云計(jì)算環(huán)境下的云審計(jì)系統(tǒng)設(shè)計(jì)與風(fēng)險(xiǎn)控制*

2015-01-22 12:47:13魏祥健

會(huì)計(jì)之友 2015年1期

魏祥健

【摘要】云計(jì)算作為新一代信息技術(shù)的重要發(fā)展方向，正在影響著互聯(lián)網(wǎng)以外的行業(yè)，并進(jìn)一步影響會(huì)計(jì)、審計(jì)行業(yè)。因此，針對(duì)云計(jì)算環(huán)境下的審計(jì)研究是我們目前面臨的一個(gè)重要課題，而云審計(jì)系統(tǒng)搭建與風(fēng)險(xiǎn)控制是云審計(jì)研究與實(shí)施的基礎(chǔ)。基于云計(jì)算環(huán)境下IaaS、PaaS和SaaS云服務(wù)平臺(tái)基礎(chǔ)，從基礎(chǔ)設(shè)施層、平臺(tái)服務(wù)層、平臺(tái)應(yīng)用層、客戶端服務(wù)層、安全審計(jì)平臺(tái)、外部應(yīng)用接口六個(gè)方面搭建了云審計(jì)系統(tǒng)的基本架構(gòu)，研究了云計(jì)算下的審計(jì)風(fēng)險(xiǎn)控制措施，并分析了未來云審計(jì)的研究方向。此研究結(jié)果為推動(dòng)我國(guó)未來云審計(jì)的深入研究和實(shí)務(wù)發(fā)展提供了參考。

【關(guān)鍵詞】云計(jì)算; 云審計(jì); 云審計(jì)系統(tǒng); 風(fēng)險(xiǎn)控制

中圖分類號(hào)：F239.1 ?文獻(xiàn)標(biāo)識(shí)碼：A ?文章編號(hào)：1004-5937（2015）01-0101-05

傳統(tǒng)的審計(jì)模式為各審計(jì)機(jī)關(guān)分別采購(gòu)應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器并安裝聯(lián)網(wǎng)審計(jì)系統(tǒng)，審計(jì)人員通過辦公局域網(wǎng)訪問系統(tǒng)開展審計(jì)工作。這種審計(jì)模式使每個(gè)審計(jì)機(jī)關(guān)都需要配置獨(dú)立的硬件資源和軟件資源，勢(shì)必造成IT成本居高不下，專業(yè)維護(hù)費(fèi)用居高不下且需要大量的專業(yè)維護(hù)人員。隨著IT應(yīng)用在各行業(yè)各部門的普及，云計(jì)算開發(fā)和利用成為了不可或缺的因素。隨著云計(jì)算的發(fā)展，云計(jì)算不斷影響互聯(lián)網(wǎng)以外的行業(yè)，并進(jìn)一步影響會(huì)計(jì)、審計(jì)行業(yè)，給審計(jì)帶來新的挑戰(zhàn)（秦榮生，2013）。傳統(tǒng)的審計(jì)模式與審計(jì)系統(tǒng)已不能適應(yīng)云計(jì)算技術(shù)的要求，現(xiàn)代審計(jì)迫切需要提供簡(jiǎn)單、快捷的云計(jì)算服務(wù)來滿足國(guó)家審計(jì)（本文所論審計(jì)特指國(guó)家審計(jì)）需求，如何利用互聯(lián)網(wǎng)的云計(jì)算概念，通過數(shù)據(jù)的云存儲(chǔ)，使得各種審計(jì)資源通過云來協(xié)同，從而為審計(jì)人員提供更富有效率，更科學(xué)的審計(jì)過程，云計(jì)算服務(wù)模式讓這一希望變?yōu)榱爽F(xiàn)實(shí)。云計(jì)算可以提供以下三個(gè)層次的服務(wù)（Iyer & Henderson，2010）：基礎(chǔ)設(shè)施即服務(wù)（IaaS），平臺(tái)即服務(wù)（PaaS）和軟件即服務(wù)（SaaS）。如何在云計(jì)算服務(wù)平臺(tái)基礎(chǔ)上，利用云計(jì)算技術(shù)，以審計(jì)業(yè)務(wù)需求為核心，最終實(shí)現(xiàn)各級(jí)審計(jì)機(jī)關(guān)硬件資源、軟件資源、服務(wù)共享的云審計(jì)系統(tǒng)，使審計(jì)資源得到充分優(yōu)化利用，是未來我國(guó)國(guó)家審計(jì)亟待解決的問題。本文結(jié)合云計(jì)算服務(wù)模式的研究與應(yīng)用現(xiàn)狀，構(gòu)想云計(jì)算環(huán)境下云審計(jì)系統(tǒng)架構(gòu)。

一、云計(jì)算與云審計(jì)研究現(xiàn)狀

云計(jì)算（Cloud Computing）是一種基于互聯(lián)網(wǎng)通過虛擬化方式共享信息資源的新型計(jì)算模式。正式的云計(jì)算概念是由Google原首席執(zhí)行官Eric Schmidt在2006年搜索引擎大會(huì)（SES San Jose 2006）上提出。根據(jù)美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）的定義：云計(jì)算是一種按使用量付費(fèi)的模式，這種模式提供可用的、便捷的、按需的網(wǎng)絡(luò)訪問，進(jìn)入可配置的計(jì)算資源共享池（資源包括網(wǎng)絡(luò)、服務(wù)器、存儲(chǔ)、應(yīng)用軟件、服務(wù)等），這些資源能夠被快速提供，只需投入很少的管理工作，或與服務(wù)供應(yīng)商進(jìn)行很少的交互。

