基于云計算的會計信息安全研究

朱輝

【摘 要】 云計算已經深入到企業會計系統，可以按照用戶的需求提供服務。云計算的出現降低了企業處理會計信息的成本，提升了處理會計信息的靈活性，加速了企業會計現代化發展的進程，受到了越來越多企業的關注。然而云計算頻繁產生的安全故障，也讓人們對會計信息的安全不無擔憂。為了確保云計算的安全，就需要有一套更為強大的安全性措施，降低風險，提高企業會計信息的安全性。

【關鍵詞】 云計算； 會計系統； 信息安全

中圖分類號：F230 文獻標識碼：A 文章編號：1004-5937（2014）27-0080-04

在會計手工時代，企業需要耗費大量的人力、財力和時間去處理會計數據，有時還會出現錯誤，會計數據處理的準確性低，對公司的決策分析能力產生嚴重的影響。而會計電算化的出現改善了這種狀況，電算化降低了會計人員的勞動強度，提高了會計信息的準確性，增加了企業管理人員決策的效率，提高了公司的效益。隨著現代社會信息技術的進一步發展，我國會計信息化工作加速推進，大批的企業引進了會計信息系統，而云計算的出現則更進一步簡化了會計人員的工作，改變了企業原來繁瑣的信息處理程序。云計算是基于互聯網對會計信息的存儲、傳輸和處理，大大降低了企業的成本，為企業帶來了極大的便利，滿足了企業發展的需要。我國的云計算已經進入推廣應用階段，并處于發展高峰期。

一、云計算的定義、特征

云計算是基于互聯網的一種計算方式，共享的信息可以按照需求分配給各類設備，用戶能夠在網頁上接受服務。云計算呈現了一種基于互聯網的新的信息技術服務、使用和交付模式，通過互聯網來進行虛擬化資源的交易，并且意味著計算能力也可以作為一種資源在互聯網上進行交易。

云計算的特征主要表現為以下四個方面：

一是云計算擁有非常廣泛的接入口。用戶可以通過網絡獲得云計算的資源，并可以在手機、電腦或PAD上使用，云計算在網絡上提供服務，并在網絡上進行傳遞。

二是云計算擁有方便快捷性。云可以迅速、靈活地供應資源或服務，用戶可以根據自己的需要隨時購買。對于用戶來說，計算能力可以在任意時間獲取，任意時間使用，而且提供的計算能力是無限的，并不存在資源不夠用或資源浪費。云計算的運營商只需要在容量預警的時候，擴大容量，及時應對增長的需求。

三是云計算擁有龐大的資源池。云計算服務提供商將計算資源都匯集到資源池中，利用多租戶形式，按照用戶的不同需求供應不同的虛擬化資源，用戶可以在任意位置使用各種終端從資源池獲取所需服務，用戶雖然不知道資源池的具體位置，但是可以指定資源池的大概位置。虛擬的資源池可以實現資源共享，提高資源的使用效率。

四是云計算服務的可計量性。云計算可對資源或服務進行計量，通過服務時間或網絡存儲等，對資源進行優化配置，使用戶明了資源的使用情況。

二、云計算對企業會計信息系統的影響

會計理論、會計技術的每一次變化，都會對企業會計信息產生很大的影響。越來越多的云計算服務提供商出現的同時也意味著會有更多的企業使用云計算。在云計算模式下，企業將自己數據信息交給云計算服務提供商來管理，從而使企業處理會計信息更加方便快捷，也為企業節約了大量的時間。

（一）云計算降低了企業會計信息處理的成本

企業之前需要為電腦設備、機房、網絡等投資大量的費用，有了云計算之后，對客戶端的硬件要求就很低，用戶只需要每月繳付相對低廉的月租費，不需投入大量資金購買高性能的電腦，省時又省力，而且還不用考慮一些設備的折舊問題，大大降低了企業會計核算管理的成本。

（二）云計算方便了會計信息系統的維護

云計算不需要專門的設備檢測及維修人員，更不需要向他們支付一定的費用。云計算采用租賃的方式，大部分工作都交給了云端處理，無需將大量的時間、金錢、精力花費在設備的安裝及檢修上，大大節約了會計信息處理的成本。

（三）云計算促使企業管理更加方便

云計算的服務商擁有專業的技術和規模，滿足各個企業的工作需要，同時提供先進的技術，滿足企業加速發展的需要，節約了企業的管理成本，提高了企業的工作效率。

（四）云計算的應用更加實際

在云計算模式下，所有的電子設備只需連接到互聯網，就可以對數據信息進行處理。企業可以在網上進行一些交易活動，節約了各個環節交易時間，方便了交易程序。企業各部門之間可以通過網絡實現資源共享，企業的管理人員及會計人員可以隨時隨地查看業務文件及業務處理進程。

