雲審計破解雲安全難題：打造視覺化的雲計算

雲安全是企業採用雲計算最大的顧慮，這已是業內共識。 對於雲安全的擔憂，包括對於存放在雲上的資料的存儲、傳輸和訪問安全，雲基礎設施的可靠性，企業上的資料不會被非相關人員看到等，即雲計算的視覺化、可控性的問題。 而雲審計——對於雲計算的可審計、視覺化——是打消企業對於雲安全顧慮最為對症下藥的方法。

2009年，國都興業率先提出了雲審計這一概念。 據記者瞭解，國都興業總經理徐亞非曾在軍隊科研部門工作近20年,並于2002年帶領著7人的小團隊和50萬元人民幣紮進網路安全領域，對於安全技術的發展徐亞非有著自己獨特的看法和與時俱進的眼光。 那麼，雲計算到底會有哪些安全問題？ IT審計能解決什麼樣的問題？ 雲審計究竟如何解決企業對於雲安全的顧慮？ 為此，記者就雲安全和雲審計這一話題，專訪了國都興業總經理徐亞非。

傳統IT審計：「矛」與「盾」的平衡

據徐亞非介紹國都興業是在2009年提出雲審計這一概念的。 那個時候恰好美國的思科公司也成立了一個雲審計工作小組，徐亞非笑稱，「看來大家都在那個時間開始關注這個問題了。 」在此之前，國都興業一直專注于研究開發網路安全軟體、網路一體化監測系統，到2004年，資料庫安全審計系統的問世標誌著國都興業正式進軍了IT系統審計領域。

在徐亞非看來，對國內企業來說傳統的IT審計既是「矛」又是「盾」。 他認為，「企業外部將把IT審計這個‘矛’刺向企業內部，同時IT審計的理論和實踐也給公司資訊化建設，控制IT風險提供了很好的‘盾’。 」IT審計是一個獲取並評價證據的過程，主要目標就是對組織實施的風險管理環境和控制環境的保證措施進行識別和評估，判斷管理層關於控制的聲明是否是可靠的，所以審計必須保持其獨立性，以協力廠商客觀的立場進行檢查和評價。

IT審計是為了更好地控制IT風險，有效地説明企業規避風險，是從資訊系統的安全性、有效性、合規性、效率四個方面對IT風險進行監測、評估和控制的過程，是對企業日常IT運營的監控，也是從戰略層面對IT進行評價。

IT審計一方面隨電腦在財務領域的應用而產生的，大量IT技術應用於財務領域，在這種環境下要做好財務審計必須借助于IT手段，IT控制有效性是財務報告真實性的重要保障。 另一方面，公司資訊系統不僅是一個個孤立的財務系統，資訊系統已經遍佈了企業生活的各個環節，是集財務、人事、供銷、生產為一體的綜合性體系。 通過IT審計，企業整體目標的實現將更有保障。 從IT審計關注的安全性、合規性、有效性、效率來看，安全性方面等級保護、分級保護的力度在不斷的加大。

在徐亞非看來，企業在資訊化建設過程中不僅要注意資訊系統的可用性，解決使用方面的問題，不僅要對傳統的IT安全問題進行關注，而且要從戰略層面、從治理層面對企業的資訊化進行統一的戰略規劃，從組織結構、 職能入手對IT進行統一的管理、統一的運營，更好的促進企業目標的實現，降低企業風險。

傳統IT審計的雲跨越：應對雲供應商和雲採用者的風險

「2009年提出的雲審計是從整個資訊系統角度來看的，不僅是單純從安全形度來看的。 」徐亞非認為，雲計算的興起為傳統的IT審計帶來了新的機遇和挑戰。

徐亞非和他的團隊首先研究了雲計算帶來的風險是什麼。 他們認為這些風險可以分成兩個層面，一個是雲供應商所面臨的風險，一個是雲計算消費者要考慮的風險。 對於供應商而言，他們需要考慮的是如何去為使用者提供安全可控、可信的雲計算解決方案，對於消費者而言，要考量的是如何確保自己的資訊資源和資料資源的可信與可控。

