基于云计算环境下的审计信息系统构建.doc
《基于云计算环境下的审计信息系统构建.doc》由会员分享,可在线阅读,更多相关《基于云计算环境下的审计信息系统构建.doc(7页珍藏版)》请在冰点文库上搜索。
基于云计算环境下的审计信息系统构建
魏祥健
(重庆科技学院,重庆,401331)
【摘要】云计算作为新一代信息技术的重要发展方向,正在影响着互联网以外的行业,并进一步影响会计、审计行业。
云计算技术已在众多的行业进行了深入的研究和应用,但我国目前尚缺少云计算技术在审计信息系统中的研究与运用,这与我国审计信息化的发展不相适应。
该文基于云计算环境下审计出现的新特征,讨论审计信息系统概念,从而从基础设施层、平台服务层、平台应用层、客户端服务层、安全审计层和外部接入层6个方面搭建了审计信息系统的基本架构,并研究了云环境下审计实现方式。
为推动我国未来云审计的深入研究和实务发展提供一个参考模式。
【关键词】云计算审计信息化审计信息系统海量数据
传统的审计模式为各审计机关分别采购应用服务器、数据库服务器并安装联网审计系统,审计人员通过办公局域网访问系统开展审计工作。
这种审计模式使每个审计机关都需要配置独立的硬件资源和软件资源,势必产生IT成本居高不下,专业维护费用居高不下且需要大量的专业维护人员。
随着IT应用在各行业各部门的普及,云计算开发和利用成为了不可或却的因素。
随着云计算的发展,云计算不断影响互联网以外的行业,并进一步影响会计、审计行业,给审计带来新的挑战(秦荣生,2013)。
在云计算快速发展的今天,如何利用互联网的云计算概念,通过数据的云存储,使得各种审计资源通过云来协同,从而为审计人员提供更富有效率,更科学的审计过程,最终实现各级审计机关硬件资源、软件资源、服务共享的云审计系统,使审计资源得到充分优化利用,是未来我国国家审计亟待解决的问题。
本文结合云计算的研究与应用现状,构建云计算环境下审计信息系统的基本框架。
一、云计算的产生与应用
(一)云计算的产生
云计算(CloudComputing)是一种新近提出的计算模式,是分布式计算、并行计算和网格计算的发展。
它是基于互联网的计算,能够向各种互联网应用提供硬件服务、基础架构服务、平台服务、软件服务、存储服务的系统。
云计算概念是由Google首席执行官EricSchmidt在2006年搜索引擎大会(SESSanJose2006)首次提出。
狭义云计算是指IT基础设施的交付和使用模式,指通过网络以按需、易扩展的方式获得所需的资源;广义的云计算则是指强调服务的交付和使用模式,指通过网络以按需、易扩展的方式获得所需的服务。
美国国家标准与技术研究院(NIST)的定义则是:
云计算是一种按使用量付费的模式,这种模式提供可用的、便捷的、按需的网络访问,进入可配置的计算资源共享池(资源包括网络、服务器、存储、应用软件、服务等),这些资源能够被快速提供,只需投入很少的管理工作,或与服务供应商进行很少的交互。
从上面的各种定义可以看出,云计算的核心思想是将大量用网络连接的计算资源统一管理和调度,构成一个计算资源池向用户按需提供服务。
云计算的特点:
高可靠性:
云计算提供了安全的数据存储方式,能够保证数据的可靠性。
用户无需担心软件的升级更新、漏洞修补、病毒的攻击和数据丢失等问题,从而为用户提供可靠的信息服务。
高扩展性:
云计算能够无缝地扩展到大规模的集群之上,甚至包含数千个节点同时处理。
云计算可从水平和竖直两个方向进行扩展。
高可用性:
在云计算系统中,出现节点错误甚至很多节点发生失效的情况都不会影响系统的正常运行,因为云计算可以自动检测节点是否出现错误或失效,并且可以将出现错误和失效的节点清除掉。
虚拟技术:
云计算是一个虚拟的资源池,它将底层的硬件设备全部虚拟化,并通过互联网使得用户可以使用资源池内的计算资源。
低成本性:
云计算将数据送到互联网的超级计算机集群中处理,这样无需对计算机的设备不断进行升级和更新,仅需支付低廉的服务费用就可完成数据的计算和处理,从而大大减少了成本资金。
(二)云计算的应用
云计算还处于萌芽阶段,有庞杂的各类厂商在开发不同的云计算服务。
云计算的表现形式多种多样,简单的云计算在人们日常网络应用中随处可见,目前,云计算的主要服务形式有:
基础设施即服务IaaS(Infrastructure as a service),平台即服务PaaS(Platform as a service)和软件即服务SaaS(Software as a Service)。
IaaS层的主要作用是以服务的形式提供服务器、存储和网络硬件以及相关软件。
它是三层架构的最底层,是指企业或个人可以使用云计算技术来远程访问计算资源,这包括计算、存储以及应用虚拟化技术所提供的相关功能。
无论是最终用户、SaaS提供商还是PaaS提供商都可以从基础设施服务中获得应用所需的计算能力,但却无需对支持这一计算能力的基础IT软硬件付出相应的原始投资成本。
PaaS层的主要作用是以服务的方式提供应用程序开发和部署平台。
就是指将一个完整的计算机平台,包括应用设计、应用开发、应用测试和应用托管,都作为一种服务提供给客户。
在这种服务模式中,客户不需要购买硬件和软件,只需要利用PaaS平台,就能够创建、测试和部署应用和服务。
SaaS层的主要作用是以服务的方式将应用程序提供给互联网最终用户。
