审计在云端:机遇与挑战
魏 毅 (审计署哈尔滨办)
【摘要】云计算在为信息时代注入强劲驱动力的同时,对审计工作的影响也日益显现。本文从云计算产生背景、发展现状与未来趋势出发,以国家审计人员的视角,指出了借助于云计算提高审计信息化水平、优化审计组织模式,进而提高审计效率、提升审计成果所带来的发展机遇。同时,从数据安全隐患、服务中断、胜任能力不足等方面详细分析了审计云计算服务带来的挑战,并有针对性地提出相应对策。
【关键词】云计算、国家治理、信息系统审计、信息安全
一、云计算的前世、今生与未来
信息化作为当今世界发展的重要驱动力,对生活方式、经济活动和社会组织模式的影响日渐深入。而以云计算为代表的新技术则为信息产业的发展提供了新的活力,并日益成为企业、国家间开展全球竞争的战略高点。
(一)云计算的背景。云计算是在计算机长期发展使用中产生的,是人们在追求网络时代计算资源高效配置的过程中孕育而生的。早在上世纪60年代,麦卡锡就提出了把计算能力作为一种像水和电一样的公用事业提供给用户的理念,这成为云计算思想的起源。云计算可以看做是分布式计算、并行计算、效用计算、网络存储、虚拟化、负载均衡等传统计算机和网络技术发展融合的产物。
(二)云计算的定义及特点。云计算是一个相对较新的术语,用来描述一系列已有的业务策略、技术和处理模式。2011年,美国国家标准与技术研究院(NIST)将云计算定义为一个模型,该模型可以方便地通过网络按需共享一个可配置的计算资源池(例如网络、服务器、存储设备、应用程序以及服务),而在实现资源的快速配置和使用的过程中仅需付出最小化的管理成本或服务提供商的介入[1]。该组织同时指出,云计算仍处于发展阶段,其定义必将随着时间的推进而改变。云计算具有以下五个特征,即服务自助化、访问网络化、资源共享化、配置动态化、服务计量化。其服务模式主要有基础设施即服务(IaaS)、平台即服务(PaaS)、软件即服务(SaaS)、业务流程即服务(BPaaS),部署模型可分为私有云、公共云及混合云。
(三)云计算的发展现状。云计算概念自提出以来,就被认为会带来信息技术变革,甚至会影响整个产业的格局。正因如此,亚马逊、谷歌、微软、戴尔、IBM等传统IT国际巨头都致力于研究云计算技术和提供云计算服务,并陆续涌现出了VMware、Rackspace、Salesforce.com等专注于云计算的公司。在中国国内百度、阿里、著云台、华为等公司纷纷开展了各自的云计算业务,中国移动、中国联通、中国电信这三家电信厂商也纷纷拟定云计算战略并着手建设。与此同时,越来越多的企业选择使用云计算服务,《福布斯》披露目前已有超半数美国企业使用云计算。
在企业围绕云计算展开竞争的同时,各国也加紧制定实施本国的云计算战略。2011年2月,美国发布《联邦云计算战略》白皮书,规定在所有联邦政府IT项目中云计算优先,并规定每个联邦机构至少拿出三项应用向云计算迁移。同年11月英国政府宣布将启动政府云服务(G-Cloud),英国政府的目标是到2015 年,至少有50%的政府公共部门的信息技术资源通过G-Cloud购买。我国政府近年来也在《国家“十二五”规划纲要》和《国务院关于加快培育和发展战略性新兴产业的决定》中将云计算列为重点发展的战略性新兴产业,并陆续出台了《关于做好云计算服务创新发展试点示范工作的通知》、《中国云科技发展“十二五”专项规划》等文件。
