时间:2023-10-12 09:41:38
关键词:SOA 信息安全 企业服务总线
中图分类号:TP2 文献标识码:A 文章编号:1672-3791(2013)01(c)-0022-02
随着信息技术的不断普遍,信息安全体系结构在当前的企业信息技术中扮演着越来越重要的角色。我们尝试将信息安全和风险控制活动定义到安全服务里,设计面向服务的企业信息安全体系结构。
SOA是工业界的一个热点主题。它是一个策略、实践和框架的集合,能够为提供跨域注册、动态发现和自动机制提供内建的基础设施。并且提供的服务封装,通过消息协议提供可由双方共同操作的服务。SOA也为服务质量控制和资源管理及其它的监控服务和异常处理机制准备了基础设施。作为一个agility-pursued体系结构,SOA将企业逻辑从技术实现分离,从而使围绕SOA体系结构建立的应用能够满足企业和技术领域持续变化的需求。它也将有益于可复用性和系统集成,以及可扩展性、分布性和跨域注册。
1 问题发现
我们在SOA安全体系结构上的研究发现了以下几个问题。
(1)缺少企业信息安全集成体系结构,引入了不同的、相互独立的信息安全系统和解决方案,这会导致整个系统的不兼容性,导致无法达到期望的风险管理控制。
(2)由于在信息风险管理系统的信息采集还处于半自动化阶段,人工的信息采集过程会导致人为造成的错误。
(3)ISO/IEC 27002系统为企业信息安全管理提供非常好的方法和指南,但由于缺乏合适的工具进行管理,无法很好解决企业信息安全。
(4)我们需要注意SOA自身的可靠性和安全性问题。
2 信息安全体系结构的设计
根据上述问题,提出本文的基于SOA的信息安全体系的设计。
通过研究,我们提出了一个面向服务架构的企业信息安全体系结构,它是底层基于数据仓库/数据集市技术,并以安全服务总线作为hub,为企业信息安全活动提供集成信息安全的管理和有效的控制,使用BPM(企业过程管理)、规则引擎(Rule Engine,RE)和,企业智能(Business Intelligence,BI)技术。它有益于企业公司达到需要的信息安全管理级别。并且建立一个PDCA(Plan-Do-Check-Act)适配器,以确保信息安全管理和风险控制活动,能够进行自我优化。
2.1 体系结构的结构
参考七层OSI设计,我们设计了五层的智能企业信息安全体系结构。自下向上为安全数据库层、安全应用层、安全服务总线、集成和智能层、信息安全框架。
(图1)说明了智能企业信息安全体系结构的结构。
(1)安全数据层。体系结构的底层是整个体系结构的基础层。这是因为安全数据易于被其它应用和服务使用。这一层的数据被分为两个部分:操作数据和分析数据。
(2)安全应用层。应用层包括所有的信息安全系统,如防火墙、入侵防御系统、反病毒系统,以及被防护的设备,如网络设备、服务器和桌面环境等。它也包括这些系统上的各种各样的操作系统。
(3)安全服务总线。是基于SOA的信息安全体系结构的中枢。我们在这一层定义SOA服务总线的结构和需要的各种各样的信息安全服务。在面向服务的信息安全体系结构中,我们能够将当前和未来的安全需求定义为安全服务,但这些服务的实现是隐藏的。
(4)集成&智能层。体系结构中数据、过程和应用都是在这一层进行处理实现的,解决一个企业各种业务问题,满足快速变化的环境。集成层具有“应用之间”和“过程之间”进行通信的能力,通过适配器,它还能够与其他企业过程、服务提供者或数据提供者通信。
(5)信息安全辅助设计。这是信息安全对外的接口,主要是由匀衡器、关键风险指示仪以及监控接口。
企业智能模型提供各种各样的服务,例如报告、查询、OLAP、数据挖掘和多维分析。规则引擎,作为工作流的一部分,可以结合到BPM模型。因为有了规则引擎,我们能够更加有效地执行信息安全管理和风险控制。PDCA适配器是一个特殊的工具,它利用人工智能能够帮助公司达到信息安全管理中持续提高和自我优化的目标。
2.2 特点和优势
本文提出的企业信息安全体系结构具有以下特点。
(1)集成。它也能够将信息安全管理和风险控制联合起来作为一个集成的框架。
(2)可复用。体系结构是比较独立的,适合于企业和小型组织。服务的封装使得可复用,与其他服务联合使用。
(3)面向服务的体系结构。SOA体系机构的采用提供了服务的独立性、自我管理和自我弹性。
(4)集成的数据环境。集成的数据结构使之适合于各种数据库进行对接。
(5)企业智能。这个体系结构将企业智能应用到信息安全管理,信息安全管理主要使用了数据挖掘和模式识别技术。这可以大大减少由于人工误操作引起的损失,增强信息安全管理和风险控制操作。
(6)开放的体系结构。体系结构开放设计,以满足整个企业的安全需求;面向服务的特征使得体系结构式开放的,允许多个接口与外部应用通信。
3 结论
与传统的信息安全体系结构设计相比,本文提出的体系结构设计具有几个优势,包括开放、集成、可复用、面向服务、集成数据平台和商业智能。信息安全管理人员可以自由地执行重要的任务,如风险分析等。最后,这个体系结构式我们建立集成和智能企业信息安全体系结构的开端,以后会有更多的、更好的产品出现。
参考文献
[1] 魏东,陈晓江,房鼎益,等.基于SOA体系结构的软件开发方法研究[J].微电子学与计算机,2005,22(6):73-76.
[2] 叶宇风.基于SOA的企业应用集成研究[J].微电子学与计算机,2006,23(5):211-213.
[3] 雷冬艳.SOA环境下的数字图书馆信息安全研究[J].科教文汇,2010(33):189-190.
[4] 李益文.基于SOA的商业系统的信息安全技术探讨[J].电脑编程技巧与维护,2010(20):114-115,154.
论文摘要:文章首先分析了信息安全外包存在的风险,根据风险提出信息安全外包的管理框架,并以此框架为基础详细探讨了信息安全外包风险与管理的具体实施。文章以期时信息安全外包的风险进行控制,并获得与外包商合作的最大收益。
1信息安全外包的风险
1.1信任风险
企业是否能与信息安全服务的外包商建立良好的工作和信任关系,仍是决定时候将安全服务外包的一个重要因素。因为信息安全的外包商可以访问到企业的敏感信息,并全面了解其企业和系统的安全状况,而这些重要的信息如果被有意或无意地对公众散播出去,则会对企业造成巨大的损害。并且,如若企业无法信任外包商,不对外包商提供一些关键信息的话,则会造成外包商在运作过程中的信息不完全,从而导致某些环节的失效,这也会对服务质量造成影响。因此,信任是双方合作的基础,也是很大程度上风险规避的重点内容。
1.2依赖风险
企业很容易对某个信息安全服务的外包商产生依赖性,并受其商业变化、商业伙伴和其他企业的影响,恰当的风险缓释方法是将安全服务外包给多个服务外包商,但相应地会加大支出并造成管理上的困难,企业将失去三种灵活性:第一种是短期灵活性,即企业重组资源的能力以及在经营环境发生变化时的应变能力;第二种是适应能力,即在短期到中期的事件范围内所需的灵活性,这是一种以新的方式处理变革而再造业务流程和战略的能力,再造能力即包括了信息技术;第三种灵活性就是进化性,其本质是中期到长期的灵活性,它产生于企业改造技术基本设施以利用新技术的时期。进化性的获得需要对技术趋势、商业趋势的准确预测和确保双方建立最佳联盟的能力。
1.3所有权风险
不管外包商提供服务的范围如何,企业都对基础设施的安全操作和关键资产的保护持有所有权和责任。企业必须确定服务外包商有足够的能力承担职责,并且其服务级别协议条款支持这一职责的履行。正确的风险缓释方法是让包括员工和管理的各个级别的相关人员意识到,应该将信息安全作为其首要责任,并进行安全培训课程,增强常规企业的安全意识。
1.4共享环境风脸
信息安全服务的外包商使用的向多个企业提供服务的操作环境要比单独的机构内部环境将包含更多的风险,因为共享的操作环境将支持在多企业之间共享数据传输(如公共网络)或处理(如通用服务器),这将会增加一个企业访问另一企业敏感信息的可能性。这对企业而言也是一种风险。
1.5实施过程风险
启动一个可管理的安全服务关系可能引起企业到服务外包商,或者一个服务外包商到另一个外包商之间的人员、过程、硬件、软件或其他资产的复杂过渡,这一切都可能引起新的风险。企业应该要求外包商说明其高级实施计划,并注明完成日期和所用时间。这样在某种程度上就对实施过程中风险的时间期限做出了限制。
1.6合作关系失败将导致的风险
如果企业和服务商的合作关系失败,企业将面临极大的风险。合作关系失败带来的经济损失、时间损失都是不言而喻的,而这种合作关系的失败归根究底来自于企业和服务外包商之间的服务计划不够充分完善以及沟通与交流不够频繁。这种合作关系在任何阶段都有可能失败,如同其他商业关系一样,它需要给予足够的重视、关注,同时还需要合作关系双方进行频繁的沟通。
2信息安全外包的管理框架
要进行成功的信息安全外包活动,就要建立起一个完善的管理框架,这对于企业实施和管理外包活动,协调与外包商的关系,最大可能降低外包风险,从而达到外包的目的是十分重要的。信息安全外包的管理框架的内容分为几个主体部分,分别包括企业协同信息安全的外包商确定企业的信息安全的方针以及信息安全外包的安全标准,然后是对企业遭受的风险进行系统的评估.并根据方针和风险程度.决定风险管理的内容并确定信息安全外包的流程。之后,双方共同制定适合企业的信息安全外包的控制方法,协调优化企业的信息安全相关部门的企业结构,同时加强管理与外包商的关系。