從技術(shù)層面看，云計(jì)算最主要的核心技術(shù)是虛擬化技術(shù)、分布式數(shù)據(jù)存儲(chǔ)技術(shù)、海量數(shù)據(jù)處理技術(shù)。系統(tǒng)虛擬化是指將一臺(tái)物理計(jì)算機(jī)系統(tǒng)虛擬化為一臺(tái)或多臺(tái)虛擬計(jì)算機(jī)系統(tǒng)（杜建偉、顧斌，2007）。通過虛擬化層的模擬，虛擬機(jī)中的操作系統(tǒng)認(rèn)為自己仍然是獨(dú)占一個(gè)系統(tǒng)在運(yùn)行。在云計(jì)算數(shù)據(jù)中心，通過服務(wù)器虛擬化、網(wǎng)絡(luò)虛擬化、應(yīng)用虛擬化等解決方案，不僅可以幫助企業(yè)減少硬件配置，優(yōu)化資源利用，還可以實(shí)現(xiàn)動(dòng)態(tài)IT基礎(chǔ)設(shè)施環(huán)境，從而降低成本，快速響應(yīng)業(yè)務(wù)需求的變化。分布式數(shù)據(jù)存儲(chǔ)指的是利用多臺(tái)服務(wù)器的存儲(chǔ)資源來滿足單臺(tái)服務(wù)器所不能滿足的存儲(chǔ)需求。它要求存儲(chǔ)資源能夠被抽象表示和統(tǒng)一管理，并保證數(shù)據(jù)讀寫操作的安全、可靠和高性能。包括分布式文件存儲(chǔ)系統(tǒng)，如Google 提出的分布式文件系統(tǒng)（Google File System，GFS）;分布式對(duì)象存儲(chǔ)系統(tǒng)，如Amazon的S3就屬于對(duì)象存儲(chǔ)服務(wù);分布式數(shù)據(jù)庫(kù)技術(shù)，如Google的BigTable是一個(gè)典型的分布式結(jié)構(gòu)化數(shù)據(jù)存儲(chǔ)系統(tǒng)。海量數(shù)據(jù)處理指的是對(duì)TB甚至PB級(jí)規(guī)模數(shù)據(jù)的計(jì)算和分析。云計(jì)算下把海量數(shù)據(jù)分布到多個(gè)結(jié)點(diǎn)上，將計(jì)算并行化，利用多機(jī)的計(jì)算資源，加快數(shù)據(jù)處理的速度。如Google的MapReduce模型、微軟的Dryad模型。

從服務(wù)層面看，云計(jì)算是一種新的商業(yè)模式。云計(jì)算是以虛擬化技術(shù)為基礎(chǔ)，以網(wǎng)絡(luò)為載體提供基礎(chǔ)架構(gòu)、平臺(tái)、軟件等服務(wù)形式。其中，最主要的服務(wù)模式是IaaS（基礎(chǔ)設(shè)施即服務(wù)）、PaaS（平臺(tái)即服務(wù)）、SaaS（軟件即服務(wù)）服務(wù)模式（Iyer & Henderson，2010），為用戶提供超級(jí)云計(jì)算平臺(tái)。

在云計(jì)算平臺(tái)上，云計(jì)算技術(shù)必然能夠?yàn)閷徲?jì)提供源源不斷的技術(shù)創(chuàng)新支持，從而帶動(dòng)審計(jì)技術(shù)的革新，云審計(jì)將成為未來審計(jì)發(fā)展的必然趨勢(shì)。那么，什么是云審計(jì)？目前還沒有一個(gè)統(tǒng)一的定論。云安全聯(lián)盟（CSA）主要發(fā)起者之一，思科公司云與虛擬化解決方案的首席專家Christofer Hoff是云審計(jì)（CloudAudit）的創(chuàng)建者，其目的在于規(guī)避風(fēng)險(xiǎn)，但沒有明確界定云審計(jì)的本質(zhì)內(nèi)涵。文峰（2011）認(rèn)為云審計(jì)是利用互聯(lián)網(wǎng)的云計(jì)算概念，通過數(shù)據(jù)的云存儲(chǔ)，使得各種審計(jì)資源（參與審計(jì)的人員、程序和相關(guān)的硬件設(shè)備）通過云來協(xié)同，從而為審計(jì)人員提供更富有效率、更科學(xué)的審計(jì)過程。在這個(gè)過程中，審計(jì)人員無(wú)需關(guān)注使用何種計(jì)算機(jī)程序、也無(wú)需關(guān)注數(shù)據(jù)的存儲(chǔ)、共享和工作時(shí)效性問題，審計(jì)人員唯一需要關(guān)注的就是審計(jì)任務(wù)本身。鄧川、楊文鶯（2012）認(rèn)為云審計(jì)是基于云計(jì)算的互聯(lián)網(wǎng)的超級(jí)計(jì)算模式，使審計(jì)人員協(xié)同運(yùn)用各種存儲(chǔ)在“云”中的數(shù)據(jù)和審計(jì)資源，從而更有效率、更科學(xué)地進(jìn)行審計(jì)的過程。