(四)云计算的发展前景。云计算的未来发展将呈现以下特点:一是云计算的市场将进一步扩大。云计算因其高效、经济、可扩展等特点其在IT市场所占份额将进一步提升。2012年美国Gartner公布的云计算市场预测报告显示到2016年云计算的市场规模将从年2011年的914亿美元增长到2060亿美元。二是云计算应用将更为普遍。以云存储为例,根据艾瑞咨询统计,预计2013年中国个人云存储用户规模将达到2.23亿,网民渗透率达到36.7%。Gartner发布的报告也显示,预计到2016年将有36%的数字内容存储至云端,而在2011年这一比例仅为7%。三是技术竞争将日趋激烈。目前, VMware、OpenStack和AWS (Amazon Web Service) 在云计算市场的不同领域各有建树渐成三足鼎立之势,但任何一方短时期都难以独霸天下,且不得不直面市场上其他新兴厂商的技术竞争。四是云计算安全仍将是关注的重点。云计算自诞生以来,就因数据泄露、数据破坏、服务中断等风险受到诟病,安全性成为其阿喀琉斯之踵,严重制约了云计算的推广应用。云计算的长远发展离不开安全方面的技术研究和标准制定,因此云计算安全将成为云计算发展永远的关注点。
(五)审计在云端的必然性。审计在云端是指在具备使用云服务的能力、具备对被审计单位云端数据及云信息系统开展审计的能力的前提下,借助云计算的技术特性通过构建审计私有云等方式来提供审计云服务,以更好地履行国家审计职责。
在信息化迅猛发展的时代背景下,刘家义审计长一针见血地指出审计的根本出路在于信息化,唯有加强国家审计信息化建设才能在实现国家良治的过程中更好的发挥审计预防、揭露、抵御的“免疫系统”功能。审计在云端恰恰是强化国家审计信息化建设的有效途径,也有利于实现“总体分析、发现疑点、分散核实、精确定位、系统研究”的数字化审计方式。近年来,审计信息化程度的不断提高为今后审计在云端奠定了必要的基础。与此同时,各级审计机关面临的数据共享,跨地区、跨行业的综合数据分析难题也可以通过审计在云端帮助我们解决。此外,随着云计算产业的不断发展,今后被审计单位的电子数据将更多的存储在云端、处理于云端,被审计单位的内部控制情况也将在云端得到体现,因此审计在云端也就成为了一种必然。
二、审计在云端带来的机遇
审计在云端所带来的机遇体现在两个方面,即云计算应用于审计工作所带来的机遇和对云审计所带来的机遇。
(一)云计算技术应用给审计工作带来的机遇。云计算技术的应用可以提高数据处理能力、数据分析能力、数据存储能力、数据防护能力,实现审计方法模型的扩展和共享。在《审计署关于进一步推进审计信息化建设的指导意见》中明确提出要广泛利用高速宽带网络、新一代移动通信技术、“云计算”等先进信息技术,不断拓展AO的审计业务处理功能,提升存储能力和计算能力。研究构建“云AO”,增强计算机审计分析和信息资源支持功能,审计人员能够比较方便地开发计算机审计方法和数据分析工具,经过认证后直接提交到平台备选工具箱,充实AO平台中基于计算机审计方法体系的审计分析工具;依托安全高带宽通信网络,增强审计数据存储的安全性,将敏感的审计数据存放于审计机关数据中心,并通过数据中心提供全程全网跨审计专业数据查询服务和历年审计成果查询服务等;依托高带宽通信网络,增强远程处理能力,即时上传审计数据,共享审计“云平台”上的服务器运算能力资源,远程开展海量数据审计分析。
此外,审计云平台的整体采购相比各级审计机关单独采购更具规模效益,可以获得更高的商业折扣,通过向上集中的方式科学规划审计云布局可以有效节约采购和运维成本。而服务器等设备的向上集中将大大减少基层审计机关计算机处人员的运维压力,让他们有更多精力进行数据综合分析利用和信息系统审计等工作。与此同时,审计人员因可以按需使用云端软件而无需在客户端安装各类审计软件,从而大大降低了软件冲突的风险。
(二)云计算技术应用对开展云审计带来的机遇。目前,我国云计算产业正处于发展阶段,从审计视角出发揭示其发展中遇到的问题、分析原因、建言献策可以促进云计算产业健康有序发展,也将为审计工作促进国家良治打开另一扇窗。在针对云计算产业审计方面,美国审计署(GAO)已经相继发表了《云计算未来发展进程需进行进一步规划》等多篇研究报告取得良好效果。事实上,在我国云计算产业发展的过程中已经出现一些问题值得在今后审计中予以关注:
