審計為計算機(jī)云端帶來的挑戰(zhàn)和應(yīng)對策略

　　審計在云端面對的挑戰(zhàn)主要集中在以下三個方面即數(shù)據(jù)安全的挑戰(zhàn)、持續(xù)高效提供云服務(wù)的挑戰(zhàn)以及人員勝任能力的挑戰(zhàn)。
　　（一）數(shù)據(jù)安全挑戰(zhàn)及對策。云計算自誕生以來其安全問題就廣受關(guān)注，而數(shù)據(jù)作為大數(shù)據(jù)時代具有產(chǎn)權(quán)乃至主權(quán)屬性的特殊資源，其安全性更是受到廣泛的關(guān)注。在云安全聯(lián)盟(CSA)發(fā)布的《2013云計算9大威脅》報告中，除了提到數(shù)據(jù)破壞和數(shù)據(jù)丟失這兩個典型的數(shù)據(jù)安全問題外，還提到賬戶劫持、不安全的API、惡意的內(nèi)部人員、濫用與惡意使用和審查不足等5種會對數(shù)據(jù)安全造成威脅的方式[3]。事實上，集合海量數(shù)據(jù)的大型數(shù)據(jù)中心對黑客頗具誘惑性，早已成為其發(fā)動攻擊的新目標(biāo)。2011年3月，谷歌郵箱就爆發(fā)大規(guī)模的用戶數(shù)據(jù)泄漏事件，大約有15萬Gmail用戶受到影響。審計機(jī)關(guān)因其工作特性會掌握部分被審企業(yè)的財務(wù)業(yè)務(wù)數(shù)據(jù)及國家政府機(jī)構(gòu)數(shù)據(jù)，這些數(shù)據(jù)往往具有敏感性甚至是涉密數(shù)據(jù)，因此審計在云端要特別重視數(shù)據(jù)安全。
　　如果數(shù)據(jù)是存放在私有云之外的云端，那么就無從知曉數(shù)據(jù)的現(xiàn)存地點（服務(wù)器或存儲設(shè)備）和曾經(jīng)存放的地點[4]，而這既不利于數(shù)據(jù)管理更不利于數(shù)據(jù)安全，為此審計機(jī)關(guān)更適宜于建設(shè)審計私有云。建設(shè)使用云平臺的審計機(jī)關(guān)在維護(hù)數(shù)據(jù)安全方面應(yīng)做到：制定云計算使用政策，明確界定可適用于云計算解決方案的業(yè)務(wù)流程和數(shù)據(jù)分類標(biāo)準(zhǔn)（按照法律要求根據(jù)數(shù)據(jù)密級及敏感性進(jìn)行分類）；制定嚴(yán)格的授權(quán)政策和數(shù)據(jù)傳輸規(guī)定，根據(jù)授權(quán)級別明確授權(quán)人能夠使用的數(shù)據(jù)范圍、能夠得到的云服務(wù)，明確數(shù)據(jù)傳輸方式和使用人的責(zé)任義務(wù)；在云平臺數(shù)據(jù)中心部署信息安全硬件設(shè)備和軟件，在客戶端使用基于真隨機(jī)數(shù)等方式的身份認(rèn)證裝置；制定緊急情況應(yīng)急響應(yīng)方案并定期進(jìn)行數(shù)據(jù)備份，在發(fā)生數(shù)據(jù)破壞或數(shù)據(jù)丟失的情況時將危害降低到最低程度；定期對云平臺的系統(tǒng)安全性進(jìn)行檢查；當(dāng)云服務(wù)外包建設(shè)運(yùn)維時，還應(yīng)明確服務(wù)商與審計機(jī)關(guān)之間的責(zé)任和義務(wù)，并建立云計算安全審計制度，以便對服務(wù)商進(jìn)行安全評估。