以上概念都認(rèn)為云計(jì)算與審計(jì)的結(jié)合就構(gòu)成了云審計(jì)，但需要指出的是，云審計(jì)除了數(shù)據(jù)安全、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)傳輸需要利用云計(jì)算技術(shù)來協(xié)同運(yùn)作外，云環(huán)境下的責(zé)任認(rèn)定、云中數(shù)據(jù)分析與評(píng)價(jià)、云中審計(jì)工作模式與流程等，都將依托云審計(jì)概念來展開。因此，本文認(rèn)為，云審計(jì)是審計(jì)在云端的一個(gè)系統(tǒng)集合，它至少應(yīng)包括三個(gè)方面的內(nèi)容：一是依托第三方服務(wù)商提供的或?qū)I(yè)建設(shè)的“云計(jì)算”基礎(chǔ)平臺(tái)，對(duì)審計(jì)數(shù)據(jù)進(jìn)行采集、存儲(chǔ)、傳輸，并保障數(shù)據(jù)的安全;二是利用云計(jì)算專業(yè)技術(shù)對(duì)審計(jì)數(shù)據(jù)進(jìn)行處理，實(shí)現(xiàn)審計(jì)手段智能化;三是審計(jì)資源通過云來協(xié)同，實(shí)現(xiàn)審計(jì)工作業(yè)務(wù)協(xié)同，促進(jìn)信息共享及溝通，保證審計(jì)過程質(zhì)量的一個(gè)審計(jì)信息系統(tǒng)。

要實(shí)施云審計(jì)，審計(jì)組織應(yīng)建設(shè)云審計(jì)平臺(tái)（秦榮生，2013）。秦榮生認(rèn)為云審計(jì)平臺(tái)主要包括云審計(jì)用戶服務(wù)平臺(tái)和云審計(jì)企業(yè)服務(wù)平臺(tái)，既可提供面向云計(jì)算服務(wù)提供商的信息審計(jì)服務(wù)，又可提供面向云計(jì)算服務(wù)用戶的信息監(jiān)管服務(wù)。文峰（2011）認(rèn)為云審計(jì)可以和行業(yè)信息化建設(shè)有機(jī)地結(jié)合起來，實(shí)現(xiàn)將注冊(cè)會(huì)計(jì)師、會(huì)計(jì)師事務(wù)所、審計(jì)程序、審計(jì)數(shù)據(jù)及報(bào)告甚至被審計(jì)單位都通過云審計(jì)平臺(tái)連接起來，形成“數(shù)據(jù)與服務(wù)的超級(jí)平臺(tái)”。國(guó)內(nèi)學(xué)術(shù)界和產(chǎn)業(yè)界在云計(jì)算環(huán)境下如何搭建審計(jì)系統(tǒng)與平臺(tái)進(jìn)行了一些技術(shù)研究和產(chǎn)品開發(fā)，如陳偉，Wally Smieliauskas（2012）從被審計(jì)單位使用云平臺(tái)、審計(jì)單位使用云平臺(tái)、審計(jì)單位和被審計(jì)單位都使用云平臺(tái)這三種情況出發(fā)，采用SaaS、PaaS或者IaaS服務(wù)模式，研究了云計(jì)算環(huán)境下適合我國(guó)聯(lián)網(wǎng)審計(jì)特點(diǎn)的聯(lián)網(wǎng)審計(jì)模式和實(shí)現(xiàn)方法。鮑偉民（2012）對(duì)云計(jì)算環(huán)境下的數(shù)據(jù)安全、風(fēng)險(xiǎn)控制、行為監(jiān)控等方面研究了SaaS服務(wù)模式下安全審計(jì)系統(tǒng)的設(shè)計(jì)。產(chǎn)業(yè)界國(guó)都興業(yè)信息審計(jì)系統(tǒng)技術(shù)（北京）有限公司2011年推出的“企業(yè)云審計(jì)服務(wù)平臺(tái)”，實(shí)現(xiàn)對(duì)IaaS，PaaS和SaaS各個(gè)層面的審計(jì)，通過解決云計(jì)算環(huán)境下數(shù)據(jù)可視化與可審計(jì)的問題。以上研究為我國(guó)未來云審計(jì)的實(shí)施與開展提供了重要的思路。

二、云審計(jì)系統(tǒng)架構(gòu)基礎(chǔ)——云服務(wù)平臺(tái)

要實(shí)施云審計(jì)，審計(jì)組織應(yīng)建設(shè)云審計(jì)平臺(tái)（秦榮生，2013）。根據(jù)云計(jì)算技術(shù)特征，云審計(jì)系統(tǒng)平臺(tái)可以基于云服務(wù)平臺(tái)的基礎(chǔ)來構(gòu)建。根據(jù)權(quán)威的NIST定義，云計(jì)算主要分為三種服務(wù)模式，而且這個(gè)三層的分法是從用戶體驗(yàn)的角度出發(fā)的。這三種服務(wù)模式是基礎(chǔ)設(shè)施即服務(wù)IaaS （Infrastructure as a Service），平臺(tái)即服務(wù)PaaS（Platform as a Service）和軟件即服務(wù)SaaS（Software as a Service）。