3信息安全外包风险管理的实施
3.1制定信息安全方针
信息安全方针在很多时候又称为信息安全策略,信息安全方针指的是在一个企业内,指导如何对资产,包括敏感性信息进行管理、保护和分配的指导或者指示。信息安全的方针定义应该包括:(1)信息安全的定义,定义的内容包括信息安全的总体目标、信息安全具体包括的范围以及信息安全对信息共享的重要性;(2)管理层的目的的相关阐述;(3)信息安全的原则和标准的简要说明,以及遵守这些原则和标准对企业的重要性;(4)信息安全管理的总体性责任的定义。在信息安全方针的部分只需要对企业的各个部门的安全职能给出概括性的定义,而具体的信息安全保护的责任细节将留至服务标准的部分来阐明。
3.2选择信息安全管理的标准
信息安全管理体系标准bs7799与信息安全管理标准is013335是目前通用的信息安全管理的标准:
(1)bs7799:bs7799标准是由英国标准协会指定的信息安全管理标准,是国际上具有代表性的信息安全管理体系标准,标准包括如下两部分:bs7799-1;1999《信息安全管理实施细则》;bs7799-2:1999((信息安全管理体系规范》。
(2)is013335:is013335《it安全管理方针》主要是给出如何有效地实施it安全管理的建议和指南。该标准目前分为5个部分,分别是信息技术安全的概念和模型部分;信息技术安全的管理和计划部分;信息技术安全的技术管理部分;防护和选择部分以及外部连接的防护部分。
3.3确定信息安全外包的流程
企业要根据企业的商业特性、地理位置、资产和技术来对信息安全外包的范围进行界定。界定的时候需要考虑如下两个方面:(1)需要保护的信息系统、资产、技术;(2)实物场所(地理位置、部门等)。信息安全的外包商应该根据企业的信息安全方针和所要求的安全程度,识别所有需要管理和控制的风险的内容。企业需要协同信息安全的外包商选择一个适合其安全要求的风险评估和风险管理方案,然后进行合乎规范的评估,识别目前面临的风险。企业可以定期的选择对服务外包商的站点和服务进行独立评估,或者在年度检查中进行评估。选择和使用的独立评估的方案要双方都要能够接受。在达成书面一致后,外包商授予企业独立评估方评估权限,并具体指出评估者不能泄露外包商或客户的任何敏感信息。给外包商提供关于检查范围的进一步消息和细节,以减少任何对可用性,服务程度,客户满意度等的影响。在评估执行后的一段特殊时间内,与外包商共享结果二互相讨论并决定是否需要解决方案和/或开发计划程序以应对由评估显示的任何变化。评估所需要的相关材料和文档在控制过程中都应该予以建立和保存,企业将这些文档作为评估的重要工具,对外包商的服务绩效进行考核。评估结束后,对事件解决方案和优先级的检查都将记录在相应的文件中,以便今后双方在服务和信息安全管理上进行改进。
3.4制定信息安全外包服务的控制规则
依照信息安全外包服务的控制规则,主要分为三部分内容:第一部分定义了服务规则的框架,主要阐明信息安全服务要如何执行,执行的通用标准和量度,服务外包商以及各方的任务和职责;第二部分是信息安全服务的相关要求,这个部分具体分为高层服务需求;服务可用性;服务体系结构;服务硬件和服务软件;服务度量;服务级别;报告要求,服务范围等方面的内容;第三部分是安全要求,包括安全策略、程序和规章制度;连续计划;可操作性和灾难恢复;物理安全;数据控制;鉴定和认证;访问控制;软件完整性;安全资产配置;备份;监控和审计;事故管理等内容。
3.5信息安全外包的企业结构管理具体的优化方案如下:
(1)首席安全官:cso是公司的高层安全执行者,他需要直接向高层执行者进行工作汇报,主要包括:首席执行官、首席运营官、首席财务官、主要管理部门的领导、首席法律顾问。cso需要监督和协调各项安全措施在公司的执行情况,并确定安全工作的标准和主动性,包括信息技术、人力资源、通信、法律、设备管理等部门。
(2)安全小组:安全小组的人员组成包括信息安全外包商的专业人员以及客户企业的内部it人员和信息安全专员。这个小组的任务主要是依照信息安全服务的外包商与企业签订的服务控制规则来进行信息安全的技术。
(3)管理委员会:这是信息安全服务外包商和客户双方高层解决问题的机构。组成人员包括双方的首席执行官,客户企业的cio和cso,外包商的项目经理等相关的高层决策人员。这个委员会每年召开一次会议,负责审核年度的服务水平、企业的适应性、评估结果、关系变化等内容。
(4)咨询委员会:咨询委员会的会议主要解决计划性问题。如服务水平的变更,新的技术手段的应用,服务优先等级的更换以及服务的财政问题等,咨询委员会的成员包括企业内部的ti’人员和安全专员,还有财务部门、人力资源部门、业务部门的相关人员,以及外包商的具体项目的负责人。
(6)安全工作组:安全工作组的人员主要负责解决信息安全中某些特定的问题,工作组的人员组成也是来自服务外包商和企业双方。工作组与服务交换中心密切联系,将突出的问题组建成项目进行解决,并将无法解决的问题提交给咨询委员会。
(7)服务交换中心:服务交换中心由双方人员组成,其中主要人员是企业内部的各个业务部门中与信息安全相关的人员。他们负责联络各个业务部门,发掘出企业中潜在的信息安全的问题和漏洞,并将这些问题报告给安全工作组。
(8)指令问题管理小组:这个小组的人员组成全部为企业内部人员,包括信息安全专员以及各个业务部门的负责人。在安全小组的技术人员解决了企业中的安全性技术问题之后,或者,是当cso了关于信息安全的企业改进方案之后,这些解决方案都将传送给指令问题管理小组,这个小组的人员经过学习讨论后,继而将其到各个业务部门。
(9)监督委员会:这个委员会全部由企业内部人员组成。负责对外包商的服务过程的监督。
摘 要:在过去,我国中小企业在进行企业会计信息化的时候会付出很大的成本,导致我国的企业会计信息化建设一直没有一个突破性的进展。但自从云会计出现以后,会计信息化建设出现了质的飞越。通过云计算,能够大大减小企业进行会计信息化的成本。因此,本文从云会计应用的优势方面分析来解决中小企业会计信息化建设的难题。通过从云技术本身、供求方和国家监管等方面来提出的会计信息安全对策。
关键词:云会计;中小企业;信息安全
云会计当中的“云”就是一种建立在网络之上的一种计算方法。通过后台网络的运作,采取“云”的方法来实现对同一种硬软件等其他相关资源的计算。在计算过程中,如果某一个设备需要该资源就可以为其提供这类资源。当然,想要实现云计算的操作还必须依靠强大的网络系统,因为云计算的过程是虚拟的、动态的,是容易扩散的,所以进行云计算的要实现三点:第一,是对一些比较简单基础的设备进行运算。第二,要提供相关的平台来服务。第三,是给互联网客户提供免费软件的使用。目前,软件的应用是我国目前应用最广的。
一、云会计环境下中小企业会计信息化优势
在云会计还没有出现之前,中企业面临着资金缺乏、人才不足、信息化条件差的困境,并且这些困境是中小企业发展的关键因素。但是,当云会计出现以后,中小企业的发展就看到了希望。随着我国网络化进程的不断加快,信息技术不断的提高,云会计的发展也愈发成熟。云会计相对于传统的会计信息化模式来说有很多的优势,比如:
1.减少企业在进行会计信息化计算时候的成本
在过去,企业进行会计信息化的时候面临着诸多难题,比如,中小企业会花费相当大的成本去处理企业信息化的问题,但是尽管花费较大成本,企业的服务器规模统一很小,整个运行机制还是不成熟,并且在进行升级业务的时候非常的慢,不能有效扩展。但是,自从云会计出现以后,中小企业面临的难题就迎刃而解了。通过云计算,企业在进行会计信息化的过程中消耗陈本下哦、信息畅通无阻并且准确精准。云会计服务供应商会出售相关平台和软件,中小企业只要需要会计信息化软件或者维修相关网络产品的时候就可以去云会计服务供应商购买这种服务,通过这种服务,就能够让中小企业减少对该项目的成本投入。
2.满足中小企业对会计信息化扩展的需求
一方面,云会计的发展必须建立在云计算的发展之上,而云计算的不断更新发展速度是非常快的,所以企业完全没有必要担心储存在云上的核心财务信息得不到及时的动态调整,能够放心的、长期的使用。另一方面,云会计服务供应商能够有效的降低企业在进行会计信息化时候所面临的风险。因为云会计服务供应商的相关软件和专业服务都是不断更新的。最后,云会计不仅能够提供传统会计信息化的一些服务,还能够增加会计信息的使用价值,能够将中小企业的会计信息分享到云上,让企业在进行企业会计核算业务的同时,还能够将整个上下游企业和国家监督等部门联系起来。
3.能够大大的提高中小企业在进行会计工作时候的效率
过去的会计人员在进行财务核算的时候会花费大量的人力财力精力,但是云会计出现以后,通过云会计服务供应商对硬件、专业化服务的提供,就将会计工作人员的工作大大简化了。通过这样的提供,会计人员就不必再因为繁琐的工作而耽误其本身的会计工作,这样一来就大大提高了会计工作效率,让会计工作为企业带来更多的效益。
