)應(yīng)用系統(tǒng)，就可以在該系統(tǒng)中進(jìn)行一系列財(cái)務(wù)核算操作及管理工作，很受中小企業(yè)用戶的歡迎。然而，在這種模式下，租用者的財(cái)務(wù)數(shù)據(jù)需要保存在財(cái)務(wù)軟件供應(yīng)商指定的存儲系統(tǒng)中，不管在感覺上還是在具體操作過程中，都存在一定的安全風(fēng)險(xiǎn)。如果這一問題不解決，將直接影響到SaaS財(cái)務(wù)的普及。

財(cái)務(wù)SaaS帶來的好處

由于財(cái)務(wù)SaaS是網(wǎng)絡(luò)技術(shù)、軟件技術(shù)、計(jì)算機(jī)技術(shù)在財(cái)會方面的融合應(yīng)用，中小企業(yè)采用此種解決方案的優(yōu)勢與好處較為明顯:

1. 可突破時(shí)空局限，用戶單位財(cái)務(wù)人員可實(shí)現(xiàn)在線做賬、分散辦公、移動辦公，可以在任何可以上網(wǎng)的地方應(yīng)用該財(cái)務(wù)系統(tǒng)，而不必增加任何特別的軟件和硬件投資。

2. 系統(tǒng)建設(shè)具備快速、簡捷的交付、設(shè)置和培訓(xùn)等特點(diǎn)。

3. 采用“一對多”模式，是一種多訂戶系統(tǒng)構(gòu)架，可以同時(shí)支持?jǐn)?shù)千名用戶同時(shí)使用。

4. 用戶投入成本較低，一般按照服務(wù)模式進(jìn)行付費(fèi)，用多少付多少，也可按使用時(shí)間支付，小型企業(yè)可不再需要兼職會計(jì)人員。

5. 數(shù)據(jù)交換接口友好，包括數(shù)據(jù)的導(dǎo)入和數(shù)據(jù)的導(dǎo)出等，便于SaaS的數(shù)據(jù)與客戶內(nèi)部的系統(tǒng)進(jìn)行數(shù)據(jù)的輸入和輸出。

鑒于SaaS模式的簡單、前期投資小等諸多優(yōu)點(diǎn)，目前財(cái)務(wù)SaaS開始在國內(nèi)掀起一股應(yīng)用熱潮。用友、金蝶等一些專門從事財(cái)務(wù)軟件研發(fā)、推廣的知名軟件商紛紛加入到了財(cái)務(wù)SaaS或者ASP的行列。它們旗下的偉庫網(wǎng)和看吧成為了財(cái)務(wù)SaaS模式成功的典范。以用友公司為例，該公司先后推出了偉庫財(cái)務(wù)2.0、進(jìn)銷存1.0和出納1.0等陣容強(qiáng)大的在線財(cái)務(wù)系統(tǒng)版本，目前租用其財(cái)務(wù)ASP系統(tǒng)的有上海通用、貴州新茂、北京大極、內(nèi)蒙玄圣等一些知名企業(yè)。

財(cái)務(wù)SaaS面臨的安全隱患

然而，值得注意的是，盡管財(cái)務(wù)SaaS模式具有明顯的優(yōu)勢，面臨著良好的發(fā)展機(jī)遇，但它也面臨著重大的挑戰(zhàn)。由于SaaS財(cái)務(wù)解決方案要求將租用單位的全部相關(guān)數(shù)據(jù)存放在財(cái)務(wù)軟件公司提供的平臺上，使得其財(cái)務(wù)數(shù)據(jù)的專屬性、可靠性和安全性面臨較大風(fēng)險(xiǎn)，其中最主要的問題就是財(cái)務(wù)數(shù)據(jù)的安全性，已經(jīng)在相當(dāng)程度上制約著財(cái)務(wù)SaaS模式進(jìn)一步推廣和應(yīng)用。這些風(fēng)險(xiǎn)主要包括:

