楊碩

【摘 要】文章概述了云服務(wù)，從審計視角列出組織在云服務(wù)規(guī)劃、實施和管理階段需要考慮和解決的問題。本文立足于人民銀行“數(shù)字央行”發(fā)展規(guī)劃，從云服務(wù)路徑選擇方向出發(fā)，提出對人民銀行信息技術(shù)審計的啟示建議。

【關(guān)鍵詞】云服務(wù);人民銀行;信息技術(shù)審計

一、引言

云服務(wù)是指使用互聯(lián)網(wǎng)訪問組織場所外部存儲的系統(tǒng)和數(shù)據(jù)，可以將其視為IT服務(wù)外包的發(fā)展方向。不同于傳統(tǒng)信息系統(tǒng)主要依賴組織內(nèi)部的軟、硬件設(shè)施，云服務(wù)主要提供虛擬化的資源，在效率、靈活性和安全性等方面的顯著優(yōu)勢可以通過云供應(yīng)商的規(guī)模經(jīng)濟和專業(yè)知識實現(xiàn)。

1.云服務(wù)模式。

目前，主要以IAAS、PAAS、SAAS三種方式提供服務(wù)，來滿足不同的需求和應(yīng)用場景。

（1）基礎(chǔ)設(shè)施即服務(wù)（IAAS）。提供的服務(wù)是對所有基礎(chǔ)設(shè)施的使用，如：CPU、內(nèi)存、存儲、網(wǎng)絡(luò)、防火墻等資源。支持任意操作系統(tǒng)和應(yīng)用軟件，最不可能導(dǎo)致供應(yīng)商鎖定，但是隨著業(yè)務(wù)數(shù)據(jù)累計增加需要花費更高的費用去升級服務(wù)器或者擴容存儲空間。

（2）平臺即服務(wù)（PAAS）。提供的服務(wù)是應(yīng)用程序開發(fā)、測試和部署平臺，用戶需要具備較高的IT技術(shù)水平。

（3）軟件即服務(wù)（SAAS）。用戶直接通過網(wǎng)絡(luò)租用供應(yīng)商提供的應(yīng)用軟件服務(wù)，不需要安裝或維護軟件或擁有自己的硬件。但對更新的控制最少，會面臨軟件許可、軟件維護和技術(shù)支持等隱性成本不斷增加，也很難遷移到其他云服務(wù)平臺。圖1將本地系統(tǒng)架構(gòu)與三種服務(wù)模式進行了對比。

2.“云”的類型。

上述云服務(wù)可以在以下類型的云上提供：

（1）公共云：多個客戶可共享相同的硬件、存儲和網(wǎng)絡(luò)設(shè)備等資源，不用架設(shè)任何設(shè)備或配備管理人員，便可享有專業(yè)的IT服務(wù)。

（2）私有云：云供應(yīng)商為單個客戶提供特定云系統(tǒng)的專用使用，在人員和設(shè)備方面所需投資最大。

（3）社區(qū)云：在有限的組織之間共享專用服務(wù)，這些組織對安全性、隱私、性能和合規(guī)性有共同要求。

（4）混合云：這是上述內(nèi)容的組合，其中某些應(yīng)用程序和服務(wù)在公共云中運行，而其他應(yīng)用程序和服務(wù)在私有云中運行。

二、云服務(wù)的評估

在選擇云解決方案之前，組織需要評估云是否適合他們的需求和目標(biāo)，清楚了解各種云服務(wù)的相對優(yōu)點和潛在缺陷。而管理層則需要制定明確的需求目標(biāo)并對備選方案作出恰當(dāng)評估，綜合考慮成本效益，從而選擇最適合的供應(yīng)商。

1.數(shù)字策略。

組織在部署“云戰(zhàn)略”時，應(yīng)制定明確的數(shù)字戰(zhàn)略和清晰的技術(shù)要求，避免過度依賴于特定技術(shù)方案。審計應(yīng)當(dāng)關(guān)注：

（1）組織是否考慮過選用哪種類型的云解決方案？能否確保所有用戶都能訪問互聯(lián)網(wǎng)？

（2）是否了解本地系統(tǒng)向云平臺遷移的復(fù)雜性和相關(guān)配置？數(shù)字化策略是否對系統(tǒng)遷移進行風(fēng)險評估？

（3）在安全方面是否遵循最佳做法？在承諾使用云服務(wù)之前，組織是否遵循了國家規(guī)定的云安全原則？對于云服務(wù)如何與現(xiàn)有的服務(wù)、系統(tǒng)和進程兼容是否有一個長遠(yuǎn)的規(guī)劃？