二、云会计在运用中会计信息的安全问题
云会计的出现给企业进行会计信息化提供了非常便利的服务,但是不得不看到,云会计的使用也让企业面临一定的安全问题。因为云会计是通过网络来进行对信息的储存,那么这些信息就就没有与其所在的物理位置上一致,导致企业在进行云计算的时候往往会涉及大量信息的输入和输出,在这样一个输入输出的过程当中,云计算的服务很难保证对企业相关会计信息的百分之百安全。
1.会计信息的存储安全问题
云会计的使用的确给企业处理会计信息带来了非常大的便利,但是,由于会计所采取的储存技术是虚拟的、分散的,所以对于客户来说,并不知道其相关信息到底储存在哪个地方,那么,由于信息大量的增加,确实会对企业会计信息的安全问题产生较大影响。
对于企业来说,其会计信息储存的完整、机密是最重要的。因此,对相关信息进行数据加密,那么对于数据加密,企业也充分的考虑到是否能够周全,能够可靠,能够让加密起到其重要作用。但是,作为客户,很少有能够了解数据加密的专业知识,因此,往往加密工作也是交给了相关的服务商。由于使用云会计的企业越来越多,信息量也越来越大,这样一来就给相关服务商进行数据加密带来了非常大的难度。尤其是在管理上,信息量大意味着就要扩充工作人员,工作人员受到利益诱惑是否能够否坚守不将信息泄露也很难确定。另外,由于互联网的不断开放,越来越多的黑客或者竞争对手为了盗取对方的会计信息而进行各种病毒入侵,通过相关技术探入到对方的会计信息库,对其会计信息进行恶意篡改和非法获取。这些安全问题都是非常严峻的。
2.会计信息的传输
会计信息在企业内部进行传输的时候通常并不需要复杂的加密过程,往往只是企业内部的一个简单的讯号。但是,当会计信息传输到云端的时候,会计信息的安全性就出现了问题,是否能够完整输入到云端,是否能够安全到达云端都是未知数。因为这个传输过程取决于服务商。所以,我们必须注意在进行会计信息传输的时候要让云会计服务供应商建立一定难度的加密保护措施,防止用户的信息泄露。同时还要注意在信息传递过程中,务必要设置多种信息确认手段来防止信息在互联网流动过程中出现载体变化的问题,也通过多重确认手段来有效防范自己的财务信息被非法截取、篡改或删除。所以一定要务必注意信息的安全问题,包括传输、完整、使用各个方面。
3.会计信息的使用
会计信息的掌控权在于财务部门的财务人员,会计信息作为企业最核心的商业机密就务必需要相关财务人员和财务管理者有自身的职业操守和保护意识。因此,当前云会计服务的重点就在于如何让会计信息能够安全,能够有效防范非法人员的篡改、获取和使用,能够保证在信息流通过程中不被非法人员被盗取。我们不难看到,企业在通过云会计处理财务工作的时候,财务人员警惕性不够高,保密意识不够强,通常只是设置一些简单的密码,很容易被盗取和破解。另外,由于有的财务人员在角色分配的时候不到位,权限设置不合理,以及软件自身的一些缺陷导致会计信息在处理和流通过程中留下一些关键痕迹,一旦被黑客侵入,这些信息就会被完全盗取,由此,整个企业的会计安全出现隐患。只要企业的会计信息被非法人员所窃取,那么对于企业的伤害绝对是致命的。当今,在面临严峻的会计信息安全隐患下,如何有效解决云会计中出现的会计信息安全问题成为企业等利益主体的关键。
三、云会计下中小企业会计信息安全对策
1.加强云技术自身的安全保障
任何事物的解决都需要主体和客体的共同努力,主体是关键,所以要解决云会计下中小企业会计信息安全,我们需要从云技术本身着手。首先,我们可以设置一定的模式让客户进行准确的身份验证,然后通过不断的控制来加强对密钥的管理。企业如果将相关财务信息上传到云端,那么云端就需要对相关信息进行加密处理,当然密钥需要由企业来管理,只有企业能打开。而云端的客服人员只是负责将信息完整的输送,并不会看到信息内容。再来,要建立虚拟化的安全网关,有效避免和防范黑客、恶意软件等侵入。
2.中小企业要加强信息化的安全管理
中小企业的信息安全非常重要,很多企业的机密信息泄露不是因为企业的信息技术问题,而是由于某些员工有意或无意的错误操作将信息所泄露。这就是归于一点--企业的管理不够到位。所以,企业必须规范员工管理,让每个员工在自己的权限内进行有效工作,工作中务必保持保密企业信息的态度,保持一个严谨的工作作风。每一个信息账号的注册、更改、删除都务必向上级领导请示。并且将员工保密、员工保护企业信息等条款加入到劳动合同当中,一当企业信息有所泄露,必将受到严厉的惩罚。
3.云会计服务供应商安全措施要到位
另外一个客体无疑就是云会计服务供应商。供应商应当做好自身的职责,对于企业传输过来的信息务必做到准确备份,能够及时应对财务信息丢失等状况。同时,要做好日常维护措施,通过定期进行数据恢复性测试,来不断提高信息保存度,减少错误的产生。让企业的数据信息能够得到有效保障。
4.国家要加强云会计的宏观监管
(1)建立云会计信息安全的法规
由于云会计是新发展起来的一项信息技术,所以对其的相关法律条款还不够完备。所以,我们可以根据云会计技术的现状来制定相关标准,通过规范云市场来让云会计技术得到完善。同时,要加快对信息安全的立法,信息安全对于网络化社会来说已经是非常重要。
(2)加强对云会计服务供应商的资质管理
世界上最早提出“云计算”的是谷歌公司和美国联邦政府,他们提出前,就通过了美国政府联邦信息安全管理法(FISMA)的审核,并且还获得相应的云计算资格。因此,我们可以借鉴国外的经验,有相关供应商想要获得资格,必须通过相关法律设定的资格,通过基础门槛,通过对技术服务商的筛选,挑选出技术过关、服务质量好、诚信度高的云会计服务供应商。通过这样的把关来保证中小企业的信息安全。
(3)加强第三方信息机构的监管
加强第三方监督对于保证云会计信息安全有着至关重要的重要。通过第三方信息监管机构的监管,定期对云会计服务供应商的资格审查,通过对问题的发现和诊断以及改正不断提高云会计服务供应商的质量。同时,加快建立一个信息安全的屏障,保护在这个信息化社会中各方主体的信息安全。
参考文献:
[1]苏艳.云会计下会计信息安全问题解析[J].赤峰学院学报(自然科学版),2014(21).
[2]程平,赵子晓.云会计对中小企业的影响及供应商选择策略[J].会计之友,2014(12).
程平和何雪峰将云会计定义为“构建于互联网上,并向企业提供会计核算、会计管理和会计决策服务的虚拟会计信息系统”。对于云会计的理解可以分别从企业用户和云服务供应商的角度来进行简述:云服务供应商应该做到计算机软件、硬件、互联网服务的云计算和企业的会计信息系统的选择维护工作,只需要关注所提供的软硬件设备以及相关的会计信息系统是否合适,能否有效的完成企业对于系统的一些会计信息化的需求。对于企业来说,它仅仅关注所提供的服务是否满足本企业的个性化需求,所要求的价格是否与所提供的服务相匹配,不关心提供服务的供应商本身情况。因此,云会计更类似于一场企业和云服务供应商之间关于企业会计服务外包的交易。
2云会计在运用中会计信息的安全问题
云会计的出现给企业进行会计信息化提供了非常便利的服务,但是不得不看到,云会计的使用也让企业面临一定的安全问题。因为云会计是通过网络来进行对信息的储存,那么这些信息就没有与其所在的物理位置上一致,导致企业在进行云计算的时候往往会涉及大量信息的输入和输出,在这样一个输入输出的过程当中,云计算的服务很难保证对企业相关会计信息的百分之百安全。(1)会计信息的存储安全问题。云会计的使用的确给企业处理会计信息带来了非常大的便利,但是,由于会计所采取的储存技术是虚拟的、分散的,所以对于客户来说,并不知道其相关信息到底储存在哪个地方,那么,由于信息大量的增加,确实会对企业会计信息的安全问题产生较大影响。对于企业来说,其会计信息储存的完整、机密是最重要的。那么对于数据加密,企业也要充分考虑到是否周全、可靠,能够让加密起到其重要作用。但是,作为客户,很少有能够了解数据加密的专业知识,因此,往往加密工作也是交给了相关的服务商。由于使用云会计的企业越来越多,信息量也越来越大,这样一来就给相关服务商进行数据加密带来了非常大的难度。尤其是在管理上,信息量大意味着就要扩充工作人员,工作人员受到利益诱惑是否能够坚守不将信息泄露也很难确定。另外,由于互联网的不断开放,越来越多的黑客或者竞争对手为了盗取对方的会计信息而进行各种病毒入侵,通过相关技术探入到对方的会计信息库,对其会计信息进行恶意篡改和非法获取,这些安全问题都是非常严峻的。(2)会计信息的传输。会计信息在企业内部进行传输时候通常并不需要复杂的加密过程,往往只是企业内部的一个简单讯号。但是,当会计信息传输到云端的时候,会计信息的安全性就出现了问题,是否能够完整输入到云端,是否能够安全到达云端都是未知数。因为这个传输过程取决于服务商,所以,要注意在进行会计信息传输的时候要让云会计服务供应商建立一定难度的加密保护措施,防止用户的信息泄露。同时还要注意在信息传递过程中,务必要设置多种信息确认手段来防止信息在互联网流动过程中出现载体变化的问题,也通过多重确认手段来有效防范自己的财务信息被非法截取、篡改或删除,所以一定要务必注意信息的安全问题,包括传输、完整、使用各个方面。(3)会计信息的使用。会计信息的掌控权在于财务部门的财务人员,会计信息作为企业最核心的商业机密就务必需要相关财务人员和财务管理者有自身的职业操守和保护意识。因此,当前云会计服务的重点就在于如何让会计信息能够安全,能够有效防范非法人员的篡改、获取和使用,能够保证在信息流通过程中不被非法人员被盗取。不难看到企业在通过云会计处理财务工作的时候,财务人员警惕性不够高,保密意识不够强,通常只是设置一些简单的密码,很容易被盗取和破解。另外,由于有的财务人员在角色分配的时候不到位,权限设置不合理,以及软件自身的一些缺陷导致会计信息在处理和流通过程中留下一些关键痕迹,一旦被黑客侵入,这些信息就会被完全盗取,由此,整个企业的会计安全出现隐患。