IaaS層的主要作用是以服務(wù)的形式提供服務(wù)器、存儲(chǔ)和網(wǎng)絡(luò)硬件以及相關(guān)軟件。它是三層架構(gòu)的最底層，是指企業(yè)或個(gè)人可以使用云計(jì)算技術(shù)來遠(yuǎn)程訪問計(jì)算資源，這包括計(jì)算、存儲(chǔ)以及應(yīng)用虛擬化技術(shù)所提供的相關(guān)功能。無(wú)論是最終用戶、SaaS提供商還是PaaS提供商都可以從基礎(chǔ)設(shè)施服務(wù)中獲得應(yīng)用所需的計(jì)算能力，但卻無(wú)需對(duì)支持這一計(jì)算能力的基礎(chǔ)IT軟硬件付出相應(yīng)的原始投資成本。

優(yōu)勢(shì)：節(jié)省費(fèi)用，可隨時(shí)擴(kuò)展和收縮資源，安全可靠，專注核心業(yè)務(wù)。通過IaaS，用戶可以從服務(wù)供應(yīng)商那里獲得他所需要的虛擬機(jī)或者存儲(chǔ)等資源來裝載相關(guān)的應(yīng)用，同時(shí)卻不用擔(dān)心這些基礎(chǔ)設(shè)施繁瑣的維護(hù)管理工作，因?yàn)樗鼈兺耆蒊aaS供應(yīng)商來處理。

PaaS層的主要作用是以服務(wù)的方式提供應(yīng)用程序開發(fā)和部署平臺(tái)。就是指將一個(gè)完整的計(jì)算機(jī)平臺(tái)，包括應(yīng)用設(shè)計(jì)、應(yīng)用開發(fā)、應(yīng)用測(cè)試和應(yīng)用托管，都作為一種服務(wù)提供給客戶。在這種服務(wù)模式中，客戶不需要購(gòu)買硬件和軟件，只需要利用PaaS平臺(tái)，就能夠創(chuàng)建、測(cè)試和部署應(yīng)用和服務(wù)。

優(yōu)勢(shì)：開發(fā)簡(jiǎn)單、部署簡(jiǎn)單、維護(hù)簡(jiǎn)單。通過PaaS，用戶可以在一個(gè)包括SDK、文檔和測(cè)試環(huán)境等在內(nèi)的開發(fā)平臺(tái)上非常方便地編寫應(yīng)用，而且在部署或運(yùn)行的時(shí)候，用戶無(wú)需為服務(wù)器、操作系統(tǒng)、網(wǎng)絡(luò)和存儲(chǔ)等資源的管理操心，因?yàn)檫@些繁瑣的工作全部由PaaS供應(yīng)商負(fù)責(zé)處理。

SaaS層的主要作用是以服務(wù)的方式將應(yīng)用程序提供給互聯(lián)網(wǎng)最終用戶。它是用戶獲取軟件服務(wù)的一種新形式，用戶無(wú)需購(gòu)買軟件，不需要用戶將軟件產(chǎn)品安裝在自己的電腦或服務(wù)器上，而是按某種服務(wù)水平協(xié)議（SLA）直接通過網(wǎng)絡(luò)向?qū)ｉT的提供商獲取自己所需要的、帶有相應(yīng)軟件功能的服務(wù)。

優(yōu)勢(shì)：初始成本低、簡(jiǎn)單、無(wú)需管理與維護(hù)、部署使用快捷等。通過SaaS，用戶只要接上網(wǎng)絡(luò)，并通過瀏覽器，就可以隨時(shí)隨地安全地直接使用在云端上運(yùn)行的應(yīng)用，而不必考慮安裝、維護(hù)等各類瑣事。

SaaS云服務(wù)、PaaS云服務(wù)、IaaS云服務(wù)為有效管理信息資源、充分利用信息資源提供了新的思路，為搭建云審計(jì)平臺(tái)提供了新的機(jī)遇。

三、云計(jì)算環(huán)境下云審計(jì)系統(tǒng)設(shè)計(jì)

（一）云審計(jì)系統(tǒng)架構(gòu)

前面所提云計(jì)算的三種服務(wù)模式運(yùn)用于云審計(jì)系統(tǒng)，可以單獨(dú)采用，也可以混合采用，考慮到云計(jì)算環(huán)境下審計(jì)的大數(shù)據(jù)處理、成本與效益、高效、專業(yè)與系統(tǒng)性原則，結(jié)合目前國(guó)家審計(jì)中IT應(yīng)用的實(shí)際情況，以省一級(jí)審計(jì)機(jī)關(guān)為單位，構(gòu)建SaaS、PaaS、IaaS相結(jié)合的混合服務(wù)模式云審計(jì)服務(wù)系統(tǒng)，最終實(shí)現(xiàn)省、市、縣三級(jí)審計(jì)機(jī)關(guān)的硬件資源、軟件資源、服務(wù)共享。該服務(wù)系統(tǒng)由基礎(chǔ)設(shè)施層、平臺(tái)服務(wù)層、平臺(tái)應(yīng)用層、客戶端服務(wù)層、安全審計(jì)平臺(tái)和外部應(yīng)用接口構(gòu)成，如圖1所示。

基礎(chǔ)設(shè)施層IaaS為審計(jì)機(jī)關(guān)提供了統(tǒng)一的基礎(chǔ)設(shè)施服務(wù)，包括處理、存儲(chǔ)、網(wǎng)絡(luò)、安全防范和其他基本的計(jì)算資源。下級(jí)審計(jì)機(jī)關(guān)無(wú)需購(gòu)買和建設(shè)服務(wù)器、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、安全等基礎(chǔ)設(shè)施，不需要管理、控制和維護(hù)任何云審計(jì)基礎(chǔ)設(shè)施。基礎(chǔ)設(shè)施層IaaS服務(wù)是PaaS和SaaS服務(wù)的重要基礎(chǔ)，是實(shí)現(xiàn)PaaS和SaaS服務(wù)的基本保障。