一是云计算“泡沫”已经显现。目前,已经投入云计算建设或提出发展云计算的城市已多达几十个,覆盖了东部沿海地区、中西部地区和东北地区,其中一些地方还提出了建设“亚洲最大”、“中国最大”云计算基地等口号。规模经济是云计算的典型特征,这种“遍地开花”的发展模式可能造成未来的产能过剩和设备闲置。
二是数据中心(IDC)布局结构不合理。大型云服务要以规模大、耗能高的大型数据中心为基础,而我国共有数据中心43万个,约占全球的13%,但整体规模普遍偏小且技术和运营水平也普遍较低,且主要分布在北京、上海、广州等平均气温偏高且近年来面临电力短缺等能源问题的地区[2]。
三是云安全仍是制约产业发展的重要因素。技术层面上,目前我国能提供完整信息安全防护产品和高水平云计算安全策略的厂商还凤毛麟角;法律层面上欧盟、美国、日本和韩国等拥有相对完善的网络信息安全保护法律体系,为云计算的发展提供了较好的法律保障。相比之下,我国在个人隐私保护,在线数据保护,数据跨境流动等方面的法律法规存在很大缺失。
四是缺乏核心技术。目前,我国企业虽积极参与到云计算相关国际组织,并在云计算开源项目中拥有了一定话语权,但还缺乏服务器操作系统、大规模云计算系统管理、云计算相关核心芯片等关键技术。
五是标准尚未建立影响云间数据交互。目前,云计算有多种技术架构和应用模式并存,在全世界还没有统一标准,将不可避免的影响到不同云系统之间的互联互通。国内目前已经开展了云计算标准的研究,但是总体来看还处于起步阶段。审计对此应予以高度关注,从而方便日后与其他云平台的数据交互。
三、审计在云端面对的挑战及对策
审计在云端面对的挑战主要集中在以下三个方面即数据安全的挑战、持续高效提供云服务的挑战以及人员胜任能力的挑战。
(一)数据安全挑战及对策。云计算自诞生以来其安全问题就广受关注,而数据作为大数据时代具有产权乃至主权属性的特殊资源,其安全性更是受到广泛的关注。在云安全联盟(CSA)发布的《2013云计算9大威胁》报告中,除了提到数据破坏和数据丢失这两个典型的数据安全问题外,还提到账户劫持、不安全的API、恶意的内部人员、滥用与恶意使用和审查不足等5种会对数据安全造成威胁的方式[3]。事实上,集合海量数据的大型数据中心对黑客颇具诱惑性,早已成为其发动攻击的新目标。2011年3月,谷歌邮箱就爆发大规模的用户数据泄漏事件,大约有15万Gmail用户受到影响。审计机关因其工作特性会掌握部分被审企业的财务业务数据及国家政府机构数据,这些数据往往具有敏感性甚至是涉密数据,因此审计在云端要特别重视数据安全。
如果数据是存放在私有云之外的云端,那么就无从知晓数据的现存地点(服务器或存储设备)和曾经存放的地点[4],而这既不利于数据管理更不利于数据安全,为此审计机关更适宜于建设审计私有云。建设使用云平台的审计机关在维护数据安全方面应做到:制定云计算使用政策,明确界定可适用于云计算解决方案的业务流程和数据分类标准(按照法律要求根据数据密级及敏感性进行分类);制定严格的授权政策和数据传输规定,根据授权级别明确授权人能够使用的数据范围、能够得到的云服务,明确数据传输方式和使用人的责任义务;在云平台数据中心部署信息安全硬件设备和软件,在客户端使用基于真随机数等方式的身份认证装置;制定紧急情况应急响应方案并定期进行数据备份,在发生数据破坏或数据丢失的情况时将危害降低到最低程度;定期对云平台的系统安全性进行检查;当云服务外包建设运维时,还应明确服务商与审计机关之间的责任和义务,并建立云计算安全审计制度,以便对服务商进行安全评估。
