金蝶軟件（中國）有限公司

數(shù)字經(jīng)濟(jì)時(shí)代，數(shù)據(jù)已經(jīng)成為重要生產(chǎn)要素，成為企業(yè)重要生產(chǎn)力，對于經(jīng)濟(jì)結(jié)構(gòu)變革具有重大影響。隨著數(shù)據(jù)重要性與日俱增，數(shù)據(jù)安全也上升到國家安全戰(zhàn)略高度。

2015年，國家安全法公布施行，數(shù)據(jù)安全正式被納入國家安全范疇；2016年，網(wǎng)絡(luò)安全法同樣引入了網(wǎng)絡(luò)數(shù)據(jù)的概念；2017年，習(xí)近平總書記在中共中央政治局就實(shí)施國家大數(shù)據(jù)戰(zhàn)略進(jìn)行第二次集體學(xué)習(xí)時(shí)強(qiáng)調(diào)，要切實(shí)保障國家數(shù)據(jù)安全。要加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)，強(qiáng)化國家關(guān)鍵數(shù)據(jù)資源保護(hù)能力，增強(qiáng)數(shù)據(jù)安全預(yù)警和溯源能力。

2021年，我國首部關(guān)于數(shù)據(jù)安全的專門法律數(shù)據(jù)安全法正式施行，確立了數(shù)據(jù)分類分級管理，建立了數(shù)據(jù)安全風(fēng)險(xiǎn)評估、監(jiān)測預(yù)警、應(yīng)急處置和數(shù)據(jù)安全審查等基本制度。同時(shí)，與網(wǎng)絡(luò)安全法、個(gè)人信息保護(hù)法形成“三駕馬車”，為我國數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)健康發(fā)展提供全面的法律支撐。

在政策驅(qū)動下，如何確保數(shù)據(jù)安全，建立運(yùn)行防火墻，成為每個(gè)企業(yè)都要探索的問題。而在企業(yè)種類繁多的數(shù)據(jù)之中，財(cái)務(wù)數(shù)據(jù)更具敏感性，也更具價(jià)值，涉及如財(cái)務(wù)報(bào)表、薪資、納稅等敏感信息，被視為企業(yè)的生命線，一旦泄露或遭受黑客攻擊，極有可能導(dǎo)致企業(yè)遭受重大經(jīng)濟(jì)損失。因此，進(jìn)行數(shù)據(jù)安全治理，保障財(cái)務(wù)數(shù)據(jù)安全，是每個(gè)企業(yè)數(shù)字化轉(zhuǎn)型的重中之重。

傳統(tǒng)ERP數(shù)據(jù)安全風(fēng)險(xiǎn)猶在

安全是一個(gè)永恒的話題，由于財(cái)務(wù)數(shù)據(jù)具有高敏感性、高價(jià)值性的特點(diǎn)，企業(yè)面臨著諸多數(shù)據(jù)安全風(fēng)險(xiǎn)。困擾企業(yè)最典型的數(shù)據(jù)安全風(fēng)險(xiǎn)包括但不限于數(shù)據(jù)泄露、數(shù)據(jù)丟失、數(shù)據(jù)篡改等。

ERP系統(tǒng)是企業(yè)信息化最核心的應(yīng)用之一，即便在當(dāng)下，傳統(tǒng)ERP數(shù)據(jù)安全風(fēng)險(xiǎn)依然存在，其中一些常見問題包括以下幾點(diǎn)：

系統(tǒng)漏洞。財(cái)務(wù)ERP系統(tǒng)可能存在軟件或硬件漏洞，黑客可以利用這些漏洞進(jìn)行入侵，獲取敏感信息、篡改財(cái)務(wù)數(shù)據(jù)。

身份認(rèn)證問題。弱密碼、缺乏雙因素認(rèn)證、共享賬號和密碼等問題可能導(dǎo)致未經(jīng)授權(quán)的人員訪問財(cái)務(wù)ERP系統(tǒng)，造成數(shù)據(jù)泄露或?yàn)E用。