系統(tǒng)服務(wù)層PaaS為下級(jí)審計(jì)機(jī)關(guān)提供審計(jì)與其他綜合服務(wù)，包括資源服務(wù)中的信息共享、專家經(jīng)驗(yàn)庫(kù)的上傳和下載審計(jì)案例經(jīng)驗(yàn)、對(duì)資源進(jìn)行調(diào)度和安排，實(shí)現(xiàn)對(duì)各種資源的高效利用;管理服務(wù)平臺(tái)提供綜合管理、消息發(fā)布和接收，審計(jì)BBS論壇的交流和討論等;應(yīng)用與維護(hù)平臺(tái)提供資源部署與分發(fā)、專業(yè)工具和程序段開發(fā)、系統(tǒng)應(yīng)用與維護(hù)服務(wù)等功能，下級(jí)審計(jì)機(jī)關(guān)無(wú)需為缺乏維護(hù)的專業(yè)人員和高昂的維護(hù)費(fèi)用發(fā)愁。

系統(tǒng)應(yīng)用層SaaS是云審計(jì)平臺(tái)的中心，主要部署審計(jì)實(shí)施系統(tǒng)、審計(jì)管理系統(tǒng)、審計(jì)決策支持系統(tǒng)和審計(jì)數(shù)據(jù)中心。其中，根據(jù)國(guó)家“金審工程”的要求，審計(jì)實(shí)施系統(tǒng)（AO）和審計(jì)管理系統(tǒng)（OA）要實(shí)行交互管理，審計(jì)數(shù)據(jù)中心是在云環(huán)境下對(duì)大數(shù)據(jù)信息進(jìn)行集中采集、處理、存儲(chǔ)、傳輸、交換和管理的一個(gè)中心數(shù)據(jù)庫(kù)，中心數(shù)據(jù)庫(kù)除了包括被審財(cái)務(wù)業(yè)務(wù)數(shù)據(jù)，還包括審計(jì)綜合信息數(shù)據(jù)庫(kù)、審計(jì)專家經(jīng)驗(yàn)數(shù)據(jù)庫(kù)、法律法規(guī)數(shù)據(jù)庫(kù)等。下級(jí)審計(jì)機(jī)關(guān)無(wú)需再建設(shè)審計(jì)實(shí)施和審計(jì)管理系統(tǒng)，只需要通過WEB瀏覽器進(jìn)入云端應(yīng)用系統(tǒng)，就能方便、快捷、安全、完整地從云審計(jì)數(shù)據(jù)中心獲取審計(jì)所需要的數(shù)據(jù)并進(jìn)行審計(jì)作業(yè)。

客戶端服務(wù)層是各級(jí)審計(jì)機(jī)關(guān)用戶訪問云審計(jì)平臺(tái)的客戶端入口。客戶端服務(wù)層通過用戶管理、身份認(rèn)證、權(quán)限管理為各級(jí)審計(jì)機(jī)關(guān)用戶提供審計(jì)資源云服務(wù)，包括上級(jí)審計(jì)機(jī)關(guān)和下級(jí)審計(jì)機(jī)關(guān)各種用戶都可以通過終端設(shè)施從中獲取相應(yīng)的審計(jì)信息資源云服務(wù)。服務(wù)方式有根據(jù)自身的特點(diǎn)和要求定制的個(gè)性化云服務(wù)和根據(jù)身份匹配的規(guī)定審計(jì)服務(wù)。

安全審計(jì)平臺(tái)是立足于為云計(jì)算環(huán)境下各主體和客體提供全面的、可靠的統(tǒng)一監(jiān)測(cè)、監(jiān)督、預(yù)警的安全衛(wèi)士。審計(jì)監(jiān)控對(duì)云平臺(tái)提供全面的異常監(jiān)控和故障監(jiān)測(cè)，并把檢測(cè)到的異常信息發(fā)送到指定系統(tǒng)，對(duì)云平臺(tái)提供立體化安全策略;漏洞掃描為平臺(tái)提供安全漏洞掃描技術(shù)，定期掃描、評(píng)估和測(cè)試平臺(tái)安全水平，及時(shí)發(fā)現(xiàn)平臺(tái)的安全漏洞，給予漏洞修補(bǔ)意見和報(bào)警記錄;安全預(yù)警是對(duì)平臺(tái)的監(jiān)測(cè)信息進(jìn)行分析、追蹤，并形成分析評(píng)價(jià)指標(biāo)，當(dāng)監(jiān)測(cè)到云環(huán)境中有未知訪問、非法篡改和復(fù)制、安全漏洞等情況發(fā)生時(shí)，及時(shí)提供預(yù)警，并定期形成預(yù)警事件報(bào)告和實(shí)時(shí)響應(yīng)機(jī)制。

此外，為了與外界進(jìn)行信息交換、數(shù)據(jù)傳遞、資源共享，系統(tǒng)還設(shè)計(jì)了對(duì)外應(yīng)用接口與外部機(jī)構(gòu)和其他部門掛接。通過外部接口使審計(jì)機(jī)關(guān)和各級(jí)部門共享基礎(chǔ)信息資源庫(kù)、共享主題資源、數(shù)據(jù)傳遞渠道暢通。同時(shí)還可提供公眾信息服務(wù)，開通網(wǎng)上公眾舉報(bào)、政務(wù)公開、審計(jì)結(jié)果公開、審計(jì)網(wǎng)上宣傳、新聞發(fā)布、審計(jì)工作開展情況與開展進(jìn)程等，以此提高審計(jì)透明度，擴(kuò)大審計(jì)影響力，樹立審計(jì)的公眾形象。