(二)持续高效提供云服务的挑战及对策。能否持续高效的提供云服务取决于两个方面,即能否保证云平台的稳定运行和能否借助高带宽通信网络进行有效地数据传输。后者主要取决于我国的网络环境,目前而言我国的平均接入网速差强人意。Akamai Technologies公司发布的《2012年3季度全球互联网流量报告》 显示我国网络平均接入速度1.6Mbps,低于全球2.8Mbps的平均水平,排名第94位。在这方面,审计机关除加大投入租用电信运营商高带宽线路外,只能寄希望于我国网络环境的改善。
云服务中止早已不是新鲜事,2011年4月,由于EC2业务的漏洞和缺陷,亚马逊公司爆出了云计算数据中心宕机事件。今年,苹果公司iCloud也再次爆出故障问题,给全球范围的用户造成影响。事实上,故障是一种可能发生于任何计算环境下的风险事件,要保持云平台的稳定运行降低故障造成的影响应从以下方面入手:一是建立后备云服务并制定故障切换策略,以便发生意外之后能够将备份数据迅速地部署到后备云服务上。二是对系统可用状态(数据中心环境、服务器内存使用、网络入侵、病毒等)进行实时监控,确保能够及时发现问题。三是确保紧急情况应急响应方案的有效性,当发生网络攻击、宕机等突发事件时能做出及时、充分的响应。
(三)人员胜任能力的挑战及对策。审计在云端对审计人员提出了新的要求。一是在技术层面对从事信息化技术工作的审计人员提出了新的挑战,表现为要求相应人员熟悉了解云计算的基本知识、熟悉了解云服务的内容和方式,既能够利用审计云服务开展审计工作又能对被审计单位的云数据和云服务开展审计。对于独自建设云平台的审计机关技术人员来说还必须了解云计算的核心技术,包括集群与负载均衡技术、虚拟化技术、分布式数据存储技术、分布式计算技术、服务管理技术和云计算数据中心建设方案等。二是在管理层面对从事信息化管理工作的审计人员提出了新的挑战,相关人员要拟定并执行云计算使用政策、授权政策、数据分类原则、云审计方案等制度。对于将审计云服务外包的审计机关信息化管理人员来说,还必须参与拟订与云服务提供商之间的服务协议以明确彼此间的权责,并在云服务运行的过程中保持对云服务供应商的有效管理以保证云服务的持续有效运行。三是对审计人员和运维人员职业道德提出的挑战。审计在云端,意味着审计人员和运维人员可以掌握更多的数据资源,当数据资源可以为个人带来利益的时候就可能引发数据的滥用或恶意使用,无论是借此牟利还是擅自向外披露敏感数据都会给审计机关带来严重负面影响。为有效提高人员胜任能力一方面应加强对现有人员的技术能力培训、管理技能培训和职业道德教育,并为他们提供技术交流的机会和平台;另一方面应加强云计算相关技术人才和管理人才的引进力度。
机遇与挑战永远相生相伴,在这场云计算带来的技术变革中,审计机关应牢牢把握机遇,借助云计算切实提高信息化审计水平、优化审计组织模式;与此同时,还要勇于面对挑战,积极寻找对策应对挑战,真正将云计算变为提高审计效率、提升审计成果的一朵祥云。(魏毅)
参考文献:
[1] Peter Mell,Tim Grance. The NIST Definition of Cloud Computing. Special Publication 800-145, National Institute of Standards and Technology, August 2011
[2] 云计算白皮书(2012). 工业和信息化部电信研究院. 2012年4月
[3] The Notorious Nine: Cloud Computing Top Threats in 2013. https://cloudsecurity alliance.org/download/the-notorious-nine-cloud-computing-top-threats-in-2013