不當(dāng)訪問控制。未正確配置訪問權(quán)限、缺乏審計(jì)機(jī)制等問題可能導(dǎo)致未經(jīng)授權(quán)的人員訪問財(cái)務(wù)系統(tǒng)，從而導(dǎo)致數(shù)據(jù)泄露或?yàn)E用。

內(nèi)部人員濫用。內(nèi)部人員可能濫用訪問權(quán)限，篡改財(cái)務(wù)數(shù)據(jù)、竊取資金或進(jìn)行其它欺詐行為。

不合規(guī)操作。財(cái)務(wù)信息化系統(tǒng)如果沒有合理的安全控制和操作流程，將容易受到不合規(guī)操作的影響，導(dǎo)致數(shù)據(jù)被篡改或?yàn)E用。

數(shù)據(jù)泄露。硬盤故障、自然災(zāi)害、人為錯誤等情況可能導(dǎo)致財(cái)務(wù)數(shù)據(jù)泄露，給企業(yè)帶來嚴(yán)重的經(jīng)濟(jì)損失。

社會工程攻擊。黑客可以通過欺騙、偽裝或利用財(cái)務(wù)人員的粗心大意來獲取財(cái)務(wù)系統(tǒng)的訪問權(quán)限，從而獲取敏感信息。

云服務(wù)模式伴生新的數(shù)據(jù)安全風(fēng)險(xiǎn)

在企業(yè)不斷深入的數(shù)字化轉(zhuǎn)型進(jìn)程中，迫切需要運(yùn)用新技術(shù)來實(shí)現(xiàn)業(yè)務(wù)創(chuàng)新，實(shí)現(xiàn)價(jià)值創(chuàng)造。在這樣的背景下，云技術(shù)應(yīng)運(yùn)而生，它提供了一種新路徑能高效地助力企業(yè)實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型的目標(biāo)。不過，云服務(wù)也為企業(yè)帶來了新的數(shù)據(jù)安全風(fēng)險(xiǎn)。

一是數(shù)據(jù)存儲風(fēng)險(xiǎn)。在云平臺上，財(cái)務(wù)數(shù)據(jù)存儲在云服務(wù)提供商的數(shù)據(jù)中心中，而不是企業(yè)自己的服務(wù)器上。這意味著企業(yè)將依賴云服務(wù)提供商來保護(hù)其財(cái)務(wù)數(shù)據(jù)的安全。因此，企業(yè)需要確保云服務(wù)提供商具有高度安全的數(shù)據(jù)中心和存儲設(shè)施，并具備強(qiáng)大的數(shù)據(jù)備份和災(zāi)難恢復(fù)機(jī)制。

二是數(shù)據(jù)傳輸風(fēng)險(xiǎn)。云轉(zhuǎn)型對財(cái)務(wù)ERP系統(tǒng)的數(shù)據(jù)傳輸安全帶來了新的挑戰(zhàn)。在云平臺上，數(shù)據(jù)需要通過公共網(wǎng)絡(luò)進(jìn)行傳輸，這增加了數(shù)據(jù)在傳輸過程中被黑客攻擊或竊取的風(fēng)險(xiǎn)。傳統(tǒng)的加密和安全保護(hù)措施可能不足以應(yīng)對云環(huán)境下的安全需求。因此，企業(yè)需要采取更加強(qiáng)大和高級的加密和安全機(jī)制來確保數(shù)據(jù)在傳輸過程中的保密性和完整性。

三是身份驗(yàn)證和訪問控制。在云環(huán)境下，多個(gè)用戶和系統(tǒng)可能需要訪問和共享財(cái)務(wù)數(shù)據(jù)，如企業(yè)內(nèi)部員工、合作伙伴和第三方服務(wù)提供商等。因此，確保只有授權(quán)人員能夠訪問和修改財(cái)務(wù)數(shù)據(jù)以及確保數(shù)據(jù)的訪問權(quán)限和使用權(quán)限的安全性和可控性，成為云轉(zhuǎn)型后的重要任務(wù)。

四是物理安全和供應(yīng)商風(fēng)險(xiǎn)。云服務(wù)提供商需要采取適當(dāng)?shù)奈锢戆踩胧﹣肀Ｗo(hù)存儲在其數(shù)據(jù)中心中的數(shù)據(jù)。此外，企業(yè)還需評估供應(yīng)商的安全性，確保供應(yīng)商有足夠的安全措施來保護(hù)財(cái)務(wù)數(shù)據(jù)。