　?。ǘ┏掷m(xù)高效提供云服務(wù)的挑戰(zhàn)及對策。能否持續(xù)高效的提供云服務(wù)取決于兩個方面，即能否保證云平臺的穩(wěn)定運(yùn)行和能否借助高帶寬通信網(wǎng)絡(luò)進(jìn)行有效地數(shù)據(jù)傳輸。后者主要取決于我國的網(wǎng)絡(luò)環(huán)境，目前而言我國的平均接入網(wǎng)速差強(qiáng)人意。Akamai Technologies公司發(fā)布的《2012年3季度全球互聯(lián)網(wǎng)流量報告》 顯示我國網(wǎng)絡(luò)平均接入速度1.6Mbps，低于全球2.8Mbps的平均水平，排名第94位。在這方面，審計機(jī)關(guān)除加大投入租用電信運(yùn)營商高帶寬線路外，只能寄希望于我國網(wǎng)絡(luò)環(huán)境的改善。
　　云服務(wù)中止早已不是新鮮事，2011年4月，由于EC2業(yè)務(wù)的漏洞和缺陷，亞馬遜公司爆出了云計算數(shù)據(jù)中心宕機(jī)事件。今年，蘋果公司iCloud也再次爆出故障問題，給全球范圍的用戶造成影響。事實上，故障是一種可能發(fā)生于任何計算環(huán)境下的風(fēng)險事件，要保持云平臺的穩(wěn)定運(yùn)行降低故障造成的影響應(yīng)從以下方面入手：一是建立后備云服務(wù)并制定故障切換策略，以便發(fā)生意外之后能夠?qū)浞輸?shù)據(jù)迅速地部署到后備云服務(wù)上。二是對系統(tǒng)可用狀態(tài)（數(shù)據(jù)中心環(huán)境、服務(wù)器內(nèi)存使用、網(wǎng)絡(luò)入侵、病毒等）進(jìn)行實時監(jiān)控，確保能夠及時發(fā)現(xiàn)問題。三是確保緊急情況應(yīng)急響應(yīng)方案的有效性，當(dāng)發(fā)生網(wǎng)絡(luò)攻擊、宕機(jī)等突發(fā)事件時能做出及時、充分的響應(yīng)。
　?。ㄈ┤藛T勝任能力的挑戰(zhàn)及對策。審計在云端對審計人員提出了新的要求。一是在技術(shù)層面對從事信息化技術(shù)工作的審計人員提出了新的挑戰(zhàn)，表現(xiàn)為要求相應(yīng)人員熟悉了解云計算的基本知識、熟悉了解云服務(wù)的內(nèi)容和方式，既能夠利用審計云服務(wù)開展審計工作又能對被審計單位的云數(shù)據(jù)和云服務(wù)開展審計。對于獨自建設(shè)云平臺的審計機(jī)關(guān)技術(shù)人員來說還必須了解云計算的核心技術(shù)，包括集群與負(fù)載均衡技術(shù)、虛擬化技術(shù)、分布式數(shù)據(jù)存儲技術(shù)、分布式計算技術(shù)、服務(wù)管理技術(shù)和云計算數(shù)據(jù)中心建設(shè)方案等。二是在管理層面對從事信息化管理工作的審計人員提出了新的挑戰(zhàn)，相關(guān)人員要擬定并執(zhí)行云計算使用政策、授權(quán)政策、數(shù)據(jù)分類原則、云審計方案等制度。對于將審計云服務(wù)外包的審計機(jī)關(guān)信息化管理人員來說，還必須參與擬訂與云服務(wù)提供商之間的服務(wù)協(xié)議以明確彼此間的權(quán)責(zé)，并在云服務(wù)運(yùn)行的過程中保持對云服務(wù)供應(yīng)商的有效管理以保證云服務(wù)的持續(xù)有效運(yùn)行。三是對審計人員和運(yùn)維人員職業(yè)道德提出的挑戰(zhàn)。審計在云端，意味著審計人員和運(yùn)維人員可以掌握更多的數(shù)據(jù)資源，當(dāng)數(shù)據(jù)資源可以為個人帶來利益的時候就可能引發(fā)數(shù)據(jù)的濫用或惡意使用，無論是借此牟利還是擅自向外披露敏感數(shù)據(jù)都會給審計機(jī)關(guān)帶來嚴(yán)重負(fù)面影響。為有效提高人員勝任能力一方面應(yīng)加強(qiáng)對現(xiàn)有人員的技術(shù)能力培訓(xùn)、管理技能培訓(xùn)和職業(yè)道德教育，并為他們提供技術(shù)交流的機(jī)會和平臺；另一方面應(yīng)加強(qiáng)云計算相關(guān)技術(shù)人才和管理人才的引進(jìn)力度。