财务软件在云计算下的安全分析
发布时间:2023-11-19
财务软件在云计算下的安全分析
目前,美国国家标准与技术研究院广泛应用于云计算的定义(NIST)的定义[3]:云计算是一种按使用量支付的模式。该模式提供可用、方便、按需的网络访问,进入可配置的计算资源共享池(包括网络、服务器、存储、应用软件和服务)。这些资源可以快速提供,只需要投入少量的管理工作或与服务提供商的互动。
可以看出,云计算环境中自然会有数据依赖于高风险的互联网通信和云存储服务器。云计算本身的结构特征是造成安全问题的主要原因。基于云计算的金融软件也不可避免地面临着云计算的安全问题。目前,典型的集团公司具有公司内部部门、分公司、企业与客户、企业与供应商、企业与金融集团财务交易账户数量频繁、数据量巨大等特点。除了传统金融软件的特殊性和专业性外,它还面临着云环境中的其他新风险[4]。云计算下金融软件的安全性是首要任务。
1.财务数据存储安全
财务数据的云存储是基于云计算平台,通过整合网络中可用的存储设备来存储和访问和读取财务数据。云计算平台使用云虚拟化(cloudvirtualization)整合存储设备。云计算虚拟化是通过编写的软件程序将物理计算设备划分为一个或多个虚拟机(virtualmachine,即VM),用户通过调用这些可用的虚拟机进行计算任务。云存储的外包模式本身存在许多不安全因素。首先,云存储也是基于当前计算机技术的分布式集成,现有的计算机漏洞将完全移植到云中。其次,在这种云计算模式下,用户对私有数据的控制和所有权不可避免地分离,因为云存储的数据是在不同物理设备之间共享的基础上实现的。
依靠云服务的软件数据库因事故造成的数据缺失将给客户造成巨大损失。例如,国际互联网巨头谷歌在2012年造成了许多Gmail电子邮件账户被删除和大面积数据丢失的事故。甚至一些服务提供商也会故意隐瞒数据丢失以获得声誉。由于业务的发展,财务数据的规模和数据交换和分析对云存储的财务数据的存储和管理尤为重要。然而,云存储服务面临着越来越大的数据规模,分散在各个地方阅读财务数据,然后总结存储数据存储的完整性也有很多困难来验证[5]。例如,在现实中,大型集团企业的财务系统中,单个表中有超过数亿条记录,所有的财务数据都存储在云中,这些大量的数据很难确保完整的存储和不丢失。
2.财务数据传输安全
用户将属于商业秘密的财务数据存储在公共云服务器中,数据的保密性很容易受到内外入侵的威胁[6]。云计算平台上数据访问的授权、认证、访问认可、审计跟踪,即访问控制(accesscontrol)需要严格的安全认证。除云与终端设备的连接外,还应考虑用户与云之间的连接安全。为了保证用户数据在传输和存储过程中的财务信息安全,财务数据通常在传输过程中提前加密上传到数据上髦练?在需要访问读取时,通过解密算法解密后读取服务器。加密技术主要由算法和密钥组成。目前国内常用的数据加密算法有两种:对称加密和非对称加密。目前的做法通常是在数据上传到云计算平台之前提前加密,然后用户在数据需要调用时进行逆向解密。代理重加密算法或属性加密算法通常用于云数据的传输和共享。这两种算法都有各自的优点,但在实践中仍存在漏洞,造成信息泄露的潜在危险。
此外,数据在传输过程中也存在完整性验证问题。
3.安全使用财务数据
财务数据对企业的重要性毋庸置疑。由于其机密性,财务数据访问权的用户严格限于财务部门及相关人员。由于云计算的特殊性,首先需要确认财务软件数据的访问。用户需要在不同的地点、终端和时间上传和访问财务数据,客观上大大增加了信息密码泄露的概率。用户有意或无意删除财务数据,数据恢复和同步是需要考虑的问题[7]。权限管理机制的普遍性问题,如用户访问权限的管理、防止权限的非法获取、客户服务权限对数据访问的意外或故意冲突等,可以结合一些动态访问控制模型来解决,如动态密码、物理密钥、电子密钥等,并根据用户的实际情况灵活制定安全策略。
目前,云计算服务大多是商业运营,云服务提供商存在于谷歌、亚马逊、微软等知名互联网企业等私营机构。因此,无论技术多么先进,云计算服务机构都不可避免地控制着财务信息。当这些信息被云计算服务提供商的内部人员非法掌握时,它们将对企业的金融和其他市场产生巨大的影响。因此,云计算平台的选择和第三方监督是需要考虑的前提。
4.财务软件系统安全
在编写程序时,财务软件需要考虑多种情况。例如,中国和其他国家在金融、税收政策、跨国公司等大型企业涉及外汇业务管理、财务数据接口灵活性、软件容错性、金融软件和金融集体数据交换效率,面对复杂的业务需求,在这些要求下,软件必须不断更新,及时发现程序漏洞或问题,及时补丁,确保金融软件系统的安全。在大型集团企业中,财务数据量巨大,保证软件中数据的完整保存、备份和访问,通过设定的算法快速准确地显示整个数据的趋势和财务状态,是对财务软件本身数据库数据处理能力和分析能力的巨大考验。同时,目前金融软件行业的用户和财务人员熟悉财务法规和行业规范,但不了解编程;许多程序员熟悉软件编写,但不熟悉会计规范,导致财务软件不合理和一些算法问题。
在云计算下,基于网络协议的金融软件界面操作系统、数据传输协议、数据库管理系统等方面存在漏洞。如果受到攻击,必然会导致金融软件系统的信息泄露甚至篡改。因此,金融软件要有自己的防御考虑,加强软件静态和动态环境下的缺陷预测,做好综合测试。