1. 管理安全風(fēng)險(xiǎn)。管理安全風(fēng)險(xiǎn)是指由于財(cái)務(wù)人員缺乏網(wǎng)絡(luò)信息安全基本知識，不遵守相關(guān)的信息安全規(guī)則，造成數(shù)據(jù)損失、泄露而帶來的風(fēng)險(xiǎn)。如網(wǎng)上報(bào)賬，使得操作員和信息使用者干預(yù)系統(tǒng)的機(jī)會增多，從而加大了變更電子憑證、銀行結(jié)算單及其他賬單等惡性事件發(fā)生的可能性。

2. 信息安全風(fēng)險(xiǎn)。目前SaaS數(shù)據(jù)庫缺少強(qiáng)力有效的加密措施，他方可以方便地從外部打開修改，使財(cái)務(wù)信息泄露和被惡意篡改，甚至被刪除，造成整個(gè)網(wǎng)絡(luò)系統(tǒng)癱瘓，無法運(yùn)行、數(shù)據(jù)丟失等，給用戶單位造成損失。

3. 非法入侵風(fēng)險(xiǎn)。由于財(cái)務(wù)SaaS使用的是公用通信線路，一些人可能出于各種目的，損壞網(wǎng)絡(luò)設(shè)備，在網(wǎng)絡(luò)上對財(cái)務(wù)系統(tǒng)進(jìn)行黑客程序的測試運(yùn)行等入侵活動，給系統(tǒng)造成較大破壞。

4. 感染病毒風(fēng)險(xiǎn)。財(cái)務(wù)局域網(wǎng)與互聯(lián)網(wǎng)連接，使計(jì)算機(jī)系統(tǒng)感染病毒的幾率大為增加，病毒防范的難度更大，任何在互聯(lián)網(wǎng)上的行為都有可能使計(jì)算機(jī)系統(tǒng)感染病毒。

另外，服務(wù)商軟件自身的不穩(wěn)定因素也給財(cái)務(wù)SaaS系統(tǒng)帶來安全隱患。

很明顯，由于財(cái)務(wù)SaaS系統(tǒng)的在線性、易變性等特點(diǎn)，企業(yè)遭遇諸如咨信保護(hù)風(fēng)險(xiǎn)、內(nèi)部和外部侵入風(fēng)險(xiǎn)、破壞與舞弊風(fēng)險(xiǎn)、交易完整風(fēng)險(xiǎn)以及無形資產(chǎn)難于計(jì)價(jià)等風(fēng)險(xiǎn)更大一些。

風(fēng)險(xiǎn)的防范策略

隨著互聯(lián)網(wǎng)在財(cái)務(wù)信息化中的應(yīng)用得到不斷深化，電子財(cái)務(wù)面臨不確定性、復(fù)雜化等風(fēng)險(xiǎn)增加，建立財(cái)務(wù)SaaS系統(tǒng)新的安全管理模式勢在必行。惟其如此，才能全面有效地增強(qiáng)財(cái)務(wù)SaaS系統(tǒng)抵御風(fēng)險(xiǎn)的能力，提高SaaS系統(tǒng)整體營運(yùn)效率。

1．建立多層備份機(jī)制。做好財(cái)務(wù)SaaS系統(tǒng)的安全防護(hù)，一個(gè)重點(diǎn)就是要分層次地采用服務(wù)器雙機(jī)熱備份、RAID鏡像技術(shù)、財(cái)務(wù)及管理軟件系統(tǒng)自動備份等多種保護(hù)方式。尤其要指出的是必須定期將必要的備份數(shù)據(jù)刻錄到光盤中，保證數(shù)據(jù)在損壞后可以及時(shí)恢復(fù)。