五是數(shù)據(jù)完整性和可用性。在云模式下，企業(yè)需要確保數(shù)據(jù)的完整性和可用性。數(shù)據(jù)傳輸過程中的錯誤或被篡改可能導(dǎo)致數(shù)據(jù)完整性問題。此外，云服務(wù)提供商的系統(tǒng)故障或網(wǎng)絡(luò)中斷可能導(dǎo)致數(shù)據(jù)不可用。

人工智能為財(cái)務(wù)數(shù)據(jù)安全帶來新挑戰(zhàn)

人工智能技術(shù)正在以令人驚嘆的速度滲透到千行百業(yè)，加速企業(yè)運(yùn)營模式和管理模式的創(chuàng)新。大模型的出現(xiàn)，更為企業(yè)數(shù)字化轉(zhuǎn)型提供了新思路和新方向，成為企業(yè)數(shù)字化轉(zhuǎn)型的重要突破口。對于企業(yè)來說，在考慮如何用好新技術(shù)賦能數(shù)字化轉(zhuǎn)型的同時(shí)，也不能忽視人工智能給財(cái)務(wù)數(shù)據(jù)安全帶來的新挑戰(zhàn)。

首先，人工智能技術(shù)導(dǎo)致攻擊面大幅增加。人工智能技術(shù)依賴于大量的數(shù)據(jù)和算法，通過學(xué)習(xí)和模式識別來進(jìn)行預(yù)測和決策。然而，這些數(shù)據(jù)和算法也可能成為黑客攻擊的目標(biāo)。黑客可以利用人工智能技術(shù)中的脆弱點(diǎn)來入侵財(cái)務(wù)系統(tǒng)，獲取敏感的財(cái)務(wù)數(shù)據(jù)。此外，人工智能技術(shù)的應(yīng)用還可能導(dǎo)致數(shù)據(jù)被惡意篡改或誤導(dǎo)，從而產(chǎn)生錯誤的財(cái)務(wù)決策。

其次，人工智能技術(shù)加劇數(shù)據(jù)隱私和合規(guī)性問題。財(cái)務(wù)系統(tǒng)中存儲了大量的財(cái)務(wù)和個(gè)人數(shù)據(jù)，通過人工智能技術(shù)的應(yīng)用，這些數(shù)據(jù)可能需要共享和交換，如與供應(yīng)商、合作伙伴或第三方服務(wù)提供商的數(shù)據(jù)交互。財(cái)務(wù)數(shù)據(jù)的共享涉及隱私保護(hù)和合規(guī)性要求，如數(shù)據(jù)加密、訪問控制、數(shù)據(jù)安全性和審計(jì)等。如果這些要求得不到滿足，可能導(dǎo)致數(shù)據(jù)泄露、被違規(guī)使用或受到高額罰款。

再次，人工智能技術(shù)存在算法偏見和誤判。財(cái)務(wù)決策依賴于人工智能算法的分析和預(yù)測，而算法可能存在偏見或錯誤的判斷。這可能導(dǎo)致財(cái)務(wù)決策的不準(zhǔn)確性和不公平性，進(jìn)而影響企業(yè)的經(jīng)濟(jì)利益和聲譽(yù)。

最后，人工智能技術(shù)缺乏透明度和解釋能力。許多人工智能算法是黑盒模型，難以解釋其決策原因和運(yùn)行邏輯。這使得人們難以評估人工智能系統(tǒng)是否做出了正確的財(cái)務(wù)決策，從而增加了風(fēng)險(xiǎn)。

人工智能技術(shù)的應(yīng)用是一把雙刃劍。一方面，從信息安全的入侵方來看，攻擊者可在人工智能技術(shù)的輔助下實(shí)現(xiàn)更低門檻地編寫惡意軟件代碼。另一方面，從信息安全的防守方來看，人工智能技術(shù)可以為防守方提供安全咨詢，幫助其了解最新的網(wǎng)絡(luò)安全威脅和漏洞，并提供針對性的建議；人工智能技術(shù)還可以幫助防守方監(jiān)測其網(wǎng)絡(luò)活動，及時(shí)發(fā)現(xiàn)異常流量和攻擊行為，并幫助其采取相應(yīng)的防御措施。總之，在使用人工智能技術(shù)時(shí)，其對財(cái)務(wù)信息化數(shù)據(jù)安全帶來的風(fēng)險(xiǎn)不容忽視。