「我們在雲計算中引入了IT審計的理念來解決雲計算所面臨的風險。 」在2009年，國都興業提出了雲審計的概念，徐亞非回憶說，「當時大家都在關心這個問題——使用者的資源和資料資訊放在雲中如何實現可審計、視覺化。 雲計算提供了虛擬的一個環境，使用者可以按需獲取資源和服務，當時也有人稱這個說法是‘雲裡霧裡’，這也從側面反映當時大家對雲計算的安全性和可靠性存在著疑慮。 從使用者角度來看，使用者是希望使用的安全可靠的雲服務的，所以國都興業的雲審計是從整個資訊系統的角度去考慮的。 」

對於雲計算所帶來的安全隱患，徐亞非認為，雲安全變成了一個更大的範圍，有別于和以往的使用模式。 原有的解決方案中使用者可以給自己的網設置邊界，就像建立一道圍牆。 有了雲計算以後，難以確定這道圍牆的範圍。

其中比較大的問題是消費者的身份認證問題，隨之而來的還有許可權問題、資料資源的存放、傳輸等問題，「我們認為到了雲安全時代，對於使用者來說重點是安全地使用雲計算。 當基礎設施不再需要使用者考慮的時候，使用者就需要開始考慮自己的資料、資源放在供應商的平臺上是否能夠放心。 什麼人在用我的資料、我的資料如何傳輸、怎麼存放得安全，成為使用者更關注的事情。 」

雲計算平臺需與雲審計同步部署：視覺化、可審計的雲計算

從雲計算本身帶來的風險來說，當前使用者主要考慮兩個層面，一個是雲基礎設施的安全性，一個是資料的安全性。 「現在市場還處於一個比較餛飩的狀態」，徐亞非指出，「誰該負責什麼、誰不該考慮什麼，目前還沒有形成很清晰的層次。 國都興業的業務是從一個面做到幾個面的，到最後擴張到一個新系統的審核。 領域也是由安全性擴展到可靠性、合規性以及效率方面。 從層面上來說，是從底層向應用層面擴展的。 」據他介紹，目前國都興業的客戶在電信、銀行、稅務、國防等系統等行業都有分佈。

對於雲計算的安全性，使用者一般考慮的是廣義的。 把資料資源放在雲中，使用者會擔心資料的存儲和使用的安全性。 這裡的安全性是廣義的，除了去考慮資料如何去備份之外，雲平臺本身的效率如何也是使用者要考慮的。 從狹義角度來看，使用者會擔心是不是任何人都能看到他的資料。 這就需要雲服務的供應商們提供一個證明，徐亞非認為雲審計恰恰解決了這個問題。

在徐亞非看來，雲審計滲透了方方面面的資源，包括資料和資訊系統的。 如此一來就給使用者提供了一個「視覺化」的服務。 目前在我國，雲審計還處於剛剛起步的階段，「很多使用者認為雲計算本身還比較飄渺，但事實上雲審計很貼近很現實，它需要和企業雲建設同步考慮。 當企業準備建設各種各樣的雲，在這之前就要首先想到可以不可以放入雲審計。 」徐亞非饒有興趣地解釋說，「有人預言，公有雲會發展得比私有雲快，但這種情況在中國正好相反。 雲審計在國內是伴隨著雲基礎設施的建設而發展的，如果雲審計沒有跟上雲平臺的建設，首先就會帶來安全隱患問題。 」

一方面，建設雲計算平臺需要雲審計的同步部署，另一方面雲審計也為雲計算的發展帶來了促進作用。 徐亞非解釋說，「使用者在部署雲審計的時候首先會從業務入手。 從基礎設施的安全性上來看，使用者能夠從傳統的安全往雲安全轉變得較快速，但是真正到了雲的環境中，入手考慮雲審計是更貼近應用層面的。 使用者需要經歷由初級到中級、再到高級的過程。 從雲安全的角度來考慮雲審計的部署，初級我們認為是圍繞雲基礎設施開展的、貼近應用層面，然後是資料層面，雲的基礎設施和核心的使用者的資料資訊的支撐。 」

談到雲審計的現實意義，徐亞非表示，雲審計本身能夠很好地推動雲計算服務的發展——有了雲的服務平臺，吸引了大量的中小企業使用者。 雲審計為看不清雲的企業使用者進行了對焦。 這些中小企業使用者本身業務量不小，但是現有條件下不能大力發展自己的雲計算平臺。 如果所有的資源都由雲計算服務提供者來做的，就可以將IT審計的觸角延伸到那些原本沒有能力自己做雲計算但是又有極強需求的企業中，在客觀上，雲審計為他們引入了一種類似協力廠商的服務，為雲計算的整體發展起到了推動作用。