（二）系統(tǒng)架構(gòu)的特點(diǎn)和優(yōu)勢(shì)

1.以省級(jí)審計(jì)機(jī)關(guān)為單位開展建設(shè)，實(shí)現(xiàn)省、市、縣三級(jí)審計(jì)機(jī)關(guān)共享的公共云審計(jì)服務(wù)系統(tǒng)，使審計(jì)服務(wù)集約化、專門化，強(qiáng)化了審計(jì)監(jiān)督，優(yōu)化了資源配置，最終實(shí)現(xiàn)全國(guó)審計(jì)機(jī)關(guān)的“審計(jì)云”匯聚，形成“審計(jì)云海”。

2.公共云審計(jì)服務(wù)系統(tǒng)可以大幅度降低云服務(wù)用戶購(gòu)買和維護(hù)服務(wù)器設(shè)備及軟件方面的開支，云服務(wù)提供方只需維護(hù)既定程序和軟件，即可滿足眾多云服務(wù)用戶的需求，以此大大減少云服務(wù)提供方的生產(chǎn)成本和維護(hù)成本。

3.可以向建設(shè)資源匱乏、軟硬件基礎(chǔ)薄弱、計(jì)算機(jī)技術(shù)人才匱乏的下級(jí)審計(jì)機(jī)關(guān)提供審計(jì)信息化基礎(chǔ)設(shè)施服務(wù)和海量審計(jì)數(shù)據(jù)采集、分析與存儲(chǔ)服務(wù)。

4.構(gòu)建專業(yè)的、系統(tǒng)的云計(jì)算安全審計(jì)系統(tǒng)可以避免目前現(xiàn)場(chǎng)審計(jì)攜帶筆記本電腦容易造成數(shù)據(jù)泄露失竊的風(fēng)險(xiǎn)。云審計(jì)安全系統(tǒng)能夠有效加強(qiáng)云計(jì)算的審計(jì)監(jiān)控能力，能夠提供專業(yè)、高效和相對(duì)安全的數(shù)據(jù)存儲(chǔ)。用戶運(yùn)用云計(jì)算技術(shù)將數(shù)據(jù)存儲(chǔ)在云平臺(tái)中，相對(duì)于自己管理數(shù)據(jù)存儲(chǔ)，能在一定程度上消除因各種安全問題導(dǎo)致數(shù)據(jù)丟失的顧慮。

四、云審計(jì)系統(tǒng)風(fēng)險(xiǎn)控制

雖然云的應(yīng)用和推廣已經(jīng)勢(shì)在必行，但是從誕生開始，它的安全就一直為人們所詬病。隨著云審計(jì)的產(chǎn)生與應(yīng)用，審計(jì)云端化使數(shù)據(jù)安全風(fēng)險(xiǎn)加大。安全審計(jì)是確保審計(jì)信息系統(tǒng)運(yùn)行安全、管理安全的有效技術(shù)途徑，是審計(jì)參與國(guó)家治理，強(qiáng)化審計(jì)監(jiān)督效能的內(nèi)在要求。

從云計(jì)算本身帶來的風(fēng)險(xiǎn)來說，云安全主要面臨：身份隱私與訪問控制安全、虛擬運(yùn)行環(huán)境安全、數(shù)據(jù)安全與數(shù)據(jù)隱私、云容災(zāi)與數(shù)據(jù)備份安全。結(jié)合云審計(jì)系統(tǒng)，云審計(jì)安全又延伸到數(shù)據(jù)接口安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)使用安全以及安全責(zé)任認(rèn)定。

云安全是未來網(wǎng)絡(luò)安全的一種發(fā)展趨勢(shì)，也是云計(jì)算模式中一個(gè)比較活躍的領(lǐng)域。網(wǎng)絡(luò)病毒、惡意程序、黑客入侵等都威脅著云端審計(jì)的安全。因此，研究“云”中審計(jì)一定要把安全放在首要的位置，聯(lián)合專業(yè)的安全廠商和第三方服務(wù)商，加強(qiáng)云審計(jì)平臺(tái)和應(yīng)用端的“云安全”技術(shù)研發(fā)，采取有效措施加強(qiáng)云審計(jì)系統(tǒng)下的風(fēng)險(xiǎn)控制。

一是采用新技術(shù)、新方法構(gòu)建云審計(jì)安全防御系統(tǒng)。在云計(jì)算環(huán)境下，為了保證數(shù)據(jù)安全，應(yīng)該采取最優(yōu)的方法和最新的技術(shù)手段，研究構(gòu)建云審計(jì)安全防御系統(tǒng)。安全防御系統(tǒng)至少應(yīng)包括異常監(jiān)控、故障監(jiān)測(cè)、漏洞掃描、風(fēng)險(xiǎn)預(yù)警等功能（如圖1所示）。為了提高系統(tǒng)的可靠性和穩(wěn)定性應(yīng)采用應(yīng)用層面的檢查點(diǎn)、重啟技術(shù)、并行計(jì)算，增強(qiáng)系統(tǒng)安全性。