保障企業(yè)數(shù)據(jù)安全刻不容緩

在技術(shù)發(fā)展帶來的新風(fēng)險(xiǎn)因素與傳統(tǒng)風(fēng)險(xiǎn)相疊加的背景之下，企業(yè)數(shù)據(jù)安全保障面臨著諸多挑戰(zhàn)。數(shù)據(jù)安全關(guān)乎企業(yè)數(shù)字化發(fā)展和未來的商業(yè)模式及競爭力，尤其在企業(yè)數(shù)字化轉(zhuǎn)型變革中，保障數(shù)據(jù)安全刻不容緩。若要保護(hù)數(shù)據(jù)安全，樹立數(shù)據(jù)安全保護(hù)意識，構(gòu)建數(shù)據(jù)安全體系，加強(qiáng)數(shù)據(jù)系統(tǒng)維護(hù)管理必不可少。

樹立數(shù)據(jù)安全保護(hù)意識。企業(yè)在運(yùn)營過程中，無論是制度制定，還是在計(jì)算、存儲、傳輸?shù)汝P(guān)鍵環(huán)節(jié)，都要鞏固對數(shù)據(jù)管理、連接、分析等的安全保障，以數(shù)據(jù)安全為企業(yè)發(fā)展保駕護(hù)航。

構(gòu)建數(shù)據(jù)安全體系。在企業(yè)內(nèi)部，應(yīng)圍繞數(shù)據(jù)安全制定一套適合自身發(fā)展的制度體系，包括但不限于數(shù)據(jù)分類、數(shù)據(jù)隔離、運(yùn)維安全、權(quán)限分級、安全刪除等核心內(nèi)容，以此加強(qiáng)對企業(yè)數(shù)據(jù)安全的保護(hù)。

加強(qiáng)數(shù)據(jù)系統(tǒng)維護(hù)管理。保護(hù)數(shù)據(jù)安全最重要的是要從根源上提高系統(tǒng)和數(shù)據(jù)的安全性，把安全理念融入數(shù)字化轉(zhuǎn)型藍(lán)圖設(shè)計(jì)階段，確保系統(tǒng)全生命周期的安全；完善數(shù)據(jù)保護(hù)機(jī)制，注重對敏感數(shù)據(jù)的訪問權(quán)限及加密操作；針對業(yè)務(wù)系統(tǒng)安全性漏洞，定期進(jìn)行安全檢測，排查安全隱患。

建立管理體系筑牢安全堤壩

對于企業(yè)而言，數(shù)據(jù)已經(jīng)成為重要的生產(chǎn)要素，成為徹底改變企業(yè)的模式、范式和創(chuàng)造新的業(yè)態(tài)的新引擎。全面加強(qiáng)數(shù)據(jù)安全保障體系建設(shè)，對激發(fā)數(shù)據(jù)潛在價(jià)值，促進(jìn)企業(yè)乃至國民經(jīng)濟(jì)社會高質(zhì)量發(fā)展意義重大。

數(shù)據(jù)安全已被賦予新的時(shí)代意義，發(fā)展數(shù)據(jù)安全產(chǎn)業(yè)既是數(shù)字經(jīng)濟(jì)社會發(fā)展趨勢的必然要求，也是新時(shí)代使命的必然要求。盡管如今網(wǎng)絡(luò)攻擊越來越復(fù)雜，防止數(shù)據(jù)泄露變得困難重重，但這并非不可能完成的任務(wù)。

金蝶作為資深的企業(yè)數(shù)字化轉(zhuǎn)型服務(wù)商，充分發(fā)揮30年服務(wù)超過740萬家企業(yè)和組織的技術(shù)沉淀優(yōu)勢，打造值得托付的企業(yè)服務(wù)平臺，助力企業(yè)構(gòu)筑云時(shí)代的安全屏障，為企業(yè)財(cái)務(wù)數(shù)據(jù)安全保駕護(hù)航。