2．建立多級權(quán)限控制機(jī)制。在財(cái)務(wù)SaaS系統(tǒng)應(yīng)用中要努力實(shí)行用戶級控制、數(shù)據(jù)庫級控制和網(wǎng)絡(luò)系統(tǒng)級控制相結(jié)合的多級權(quán)限控制機(jī)制。用戶級能對網(wǎng)絡(luò)用戶進(jìn)行合理的權(quán)限分工，實(shí)現(xiàn)操作權(quán)限的集中化管理，強(qiáng)化系統(tǒng)管理員對軟件各模塊操作的統(tǒng)一授權(quán); 數(shù)據(jù)庫級能防止不道德的軟件人員對財(cái)務(wù)資料進(jìn)行非法篡改; 網(wǎng)絡(luò)系統(tǒng)級能防止因斷電、通信線路故障等意外所引起的資料損毀。

3．重點(diǎn)實(shí)施全方位的網(wǎng)絡(luò)系統(tǒng)安全防御措施。這些措施包括: （1）部署防火墻，防止外部非法用戶訪問，為數(shù)據(jù)傳輸、轉(zhuǎn)換設(shè)置一道電子屏障; （2）采用組合加密技術(shù)（密鑰技術(shù)），專用密鑰與公開密鑰組合加密效果更佳; （3）運(yùn)用數(shù)字簽名，驗(yàn)證對方身份、保證數(shù)據(jù)完整性; 數(shù)字簽名還可以建立不可否認(rèn)機(jī)制，便于查找造成網(wǎng)絡(luò)事故的原因; （4）使用安全協(xié)議，主要有: 安全電子交易規(guī)范、安全套接字層協(xié)議及安全超文本傳輸協(xié)議等; （5）應(yīng)積極采用反病毒技術(shù)，同時(shí)財(cái)務(wù)軟件可掛接或捆綁第三方反病毒軟件，加強(qiáng)軟件自身的防病毒能力。另外，對外來軟件和傳輸?shù)臄?shù)據(jù)也必須經(jīng)過病毒檢查。

4．制定、實(shí)施日常安全管理制度。其具體措施有: （1）企業(yè)應(yīng)按照財(cái)務(wù)電算化的要求，按責(zé)、權(quán)、利相結(jié)合的原則，建立健全財(cái)務(wù)SaaS系統(tǒng)崗位責(zé)任制度、安全日志制度等; （2）要制定統(tǒng)管全局的網(wǎng)絡(luò)信息安全制度，統(tǒng)籌規(guī)范網(wǎng)絡(luò)信息安全的管理，做到有章可循、有法可依; （3）制定操作員運(yùn)行安全對策。提醒財(cái)務(wù)人員要定期修改密碼，防止泄露賬號及密碼，對網(wǎng)絡(luò)系統(tǒng)軟件、數(shù)據(jù)庫管理系統(tǒng)軟件、財(cái)務(wù)軟件要及時(shí)安裝發(fā)布的補(bǔ)丁程序或升級，提高整個(gè)系統(tǒng)的安全性; （4）建立適應(yīng)網(wǎng)絡(luò)系統(tǒng)的內(nèi)部安全控制體系，由原來單一的財(cái)務(wù)部門轉(zhuǎn)變?yōu)樨?cái)務(wù)部門和計(jì)算機(jī)管理部門共同控制，由單純的手工控制轉(zhuǎn)化為組織控制、手工控制和程序控制相結(jié)合的全面內(nèi)部控制。

總而言之，以在線租用為主體的財(cái)務(wù)SaaS模式作為IT 應(yīng)用服務(wù)的一種新模式，目前在我國仍然處于市場培育和萌芽階段。作為一種新興的經(jīng)營模式，其安全性必須要得到充分有效的保障，這是財(cái)務(wù)SaaS模式得以全面推廣、成功應(yīng)用的前提，只有這樣，財(cái)務(wù)SaaS應(yīng)用平臺模式才會迎來一個(gè)更為明媚的春天。(ccw-2008年01月21日第03期 B18)