3提高云会计下企业会计信息安全的建议
(1)云技术。云技术可以通过提高秘钥管理技术,加强对访问者的身份认证,加强网上数据库里会计信息的保密性,防止云计算供应商及其他不相关人员看到数据,还可以通过和网络安全解决方案提供商合作提供加强会计信息传输中的安全,加强在会计信息存储、使用等不同时段防御黑客、恶意软件入侵的能力,为中小企业安全使用云会计提供保障。(2)云会计供应商。作为云会计服务的供应商,应该做好保护企业会计信息安全的工作。为了防止突发事件,供应商还需要做好云会计网上数据库上会计信息的日常备份以及异地备份,保障系统异常时能够快速恢复企业会计信息的数据和历史数据,防止重要财务信息丢失。此外,云会计供应商还要不断提升服务的质量,提高本身技术,保障云会计使用用户的日常业务处理和会计信息安全。(3)中小企业自身管理。中小企业自身管理的漏洞和大意也是造成会计信息安全问题的重要因素,因此,从企业自身管理来说,首先要规范会计信息软件使用员工的授权,每个员工根据工作内容设定云会计系统中相应的权限,每个账号的开通、变更和删除都需要通过部门领导的审批和记录。同时,还要经常审核每个员工账号的权限与其工作职责是否相符,检查离职员工账号是否删除,加强员工对账号密码的保密性,保障本企业会计信息不被无关人士泄露或删除。(4)国家相关监管规范。国家相关部门在推进会计信息化建设的过程中,也应当针对飞速发展的信息技术,为云会计的发展以及云会计供应商提供相关的法规标准。首先,要建立云会计下会计信息安全的法规。我国目前针对云会计的标准还不够完善,我国云会计的技术也还在起步发展中,因此需要国家相关部门根据国内云会计发展情况,制定适合的云会计标准,规范云会计市场,通过法律法规来约束云会计市场,保障云会计下中小企业会计信息的安全性。其次,做好云会计供应商的资质评估工作。要规范云会计市场,提高我国云会计发展水平,就要做好云会计供应商的资质评估工作,建立适当的行业门槛,筛选出优质的云会计供应商,保障中小企业使用云会计时会计信息的安全性。
4结语
综上所述,在云会计的大背景下,会计工作一定要重点落实安全问题,信息安全工作要放在首位,才能够保证会计的工作不会出现安全问题,提高会计工作的有效性和安全性。
作者:王娟 单位:长江大学文理学院
参考文献
谈及中企通信的优势,中企通信公司信息科技及安全服务部高级副总裁邝伟基表示,落地能力是中企通信的差异化优势。用户选择云服务过程中,需要很好的网络环境和服务能力。中企通信拥有的网络资质以及在深耕行业客户的积淀,使得中企通信在更懂客户的基础上,提供有针对性的方案和部署。
中企通信以“云+安全”切入市场,并能与网络业务相辅相成,为企业带来良性循环。据介绍,公司整体业绩明显增长,一方面,在网络服务带动下,云和信息安全服务增长分别达至双位数,同时,云和安全领域的发展也增加带宽使用量,促进网络业务增长。
云端创新:弹性高效、层层强化
数字化转型经济时代已经到来,数字化收入不断驱动企业增长,领军企业已纷纷将其作为战略核心。而“上云”更将成为企业数字化转型的必由之路。
云时代带来了基础设施的革新,带来了可弹性扩展按需使用基础设施,从而为运维及研发效率的大幅提升提供了基础和可能性。与此同时,随着万物互联的加速推进,企业日常营运产生的海量数据,均向云计算平台与云服务能力提出了新的挑战。
从2011年推出SmartCLOUD云计算服务以来,中企通信在云端架构的计算、数据存储以及网络端的加速等方面不断优化升级。目前全国各地云数据中心可为企业提供秒级RPO、分钟级RTO的云端灾备服务。
“无论是公有云、私有云,还是混合云,中企通信都有充分资源、实力与经验可以帮助企业客户实现弹性高效且安全无忧的配置,来应对业务挑战。”中企通信云计算与信息安全服务部经理詹东东表示。
实践中,客户对云的诉求主要集中在降低运营成本、优化产业链条等。针对客户多样化需求,中企通信根据企业业务要求与应用需求设计针对性的云架构解决方案。整个架构包含了基础平台、随云网络实现混合架构、信息安全保障和迁移云上等。“另外,我们还将继续不断地提升基础架构的云化能力。” 詹东东表示。 “多云环境是大势所趋,这与我们坚持在云端服务上的策略也是不谋而合――发展很多很多的云,而不是很大很大的云。” 邝伟基补充说。
下一步, 中企通信将在当前所提供的云平台基础上,不断提升云端架构的计算性能与数据存储性能,以帮助企业应对高并发、高性能要求的不同应用场景。还将在网络端进行传输优化与加速,提升互联网连接与访问效率。实现数据层、系统计算层、网络层的端到端强化与升级。
安全创新:立体防御,安全加固
对于企业来说,企业运营和发展中的相关数据和信息是企业重要资产之一。而同时,随着互联网应用的深入以及IT架构的日益复杂,给企业的信息安全带来了越来越多的风险和威胁。愈加多样的威胁侵蚀着传统IT防御,其攻击面广、攻击模式复杂。全球80%的CIO将推动打造有助于对安全、合规、业务或灾难性威胁做出灵活响应的风险管理系统。如何不断提升企业应对信息安全挑战的能力,是摆在企业信息化发展过程中的重要课题之一,也是中企通信对自身提出的更高要求。
基于安全,中企通信将在现有TrustCSI安全托管服务的基础上,不断通过提升服务质量与增加服务类型,以协助企业面对当前安全威胁。从云网联动的链路访问安全,基于深度机器语言学习的内部核心网络安全检测,以及综合终端、系统、网络、邮件的多层级立体式APT防护等多方面进行安全服务升级。邝伟基的观点创新具有前瞻性,“中企通信在信息安全建设上倡导‘防御’胜于‘修补’的理念。”
詹东东表示:“中企通信信息安全加固服务以“F.I.R.S.T.”(Faster action、International recognized、Reliable and Resilience、 Smart incident alerting、Trust)为服务理念,以策略为模型核心,所有的防护、检测和响应都依据安全策略实施,可灵活针对各种安全问题作出预防措施。专业的分析师会定期了解企业在面临外部和内部威胁时存在的漏洞,根据这些问题优先开始制定计划。此外,人才更是云安全服务竞争的关键,中企通信是信息安全管理专家,公司拥有多个安全运作中心(SOC),由专家团队提供7×24小时全面监控与及时运维。使中企通信在充分了解各行业客户对于信息安全的需求的基础上,致力于为客户带来更丰富的解决方案和服务,从而不仅帮助客户提高成本效益,更为他们带来全方位、可信赖的保障。”
创新“云+安全”方案 做深做强垂直行业
据介绍,目前中企通信的“云+安全”方案以及在零售、汽车等领域广泛应用,为一大批标杆型企业的数字化转型提供战略支撑。
尤其在汽车行业,中企通信更是做深做强,解决方案涉及了从设计到生产再到销售的整个产业链环节。从汽车制造(包括整车、零部件、设备)、汽车零售、汽车金融、二手汽车买卖,再到汽车服务等。
中企通信提供从咨询、设计、部署到运维的全套的ICT管理解决方案,包含同城灾备及备份、异地灾备及备份、云桌面、跨省数据传输、数据安全加密等在内的服务,帮助汽车行业实现用云来支持相应业务。“我们多个数据中心布局了混合云的方案,为企业提供弹性应用。” 邝伟基表示。
对于传统企业而言,上云更是成槠渑袒钕呦麓媪康闹匾路径,中企通信在汽车、零售等领域的解决方案为企业拓展市场树立了标杆。
面向未来,中企通信宣布,在2017年将同步进行颠覆性创新和持续性创新的“云+安全”综合方案持续发力垂直企业市场,并结合多个合作伙伴推出大数据、物联网、网络虚拟化等增值服务,深挖产业需求,包括零售、汽车、服装、医疗、金融、地产等板块的标杆型企业,进一步满足客户突破性发展与转型的需求。
【关键词】信息服务 产业发展
1 信息服务产业
信息服务业是利用计算机和通信网络等现代科学技术对信息进行生产、收集、处理、加工、存储、传输、检索和利用,并以信息产品为社会提供服务的专门行业的综合体。信息服务产业已成为当今世界信息产业中发展最快,技术最活跃,增值效益最大的一个产业。
2 信息服务产业的发展阶段及特点
第一阶段,以17世纪到二战时期的图书馆时代,可以作为信息服务产业的开端。
第二阶段,二战后到上世纪五十年代,这一阶段是图书-文献-科学-情报时代。
以上两个阶段的信息内容开发围绕指示信息源而动,为被动服务。
第三阶段,二十世纪五十年代到二十世纪八十年代,该阶段进入信息高速公路、数据库及联机检索时代。该阶段是数据库建设、联机检索服务、信息服务市场化、产业化的开始。