（五）云計算提高了企業會計人員及管理人員的工作效率

企業從云計算服務供應商獲得專業技術支持，由服務供應商保障軟件安全性和可靠性的問題，讓企業沒有后顧之憂，從而企業的會計人員可以專注于會計工作，提高會計工作效率。

（六）云計算滿足了會計信息化擴展的需求

云計算服務提供商可以使企業儲存在云端的會計信息保持動態移動、調整，保證了企業會計信息化長期發展的需要。隨著云計算技術的不斷發展，云計算不僅可以幫助企業完成會計核算業務，而且可以幫助處理企業與上下游企業的業務，企業的審計業務、稅務業務都可以共享云上的會計信息，增加了云端會計信息的使用價值。

云計算服務提供商應用的是最新的軟件服務技術以及專業的數據存儲服務，不僅滿足了企業會計信息化長期發展的需要，也降低了企業使用云計算處理會計信息的風險。

三、基于云計算的會計信息安全問題面臨的風險

云計算在會計領域有著良好的應用價值，但是云計算在企業會計領域的發展速度卻非常緩慢。限制云計算在企業迅速發展的一個重要因素是會計數據的安全問題，云計算的自身特點決定了用戶需要把數據信息存儲到云計算服務提供商手中，而且企業不具有優先數據訪問權，云計算服務商會對企業數據信息進行優先控制，因而不能排除數據信息被泄露出去的風險，用戶使用云計算可能要面臨如下安全風險。endprint

（一）網絡安全問題

網絡是云計算服務的基礎和媒介，云計算平臺中集中了大量用戶信息、資源，非常容易成為黑客攻擊的對象，因而面臨嚴峻的網絡安全問題，云計算的任何一個節點及網絡都可能受到攻擊，而且網絡病毒日益猖獗，惡意的程序及木馬嚴重威脅著云計算平臺的安全，會導致數據信息的丟失、網絡信息的傳輸安全問題。未知的木馬惡意入侵、安全漏洞、運行風險等都有可能對企業數據信息造成威脅。

僅僅依靠本地硬盤中的病毒數據庫對病毒進行識別和處理是不行的，云計算服務提供商必須依靠網絡服務對病毒進行識別、分析及處理。云計算服務提供商要保證網絡系統的硬件、軟件及云端的數據不遭受破壞，防止漏洞攻擊及木馬惡意程序的入侵，保障數據信息的安全。

（二）數據存儲安全及隱私保護問題

企業對存儲在云端的會計數據信息沒有自我控制權，所有的會計數據都由云計算服務運營商控制及管理，因此企業會擔心數據信息的存儲安全以及個人隱私問題。云計算服務商是否會未經用戶允許私自訪問用戶的數據，私自泄漏企業的數據信息。雖然云計算服務提供商一直對外宣稱任何人都不可能會知道存儲在云端的數據信息的具體位置，但是不排除數據信息被非法盜用的可能性。云計算服務提供商可以有效利用防火墻，保證數據信息不被非法訪問、非法入侵。

（三）服務連續性問題

當云計算運營商的硬件設施發生故障或者遭到破壞之后，云計算的服務商是否能及時運用相應措施保證系統的正常運行，而且儲存在云中的數據是否會被丟失或損壞。云計算的運營商破產維持不了經營，儲存在云中的數據是否會受到影響。這些都是用戶所擔心的問題。

（四）多租戶帶來的數據隔離問題

云計算一般采用多租戶模式，企業信息數據會和其他企業信息數據在云端混合存儲，導致企業并不知道自己數據信息的具體存儲位置，甚至不知道數據信息被存儲在哪個國家。云計算平臺是否會發生用戶越權訪問的行為，用戶需要預防其他用戶的惡意攻擊。用戶的隱私被侵犯時，云計算服務商是否會協助用戶開展調查，保護用戶的會計數據信息不被非法分子所侵害。

（五）云計算服務提供商提供的服務不透明

目前，微軟、谷歌、國際商業機器公司等云計算供應商都有自己的一套標準，相互之間是不兼容的，而且用戶不知道數據保存的具體位置，云計算服務商對用戶提供的服務都是不透明的，用戶把數據存儲在云端具有不可知的危險性。

（六）數據殘留問題

數據殘留是指數據信息在云端被擦除后所殘留下來的痕跡，殘留痕跡的一些物理特性可能使數據恢復。數據殘留有可能會泄漏企業重要的商業信息，影響企業正常經營。

（七）管理及法律風險

在云計算環境下，所有存儲在云上的數據都交給云計算服務提供商去處理、存儲及安全維護，如果云計算服務提供商不妥善保管、運用存儲在云端的數據信息，就對企業的商業信息安全構成威脅。因此，如何對云計算服務提供商的行為進行規范、監督和管理，是一個迫切需要解決的問題。針對云端信息的處理，國家缺乏有效的規范及立法，云計算服務提供商需要對自己的行為進行自律，繼而獲得用戶的認同感，但沒有相關的規范和立法畢竟是缺乏保障的。

