随着移动互联网、人工智能、在线商旅服务、大数据、云计算等信息领域技术的推动,网上报销已经成为时代的宠儿,企业对网上报销信息化的投入也越来越大,报销业务的处理已由原来的线下传统报销向线上自动化智能化管理进行着变革,进而推动企业财务管理职能的转变,对企业进行数字化业务赋能起到引领作用。
网上报销基于B/S架构,通过浏览器就可以访问,而无需安装任何程序,员工只需在线填报,领导在线审批,其报销效率、透明化程度以及制度的执行保障都大大提高,但与此同时,很多人会对系统的运行维护和安全措施是否到位,信息是否会被泄漏,系统使用过程中是否会越级操作或毁损,系统是否会无法正常运行等问题产生不信任感,在系统生命周期内,喜报如何通过系统应用的安全管理方法,辨识系统中的隐患,并能采取有效的控制措施使其危险性最小,从而使系统在规定的性能、时间和成本范围内达到最佳的安全程度?
喜报销对于系统安全架构有如下充分措施:
1、访问控制
(1)启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数,并具备超时登出机制;对每个用户实施最小授权机制;
(2)所有的操作都要有复核的机制,满足双人四眼原则,且权限不可被继承。
(3)其他访问控制需求,例如连续失败登录后锁定账户,账户锁定后可以由系统管理员解锁,也可以在一段时间后自动解锁。将站点分割为公共访问区域和受限访问区域,受限区域只能接受特定用户的访问,而且用户必须通过站点的身份验证。当未经认证的用户试图访问受限资源时,应用应自动提示用户认证等。
2、用户、角色及权限管理
系统支持用户的创建可以归属到机构和部门;应用软件包含用户权限分配和管理功能设计,以及敏感数据安全保护,例如提供数据有效性(数据类型、取值范围、相互之间的逻辑关系等)检验功能,如对前台及后台接口输入进行有效性检验、对特定的字符进行传输时需按相关规范进行转义、输入数据出现问题时不能出现异常故障或在交易终端上出现程序指令、内部IP地址等信息;对于不可信数据输出到客户端的,需进行编码等。
3、会话安全
设计安全的会话管理,如SSL保护、单个账户的多重并发会话进行限制、禁止单用户复制会话进程等;解锁认证;空闲重新登录等。
4、通信安全
系统间交互的数据应按信息安全相关规范进行加密及校验(尤指跨区域和Internet服务),防止敏感信息泄露或中途被篡改,保证交互数据的完整性和一致性;与第三方数据交互优先使用硬加密技术;应用接口调用必须进行认证或防钓鱼处理,如白名单、时间戳等。
5、输入和输出验证
对所有的输入进行安全验证,采用集中验证方法,在服务器端进行验证,限制、拒绝和净化输入,SQL注入防范,XML注入防范,代码安全策略,移动安全策略,服务端安全策略等。
喜报销具备完善的安全措施及相关系统安全检测报告,其非功能性优势能确保降低网上报销的安全威胁和风险。
喜报销隶属于上海星汉信息技术有限公司,在做报销费控这方面也是有十几年的经验与沉淀,打通了 “ 消费--报销--支付--记账--分析 ” 全流程,颠覆了传统报销模式,集预算及费用管控、出差/费用申请、差旅预订/企业采购、发票识别查验、报销/审批、复核支付、记账凭证、费用分析及系统集成等功能于一体围绕企业报销环节实现全流程费用管理,同时其相应的系统稳定性及安全性也已得到了多年的验证。