第四阶段,二十世纪八十年代到本世纪初进入INTERNET网络时代。该阶段,主动服务、解决问题服务以及信息化成为最显著的特点。
第五阶段,即数字化时代,该阶段,信息内容开发变更为主体的信息化社会,而信息社会化、数字化、用户化以及信息的提供、需求、技术三方的融合成为数字化时代的特点。
3 信息服务产业发展的现状
3.1 信息服务产业跨越式发展,规模不断扩大增加
我国信息产业的发展,已经度过了产业发展的起步期,20世纪80年代进入了迅猛发展的阶段。2012年我国软件与信息服务外包产业发展迅猛,产业规模突破4000亿元,同比增长超过30%。国内经济稳步增长、内需市场持续扩大是产业快速增长的首要因素,国际市场回暖是产业快速增长的重要因素。信息服务产业已经成为我国国民经济的支柱产业。
3.2 信息服务产业企业持续增加,形成了企业生态体系
在国家和地方政府对信息服务产业大力支持的背景下,信息服务业企业的生态体系逐渐形成,一大批规模迅速扩张、实力持续增强的企业逐步显现示范效应,带动了中小信息服务企业快速发展。形成了健康的发展格局。
3.3 产业结构不断优化,产业从业人员素质不断提高
我国信息服务产业的结构不断优化,产业结构不断升级转型,从业人员结构素质不断提高,很多高水平高学历的人才进入了信息服务产业的领域,信息服务专业领域的人才培训和储备力度也在不断增强。
4 信息服务产业发展存在的问题
4.1 跨界竞争激烈加剧企业转型压力
从IT产业发展形势看,软硬件服务一体化正逐步演变成为势不可挡的大趋势。行业巨头跨界转型大力推动产业融合发展,更加剧了信息技术服务业的竞争。剧烈的市场竞争和新兴业态发展对IT服务企业形成潜在的巨大冲击,从而加速企业进行转型。目前我国信息技术服务行业业绩分化严重,龙头企业凭借技术与资金转型升级已取得初步成效,业务发展情况良好,中小企业生存前景仍不容乐观。
4.2 新兴业态中行业应用步伐缓慢
当前,云计算、大数据等新兴技术快速发展,但在数据中心等基础设施加快建设的同时,相应的信息技术服务发展缓慢,缺乏企业市场应用。一方面,新兴领域仍在探索有效的应用模式。云服务企业面向个人的服务以免费模式为主,企业需要垫付大量资金吸引用户和流量,而可以收费的企业级客户尚未适应用租赁模式和云计算应用来构建自己的IT环境。另一方面。我国新兴领域企业的能力和水平难以满足市场期望。目前我国云服务企业在服务可靠性、服务流程合理性、服务界面易用性、服务协议规范性等方面均存在一定的不足,与国际领先的云服务提供商相比存在一定差距。大数据企业对数据挖掘分析技术的把握尚不成熟,总体以跟随国外企业为主,难以满足大数据大规模应用的需求。
4.3 信息技术快速发展下信息安全形势严峻
在云计算方面,目前云安全发展相对滞后于云计算和大数据的发展,云计算环境下数据位置不清楚、数据隔离不清晰给信息安全防护带来一定难度。基于新技术和新应用模式的云服务存在新的安全风险,并且云平台上可以运行多种多样的网络应用,也可能带来各种不同的安全威胁。如何通过适应云计算模式的信息安全产品和有关法律法规保护国家信息安全,成为云计算时代必须解决的重要问题。
在大数据方面,大数据集聚大大提高了数据泄露的风险,为黑客攻击提供了更多机会和途径,原有的信息安全基础设施难以形成有力保障。同时,我国在大数据信息安全方面还缺少相关的法律法规和制度规范,相关的条例、法规、章程、意见较少,并且约束力不够,尚难建立起能够兼顾安全与效率的数据开放、管理与信息安全保障体系。
5 信息服务产业发展趋势
5.1 产业规模增长有力,转型稳步推进
在全球经济潜在增长持续下降的背景下,我国经济步入发展新常态,维持高增长同时增速小幅放缓的健康发展态势。2014年,信息技术服务产业运行态势良好,产业规模不断扩大。2015年,在国家政策、社会需求和产业资金等多方面因素的驱动下,信息技术服务业将保持有力增长。随着我国经济转型成效逐步扩大,产业得到新的驱动力量和发展机会。
5.2 政策推动日益强化,支持力度不断加大
2014年,政府接连出台促进服务业增长、提高服务业水平的政策,信息技术服务业的政策环境持续优化。随着政策的逐步落实,相关配套政策和地方政策相继出台,信息技术服务业的战略地位将提升到前所未有的高度。国家和地方层面的利好政策连续出台,有力带动产业新兴领域的快速发展。2015年,在相关政策的推动和落实下,政府将成为云计算重要用户,各部委、各地方将继续出台或实施与大数据相关的政策文件和专项,政策内容将随着对大数据本质的认识而愈发明确,有关配套工作也将有序推进。
5.3 企业加速跨界发展,市场竞合加剧
随着互联网的深度渗透和新兴技术的不断创新,企业加速跨界发展步伐,通过并购合作抢占新市场或补充自身短板,增强市场竞争力。一方面,2014年科技行业的投资并购交易达到新的高峰,IT业跨界并购进入井喷期,另一方面,IT企业通过签署战略合作协议,发挥各自信息技术和资源优势,强强联手推动跨界融合,加强在云服务、大数据和智慧城市等领域的共赢发展。
5.4 信息技术深度渗透生活生产领域
[关键词] 石油企业 信息安全 安全策略 解决方案
石油企业要提高竞争力,信息化水平是一个重要因素。而信息安全的风险随着企业信息化水平的不断提高而增加。没有可靠的信息安全保障,就没有企业的安全生产运营,就会极大地降低企业在石油行业内的竞争优势和生存空间。要保证信息安全,就必须首先制定相应的安全策略,然后依据该策略结合企业的实际需要选定具体的解决方案,全面构筑企业的信息安全体系,防止各种不安全因素带来的信息安全隐患,做到防患于未然。
所谓信息安全是指信息的保密性、完整性、实用性和可靠性,即在信息的使用和存储过程中,防止因偶然事件或人为因素造成信息被破坏或泄露,也就是要保障信息的有效性。
一、石油企业预防人为因素的方案
企业信息安全的防范不单纯是一个技术问题,而是一个综合性的问题,其中最重要的因素就是人的因素。在人的因素中,有些是无意的:如信息管理员、操作员安全配置不当造成的安全漏洞;企业内部终端用户安全意识不强,用户口令选择不慎,或是将自己的帐号随意转借他人或与别人共享等;也有些是黑客的恶意攻击,如以各种方式破坏信息的有效性和完整性;或在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息等。这些攻击均可对信息安全造成极大的危害。对于这类人为因素,必须首先建立石油信息安全领导小组,设立安全领导小组办公室,由企业负责人直接担任组长,并逐级确立信息安全责任人,并且对信息中心的管理员、操作员,进行必要的定期的信息安全教育,明确岗位职责、权限,签订岗前责任状,以提高全员信息安全防范意识。同时制定信息安全制度,并采取相应的措施以防止信息安全漏洞。
二、石油企业内部技术防范的方案
从技术角度看,信息安全的防范包括:
(一)设备及环境安全
设备和环境的安全主要涉及到由于自然灾害、人为因素造成的数据丢失,比如地震、电力故障、火灾、洪水、盗窃等。它们给企业的数据带来潜在的威胁,因此对于信息安全级别较高的企业,应建设完善的容灾备份系统。容灾备份系统一般由两个数据中心构成:主中心和备份中心。通过异地数据备份,实时地将主中心数据拷贝至备份中心存储系统中,使主中心存储数据与备份中心数据完全保持一致。这种在线备份出现故障后系统数据恢复时间短,安全性好,但对资源的占用率比较高,投入成本也大;还有一种离线备份,即把数据定期备份到移动存储器或光盘上,然后异地保存,离线备份方式恢复时间比较长,但投资较少。企业应根据自身信息化建设的程度及企业对信息安全的要求以及资金投入情况,决定容灾备份系统的规模和等级。
(二)系统运行安全
随着企业信息化的发展,信息系统的连续稳定运行越来越重要。一旦系统中断,将会给企业的工作带来混乱,而数据一旦丢失,后果将是灾难性的。为保证信息系统的连续稳定运行,应采用双机热备解决方案。这种系统有两个服务器组成:主服务器和从服务器。主服务器将从服务器的硬盘视为自己的一个外部磁盘设备,由专用数据链路担负着传输镜像数据的任务,同时也为从服务器监视主服务器提供了途径。主服务器系统可以象对本地硬盘一样访问从服务器上的硬盘。从服务器不仅镜像着主服务器的硬盘数据,而且还实时监测主服务器,一旦发现主服务器故障,会自动接替主服务器工作。
(三)数据库安全
在数据库系统中,由于数据大量集中存放,且为众多用户共享,安全性问题更为突出。解决数据库安全的措施要从数据库软件本身和数据备份两个方面考虑。
1、利用软件本身所具有的性能进行安全保护大型数据库为开发者提供了有效的安全性控制策略,一般会在数据访问的安全性和监督用户的登录进行有效的控制,同时又兼顾用户在使用数据时对速度的要求。大型数据库中的安全性是依靠分层解决的,它的安全措施是级级层层设置的,做到层层设防。第一层是注册和用户许可,保护对服务器的基本存取;第二层是存取控制,对不同用户设定不同的权限,使数据库得到最大限度的保护;第三层是增加限制数据存取的视图和存储过程,在数据库与用户之间建立一道屏障。