（八）審查功能不健全

傳統的服務提供商都提供外部審計服務，而一些云計算服務提供商拒絕外部審查服務。面對這樣的云計算服務商，企業管理人員及會計人員會因無法進行審查服務而承擔更多的風險及責任。

四、基于云計算的會計信息安全問題應對策略

盡管使用云計算服務存在各種各樣的疑慮，但是云計算技術確實具有極好的發展潛力，云計算可以幫助企業大幅度降低處理會計信息的成本，迅速提高企業管理人員及會計人員的工作效率以及方便快捷性。一旦擁有良好的信息數據安全保障體系，云計算就可以在會計領域得到大規模的使用。

在云計算壞境下，針對上述信息安全問題，云計算在應用過程中要從云計算服務提供商、企業和國家三方面考慮信息安全對策。

（一）云計算服務提供商的應對對策

對于云計算服務提供商，針對云計算環境下的企業會計信息安全防護的要求需要采用網絡隔離、數據隔離、數據保護、數據擦除等一系列的安全技術手段，為企業的會計信息提供安全保障與隱私保護，從而保證會計信息的安全性、可用性及完整性。

1.網絡隔離

采用網絡隔離可以保障數據傳輸的安全，通過建立一個私有的網絡保證網絡的安全性和隔離性，將多臺計算機用一個私有的經過加密的網絡連接起來，確保用戶數據的網絡傳輸安全，云計算平臺的后臺管理員及用戶之間都無法竊取數據信息。

云計算服務提供商一定要使用防火墻，并根據需求的變化及時調整防火墻，防止網絡攻擊。

2.數據隔離

云計算服務商應該將一些數據與另一些數據分離開，防止其他用戶訪問。云計算服務提供商可以按照用戶的需求，采用物理隔離、虛擬化和多租戶等解決方案實現數據隔離。

3.數據加密

云計算服務提供商應該對會計信息提供加密服務，而且加密服務應該要由專家設計并測試的，加密軟件對會計信息進行加密存儲，防止會計信息被惡意竊取或盜用。如果加密系統出現問題，那么所有存儲在云端的數據信息都不能使用。

4.訪問設置

云計算服務提供商可以采用基于身份驗證的權限訪問設置，對登陸用戶進行實時身份驗證、訪問權限來保證對會計數據的訪問控制，預防會計數據信息被盜用的風險。

5.數據保護

云計算服務提供商應該對會計數據實施全面保護，對于存儲在云端的會計數據，可采取快照、備份等保護手段確保會計數據的安全，即便受到木馬惡意入侵、病毒入侵和黑客攻擊等網絡攻擊或者地震、火災等物理層面的災難，也都能夠確保會計數據的存儲安全。對會計數據進行在線和離線雙重備份，采用備份軟件或者存儲備份，按照用戶的需求對會計數據進行自動備份及恢復。endprint

6.數據擦除

數據殘留可能造成數據泄露，會計數據信息在云端所占的存儲空間被釋放或者分配給其他用戶使用之前，云計算服務提供商要確保會計數據信息被完全清除，無論這些會計數據是被存儲在備份軟件上的還是存儲在硬盤上的，云計算服務提供商都要切實查看殘留數據是否被徹底清除。

（二）企業的應對對策

對于企業，也要采取如下措施保證會計數據的安全。

1.選擇可靠的云計算服務提供商

企業在使用云計算服務之前，要充分了解云計算的風險，選取在技術和安全服務等方面具有豐富經驗和可靠的、擁有良好信譽的云計算服務提供商。名氣好的云計算服務提供商不可能會拿自己的名聲去冒險，不會任由數據失竊的事件發生，也不會與其他企業共享會計信息。企業應當增強安全防范意識，謹慎將企業會計數據信息及客戶的重要資料存儲在云端。

2.數據加密

企業在將會計數據信息上傳到云端之前要對會計數據加密，會計信息在傳輸的過程中，即使被竊取得到的也是密文。企業要確保上傳到云端的數據是以加密的形式存在的，另外要使用無法破解的密碼，保證其他任何人都無法訪問企業的會計信息。

3.做好會計信息備份，防止信息丟失

企業應慎重選擇能支持數據備份與恢復的云計算服務提供商，保證數據丟失時能快速恢復。除了云計算服務商要對存儲在云端的數據信息做好備份以外，企業自身也要對會計信息做好定期備份，以免云計算資源遭受到破壞，云計算服務提供商的備份也丟失時，數據得不到恢復。