實(shí)踐上，金蝶通過制定安全方針，規(guī)范安全策略，用以全面指導(dǎo)安全保障工作。具體規(guī)范員工行為，明確任務(wù)和責(zé)任，包括組織信息安全、信息資產(chǎn)管理、人員安全、物理和環(huán)境安全、IT 運(yùn)維安全、邏輯及網(wǎng)絡(luò)訪問控制、信息系統(tǒng)開發(fā)與維護(hù)、變更管理、信息安全事件管理、業(yè)務(wù)連續(xù)性管理、法律法規(guī)符合性等。同時(shí)幫助記錄并明確實(shí)施步驟、內(nèi)容、結(jié)果，并通過規(guī)范和指南定義具體操作內(nèi)容和步驟，引導(dǎo)正確執(zhí)行工作，包括人員安全規(guī)范、基礎(chǔ)設(shè)施管理指南、安全開發(fā)規(guī)范、安全運(yùn)維規(guī)范、安全加固指南、運(yùn)行維護(hù)指南等。此外，金蝶定期進(jìn)行內(nèi)部安全審計(jì)，提交審計(jì)報(bào)告，并且也會聘請第三方安全服務(wù)機(jī)構(gòu)進(jìn)行外部安全審計(jì)，對其發(fā)現(xiàn)并暴露的安全問題進(jìn)行及時(shí)、有效的改進(jìn)。

打造韌性底座護(hù)航云轉(zhuǎn)型數(shù)據(jù)安全

近年來，隨著國家密集出臺政策加快數(shù)字化產(chǎn)業(yè)發(fā)展和產(chǎn)業(yè)數(shù)字化步伐，在萬物上云的時(shí)代，云成為網(wǎng)絡(luò)攻防的主戰(zhàn)場，如何解決云上的數(shù)據(jù)安全問題成為備受矚目的命題。

金蝶云財(cái)務(wù)ERP基于云原生應(yīng)用構(gòu)建了安全的運(yùn)行環(huán)境，具備面向微服務(wù)、容器化封裝、動態(tài)管理的三大特征。通過WAF、防火墻、HIDS等安全設(shè)備以及VPC、ACL、安全組等策略，構(gòu)筑完善的云數(shù)據(jù)安全防護(hù)體系，有效抵抗SQL注入、XSS跨站腳本等多種攻擊；定期對云數(shù)據(jù)庫進(jìn)行安全基線檢查，并對發(fā)現(xiàn)的安全漏洞進(jìn)行及時(shí)修復(fù)；實(shí)時(shí)監(jiān)控云數(shù)據(jù)庫及應(yīng)用安全狀態(tài)，避免被勒索病毒感染、數(shù)據(jù)丟失等安全事件的發(fā)生。

圍繞企業(yè)上云的多種場景需求，金蝶基于PIA構(gòu)建了多租戶隔離，數(shù)據(jù)安全標(biāo)簽，數(shù)據(jù)加密存儲、傳輸，數(shù)據(jù)脫敏多重能力，全方位保護(hù)云租戶數(shù)據(jù)的安全。

在多租戶隔離方面，金蝶可對每個(gè)租戶配置單獨(dú)的數(shù)據(jù)中心，各數(shù)據(jù)中心之間相互隔離，采用數(shù)據(jù)庫級別的數(shù)據(jù)隔離和業(yè)務(wù)附件信息的隔離，租戶僅能訪問自己名下的數(shù)據(jù)而無法訪問其它租戶的數(shù)據(jù)，切實(shí)保障客戶數(shù)據(jù)及信息的獨(dú)立性和安全性。

在數(shù)據(jù)安全標(biāo)簽設(shè)置方面，金蝶提供數(shù)據(jù)安全標(biāo)簽功能，可選擇對個(gè)人信息、敏感個(gè)人信息、企業(yè)敏感數(shù)據(jù)等需要特殊保護(hù)的字段進(jìn)行安全標(biāo)記，并依次針對性進(jìn)行加密保存、脫敏展示等進(jìn)一步安全保護(hù)。