2、利用硬件备份系统进行安全保护备份系统不仅是保证数据库安全,同时也是保证网络系统安全的一种重要手段,为了保证数据安全,需要对数据库进行及时快速的备份。备份系统的服务器的应用较为简单,配置不要求很高,甚至可以和其他一些应用共用一台服务器,而备份软件和磁带库是备份系统的关键。
三、石油企业网络运行安全的方案
网络安全问题是信息安全问题的核心,应采取全方位的、动态和静态相结合的方案解决网络安全问题。影响网络安全的要素包括:网络边界安全,操作系统安全,应用服务器安全,内部网安全,网络防病毒。影响网络安全的因素可以通过以下安全产品来防范:
(一)防火墙的应用
防火墙在企业内部网和外网之间设置了一道有效屏障,保护网络边界并防止黑客入侵。防火墙作为单一的关口,在此关口能检查、审核、加解密和认证进入网络的数据。
(二)漏洞检测系统的应用
漏洞检测系统又称系统扫描、风险评估。漏洞检测就是模拟黑客的攻击手段对被检测系统(包括各种操作系统、网络和应用服务器)进行扫描,然后提交安全漏洞报告,并给出解决漏洞的方法,从而保证网络边界安全、操作系统安全、应用服务器安全和内部网安全。
(三)网络防病毒产品的应用
随着网络的不断发展,信息共享、信息交换越来越多,因此感染病毒的机会更大。在企业网络内一旦有一台主机感染病毒很快就会传播到整个网络,甚至对企业造成很大的经济损失。因此防病毒已成为网络安全的重要课题。对于可以登录外网的终端计算机可以采用购买网络版杀毒软件,提前预防、实时监控和杀毒。对于仅能登录内网的终端计算机,企业应当购买专业单机版杀毒软件,并在内网定期单机版杀毒软件的离线更新包。
以上是动态的网络安全策略,对于静态的网络安全策略,可以从网络的结构设计方面提高网络的安全性。对于一些安全要求比较高的部门,如财务部门,可以建立专门的局域网与互联网及企业内部网进行物理隔离;还可以通过冗余设计来提高网络的可靠性,例如:链路冗余、模块冗余、设备冗余及路由冗余。
(四)访问控制安全的应用
访问控制功能是对企业综合信息系统的内容进行访问权限的限制。对于有些只对企业内部或合作单位开放的信息,应该设置访问控制,只有得到用户名和密码的用户才能访问这些内容。可以通过配置路由器来实现这部分的功能。
另一方面,是企业不同部门对网络权限要求不同的问题。各应用系统设计和选购时应该考虑如何保障各部门的安全,保证安全保密性级别高的部门在网络上运行的各类业务不受未授权员工的损害。在构建网络时应用VLAN技术和第三层交换技术,可在同一个基础物理网络上实现员工网络、财务网络、领导网络和部门网络的逻辑分隔,从而提高整个信息系统的安全性。
(五)信息存储安全
网络的发展,加上多媒体应用,使得数据呈几何级数激增。传统的以服务器为中心的存储网络架构面对源源不断的数据流已显得力不从心,严重的会导致数据崩溃。为了存储安全,以服务器为中心的数据存储模式必须向以数据为中心的数据存储模式转化。为了解决这个实际问题,可以采用网络存储技术,网络存储技术是一种特殊的专用数据存储服务器,内嵌系统软件,可提供跨平台文件共享功能,完全以数据为中心,将存储设备与服务器彻底分离,集中管理数据,从而有效释放带宽,大大提高了网络整体性能,也可有效降低成本,保护企业的投入,将数据崩溃降低到最低限度。
随着计算机技术和通信技术的飞速发展,信息化的浪潮席卷全球,无论是企事业单位还是政府机构越来越多的传统事务向自动化、网络化转变。办公自动化 (oa: office automation) 就是采用 internet/intranet 技术,基于工作流的概念,使企业或政府的内部人员方便快捷地共享信息,高效地协同工作;改变过去复杂、低效的手工办公方式,实现迅速、全方位的信息采集、信息处理,为企业或政府的管理和决策提供科学的依据。一个企业或政府实现办公自动化的程度也是衡量其实现现代化管理的标准。
由于企业或政府信息中的许多内容,如账目、凭证、采购销售、资金使用、生产计划、人事信息、机密文件、客户等方面的信息,都在不同程度上关系到企业的兴衰成败和政府在广大民众心中的地位,如果这些信息一旦失真或被内部人员、不怀好意人士、黑客和商业间谍窃取将有可能导致严重的后果。因此,采取强有力的安全措施来保障企业或政府的信息安全将变得尤为重要。
企业信息化应用的信息安全隐患主要有:
身份认证: 由于非法用户可以伪造、假冒企业网站、企业员工和客户的身份,因此登录到企业网站的企业员工和客户无法知道他们所登录的网站是否是可信的企业网站,企业网站也无法验证登录到网站上的企业员工和客户是否是经过认证的合法用户,非法用户可以借机进行破坏。 " 用户名+口令 " 的传统认证方式安全性较弱,用户口令易被窃取而导致损失。 信息的机密性: 在企业内部和外部网络上传输的企业敏感信息和数据有可能在传输过程中被非法用户截取。 信息的完整性: 敏感、机密信息和数据在传输过程中有可能被恶意篡改。 信息的不可抵赖性: 企业的财务报表、采购清单、购销合同、生产计划等电子文件一旦被一方所否认,另一方没有已签名的记录来作为仲裁的依据。 面对办公自动化的诸多隐患, 北京x诚信电子商务服务有限公司( itruschina )推出了基于 pki ( public key infrastructure ,公钥基础设施)技术的、易于实施的、完善的安全 oa 系统解决方案 。采用x诚信的产品和服务,构架客户的 ca 认证系统( ca : certification authority ,认证中心)或为客户提供证书服务,为 oa 系统用户发放数字证书, oa 系统用户使用数字证书完成办公自动化的各种操作,来保证用户 oa 系统的安全。
如图所示:通过安全 oa 系统解决方案,为最终用户颁发服务器证书和用户证书,可以解决 oa 系统的安全需求,用户登陆 oa 系统时,通过服务器证书验证 oa 系统的身份,然后提交用户证书,来登陆 oa 系统,系统验证用户证书来判断用户的真实身份,完成用户和服务器的双向认证;根据用户身份给予相应授权,实现访问控制,并建立安全通道;用户提交办公数据时,使用用户证书对数据进行数字签名,并通过安全通道进行加密传输,达到传输数据时的机密性和完整性;为了解决移动办公的需求,可以将用户证书保存到 usb key 中,用户可以随时随地使用自己的证书安全的登录 oa 系统,开展网上办公业务。
x诚信安全 oa 系统解决方案为办公自动化( oa )搭建安全工作平台,加速各单位信息化建设的速度 。通过使用数字证书可以确保 oa 系统应用的安全,系统用户和 oa 系统服务器采用双向身份认证,保证了用户的真实性同时证明系统服务器的真实有效的;防止办公数据泄漏,防止越权操作,提高办公业务和办公数据的安全性,满足用户移动办公的需求,为客户信息化建设和无纸化办公的推广提供可靠保障。
适用范围 :
企业、政府部门、事业单位。
产品与服务构成:
托管模式:安证通( onsite )、服务器证书、证书应用开发接口( api )、 usb key (可选); 自建模式: itrusca 系统、服务器证书、证书应用开发接口( api )、 usb key (可选) 成功案例:
中小企业数量和信息化的程度越高,尾巴就越长;针对中小企业的攻击越多,尾巴的厚度也就越大。
简单来讲,安全中的长尾现象是由信息安全攻守双方的交错制衡而产生的,具体表现有两个:安全风险长尾和安全市场长尾。
安全风险长尾
2011年工信部发布的《“十二五”中小企业的成长规划》中表明,到2010年末我国的中小企业数量是1100万家,如果再加上个体工商户,总共会达到4500万家,这些中小企业在国家的国民生产总值,包括就业岗位累计起来已经超过了大型企业。另据CNNIC的调查报告,中小企业使用计算机的比例在90%以上,使用互联网的比例在85%以上。而这些中小企业目前的信息安全防范手段非常薄弱。国内曾经有一家公司做过调查,问中小企业安装企业级杀毒软件的比例有多少?调查结果是只有20%的中小企业用了企业级的杀毒软件。而企业杀毒软件仅仅是企业安全防御最基本的一种,由此可见国内中小企业的安全防范水平非常低下,导致了广泛存在的安全风险。
简单讲,中小企业面临的风险有三种:第一、显性风险,指安全问题会导致这个企业发生的直接损失,包括经济损失、名誉受损等。第二、隐性风险,指由于产业链条上不同企业具有的安全问题给链条之上其它企业带来的安全风险。第三、社会风险,是指由于中小企业自身的计算机等设备被黑客控制后可能对社会造成的潜在风险。如果我们按照风险大小作为纵轴,将企业按照规模大小排列在横轴上,因为在中国的中小企业数量非常巨大,所以横轴就会非常长,并且形成了一个风险的长尾。中小企业数量和信息化的程度越高,尾巴就越长;针对中小企业的攻击越多,尾巴的厚度也就越大,而这些就是目前的趋势。我们有理由相信,位于长尾部分的中小企业的安全风险随着目前这种趋势会越来越大,甚至累加起来的总和会超过大型企业的累积风险。如果针对这部分安全风险长尾我们没有进行适当的控制,它对我们整个国家的社会环境和经济环境就可能会造成直接影响。
2011年CNCERT发布中国网络安全状况报告,表示经抽样调查发现在中国网络中有890万台计算机是僵尸计算机,就是已经被人恶意控制了。2012年,CDN厂商Akamai发布全球互联网状况分析报告,表示全球网络攻击来源地区第一名是中国。来源于中国的攻击未必是中国人在背后操控,但是这样会给人一种印象,认为中国的互联网环境是不安全的。