[4] Warren Chan, Eugene Leung, Heidi Pili. Enterprise Risk Management for Cloud Computing. Committee of Sponsoring Organizations of the Treadway Commission. December 2012
【关键词】云计算、国家治理、信息系统审计、信息安全
一、云计算的前世、今生与未来
信息化作为当今世界发展的重要驱动力,对生活方式、经济活动和社会组织模式的影响日渐深入。而以云计算为代表的新技术则为信息产业的发展提供了新的活力,并日益成为企业、国家间开展全球竞争的战略高点。
(一)云计算的背景。云计算是在计算机长期发展使用中产生的,是人们在追求网络时代计算资源高效配置的过程中孕育而生的。早在上世纪60年代,麦卡锡就提出了把计算能力作为一种像水和电一样的公用事业提供给用户的理念,这成为云计算思想的起源。云计算可以看做是分布式计算、并行计算、效用计算、网络存储、虚拟化、负载均衡等传统计算机和网络技术发展融合的产物。
(二)云计算的定义及特点。云计算是一个相对较新的术语,用来描述一系列已有的业务策略、技术和处理模式。2011年,美国国家标准与技术研究院(NIST)将云计算定义为一个模型,该模型可以方便地通过网络按需共享一个可配置的计算资源池(例如网络、服务器、存储设备、应用程序以及服务),而在实现资源的快速配置和使用的过程中仅需付出最小化的管理成本或服务提供商的介入[1]。该组织同时指出,云计算仍处于发展阶段,其定义必将随着时间的推进而改变。云计算具有以下五个特征,即服务自助化、访问网络化、资源共享化、配置动态化、服务计量化。其服务模式主要有基础设施即服务(IaaS)、平台即服务(PaaS)、软件即服务(SaaS)、业务流程即服务(BPaaS),部署模型可分为私有云、公共云及混合云。
(三)云计算的发展现状。云计算概念自提出以来,就被认为会带来信息技术变革,甚至会影响整个产业的格局。正因如此,亚马逊、谷歌、微软、戴尔、IBM等传统IT国际巨头都致力于研究云计算技术和提供云计算服务,并陆续涌现出了VMware、Rackspace、Salesforce.com等专注于云计算的公司。在中国国内百度、阿里、著云台、华为等公司纷纷开展了各自的云计算业务,中国移动、中国联通、中国电信这三家电信厂商也纷纷拟定云计算战略并着手建设。与此同时,越来越多的企业选择使用云计算服务,《福布斯》披露目前已有超半数美国企业使用云计算。
在企业围绕云计算展开竞争的同时,各国也加紧制定实施本国的云计算战略。2011年2月,美国发布《联邦云计算战略》白皮书,规定在所有联邦政府IT项目中云计算优先,并规定每个联邦机构至少拿出三项应用向云计算迁移。同年11月英国政府宣布将启动政府云服务(G-Cloud),英国政府的目标是到2015 年,至少有50%的政府公共部门的信息技术资源通过G-Cloud购买。我国政府近年来也在《国家“十二五”规划纲要》和《国务院关于加快培育和发展战略性新兴产业的决定》中将云计算列为重点发展的战略性新兴产业,并陆续出台了《关于做好云计算服务创新发展试点示范工作的通知》、《中国云科技发展“十二五”专项规划》等文件。
(四)云计算的发展前景。云计算的未来发展将呈现以下特点:一是云计算的市场将进一步扩大。云计算因其高效、经济、可扩展等特点其在IT市场所占份额将进一步提升。2012年美国Gartner公布的云计算市场预测报告显示到2016年云计算的市场规模将从年2011年的914亿美元增长到2060亿美元。二是云计算应用将更为普遍。以云存储为例,根据艾瑞咨询统计,预计2013年中国个人云存储用户规模将达到2.23亿,网民渗透率达到36.7%。Gartner发布的报告也显示,预计到2016年将有36%的数字内容存储至云端,而在2011年这一比例仅为7%。三是技术竞争将日趋激烈。目前, VMware、OpenStack和AWS (Amazon Web Service) 在云计算市场的不同领域各有建树渐成三足鼎立之势,但任何一方短时期都难以独霸天下,且不得不直面市场上其他新兴厂商的技术竞争。四是云计算安全仍将是关注的重点。云计算自诞生以来,就因数据泄露、数据破坏、服务中断等风险受到诟病,安全性成为其阿喀琉斯之踵,严重制约了云计算的推广应用。云计算的长远发展离不开安全方面的技术研究和标准制定,因此云计算安全将成为云计算发展永远的关注点。