二是建立統(tǒng)一身份認(rèn)證基礎(chǔ)上的單點(diǎn)登錄技術(shù)。統(tǒng)一身份認(rèn)證是通過一個(gè)適合于所有應(yīng)用系統(tǒng)的、唯一的認(rèn)證服務(wù)系統(tǒng)為認(rèn)證接口提供唯一訪問點(diǎn)的認(rèn)證模塊，各應(yīng)用系統(tǒng)只需要遵循統(tǒng)一認(rèn)證服務(wù)調(diào)用接口，即可實(shí)現(xiàn)用戶身份的認(rèn)證過程。為了解決同一網(wǎng)絡(luò)中多應(yīng)用系統(tǒng)之間的復(fù)雜登錄問題，可以建立在統(tǒng)一身份認(rèn)證基礎(chǔ)上的單點(diǎn)登錄技術(shù)。同一用戶只需要強(qiáng)制認(rèn)證一次，就可以在不同的授權(quán)系統(tǒng)之間進(jìn)行轉(zhuǎn)換而不必重新登錄，而系統(tǒng)的身份認(rèn)證操作則在后臺(tái)自動(dòng)執(zhí)行。這樣可以提高用戶的訪問效率，避免了系統(tǒng)開銷。

三是采用加密技術(shù)。加密技術(shù)包括兩個(gè)元素：算法和密鑰。算法是將普通的文本（或者可以理解的信息）與一串?dāng)?shù)字（密鑰）的結(jié)合，產(chǎn)生不可理解的密文步驟，密鑰是用來對(duì)數(shù)據(jù)進(jìn)行編碼和解碼的一種算法。在云審計(jì)數(shù)據(jù)傳輸和存儲(chǔ)過程中，可通過適當(dāng)?shù)拿荑€加密技術(shù)和管理機(jī)制來對(duì)審計(jì)數(shù)據(jù)進(jìn)行加密保護(hù)，即使數(shù)據(jù)誤傳到別人的數(shù)據(jù)中心，沒有解密密碼也不能打開和使用數(shù)據(jù)。

四是制定統(tǒng)一的云審計(jì)標(biāo)準(zhǔn)。云審計(jì)標(biāo)準(zhǔn)是實(shí)施云端審計(jì)的基本準(zhǔn)則和實(shí)施依據(jù)。制定權(quán)威的、公認(rèn)的云審計(jì)標(biāo)準(zhǔn)，是實(shí)現(xiàn)云端審計(jì)工作規(guī)范化、明確云端審計(jì)責(zé)任、保證云端審計(jì)質(zhì)量的可靠保障。沒有標(biāo)準(zhǔn)，云審計(jì)的發(fā)展就難以得到規(guī)范健康的發(fā)展，難以推動(dòng)國(guó)家審計(jì)的一體化協(xié)同發(fā)展。

但云審計(jì)研究尚處于起步階段，業(yè)界尚未形成相關(guān)標(biāo)準(zhǔn)。本文認(rèn)為，云審計(jì)標(biāo)準(zhǔn)至少應(yīng)包括認(rèn)證標(biāo)準(zhǔn)、數(shù)據(jù)接口標(biāo)準(zhǔn)、數(shù)據(jù)安全標(biāo)準(zhǔn)、風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)等。通過認(rèn)證技術(shù)、加密技術(shù)、授權(quán)技術(shù)保證數(shù)據(jù)接口安全，確保接口的強(qiáng)用戶認(rèn)證、加密和訪問控制的有效性，避免利用接口對(duì)內(nèi)和對(duì)外的攻擊，避免利用接口進(jìn)行云服務(wù)的濫用。通過發(fā)展數(shù)據(jù)安全與隱私保護(hù)、多租戶身份管理、數(shù)據(jù)丟失防護(hù)等安全產(chǎn)品及在線電子證據(jù)保全、第三方安全審計(jì)、云計(jì)算安全等級(jí)劃分與測(cè)評(píng)、安全監(jiān)控與運(yùn)維和安全應(yīng)急響應(yīng)等安全服務(wù)能力，同時(shí)建立安全等級(jí)評(píng)價(jià)指標(biāo)，對(duì)云計(jì)算服務(wù)環(huán)境中的數(shù)據(jù)傳輸安全、存儲(chǔ)安全、審計(jì)安全提供量化評(píng)價(jià)，將有助提升用戶對(duì)云計(jì)算服務(wù)的信任度。

五是明確云責(zé)任。云責(zé)任可以簡(jiǎn)單地理解為“同一云過程下的審計(jì)機(jī)關(guān)和審計(jì)人員的總體責(zé)任”。標(biāo)準(zhǔn)化云審計(jì)過程使傳統(tǒng)審計(jì)中的主客體二者的關(guān)系變成了主體、客體和中間商三者之間的關(guān)系。相應(yīng)地，審計(jì)的具體責(zé)任也發(fā)生了變化。與傳統(tǒng)審計(jì)相比，在標(biāo)準(zhǔn)化云審計(jì)下，審計(jì)人員的數(shù)據(jù)信息來源于中間的第三方，所以與數(shù)據(jù)采集存儲(chǔ)相關(guān)的問題也就不再由審計(jì)人員負(fù)責(zé)，進(jìn)而增強(qiáng)了第三方云審計(jì)平臺(tái)商的責(zé)任。同時(shí)，審計(jì)的主體也由隸屬于同一審計(jì)機(jī)關(guān)的項(xiàng)目小組成員變?yōu)閬碜远鄠€(gè)審計(jì)機(jī)關(guān)的多名審計(jì)人員。在這種多方協(xié)作進(jìn)行審計(jì)的過程中，各方的責(zé)任更應(yīng)該明確。