在數(shù)據(jù)加密存儲、傳輸方面，金蝶支持對個(gè)人信息、敏感個(gè)人信息、企業(yè)敏感數(shù)據(jù)等敏感字段使用國密算法進(jìn)行加密存儲，支持自定義敏感字段的加密策略。在數(shù)據(jù)加密傳輸過程中，金蝶云服務(wù)采用主流權(quán)威的商業(yè)數(shù)字證書和完善的證書管理系統(tǒng)，使用安全的 SSL/TLS 加密傳輸方式，有效防止信息被非法竊聽和使用。

在數(shù)據(jù)脫敏方面，金蝶提供標(biāo)準(zhǔn)預(yù)置隱私模板脫敏方案，支持對敏感字段進(jìn)行脫敏處理。根據(jù)不同的業(yè)務(wù)數(shù)據(jù)類型可以設(shè)置不同的脫敏方案，或者根據(jù)不同用戶可以設(shè)置不同的隱藏顯示權(quán)限，有效防止敏感數(shù)據(jù)被惡意竊取和利用。

以開放之姿守護(hù)財(cái)務(wù)數(shù)據(jù)安全

眼下，以云計(jì)算、大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)等新技術(shù)為代表的數(shù)字化時(shí)代已經(jīng)來臨，這些新技術(shù)未來幾年也將持續(xù)影響全球經(jīng)濟(jì)社會發(fā)展。新技術(shù)的到來，對財(cái)務(wù)數(shù)字化轉(zhuǎn)型具有積極意義，與此同時(shí)也為守護(hù)財(cái)務(wù)數(shù)據(jù)安全帶來潛在挑戰(zhàn)。新技術(shù)提供了更強(qiáng)大的數(shù)據(jù)分析和洞察能力、加強(qiáng)了身份驗(yàn)證和訪問控制、提高了欺詐檢測和預(yù)防能力、加強(qiáng)了數(shù)據(jù)監(jiān)控和實(shí)時(shí)響應(yīng)能力。然而，需要注意的是，企業(yè)在應(yīng)用這些新技術(shù)的過程中要重視數(shù)據(jù)隱私和安全的保護(hù)，應(yīng)采取相應(yīng)的措施加強(qiáng)財(cái)務(wù)數(shù)據(jù)的安全性。

在經(jīng)濟(jì)全球化的今天，任何一個(gè)組織都無法獨(dú)立解決如此復(fù)雜的問題，公開、透明、互信的溝通與合作是應(yīng)對新時(shí)代數(shù)據(jù)安全問題和挑戰(zhàn)的基礎(chǔ)。金蝶將繼續(xù)秉承開放、透明的方式，與監(jiān)管機(jī)構(gòu)、客戶和其他利益相關(guān)方開展溝通和合作，推動持續(xù)改進(jìn)端到端的產(chǎn)品安全保障體系的完備性，確保產(chǎn)品和技術(shù)符合相關(guān)法律法規(guī)和標(biāo)準(zhǔn)的要求。金蝶也將會繼續(xù)堅(jiān)持技術(shù)創(chuàng)新，投入更多資源進(jìn)行安全技術(shù)和方法的研究，增強(qiáng)產(chǎn)品應(yīng)對安全威脅的能力和韌性，減少安全風(fēng)險(xiǎn)帶來的不利影響，以便能為客戶持續(xù)提供安全可信賴的產(chǎn)品和服務(wù)。

數(shù)字化浪潮之下，守護(hù)財(cái)務(wù)數(shù)據(jù)安全，就是守護(hù)企業(yè)的生產(chǎn)要素，保衛(wèi)數(shù)字經(jīng)濟(jì)發(fā)展的成果。未來，金蝶仍將不斷整合自身的能力和實(shí)踐經(jīng)驗(yàn)，以開放的姿態(tài)與合作伙伴攜手，助力企業(yè)構(gòu)筑強(qiáng)大的數(shù)據(jù)安全防線，助力企業(yè)數(shù)字化轉(zhuǎn)型創(chuàng)新，實(shí)現(xiàn)安全可控的高質(zhì)量發(fā)展。

責(zé)任編輯：狐若辰