(五)审计在云端的必然性。审计在云端是指在具备使用云服务的能力、具备对被审计单位云端数据及云信息系统开展审计的能力的前提下,借助云计算的技术特性通过构建审计私有云等方式来提供审计云服务,以更好地履行国家审计职责。
在信息化迅猛发展的时代背景下,刘家义审计长一针见血地指出审计的根本出路在于信息化,唯有加强国家审计信息化建设才能在实现国家良治的过程中更好的发挥审计预防、揭露、抵御的“免疫系统”功能。审计在云端恰恰是强化国家审计信息化建设的有效途径,也有利于实现“总体分析、发现疑点、分散核实、精确定位、系统研究”的数字化审计方式。近年来,审计信息化程度的不断提高为今后审计在云端奠定了必要的基础。与此同时,各级审计机关面临的数据共享,跨地区、跨行业的综合数据分析难题也可以通过审计在云端帮助我们解决。此外,随着云计算产业的不断发展,今后被审计单位的电子数据将更多的存储在云端、处理于云端,被审计单位的内部控制情况也将在云端得到体现,因此审计在云端也就成为了一种必然。
二、审计在云端带来的机遇
审计在云端所带来的机遇体现在两个方面,即云计算应用于审计工作所带来的机遇和对云审计所带来的机遇。
(一)云计算技术应用给审计工作带来的机遇。云计算技术的应用可以提高数据处理能力、数据分析能力、数据存储能力、数据防护能力,实现审计方法模型的扩展和共享。在《审计署关于进一步推进审计信息化建设的指导意见》中明确提出要广泛利用高速宽带网络、新一代移动通信技术、“云计算”等先进信息技术,不断拓展AO的审计业务处理功能,提升存储能力和计算能力。研究构建“云AO”,增强计算机审计分析和信息资源支持功能,审计人员能够比较方便地开发计算机审计方法和数据分析工具,经过认证后直接提交到平台备选工具箱,充实AO平台中基于计算机审计方法体系的审计分析工具;依托安全高带宽通信网络,增强审计数据存储的安全性,将敏感的审计数据存放于审计机关数据中心,并通过数据中心提供全程全网跨审计专业数据查询服务和历年审计成果查询服务等;依托高带宽通信网络,增强远程处理能力,即时上传审计数据,共享审计“云平台”上的服务器运算能力资源,远程开展海量数据审计分析。
此外,审计云平台的整体采购相比各级审计机关单独采购更具规模效益,可以获得更高的商业折扣,通过向上集中的方式科学规划审计云布局可以有效节约采购和运维成本。而服务器等设备的向上集中将大大减少基层审计机关计算机处人员的运维压力,让他们有更多精力进行数据综合分析利用和信息系统审计等工作。与此同时,审计人员因可以按需使用云端软件而无需在客户端安装各类审计软件,从而大大降低了软件冲突的风险。
(二)云计算技术应用对开展云审计带来的机遇。目前,我国云计算产业正处于发展阶段,从审计视角出发揭示其发展中遇到的问题、分析原因、建言献策可以促进云计算产业健康有序发展,也将为审计工作促进国家良治打开另一扇窗。在针对云计算产业审计方面,美国审计署(GAO)已经相继发表了《云计算未来发展进程需进行进一步规划》等多篇研究报告取得良好效果。事实上,在我国云计算产业发展的过程中已经出现一些问题值得在今后审计中予以关注:
一是云计算“泡沫”已经显现。目前,已经投入云计算建设或提出发展云计算的城市已多达几十个,覆盖了东部沿海地区、中西部地区和东北地区,其中一些地方还提出了建设“亚洲最大”、“中国最大”云计算基地等口号。规模经济是云计算的典型特征,这种“遍地开花”的发展模式可能造成未来的产能过剩和设备闲置。
