防范SaaS模式下電子財務的風險

申請免費試用、咨詢電話：400-8352-114

近年來，一種新型財務核算解決方案——財務SaaS（Software as a Service，軟件即服務）開始在中小企業(yè)中流行開來。在此種方案模式下，軟件服務商將自己的財務軟件放在服務器上，利用網(wǎng)絡向其用戶單位有償提供在線的財務管理系統(tǒng)應用服務，并負責對租用者承擔維護和管理軟件、提供技術(shù)支援等責任。租賃者只需登錄到SaaS服務商的站點，訪問其被授權(quán)使用的財務應用系統(tǒng)，就可以在該系統(tǒng)中進行一系列財務核算操作及管理工作，很受中小企業(yè)用戶的歡迎。然而，在這種模式下，租用者的財務數(shù)據(jù)需要保存在財務軟件供應商指定的存儲系統(tǒng)中，不管在感覺上還是在具體操作過程中，都存在一定的安全風險。如果這一問題不解決，將直接影響到SaaS財務的普及。

財務SaaS帶來的好處

由于財務SaaS是網(wǎng)絡技術(shù)、軟件技術(shù)、計算機技術(shù)在財會方面的融合應用，中小企業(yè)采用此種解決方案的優(yōu)勢與好處較為明顯:

1. 可突破時空局限，用戶單位財務人員可實現(xiàn)在線做賬、分散辦公、移動辦公，可以在任何可以上網(wǎng)的地方應用該財務系統(tǒng)，而不必增加任何特別的軟件和硬件投資。

2. 系統(tǒng)建設具備快速、簡捷的交付、設置和培訓等特點。

3. 采用“一對多”模式，是一種多訂戶系統(tǒng)構(gòu)架，可以同時支持數(shù)千名用戶同時使用。

4. 用戶投入成本較低，一般按照服務模式進行付費，用多少付多少，也可按使用時間支付，小型企業(yè)可不再需要兼職會計人員。

5. 數(shù)據(jù)交換接口友好，包括數(shù)據(jù)的導入和數(shù)據(jù)的導出等，便于SaaS的數(shù)據(jù)與客戶內(nèi)部的系統(tǒng)進行數(shù)據(jù)的輸入和輸出。

鑒于SaaS模式的簡單、前期投資小等諸多優(yōu)點，目前財務SaaS開始在國內(nèi)掀起一股應用熱潮。用友、金蝶等一些專門從事財務軟件研發(fā)、推廣的知名軟件商紛紛加入到了財務SaaS或者ASP的行列。它們旗下的偉庫網(wǎng)和看吧成為了財務SaaS模式成功的典范。以用友公司為例，該公司先后推出了偉庫財務2.0、進銷存1.0和出納1.0等陣容強大的在線財務系統(tǒng)版本，目前租用其財務ASP系統(tǒng)的有上海通用、貴州新茂、北京大極、內(nèi)蒙玄圣等一些知名企業(yè)。

財務SaaS面臨的安全隱患

然而，值得注意的是，盡管財務SaaS模式具有明顯的優(yōu)勢，面臨著良好的發(fā)展機遇，但它也面臨著重大的挑戰(zhàn)。由于SaaS財務解決方案要求將租用單位的全部相關(guān)數(shù)據(jù)存放在財務軟件公司提供的平臺上，使得其財務數(shù)據(jù)的專屬性、可靠性和安全性面臨較大風險，其中最主要的問題就是財務數(shù)據(jù)的安全性，已經(jīng)在相當程度上制約著財務SaaS模式進一步推廣和應用。這些風險主要包括:

1. 管理安全風險。管理安全風險是指由于財務人員缺乏網(wǎng)絡信息安全基本知識，不遵守相關(guān)的信息安全規(guī)則，造成數(shù)據(jù)損失、泄露而帶來的風險。如網(wǎng)上報賬，使得操作員和信息使用者干預系統(tǒng)的機會增多，從而加大了變更電子憑證、銀行結(jié)算單及其他賬單等惡性事件發(fā)生的可能性。

2. 信息安全風險。目前SaaS數(shù)據(jù)庫缺少強力有效的加密措施，他方可以方便地從外部打開修改，使財務信息泄露和被惡意篡改，甚至被刪除，造成整個網(wǎng)絡系統(tǒng)癱瘓，無法運行、數(shù)據(jù)丟失等，給用戶單位造成損失。

3. 非法入侵風險。由于財務SaaS使用的是公用通信線路，一些人可能出于各種目的，損壞網(wǎng)絡設備，在網(wǎng)絡上對財務系統(tǒng)進行黑客程序的測試運行等入侵活動，給系統(tǒng)造成較大破壞。