4.建立自己的私有“云”，確保重要的會計信息掌握在企業的手中

大多數的企業都不愿將自己的會計數據信息放在公有“云”上，擔心會計信息的存儲安全。因而企業可以建立自己的私有“云”，將一些重要的會計數據信息及客戶的重要資料放置在私有云上，自主控制信息的使用權，保證信息的安全。

5.閱讀隱私聲明

大多數云計算服務提供商的隱私聲明里面都含有漏洞，方便自己在特殊情況下可以共享云端信息。企業應仔細閱讀和咨詢云計算服務提供商提供的隱私聲明，確認哪些數據可以保存在云環境下，哪些數據信息應該保存到私有云上。此外要確認云計算服務提供商有嚴格的信息管理標準章程，防止云計算的后臺管理者有可能查看到企業的數據信息，造成數據的泄露。

6.監控管理

云監控應與云計算服務結合，當云計算的服務器發生故障時，企業及時給云計算服務商發送報警短信，將故障降到最低，同時云監控也可以協助企業判斷故障，企業應使用監控系統，實時查看云端數據，防止數據在傳輸過程中或者云端丟失，保障企業財務信息的完整性和準確性，使企業業務正常運行。

7.加強企業的內部控制

除了要在云計算技術方面強化內部控制，企業也要對自身實施內部監控。企業要做到權責分明制，管錢的不管賬，管賬的不管錢，不同的角色應具有不同的權限。企業要定期組織財會人員防范風險培訓，提高財會人員防范風險的意識與能力。

（三）國家的監督與管理

國家機關在推進云計算發展的同時，也應當建立相關的規范、標準，也應當對云計算服務提供商做好監管工作。

1.國家應建立云計算會計信息安全法規

我國的云計算技術剛剛起步，國內還沒有制定標準的規范，沒有明確的云計算數據信息安全指導方針及要求。國家可以先制定有關的云計算標準，規范云計算市場的運行，之后跟隨云計算市場的發展，逐漸修改相關規范。同時，國家應加大信息安全法制法規建設，完善相關信息安全法律法規體系，以法律的形式來規范云計算市場，保障云計算信息的安全。

2.國家應該做好云計算服務供應商資格評審的工作

我國應該制訂云計算服務供應商資格評審的相關工作規范，為云計算會計信息化發展奠定基礎。國家應制定相關的行業門檻，使云計算技術過硬、口碑良好的服務商進入該行業發展，良好的云計算服務會加快我國云計算的發展，也能保障云計算資源的安全性，增強企業使用云計算的信心。

3.做好第三方監管和繼續教育工作

國家應做好云計算服務的第三方監督管理工作，成立相關的監管組織機構，定期對通過資質認證的云計算服務提供商進行監管，針對審查過程中發現的問題，要強制云計算服務提供商進行整改，對不執行整改及整改不合格的云計算服務提供商要取消其資質認證。同時，云計算服務的監管機構要定期對云計算服務商開展繼續教育工作，給云計算服務提供商普及數據信息安全的重要性，提高云計算服務提供商的責任感。

云計算會計信息處理相比傳統的會計信息處理方式具有眾多的優勢，對企業財務信息處理的諸多方面產生了積極影響。企業選用云計算服務最大的擔憂就是云計算的安全問題，但是隨著云計算技術的發展，各種云安全的解決方案被研究出來，并予以應用。各大云計算服務的提供商都應著手制定各種相應的技術標準和監管流程，推出各種云計算安全解決方案來保證會計信息的安全，防止用戶數據的泄露。同時國家也制定了相關法律法規，保障會計信息數據的安全。

企業自身也要增強安全意識，對會計信息安全采取及早發現、積極處理的防范措施。企業、云計算服務供應商和國家三方可以聯手共創一個會計信息安全的保障體系，促進云計算安全技術在會計領域的進一步發展。

【參考文獻】

[1] 程平.不要讓數據安全成為云會計的“絆腳石”[N].中國會計報，2011-06-17.

[2] 程平，段瑩瑩.當會計人遇到云計算[N].中國會計報，2014-02-21.

[3] 屈濤.云會計：讓財務管理遠程操控[N].中國會計報，2014-01-05.

[4] 孟慶偉，張玉，劉婷.基于云計算的信息安全研究[J].中國新技術新產品，2012（1）：34.

[5] 程平，周歡，楊周南. 云會計下會計信息安全問題探析[J].會計之友，2013（26）：28-31.

[6] 文兆祥.云時代企業如何保障財務信息安全[N].財會信報，2012-06-13.

[7] 王紀和.中小企業會計信息化路在何方[N].中國會計報，2013-11-23.endprint