二是数据中心(IDC)布局结构不合理。大型云服务要以规模大、耗能高的大型数据中心为基础,而我国共有数据中心43万个,约占全球的13%,但整体规模普遍偏小且技术和运营水平也普遍较低,且主要分布在北京、上海、广州等平均气温偏高且近年来面临电力短缺等能源问题的地区[2]。
三是云安全仍是制约产业发展的重要因素。技术层面上,目前我国能提供完整信息安全防护产品和高水平云计算安全策略的厂商还凤毛麟角;法律层面上欧盟、美国、日本和韩国等拥有相对完善的网络信息安全保护法律体系,为云计算的发展提供了较好的法律保障。相比之下,我国在个人隐私保护,在线数据保护,数据跨境流动等方面的法律法规存在很大缺失。
四是缺乏核心技术。目前,我国企业虽积极参与到云计算相关国际组织,并在云计算开源项目中拥有了一定话语权,但还缺乏服务器操作系统、大规模云计算系统管理、云计算相关核心芯片等关键技术。
五是标准尚未建立影响云间数据交互。目前,云计算有多种技术架构和应用模式并存,在全世界还没有统一标准,将不可避免的影响到不同云系统之间的互联互通。国内目前已经开展了云计算标准的研究,但是总体来看还处于起步阶段。审计对此应予以高度关注,从而方便日后与其他云平台的数据交互。
三、审计在云端面对的挑战及对策
审计在云端面对的挑战主要集中在以下三个方面即数据安全的挑战、持续高效提供云服务的挑战以及人员胜任能力的挑战。
(一)数据安全挑战及对策。云计算自诞生以来其安全问题就广受关注,而数据作为大数据时代具有产权乃至主权属性的特殊资源,其安全性更是受到广泛的关注。在云安全联盟(CSA)发布的《2013云计算9大威胁》报告中,除了提到数据破坏和数据丢失这两个典型的数据安全问题外,还提到账户劫持、不安全的API、恶意的内部人员、滥用与恶意使用和审查不足等5种会对数据安全造成威胁的方式[3]。事实上,集合海量数据的大型数据中心对黑客颇具诱惑性,早已成为其发动攻击的新目标。2011年3月,谷歌邮箱就爆发大规模的用户数据泄漏事件,大约有15万Gmail用户受到影响。审计机关因其工作特性会掌握部分被审企业的财务业务数据及国家政府机构数据,这些数据往往具有敏感性甚至是涉密数据,因此审计在云端要特别重视数据安全。
如果数据是存放在私有云之外的云端,那么就无从知晓数据的现存地点(服务器或存储设备)和曾经存放的地点[4],而这既不利于数据管理更不利于数据安全,为此审计机关更适宜于建设审计私有云。建设使用云平台的审计机关在维护数据安全方面应做到:制定云计算使用政策,明确界定可适用于云计算解决方案的业务流程和数据分类标准(按照法律要求根据数据密级及敏感性进行分类);制定严格的授权政策和数据传输规定,根据授权级别明确授权人能够使用的数据范围、能够得到的云服务,明确数据传输方式和使用人的责任义务;在云平台数据中心部署信息安全硬件设备和软件,在客户端使用基于真随机数等方式的身份认证装置;制定紧急情况应急响应方案并定期进行数据备份,在发生数据破坏或数据丢失的情况时将危害降低到最低程度;定期对云平台的系统安全性进行检查;当云服务外包建设运维时,还应明确服务商与审计机关之间的责任和义务,并建立云计算安全审计制度,以便对服务商进行安全评估。
(二)持续高效提供云服务的挑战及对策。能否持续高效的提供云服务取决于两个方面,即能否保证云平台的稳定运行和能否借助高带宽通信网络进行有效地数据传输。后者主要取决于我国的网络环境,目前而言我国的平均接入网速差强人意。Akamai Technologies公司发布的《2012年3季度全球互联网流量报告》 显示我国网络平均接入速度1.6Mbps,低于全球2.8Mbps的平均水平,排名第94位。在这方面,审计机关除加大投入租用电信运营商高带宽线路外,只能寄希望于我国网络环境的改善。