4. 感染病毒風險。財務局域網(wǎng)與互聯(lián)網(wǎng)連接，使計算機系統(tǒng)感染病毒的幾率大為增加，病毒防范的難度更大，任何在互聯(lián)網(wǎng)上的行為都有可能使計算機系統(tǒng)感染病毒。

另外，服務商軟件自身的不穩(wěn)定因素也給財務SaaS系統(tǒng)帶來安全隱患。

很明顯，由于財務SaaS系統(tǒng)的在線性、易變性等特點，企業(yè)遭遇諸如咨信保護風險、內(nèi)部和外部侵入風險、破壞與舞弊風險、交易完整風險以及無形資產(chǎn)難于計價等風險更大一些。

風險的防范策略

隨著互聯(lián)網(wǎng)在財務信息化中的應用得到不斷深化，電子財務面臨不確定性、復雜化等風險增加，建立財務SaaS系統(tǒng)新的安全管理模式勢在必行。惟其如此，才能全面有效地增強財務SaaS系統(tǒng)抵御風險的能力，提高SaaS系統(tǒng)整體營運效率。

1．建立多層備份機制。做好財務SaaS系統(tǒng)的安全防護，一個重點就是要分層次地采用服務器雙機熱備份、RAID鏡像技術(shù)、財務及管理軟件系統(tǒng)自動備份等多種保護方式。尤其要指出的是必須定期將必要的備份數(shù)據(jù)刻錄到光盤中，保證數(shù)據(jù)在損壞后可以及時恢復。

2．建立多級權(quán)限控制機制。在財務SaaS系統(tǒng)應用中要努力實行用戶級控制、數(shù)據(jù)庫級控制和網(wǎng)絡系統(tǒng)級控制相結(jié)合的多級權(quán)限控制機制。用戶級能對網(wǎng)絡用戶進行合理的權(quán)限分工，實現(xiàn)操作權(quán)限的集中化管理，強化系統(tǒng)管理員對軟件各模塊操作的統(tǒng)一授權(quán); 數(shù)據(jù)庫級能防止不道德的軟件人員對財務資料進行非法篡改; 網(wǎng)絡系統(tǒng)級能防止因斷電、通信線路故障等意外所引起的資料損毀。

3．重點實施全方位的網(wǎng)絡系統(tǒng)安全防御措施。這些措施包括: （1）部署防火墻，防止外部非法用戶訪問，為數(shù)據(jù)傳輸、轉(zhuǎn)換設置一道電子屏障; （2）采用組合加密技術(shù)（密鑰技術(shù)），專用密鑰與公開密鑰組合加密效果更佳; （3）運用數(shù)字簽名，驗證對方身份、保證數(shù)據(jù)完整性; 數(shù)字簽名還可以建立不可否認機制，便于查找造成網(wǎng)絡事故的原因; （4）使用安全協(xié)議，主要有: 安全電子交易規(guī)范、安全套接字層協(xié)議及安全超文本傳輸協(xié)議等; （5）應積極采用反病毒技術(shù)，同時財務軟件可掛接或捆綁第三方反病毒軟件，加強軟件自身的防病毒能力。另外，對外來軟件和傳輸?shù)臄?shù)據(jù)也必須經(jīng)過病毒檢查。

4．制定、實施日常安全管理制度。其具體措施有: （1）企業(yè)應按照財務電算化的要求，按責、權(quán)、利相結(jié)合的原則，建立健全財務SaaS系統(tǒng)崗位責任制度、安全日志制度等; （2）要制定統(tǒng)管全局的網(wǎng)絡信息安全制度，統(tǒng)籌規(guī)范網(wǎng)絡信息安全的管理，做到有章可循、有法可依; （3）制定操作員運行安全對策。提醒財務人員要定期修改密碼，防止泄露賬號及密碼，對網(wǎng)絡系統(tǒng)軟件、數(shù)據(jù)庫管理系統(tǒng)軟件、財務軟件要及時安裝發(fā)布的補丁程序或升級，提高整個系統(tǒng)的安全性; （4）建立適應網(wǎng)絡系統(tǒng)的內(nèi)部安全控制體系，由原來單一的財務部門轉(zhuǎn)變?yōu)樨攧詹块T和計算機管理部門共同控制，由單純的手工控制轉(zhuǎn)化為組織控制、手工控制和程序控制相結(jié)合的全面內(nèi)部控制。

總而言之，以在線租用為主體的財務SaaS模式作為IT 應用服務的一種新模式，目前在我國仍然處于市場培育和萌芽階段。作為一種新興的經(jīng)營模式，其安全性必須要得到充分有效的保障，這是財務SaaS模式得以全面推廣、成功應用的前提，只有這樣，財務SaaS應用平臺模式才會迎來一個更為明媚的春天。(ccw-2008年01月21日第03期 B18)