2.盡職調(diào)查。

供應(yīng)商可以提供一個安全的技術(shù)環(huán)境，但識別和處理數(shù)據(jù)泄露、黑客入侵等行為仍然是組織的責(zé)任。確定選擇標(biāo)準(zhǔn)前應(yīng)明確組織的特定需求。組織應(yīng)對備選供應(yīng)商進行盡職調(diào)查，確保他們是否符合所有安全規(guī)定、相關(guān)標(biāo)準(zhǔn)及業(yè)務(wù)特定需要。審計應(yīng)當(dāng)關(guān)注：

（1）組織和云供應(yīng)商之間是否有明確的責(zé)任關(guān)系？組織對云供應(yīng)商有什么監(jiān)督機制？云供應(yīng)商是否簽訂分包合同，如何管理風(fēng)險？

（2）服務(wù)條款是什么？云供應(yīng)商保證的存儲空間和服務(wù)功能是否足以滿足組織的需求？業(yè)務(wù)連續(xù)性安排是什么？供應(yīng)商的責(zé)任上限是否足以彌補組織遭受的任何損失？

（3）供應(yīng)商的基礎(chǔ)設(shè)施部署在哪里，數(shù)據(jù)在哪個司法管轄區(qū)保存？對數(shù)據(jù)境內(nèi)存放和跨境行為是否有法律法規(guī)保護？

（4）組織是否考慮過利用市場競爭優(yōu)勢選擇其他供應(yīng)商而終止當(dāng)前合同的成本？合同終止過程是否有完整的文件記錄，當(dāng)前合同中云供應(yīng)商是否有協(xié)助傳輸和刪除數(shù)據(jù)的法律承諾？

三、云服務(wù)的實施

相較于傳統(tǒng)系統(tǒng)而言，云服務(wù)配置可能更為復(fù)雜。管理層需要確信他們已經(jīng)充分了解并能夠接受云服務(wù)實現(xiàn)涉及到的相關(guān)風(fēng)險。

1.系統(tǒng)配置。

云環(huán)境中的潛在變化和創(chuàng)新可能使配置比本地網(wǎng)絡(luò)更具挑戰(zhàn)性。正確的配置可以確保云服務(wù)系統(tǒng)和原有系統(tǒng)進行高效、安全地通信和互操作。審計應(yīng)當(dāng)關(guān)注：

（1）組織是否制定了項目管理計劃？供應(yīng)商對系統(tǒng)配置方面的承諾是什么？

（2）是否為遷移準(zhǔn)備了基礎(chǔ)設(shè)施、應(yīng)用程序和數(shù)據(jù)？如果舊數(shù)據(jù)質(zhì)量較差，是否應(yīng)將其以現(xiàn)有狀態(tài)傳輸?shù)叫孪到y(tǒng)中？

（3）組織是否過度依賴第三方資源？實施完成后內(nèi)部團隊是否全面了解系統(tǒng)的配置方式？

2.風(fēng)險和安全。

云服務(wù)并不一定比現(xiàn)有的技術(shù)架構(gòu)更安全，它們所面臨的安全風(fēng)險大致相似。云解決方案雖然具有強大的網(wǎng)絡(luò)防御能力和多層安全性，但同樣存在大量默認(rèn)配置的問題。審計應(yīng)當(dāng)關(guān)注：

（1）組織是否明確技術(shù)風(fēng)險的責(zé)任歸屬和應(yīng)對措施？是否對系統(tǒng)資源枯竭、數(shù)據(jù)泄漏、誤操作等風(fēng)險制定應(yīng)對方案？

（2）組織是否更新了業(yè)務(wù)連續(xù)性計劃？系統(tǒng)備份如何實現(xiàn)？

3.實施。

云服務(wù)的實施過程中，除了技術(shù)管理外，還必須關(guān)注變更管理對所有利益相關(guān)者和用戶的重要性。審計應(yīng)當(dāng)關(guān)注：

（1）主要利益相關(guān)者是否通過全面的變更管理策略參與實施？組織是否根據(jù)所選服務(wù)為用戶提供培訓(xùn)和指導(dǎo)？

（2）是否有應(yīng)急計劃？

（3）是否制定了測試規(guī)范？

四、云服務(wù)管理

云服務(wù)會減少組織維護內(nèi)部管理系統(tǒng)所需的人力物力，云服務(wù)供應(yīng)商可以負(fù)責(zé)管理和維護基礎(chǔ)設(shè)施，以及軟件更新。但組織不能將數(shù)據(jù)管理和業(yè)務(wù)流程控制的責(zé)任外包出去。

1.變更。

云服務(wù)上線后，可能會面臨一個短暫的問題高發(fā)期，在此過程中，持續(xù)的變更管理對于消除用戶疑慮、匹配系統(tǒng)接口或更新配置都非常重要。與內(nèi)部部署環(huán)境相比，云環(huán)境更具動態(tài)性，更改和更新的頻率和數(shù)量會更大。審計應(yīng)當(dāng)關(guān)注：