安全市场长尾
既然中小企业数量这么大、风险这么高,那么为什么他们没有实现有效的信息安全防护呢?其主要原因非常简单,第一是没有钱,第二是没有人。即使企业规模很小,按照传统的建设方式,企业也往往要一次性投入几万、几十万才可能建立相对完备的信息安全体系。此外,信息安全维护需要紧跟安全威胁的趋势,但是中小企业很难有合适的安全技术人才对这些安全产品进行维护。中小企业自身没有条件,那么安全厂商为什么不把这个目标瞄准这几千万家中小企业这个非常巨大的市场呢?作为一个安全厂商或安全集成商,给企业提供安全的产品和服务是有成本曲线的,包括推广成本、销售成本、运营成本。这些成本不随着中小企业服务对象规模的缩小而降低为零,这个成本是相对固定的,而且在一定程度下会超过目标企业的预算。成本曲线和企业的预算曲线有一个交叉点,这个交叉点右侧这部分对于安全从业者来讲就无利可图了。
下面,我们分析为什么我们可以利用云安全服务这种新兴的安全建设方式来解决这个问题,将众多中小企业原来由于成本问题而制约的需求释放出来,形成一个新的安全长尾市场。首先从用户投资角度分析,他们只需要按需租用云安全服务,而且可以根据公司规模进行弹性地租用。从用户维护来讲,是不需要企业客户来费心的,基本所有维护都是由云安全服务商进行,这样,困扰中小企业的钱和人的问题就解决了。从云安全服务商来讲,采用SaaS这种模式的安全服务非常类似于互联网产品,它的渠道建设、销售、服务等都可以采用在线的方式,因此成本曲线会下降,从而降低到了中小企业客户可以承担的程度,这样就形成了一个巨大的新的安全市场。
目前越来越多的安全厂商和服务商开始在云安全服务市场发力。McAfee在全球联合很多运营商和服务合作伙伴企业提供多种类型的云安全服务,在这个领域具有超过十年的经验,在中国也联合国内的合作伙伴落地了部分云安全服务。之前数月内,中国电信安全服务中心发布了网站保护“安全云服务”,进入了这个广阔的市场。安全行业先驱、原Netscreen创始人邓峰先生投资了云安全服务企业安全宝,为这个市场添加了浓墨重彩的一笔。
关键词:财务共享;会计信息化;实施对策
中图分类号:F23 文献标识码:A doi:10.19311/ki.1672-3198.2016.33.112
企业在发展过程中,会计改革始终在进行。现阶段,我国已经由传统的会计电算化改为会计信息化。计算机网络和相关的会计管理软件为其提供了基础,但相对于其发展,我国对于会计信息化的管理则存在滞后性。要发挥信息化财务管理的作用,就要加大对共享信息的管理。国外对于这一过程的管理是以大型公司的发展为开端,上世纪八十年代,杜邦、福特等公司开始了内部的财务管理改革,致力于提升服务和降低成本,我国以联想、海尔等为首的企业也开始就建立信息化的服务中心,致力于实现企业的会计信息化。大量的数据已经表明,会计信息化已经成为企业发展的必然,如何确保会计信息化过程中的安全则是企业和相关部门共同的任务。
1 财务共享服务下的财务管理信息化建设
1.1 共享服务推进了企业财务信息化过程
财务部门是企业的核心部门,财务管理的效率和安全性决定了企业的可持续发展。因此,在共享服务下,企业财务管理要逐步实现信息化过程。财务共享推进了我国会计管理的信息化,一方面,财务管理的共享服务使得会计职能体现更加明显,另一方面,共享服务促进了企业之间的技术和信息交流,成为企业快速发展的助推器。企业建立财务管理服务共享中心,实现了财务管理制度的统一性,降低了管理成本,并且使财务管理的安全系数提高。信息化的管理制度与传统财务方式相比,具有明显的积极性,使企业会计人员能够专心的服务,并且减少了繁杂的数据计算过程。从而提高了财务会计的效率,对于企业的可持续发展也具有积极意义。另外,共享服务促进了企业会计的发展,尤其是在我国计算机等行业的发展过程中,财务服务中心已经趋于完善。以中兴集团为例,通过共享服务中心的建立,不再使用内部的财务部门,而是进行直属的统一的财务管理模式,这有利于管理者了解企业的整体财务状况,并且对于企业的决策也是具有积极意义。共享服务使财务制度更加统一,便于内部控制和信息的传播,也使得企业会计人员的职能发生转变,确保企业会计管理的快速发展。
1.2 共享服务是会计信息化建设的技术支撑
会计信息化是企业发展的必然途径,也是电子商务等新模式下企业发展的必然需求。会计信息化的发展经历了长期的世间,其安全性要通过财务信息平台的风险控制来保证。财务共享是信息化时代的一种特殊的管理机制,它实现了企业管哥哥部门之间与信息服务中线之间的分离,实现了跨地区的财务管理模式。当然,没有物联网、互联网等基本设备,企业的信息化服务是无法实现的,因此我们说系统的建立和其安全性是企业财务管理和财务决策的基础。ERP系统是目前会计信息化系统中使用较多的软件之一,他和银行之间相连,已经实现了网上消费、网上管理和信息查询等功能,是企业财务管理的辅助工具。这对企业财务管理的信息收集、管理以及财务报账都具有积极意义。以报账为例,采用信息化的管理系统后,会计人员的信息核算效率提高,云计算保存了大量的数据供会计人员参考。资金处理与银行之间紧密相连,丢失的几率降低。在信息的归档上,传统的纸质档案不利于存储和录入,而信息化过程中采用了电子档案,只有对其进行网络加密等管理方式后,就可以保证其安全,并且方便随时调出。资金的调动、支付等过程均可以快速的完成,减少了很多中间环节,企业与合作伙伴之间的交易流程减少,有助于企业的发展。在以往的财务管理过程中,由于财务人员的工作量大,一旦疏忽就会出现错误。而采用信息化的管理方式后,大大提高了工作效率,数据核算,统计和资金支出等过程可以一气呵成。
2 财务共享服务下管理会计信息化的实施对策
我国财务管理的信息化实现是一种必然。在这一过程中,企业的会计信息安全性、管理方案的出台都值得关注,就在共享服务管理与我国会计信息化结合的基础上,我们对其实施策略进行具体的分析如下。
2.1 降低会计信息化的风险
信息化的会计体系是指企业在财务共享服务体系下的财务管理过程,其中包括企业财务计算、成本控制以及绩效体系的构建等。大数据时代,企业要通过信息化的管理来提高效率,确保效益的获得。财务共享具有这一优势,但在共享过程中,要接触到电子网络媒介,这就使得企业财务信息存在一定的风险。因此,共享服务时期,保证企业的会计信息化安全是关键。为此,首先要设置会计信息的访问权限,采用密钥服务等措施来防止信息丢失,并且要正确操作,对计算机进行云保护,提高其安全系数。
2.2 提高我国信息化会计管理人员的素质
财务会计人员是信息化的过程实现的主力,只有财务管理人员掌握最基本的技术,才能确保财务信息的安全,保证财务管理过程顺利的进行。针对我国现阶段高级会计人才缺失的现状,我们可以对其进行必要的培训,在高校教学阶段,加大对会计专业教学的改革。尤其是针对共享服务的时期会计基本职能的培训,对企业而言,也要不断的加快内部会计人员培训,使其满足现代企业发展的基本需求,掌握最新的财务操作软件。
2.3 把握趋势,关注会计信息化未来的发展
既然会计信息化已经成为经济发展和企业发展的必然趋势,我们应倡导企业关注云计算,关注信息化发展的相关问题。不断的拓展云计算的服务功能,发挥其优势。一方面,要致力于进一步将其云计算的成本,对大数据进行合理的利用。建立共享的企业财务平台,并且按照企业需求进行云服务的购买和使用。实施按照流量付费的方式。对于云计算生产厂家而言,更是要全面的进行技术的研究,并提供系统维护等功能。另外,还要在企业内部建立协同机制,包括内部协同和外部协同。建立云计算平台,使企业出于处于“核算共享服务、业务支持与战略决策支持”三方协同的管理模式下,促进业务办理水平的提高,信息共享的真实性提高,并且能蛭企业管理者决策提供参考。未来,我国企业的信息化管理还应从云计算功能的推广入手,将其与银行之外的证券市场、产品供应商之间的合作,实现全面的信息化。总之,对于我国财务管理而言,共享服务是其实现基础。确保企业会计信息化的高效实施需要其从管理人员的素质、共享服务的真正实现以及财务制度的合理化等方向入手,鼓励企业逐步建立现代化的共享服务体系,并引进先进的管理技术,如云计算技术。在这一技术的实现过程中,可以鼓励大企业先实施,在不断的带动小企业实现,最终促进我国会计管理过程的高效化。
3 总结
对我国企业财务管理而言,实施信息化管理是必然。而这一过程中的共享服务是基础,采用现代化的管理软件也就必然会导致信息的共享。企业要采取必要的措施来保证这一过程中的信息安全。要求企业从自身发展实际出发,逐步的引进信息化财务管理系统,并且对财务管理人员进行培训,确保财务管理过程的安全。在对企业财务信息的整合上,还要从共享服务入手,制定管理规则,提高管理效率。
参考文献
[1]熊磊.云计算在管理会计信息化中的应用初探[J].财会通讯,2014,(12).
[2]何瑛,周访.我国企业集团实施财务共享服务的关键因素的实证研究[J].会计研究,2013,(10).
[3]张庆龙,张春喜.财务共享服务中心的信息化建设研究[J].中国注册会计师,2012,(6).