基于此原則，應(yīng)當(dāng)考慮：負(fù)責(zé)牽頭的審計(jì)機(jī)關(guān)的責(zé)任;參與云過程的其他審計(jì)機(jī)關(guān)對(duì)客戶和牽頭的審計(jì)機(jī)關(guān)的責(zé)任;云過程下所有參與審計(jì)的審計(jì)機(jī)關(guān)和審計(jì)人員對(duì)客戶的總體責(zé)任。由于云過程允許不同的審計(jì)機(jī)關(guān)參與同一個(gè)審計(jì)過程，在多對(duì)一的審計(jì)模式下，信息交換、信息處理及報(bào)告一定比一對(duì)一的審計(jì)要相對(duì)公開、透明，特別是在風(fēng)險(xiǎn)充分博弈的條件下，各參與審計(jì)的審計(jì)機(jī)關(guān)將最終承擔(dān)與其所擔(dān)任審計(jì)過程相對(duì)應(yīng)的審計(jì)責(zé)任，以達(dá)到風(fēng)險(xiǎn)均衡。

六是出臺(tái)相應(yīng)的政策法規(guī)。因?yàn)樵朴?jì)算服務(wù)涉及到個(gè)人、企業(yè)，國(guó)家的重要敏感信息安全，所以需要政府相關(guān)監(jiān)管部門的參與，通過統(tǒng)一行業(yè)標(biāo)準(zhǔn)和協(xié)議、制定完善相應(yīng)的法律法規(guī)，對(duì)數(shù)據(jù)隱私保護(hù)、數(shù)據(jù)主權(quán)歸屬、服務(wù)協(xié)議保障、風(fēng)險(xiǎn)責(zé)任認(rèn)定進(jìn)行法規(guī)界定，對(duì)云計(jì)算服務(wù)提供商、云計(jì)算服務(wù)進(jìn)行規(guī)范、監(jiān)督、審計(jì)，保障云計(jì)算應(yīng)用服務(wù)和數(shù)據(jù)信息的安全。

五、結(jié)語(yǔ)

本文根據(jù)云計(jì)算服務(wù)模式的特點(diǎn)和應(yīng)用現(xiàn)狀，構(gòu)建了云審計(jì)系統(tǒng)的基本框架。但云計(jì)算環(huán)境下的云審計(jì)建設(shè)是一個(gè)系統(tǒng)工程，除了平臺(tái)架構(gòu)外，還有諸如信息安全、云標(biāo)準(zhǔn)、云責(zé)任等標(biāo)準(zhǔn)體系和安全審計(jì)的法律法規(guī)建設(shè)。如果在實(shí)施云審計(jì)項(xiàng)目時(shí)盲目應(yīng)用云計(jì)算技術(shù)，而忽視標(biāo)準(zhǔn)體系和法律法規(guī)建設(shè)，將會(huì)產(chǎn)生嚴(yán)重的潛在審計(jì)風(fēng)險(xiǎn)。因此，進(jìn)行云計(jì)算環(huán)境下審計(jì)安全技術(shù)標(biāo)準(zhǔn)、技術(shù)規(guī)范研究和相關(guān)產(chǎn)品開發(fā)，是推動(dòng)未來我國(guó)云審計(jì)發(fā)展的關(guān)鍵。

【參考文獻(xiàn)】

[1] 秦榮生.云計(jì)算的發(fā)展及其對(duì)會(huì)計(jì)、審計(jì)的挑戰(zhàn)[J].當(dāng)代財(cái)經(jīng)，2013（1）：111-117.

[2] Iyer， B. Henderson， J. Preparing for the future Understanding the seven capabilities of cloud computing[J].MIS Quarterly Executive， 2010，9（2）：117-131.

[3] Mell p， Grance t. The NIST Definition of Cloud Computing[R].National Institute of Standards and Technology，2011.

[4] 文峰.云計(jì)算與云審計(jì)——關(guān)于未來審計(jì)的概念與框架的一些思考[J].中國(guó)注冊(cè)會(huì)計(jì)師，2011（2）：98-102.

[5] 鄧川，楊文鶯.基于云審計(jì)的會(huì)計(jì)師事務(wù)所機(jī)遇、挑戰(zhàn)及對(duì)策[J].財(cái)會(huì)通訊，2012（10）：83-84.

[6] 陳偉，Wally Smieliauskas.云計(jì)算環(huán)境下的聯(lián)網(wǎng)審計(jì)實(shí)現(xiàn)方法探析[J].審計(jì)研究，2012（3）：37-44.

[7] 鮑偉民.基于云計(jì)算的安全審計(jì)系統(tǒng)研究與設(shè)計(jì)[J].軟件產(chǎn)業(yè)與工程，2012（6）：41-45.

[8] 張劍，陳劍鋒，王強(qiáng).云計(jì)算安全審計(jì)服務(wù)研究[J].信息安全與通信保密，2013（6）：62-64.

[9] 馮秀珍，郝鵬.云計(jì)算環(huán)境下的信息資源云服務(wù)模式研究[J].計(jì)算機(jī)科學(xué)，2012（S2）：110-114.