（1）對云供應(yīng)商的計劃是否有明確的監(jiān)督？云供應(yīng)商是否公開發(fā)布新功能和系統(tǒng)升級計劃？組織是否評估計劃變更對業(yè)務(wù)的影響？

（2）系統(tǒng)變更和升級的責(zé)任是否明確？內(nèi)部團隊是否具備管理變更的權(quán)限和知識？將更改發(fā)布到實施服務(wù)中之前，是否進行模擬測試？

（3）是否已打開審計功能以提供跟蹤信息？

2.保障。

云供應(yīng)商通常以服務(wù)組織控制報告形式向客戶提供保證。云供應(yīng)商委托獨立審計師編寫這些報告，以確保其流程安全合規(guī)。管理層需要掌握這些報告提供的保證以及可能存在控制缺陷或需要進一步保證的領(lǐng)域。審計應(yīng)當(dāng)關(guān)注：

（1）管理層是否了解不同服務(wù)組織控制報告的一般范圍和局限性？

（2）服務(wù)組織控制報告的頻率是否足以跟上持續(xù)改進的步伐？如果云供應(yīng)商對其系統(tǒng)進行重大更改，是否有相關(guān)合同條款要求獲取最新報告？

（3）管理層是否仔細(xì)審查服務(wù)組織控制報告的結(jié)果？

五、對央行內(nèi)部審計工作的啟示

隨著我國金融改革的不斷深入和信息技術(shù)的快速發(fā)展，人民銀行提出建設(shè)“數(shù)字央行”的發(fā)展戰(zhàn)略，充分利用大數(shù)據(jù)、云計算技術(shù)，實施IT架構(gòu)轉(zhuǎn)型升級，對內(nèi)部管理和各項業(yè)務(wù)進行重構(gòu)，實現(xiàn)金融服務(wù)與監(jiān)管職能“數(shù)字化”。云計算的不斷滲透，在以虛擬化為基礎(chǔ)的IAAS私有云之上，基于容器技術(shù)和分布式中間件構(gòu)建適用于人民銀行分支機構(gòu)的云服務(wù)平臺，形成分布式服務(wù)型系統(tǒng)架構(gòu)，已經(jīng)成為一種可行的解決路徑，很可能會成為未來人民銀行“數(shù)字化”進程中的一種備選方案。

在云服務(wù)不可逆轉(zhuǎn)的發(fā)展趨勢下，云環(huán)境的開放性和商業(yè)性、特有的數(shù)據(jù)和服務(wù)外包、虛擬化和跨業(yè)務(wù)領(lǐng)域共享等特征使其面臨的安全威脅相比傳統(tǒng)IT環(huán)境更復(fù)雜多樣，給信息技術(shù)審計帶來新的挑戰(zhàn)。云租戶對云環(huán)境資源的非法訪問、惡意云管理員的越權(quán)操作和誤操作、云端數(shù)據(jù)泄漏、被破壞或丟失、云基礎(chǔ)設(shè)施資源枯竭、配置不當(dāng)、網(wǎng)絡(luò)遭受攻擊等風(fēng)險將會成為信息技術(shù)審計重點關(guān)注內(nèi)容。人民銀行各級內(nèi)審部門需要持續(xù)從關(guān)注風(fēng)險的角度出發(fā)，在推動央行科技工作改革升級過程中，始終緊跟技術(shù)發(fā)展趨勢，圍繞信息系統(tǒng)重大風(fēng)險、重要業(yè)務(wù)應(yīng)用系統(tǒng)和科技領(lǐng)域重點工作開展信息技術(shù)審計，靠前一步，主動學(xué)習(xí)了解云服務(wù)在金融行業(yè)領(lǐng)域的場景應(yīng)用和安全保障，主動加強與科技和業(yè)務(wù)部門的溝通協(xié)調(diào)，及時掌握業(yè)務(wù)需求變化和技術(shù)路徑選擇，做好知識儲備，更新審計技術(shù)和工具，為高質(zhì)量發(fā)揮審計監(jiān)督職能奠定堅實的基礎(chǔ)。

參考文獻

[1]范煜.云環(huán)境下的數(shù)據(jù)審計技術(shù)研究[D].電子科技大學(xué)，2020.

[2]李慧芳.云計算環(huán)境下云審計的系統(tǒng)設(shè)計與實施[D].江西財經(jīng)大學(xué)，2017.

[3]陳希凡.基于“云計算”的政府金融審計方法與技術(shù)探索[D].南京審計大學(xué)，2017.

（作者單位：中國人民銀行銀川中心支行）