審計(jì)為計(jì)算機(jī)云端帶來的挑戰(zhàn)和應(yīng)對(duì)策略

　　審計(jì)在云端面對(duì)的挑戰(zhàn)主要集中在以下三個(gè)方面即數(shù)據(jù)安全的挑戰(zhàn)、持續(xù)高效提供云服務(wù)的挑戰(zhàn)以及人員勝任能力的挑戰(zhàn)。
　　（一）數(shù)據(jù)安全挑戰(zhàn)及對(duì)策。云計(jì)算自誕生以來其安全問題就廣受關(guān)注，而數(shù)據(jù)作為大數(shù)據(jù)時(shí)代具有產(chǎn)權(quán)乃至主權(quán)屬性的特殊資源，其安全性更是受到廣泛的關(guān)注。在云安全聯(lián)盟(CSA)發(fā)布的《2013云計(jì)算9大威脅》報(bào)告中，除了提到數(shù)據(jù)破壞和數(shù)據(jù)丟失這兩個(gè)典型的數(shù)據(jù)安全問題外，還提到賬戶劫持、不安全的API、惡意的內(nèi)部人員、濫用與惡意使用和審查不足等5種會(huì)對(duì)數(shù)據(jù)安全造成威脅的方式[3]。事實(shí)上，集合海量數(shù)據(jù)的大型數(shù)據(jù)中心對(duì)黑客頗具誘惑性，早已成為其發(fā)動(dòng)攻擊的新目標(biāo)。2011年3月，谷歌郵箱就爆發(fā)大規(guī)模的用戶數(shù)據(jù)泄漏事件，大約有15萬Gmail用戶受到影響。審計(jì)機(jī)關(guān)因其工作特性會(huì)掌握部分被審企業(yè)的財(cái)務(wù)業(yè)務(wù)數(shù)據(jù)及國家政府機(jī)構(gòu)數(shù)據(jù)，這些數(shù)據(jù)往往具有敏感性甚至是涉密數(shù)據(jù)，因此審計(jì)在云端要特別重視數(shù)據(jù)安全。
　　如果數(shù)據(jù)是存放在私有云之外的云端，那么就無從知曉數(shù)據(jù)的現(xiàn)存地點(diǎn)（服務(wù)器或存儲(chǔ)設(shè)備）和曾經(jīng)存放的地點(diǎn)[4]，而這既不利于數(shù)據(jù)管理更不利于數(shù)據(jù)安全，為此審計(jì)機(jī)關(guān)更適宜于建設(shè)審計(jì)私有云。建設(shè)使用云平臺(tái)的審計(jì)機(jī)關(guān)在維護(hù)數(shù)據(jù)安全方面應(yīng)做到：制定云計(jì)算使用政策，明確界定可適用于云計(jì)算解決方案的業(yè)務(wù)流程和數(shù)據(jù)分類標(biāo)準(zhǔn)（按照法律要求根據(jù)數(shù)據(jù)密級(jí)及敏感性進(jìn)行分類）；制定嚴(yán)格的授權(quán)政策和數(shù)據(jù)傳輸規(guī)定，根據(jù)授權(quán)級(jí)別明確授權(quán)人能夠使用的數(shù)據(jù)范圍、能夠得到的云服務(wù)，明確數(shù)據(jù)傳輸方式和使用人的責(zé)任義務(wù)；在云平臺(tái)數(shù)據(jù)中心部署信息安全硬件設(shè)備和軟件，在客戶端使用基于真隨機(jī)數(shù)等方式的身份認(rèn)證裝置；制定緊急情況應(yīng)急響應(yīng)方案并定期進(jìn)行數(shù)據(jù)備份，在發(fā)生數(shù)據(jù)破壞或數(shù)據(jù)丟失的情況時(shí)將危害降低到最低程度；定期對(duì)云平臺(tái)的系統(tǒng)安全性進(jìn)行檢查；當(dāng)云服務(wù)外包建設(shè)運(yùn)維時(shí)，還應(yīng)明確服務(wù)商與審計(jì)機(jī)關(guān)之間的責(zé)任和義務(wù)，并建立云計(jì)算安全審計(jì)制度，以便對(duì)服務(wù)商進(jìn)行安全評(píng)估。
　?。ǘ┏掷m(xù)高效提供云服務(wù)的挑戰(zhàn)及對(duì)策。能否持續(xù)高效的提供云服務(wù)取決于兩個(gè)方面，即能否保證云平臺(tái)的穩(wěn)定運(yùn)行和能否借助高帶寬通信網(wǎng)絡(luò)進(jìn)行有效地?cái)?shù)據(jù)傳輸。后者主要取決于我國的網(wǎng)絡(luò)環(huán)境，目前而言我國的平均接入網(wǎng)速差強(qiáng)人意。Akamai Technologies公司發(fā)布的《2012年3季度全球互聯(lián)網(wǎng)流量報(bào)告》 顯示我國網(wǎng)絡(luò)平均接入速度1.6Mbps，低于全球2.8Mbps的平均水平，排名第94位。在這方面，審計(jì)機(jī)關(guān)除加大投入租用電信運(yùn)營商高帶寬線路外，只能寄希望于我國網(wǎng)絡(luò)環(huán)境的改善。
