|
防范SaaS模式下电子财务的风险近年来,一种新型财务核算解决方案——财务SaaS(Software as a Service,软件即服务)开始在中小企业中流行开来。在此种方案模式下,软件服务商将自己的财务软件放在服务器上,利用网络向其用户单位有偿提供在线的财务管理系统应用服务,并负责对租用者承担维护和管理软件、提供技术支援等责任。租赁者只需登录到SaaS服务商的站点,访问其被授权使用的财务应用系统,就可以在该系统中进行一系列财务核算操作及管理工作,很受中小企业用户的欢迎。然而,在这种模式下,租用者的财务数据需要保存在财务软件供应商指定的存储系统中,不管在感觉上还是在具体操作过程中,都存在一定的安全风险。如果这一问题不解决,将直接影响到SaaS财务的普及。 财务SaaS带来的好处 由于财务SaaS是网络技术、软件技术、计算机技术在财会方面的融合应用,中小企业采用此种解决方案的优势与好处较为明显: 1. 可突破时空局限,用户单位财务人员可实现在线做账、分散办公、移动办公,可以在任何可以上网的地方应用该财务系统,而不必增加任何特别的软件和硬件投资。 2. 系统建设具备快速、简捷的交付、设置和培训等特点。 3. 采用“一对多”模式,是一种多订户系统构架,可以同时支持数千名用户同时使用。 4. 用户投入成本较低,一般按照服务模式进行付费,用多少付多少,也可按使用时间支付,小型企业可不再需要兼职会计人员。 5. 数据交换接口友好,包括数据的导入和数据的导出等,便于SaaS的数据与客户内部的系统进行数据的输入和输出。 鉴于SaaS模式的简单、前期投资小等诸多优点,目前财务SaaS开始在国内掀起一股应用热潮。一些专门从事财务软件研发、推广的知名软件商纷纷加入到了财务SaaS或者ASP的行列。它们旗下的产品成为了财务SaaS模式成功的典范。 财务SaaS面临的安全隐患 然而,值得注意的是,尽管财务SaaS模式具有明显的优势,面临着良好的发展机遇,但它也面临着重大的挑战。由于SaaS财务解决方案要求将租用单位的全部相关数据存放在财务软件公司提供的平台上,使得其财务数据的专属性、可靠性和安全性面临较大风险,其中最主要的问题就是财务数据的安全性,已经在相当程度上制约着财务SaaS模式进一步推广和应用。这些风险主要包括: 1. 管理安全风险。管理安全风险是指由于财务人员缺乏网络信息安全基本知识,不遵守相关的信息安全规则,造成数据损失、泄露而带来的风险。如网上报账,使得操作员和信息使用者干预系统的机会增多,从而加大了变更电子凭证、银行结算单及其他账单等恶性事件发生的可能性。 2. 信息安全风险。目前SaaS数据库缺少强力有效的加密措施,他方可以方便地从外部打开修改,使财务信息泄露和被恶意篡改,甚至被删除,造成整个网络系统瘫痪,无法运行、数据丢失等,给用户单位造成损失。 3. 非法入侵风险。由于财务SaaS使用的是公用通信线路,一些人可能出于各种目的,损坏网络设备,在网络上对财务系统进行黑客程序的测试运行等入侵活动,给系统造成较大破坏。 4. 感染病毒风险。财务局域网与互联网连接,使计算机系统感染病毒的几率大为增加,病毒防范的难度更大,任何在互联网上的行为都有可能使计算机系统感染病毒。 另外,服务商软件自身的不稳定因素也给财务SaaS系统带来安全隐患。 很明显,由于财务SaaS系统的在线性、易变性等特点,企业遭遇诸如咨信保护风险、内部和外部侵入风险、破坏与舞弊风险、交易完整风险以及无形资产难于计价等风险更大一些。 风险的防范策略 随着互联网在财务信息化中的应用得到不断深化,电子财务面临不确定性、复杂化等风险增加,建立财务SaaS系统新的安全管理模式势在必行。惟其如此,才能全面有效地增强财务SaaS系统抵御风险的能力,提高SaaS系统整体营运效率。 1.建立多层备份机制。做好财务SaaS系统的安全防护,一个重点就是要分层次地采用服务器双机热备份、RAID镜像技术、财务及管理软件系统自动备份等多种保护方式。尤其要指出的是必须定期将必要的备份数据刻录到光盘中,保证数据在损坏后可以及时恢复。 2.建立多级权限控制机制。在财务SaaS系统应用中要努力实行用户级控制、数据库级控制和网络系统级控制相结合的多级权限控制机制。用户级能对网络用户进行合理的权限分工,实现操作权限的集中化管理,强化系统管理员对软件各模块操作的统一授权; 数据库级能防止不道德的软件人员对财务资料进行非法篡改; 网络系统级能防止因断电、通信线路故障等意外所引起的资料损毁。 3.重点实施全方位的网络系统安全防御措施。这些措施包括: (1)部署防火墙,防止外部非法用户访问,为数据传输、转换设置一道电子屏障; (2)采用组合加密技术(密钥技术),专用密钥与公开密钥组合加密效果更佳; (3)运用数字签名,验证对方身份、保证数据完整性; 数字签名还可以建立不可否认机制,便于查找造成网络事故的原因; (4)使用安全协议,主要有: 安全电子交易规范、安全套接字层协议及安全超文本传输协议等; (5)应积极采用反病毒技术,同时财务软件可挂接或捆绑第三方反病毒软件,加强软件自身的防病毒能力。另外,对外来软件和传输的数据也必须经过病毒检查。 4.制定、实施日常安全管理制度。其具体措施有: (1)企业应按照财务电算化的要求,按责、权、利相结合的原则,建立健全财务SaaS系统岗位责任制度、安全日志制度等; (2)要制定统管全局的网络信息安全制度,统筹规范网络信息安全的管理,做到有章可循、有法可依; (3)制定操作员运行安全对策。提醒财务人员要定期修改密码,防止泄露账号及密码,对网络系统软件、数据库管理系统软件、财务软件要及时安装发布的补丁程序或升级,提高整个系统的安全性; (4)建立适应网络系统的内部安全控制体系,由原来单一的财务部门转变为财务部门和计算机管理部门共同控制,由单纯的手工控制转化为组织控制、手工控制和程序控制相结合的全面内部控制。 总而言之,以在线租用为主体的财务SaaS模式作为IT 应用服务的一种新模式,目前在我国仍然处于市场培育和萌芽阶段。作为一种新兴的经营模式,其安全性必须要得到充分有效的保障,这是财务SaaS模式得以全面推广、成功应用的前提,只有这样,财务SaaS应用平台模式才会迎来一个更为明媚的春天。 责编:张赛静 微信扫一扫实时了解行业动态 微信扫一扫分享本文给好友 著作权声明:kaiyun体育官方人口
文章著作权分属kaiyun体育官方人口
、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
专家专栏 |
|