云服务中止早已不是新鲜事,2011年4月,由于EC2业务的漏洞和缺陷,亚马逊公司爆出了云计算数据中心宕机事件。今年,苹果公司iCloud也再次爆出故障问题,给全球范围的用户造成影响。事实上,故障是一种可能发生于任何计算环境下的风险事件,要保持云平台的稳定运行降低故障造成的影响应从以下方面入手:一是建立后备云服务并制定故障切换策略,以便发生意外之后能够将备份数据迅速地部署到后备云服务上。二是对系统可用状态(数据中心环境、服务器内存使用、网络入侵、病毒等)进行实时监控,确保能够及时发现问题。三是确保紧急情况应急响应方案的有效性,当发生网络攻击、宕机等突发事件时能做出及时、充分的响应。
(三)人员胜任能力的挑战及对策。审计在云端对审计人员提出了新的要求。一是在技术层面对从事信息化技术工作的审计人员提出了新的挑战,表现为要求相应人员熟悉了解云计算的基本知识、熟悉了解云服务的内容和方式,既能够利用审计云服务开展审计工作又能对被审计单位的云数据和云服务开展审计。对于独自建设云平台的审计机关技术人员来说还必须了解云计算的核心技术,包括集群与负载均衡技术、虚拟化技术、分布式数据存储技术、分布式计算技术、服务管理技术和云计算数据中心建设方案等。二是在管理层面对从事信息化管理工作的审计人员提出了新的挑战,相关人员要拟定并执行云计算使用政策、授权政策、数据分类原则、云审计方案等制度。对于将审计云服务外包的审计机关信息化管理人员来说,还必须参与拟订与云服务提供商之间的服务协议以明确彼此间的权责,并在云服务运行的过程中保持对云服务供应商的有效管理以保证云服务的持续有效运行。三是对审计人员和运维人员职业道德提出的挑战。审计在云端,意味着审计人员和运维人员可以掌握更多的数据资源,当数据资源可以为个人带来利益的时候就可能引发数据的滥用或恶意使用,无论是借此牟利还是擅自向外披露敏感数据都会给审计机关带来严重负面影响。为有效提高人员胜任能力一方面应加强对现有人员的技术能力培训、管理技能培训和职业道德教育,并为他们提供技术交流的机会和平台;另一方面应加强云计算相关技术人才和管理人才的引进力度。
机遇与挑战永远相生相伴,在这场云计算带来的技术变革中,审计机关应牢牢把握机遇,借助云计算切实提高信息化审计水平、优化审计组织模式;与此同时,还要勇于面对挑战,积极寻找对策应对挑战,真正将云计算变为提高审计效率、提升审计成果的一朵祥云。(魏毅)
参考文献:
[1] Peter Mell,Tim Grance. The NIST Definition of Cloud Computing. Special Publication 800-145, National Institute of Standards and Technology, August 2011
[2] 云计算白皮书(2012). 工业和信息化部电信研究院. 2012年4月
[3] The Notorious Nine: Cloud Computing Top Threats in 2013. https://cloudsecurity alliance.org/download/the-notorious-nine-cloud-computing-top-threats-in-2013
[4] Warren Chan, Eugene Leung, Heidi Pili. Enterprise Risk Management for Cloud Computing. Committee of Sponsoring Organizations of the Treadway Commission. December 2012
| 【关闭】 【打印】 |