　　云服務(wù)中止早已不是新鮮事，2011年4月，由于EC2業(yè)務(wù)的漏洞和缺陷，亞馬遜公司爆出了云計(jì)算數(shù)據(jù)中心宕機(jī)事件。今年，蘋果公司iCloud也再次爆出故障問題，給全球范圍的用戶造成影響。事實(shí)上，故障是一種可能發(fā)生于任何計(jì)算環(huán)境下的風(fēng)險(xiǎn)事件，要保持云平臺(tái)的穩(wěn)定運(yùn)行降低故障造成的影響應(yīng)從以下方面入手：一是建立后備云服務(wù)并制定故障切換策略，以便發(fā)生意外之后能夠?qū)浞輸?shù)據(jù)迅速地部署到后備云服務(wù)上。二是對(duì)系統(tǒng)可用狀態(tài)（數(shù)據(jù)中心環(huán)境、服務(wù)器內(nèi)存使用、網(wǎng)絡(luò)入侵、病毒等）進(jìn)行實(shí)時(shí)監(jiān)控，確保能夠及時(shí)發(fā)現(xiàn)問題。三是確保緊急情況應(yīng)急響應(yīng)方案的有效性，當(dāng)發(fā)生網(wǎng)絡(luò)攻擊、宕機(jī)等突發(fā)事件時(shí)能做出及時(shí)、充分的響應(yīng)。
　　（三）人員勝任能力的挑戰(zhàn)及對(duì)策。審計(jì)在云端對(duì)審計(jì)人員提出了新的要求。一是在技術(shù)層面對(duì)從事信息化技術(shù)工作的審計(jì)人員提出了新的挑戰(zhàn)，表現(xiàn)為要求相應(yīng)人員熟悉了解云計(jì)算的基本知識(shí)、熟悉了解云服務(wù)的內(nèi)容和方式，既能夠利用審計(jì)云服務(wù)開展審計(jì)工作又能對(duì)被審計(jì)單位的云數(shù)據(jù)和云服務(wù)開展審計(jì)。對(duì)于獨(dú)自建設(shè)云平臺(tái)的審計(jì)機(jī)關(guān)技術(shù)人員來說還必須了解云計(jì)算的核心技術(shù)，包括集群與負(fù)載均衡技術(shù)、虛擬化技術(shù)、分布式數(shù)據(jù)存儲(chǔ)技術(shù)、分布式計(jì)算技術(shù)、服務(wù)管理技術(shù)和云計(jì)算數(shù)據(jù)中心建設(shè)方案等。二是在管理層面對(duì)從事信息化管理工作的審計(jì)人員提出了新的挑戰(zhàn)，相關(guān)人員要擬定并執(zhí)行云計(jì)算使用政策、授權(quán)政策、數(shù)據(jù)分類原則、云審計(jì)方案等制度。對(duì)于將審計(jì)云服務(wù)外包的審計(jì)機(jī)關(guān)信息化管理人員來說，還必須參與擬訂與云服務(wù)提供商之間的服務(wù)協(xié)議以明確彼此間的權(quán)責(zé)，并在云服務(wù)運(yùn)行的過程中保持對(duì)云服務(wù)供應(yīng)商的有效管理以保證云服務(wù)的持續(xù)有效運(yùn)行。三是對(duì)審計(jì)人員和運(yùn)維人員職業(yè)道德提出的挑戰(zhàn)。審計(jì)在云端，意味著審計(jì)人員和運(yùn)維人員可以掌握更多的數(shù)據(jù)資源，當(dāng)數(shù)據(jù)資源可以為個(gè)人帶來利益的時(shí)候就可能引發(fā)數(shù)據(jù)的濫用或惡意使用，無論是借此牟利還是擅自向外披露敏感數(shù)據(jù)都會(huì)給審計(jì)機(jī)關(guān)帶來嚴(yán)重負(fù)面影響。為有效提高人員勝任能力一方面應(yīng)加強(qiáng)對(duì)現(xiàn)有人員的技術(shù)能力培訓(xùn)、管理技能培訓(xùn)和職業(yè)道德教育，并為他們提供技術(shù)交流的機(jī)會(huì)和平臺(tái)；另一方面應(yīng)加強(qiáng)云計(jì)算相關(guān)技術(shù)人才和管理人才的引進(jìn)力度。