1.1网络未进行等级区分我国《全国电力二次系统安全防护总体方案》中明确指出,电力企业有义务对网络进行安全等级划分。具体分为横向和纵向两类,其中横向是要求能够实现实时监控系统与非实时监控系统之间的相互连接。纵向上是要求实现实时监控系统之间的互联。但实际生产经营过程中,很多电力企业没有实现网络化的数据传输,同时在主站与厂站之间也没有实现光纤载波双通道。
1.2网络信息安全防护能力不足当前,很多电力企业的信息化程度都在不断加强,但网络信息安全的防护还停留在以往的水平上,不能很好地满足日益增长的信息安全保障。在管理体系上,很多企业都没有完善的网络信息安全管理机制,在面对信息安全问题时无从下手处理。在软件应用上,缺乏专业的防病毒软件,很多企业都自主选择一些常用的网络杀毒软件,无法做到与企业信息防护相匹配。在信息备份和恢复方面,很多电力企业没有建立信息备份和恢复机制,信息一旦丢失将给企业带来巨大经济损失。
1.3电力企业服务器存在的安全隐患众所周知,电力企业的服务器种类和数量众多,既包含数据库服务器、应用服务器、Web服务器,还包含算费服务器、银电联网服务器等。当前网络上针对各类服务器的攻击时刻在发生,服务器的安全稳定直接关系到整个网络信息的安全。尽管这些服务器有各自的认证,但入侵者还可以采用QL注入、脚本注入、命令注入方式等方式来窃取数据库中的机密数据,同时,由于服务器内数据未进行加密,在信息交流传递过程中会存在信息泄露风险。
2电力企业网络信息安全防护措施
2.1进行网络安全风险评估电力企业在进行网络信息安全防护时,技术革新是一方面,加强信息安全管理是重中之重。因此,在进行网络信息安全建设实施阶段,需要对企业当前面临的网络信息安全环境进行分析总结,找出可以降低网络信息安全风险的突破口,并计算投入和降低风险带来的收益之前的差额,权衡电力企业进行网络信息安全建设的必要性。对于很多电力企业而言,弄清楚网络信息安全存在的风险点以及解决对策非常重要,对于后期的具体实施起到事半功的效果。
2.2构建防火墙防火墙是一种能有效保护计算机网络安全的技术性措施,有软件防火墙与硬件防火墙这两类。防火墙可以很好的帮助服务器阻挡外界信息和指令,同时对信息传输指令加以控制。电力企业可以通过“防火墙+杀毒软件”的配置来对内部的服务器与计算机进行安全保护。为了防止各种意外的发生,需要对各种数据进行定期的备份。电力企业防火墙体系构建如下:访问控制列表构建防火墙控制体系。通过对访问控制列表的调节能够有效的实现路由器对数据包的选择。通过对访问控制列表的增删,能有效的对网络进行控制,对流入和流出路由器接口的数据包进行过滤,达到部分网络防火墙的效果。
2.3加强对计算机病毒的预防控制对网络信息安全直接威胁最大的是网络病毒,而新型计算机病毒对电力企业网络安全的影响最大。目前,很多电力企业都是在病毒入侵导致系统或者数据瘫痪后才发现问题,此时挽救的几率已经很小。因此,需要企业网络管理部门在病毒入侵之前就能够切断,从根源上避免计算机病毒对信息造成威胁,建立一套科学完整的计算机病毒预防管理体系,从病毒监控、强制防止及恢复四个环节着手,将病毒对网络信息安全的影响降低到最小。前期预防具有重要意义,可以防止病毒继续扩散,同样的在病毒入侵之后的有效查杀也至关重要。很多电力企业已经建立了防毒系统,可以保证在病毒代码到来之前,就能够通过可疑信息过滤、端口屏蔽、共享控制、重要文件、文件夹写保护等各种手段来对病毒进行有效控制,使得新病毒未进来的进不来、进来的又没有扩散的途径。
2.4开展电力企业内部的全员信息安全教育和培训活动在企业安全管理建设过程中,安全意识和安全技能的培养至关重要。安全意识和安全技能的学习需要全体员工共同参与,各级主管及班长应积极带头,确保人人参与、人人掌握,防止实际工作中因个人操作不当造成风险发生。在具体学习和培训过程中,各个电力企业应当按需定制,针对中高级管理人员,应当着重管理和领导技能培训,学习企业信息安全的控制重点和需要达成的目标,便于指定决策。针对岗位负责人,应当充分灌输信息安全防护的意义,信息安全事故发生时应采取的处理方式。针对具体业务人员,应让他们学习确保信息安全而必须遵循的操作手法,同时强化个人责任意识并告知因个人原因发生信息安全风险需要承担的责任。只有逐层逐级开展全方位的安全教育和培训,才能从思想层面加强企业信息安全建设。
3结论
[关键词]云计算;企业管理;会计信息化
[DOI]10.13939/ki.zgsc.2016.41.107
会计信息系统是借助计算机将会计数据转换为信息的系统,科学合理的会计信息系统有助于企业在激烈的市场竞争中占取先机。目前,很多企业都已经基本实现了会计的电算化,但受制于网络技术及硬件设施不足,专业人才缺乏等因素,企业会计信息化进程缓慢,竞争力难以提升。随着云计算的普及,企业将拥有更为高效、便捷的会计信息化手段,企业会计处理的方式及商业模式必将发生根本性的改变。
1 云计算概述
云计算(Cloud Computing)是一种新兴的计算模式和商业模式,是对分布式处理、并行处理及网格计算的延伸。云计算的实质是一个模型,其能够根据需要调用可配置的计算资源的公共集,或是访问可配置的计算资源的公共集。这意味着计算功能变成了可流通于互联网的商品。
根据服务模式的不同,云计算可以分为基础设施即服务、平台即服务和软件即服务三种;而根据模型的不同也可分为公有云、私有云、社区云和混合云四种。而云基础架构,即两个或更多的云通过一定的技术标准结合起来的系统形式。
2 云计算在企业会计中的应用
2.1 基础设施即服务
基础设施即服务(Infrastructure as a Service)包括服务器、数据池、网络资源等,服务商将这些设施提供给用户,用户根据需要使用,由服务商负责对机器、机房进行维护并拥有对设施的所有权。在这种模式下,企业不需要购买昂贵的基础设施如数据中心、服务器、存储中心等,只需要支付一定的费用就能够获取所需的存储能力和计算能力。
2.2 软件即服务
软件即服务(Software as a Service)是一种新型的软件应用模式,由软件供应商、服务商将软件部署到基础设施上,用户根据自己的需求向服务商、供应商订购所需的软件服务,并根据软件服务数量、类型、使用时长来支付费用。在这一过程中,由软件供应商、服务商负责所有前期投入与后期运营维护、管理,用户只需支付使用费用。在软件即服务模式中,企业的会计管理系统、会计决策系统、会计核算系统等都统一部署到云端,用户随时随地都可通过订购的模块管理财务活动,这对于财力不是很雄厚的中小企业而言尤为合适。
2.3 平台即服务
平台即服务(Platform as a Service)是对软件即服务的眼神,由软件服务提供商提供服务平台,开发人员依据开发环境如编程框架、开发语言等量身制作应用系统,并通过服务器、互联网传输给用户。在平台即服务中,企业利用平台自助开发会计信息系统,从而实现会计管理的信息化,具有投入成本低、开发效率高的优势。例如,八百客的开发平台允许用户开发CSM、CRM、进销存管理等软件,且无不许任何编程或使用其他软件开发工具,并且能够立即在线运行。
3 云计算在企业会计信息化实施中存在的问题
3.1 信息化水平不够
一直以来,会计信息不断被企业称为“商业机密”加以维护,对外肯定是“滴水不漏”,对内其开放水平也是有限制的。会计工作中组织及会计信息系统操作和运用大都由企业财务部门一手把持。企业财务部门与企业外部成员和企业内部其他部门之间缺乏紧密的联络,不能停止必要的信息传送。
3.2 人才缺乏
在各个行业会计范畴手工记账人才比比皆是,而真正可以将现代信息技术引入会计界满足会计信息化需求推进会计信息化开展的人才却非常欠缺。
3.3 企业管理思想和管理方式陈旧
完成企业管理信息化的难点关键不在于技术,也不在于资金,而在于管理思想的转变。目前很多企业内部管理思想和管理方式陈旧,地域主义、激进主义等思想普遍存在。这一管理现状必将阻碍会计信息化的推行。
3.4 会计信息化安全缺乏保证
会计信息化平台是建立在计算机、网络及电子商务等现代信息技术之上的。没有现代化信息技术手腕,就不可能有会计信息化财务软件,也不可能完成会计信息化。但是,网络安全、信息畅通等问题长期以来都没有得到有效处理,常常都是旧安全问题还没彻底处理好,新安全隐患又层出不穷。
4 会计信息化应用过程中出现问题的对策
4.1 加大人才培养力度
人才一直都是会计信息化胜利之本,会计信息化的建立肯定需要培养大量信息化人才。企业应从自身实践状况出发,通过各种途径积极地推进员工再教育工程,进一步提高员工思想品德、职业道德、专业学问、工作技艺水平,这样通过信息化教育与培训,培养既能控制现代化信息技术,又能控制现代化会计学问和管理理论与实务的复合型人才。
4.2 通过企业内外的互动加快会计信息化进程
企业信息化的目的有两个:一是完成消费过程中的自动化,即经过网络、电子、信息技术对消费过程中设计、制造和控制完成自动化;二是要完成方案、财务、人事、物资、办公等各方面的管理自动化,并经过网络使企业内部信息交流,监控物流、资金流通整个过程。企业信息化包含会计信息化,会计信息化是企业信息化在会计信息系统各个方面的应用。加快企业信息化速度,就是加快会计信息化的进程。
4.3 处理好财务会计信息化与管理会计信息化的关系
完整意义的会计信息化包括财务会计和管理会计的全面信息化。财务会计信息化能为管理会计信息化提供所需要的财务信息,是管理会计信息化的基础。因而,企业应在完成财务会计信息化基础上推进管理会计信息化,真正完成会计的全面信息化。
4.4 确保会计信息的安全
会计信息属于企业秘密,如何保证企业会计信息安全性,是困扰许多企业的问题。企业必须增强会计信息安全的防备认识,采取有效措施,建立相关安全制度,例如会计软件要有加密技术、跟踪检测技术;数据库要有加密技术,防止非法人员的入侵,在重要数据修正前的自动备份功能等。
参考文献:
[1]成静静,喻朝新.基于云计算的大数据统一分析平台研究与设计[J].广东通信技术,2013(1).