它是用户获取软件服务的一种新形式,用户无需购买软件,不需要用户将软件产品安装在自己的电脑或服务器上,而是按某种服务水平协议(SLA)直接通过网络向专门的提供商获取自己所需要的、带有相应软件功能的服务。
SaaS云服务、PaaS云服务、IaaS云服务为有效管理信息资源、充分利用信息资源提供了新的思路,为研究实现信息资源云服务提供了新的机遇。
云计算已经作为下一代计算模式全面进入实践应用阶段。
各国政府纷纷推动主要厂商围绕云计算重新布局,创新平台、产品与应用不断涌现,越来越多的数据和应用在向云计算迁移。
有机构调查了全球活跃的2700家软件开发商后得出的报告显示,目前,有84%的开发商和企业表示正在打造与云计算相关的应用。
但纵观国际国内,把云计算技术运用在审计领域的研究还鲜有人在,云审计的实务工作还有待我们进一步研究和推动。
二、云计算环境下审计出现的新特征
当越来越多的企业提供云计算服务,越来越多的企业采用云计算服务时,作为提供鉴证服务的审计,面临着严峻的挑战(秦荣生,2013)。
在云计算环境下,审计面临被审数据数量巨大、数据安全风险加大、数据采集方式改变、云责任难以划分等新特征。
(一)海量数据
早在20世纪90年代“数据仓库之父”的BillInmon便提出了“大数据”的概念。
在云计算环境下,如果被审计单位使用云平台,公司数据都存储在云平台数据中心,从而形成海量的大数据。
一是数据体量巨大。
随着企业业务的增长,数据也会按比例并且呈几何级数的增长,并且很多企业把多个数据集放在一起存储在云数据中心,已经形成了PB级的数据量;另一方面,随着时间的推移,云平台数据中心的数据会日积月累,最终形成海量的大数据。
有研究表明,数字领域存在着1.8万亿GB的数据,企业数据正在以每年55%的速度增长。
二是数据类型繁多。
相对于以往便于存储的以文本为主的结构化数据,当今信息化社会的非结构化数据,包括电子邮件、音频、视频、图片、地理位置信息等越来越多。
多类型数据对数据的处理能力提出了更高的要求。
(二)数据安全风险加大
在云计算环境下,虚拟化云终端、云桌面将边界模糊化,存储和计算资源高度整合将边界无序化,安全设备的部署边界已经消失,这种边界问题带来的后果是用户数据容易泄露或丢失。
因为在云计算环境下用户的自身数据的传输和存储完全依赖于服务商,用户本身并没有实际的控制能力,如果服务商的数据安全控制存在疏漏与风险,则很可能导致数据泄露或丢失。
主要表现在:
数据在传输过程中由于加密措施不完善、密匙管理不严密或没有进行有效隔离而导致数据被窃取或丢失;由于虚拟化数据平台或服务器的安全漏洞而导致黑客入侵造成数据被窃取、篡改或丢失;由于硬件或软件问题造成数据毁坏而云中数据存储没有进行容灾备份而导致数据丢失等安全风险。
(三)数据采集方式发生变化
传统的审计数据采集方式主要通过手工采集或优盘拷贝,网络邮件、宽带等方式传输。
云计算环境下,数据存储在虚拟化云平台中,且数据量巨大,数据的存储环境、数据存储格式、存储技术都发生了变化,如何通过云计算的先进技术,从海量数据中挖掘出有用的被审计数据,并通过信息化手段进行安全的传输、转换,生成可利用的审计中间表,是云计算环境下审计面临的关键工作,也是重大的挑战。
(四)云责任难以划分
在非云环境下,数据的处理者、使用者、管理者三者合一,不存在责任划分问题。
在云环境下,数据的存储和管理委托于云服务商,云服务商管理的数据资源规模庞大,服务器数量众多并分布在不同的地点,同时运行着数百种应用,发生数据安全的风险就在所难免。
如何区分企业与云服务商之间的数据安全责任,也是目前我国云计算产业快速发展情况下急需法律法规来规范的问题。
三、云计算环境下审计信息系统构建思路
要实施云计算环境下的信息化审计,审计组织应建设云审计平台(秦荣生,2013)。
秦荣生认为云审计平台主要包括云审计用户服务平台和云审计企业服务平台,既可提供面向云计算服务提供商的信息审计服务,又可提供面向云计算服务用户的信息监管服务。
文峰(2011)认为云审计可以和行业信息化建设有机地结合起来,实现将注册会计师、会计师事务所、审计程序、审计数据及报告甚至被审计单位都通过云审计平台联接起来,形成“数据与服务的超级平台”。
国内学术界和产业界在云计算环境下如何搭建审计系统与平台进行了一些技术研究和产品开发,如陈伟,WallySmieliauskas(2012)从被审计单位使用云平台、审计单位使用云平台、审计单位和被审计单位都使用云平台这三种情况出发,采用SaaS、PaaS或者IaaS服务模式,研究了云计算环境下适合我国联网审计特点的联网审计模式和实现方法。
鲍伟民(2012)对云计算环境下的数据安全、风险控制、行为监控等方面研究了SaaS服务模式下安全审计系统的设计。
以上研究为我国未来云环境下审计信息系统的实施与开展提供了重要的思路。
本文认为构建云环境下的审计信息系统必须坚持以下三个原则:
一是优化资源配置原则。
云环境下的审计信息化系统应以省级审计机关为单位开展建设,实现省、市、县三级审计机关的共享的公共云审计服务系统,使审计服务集约化、专门化,强化了审计监督,优化资源配置。
二是成本与效益原则。
通过省一级机关公共云审计服务系统建设,大幅度降低云服务用户购买和维护服务器设备及软件方面的开支,向建设资源匮乏、软硬件基础薄弱、计算机技术人才匮乏的下级审计机关提供审计信息化基础设施服务和海量审计数据采集、分析与存储服务。
云服务提供方只需维护既定程序和软件,即可满足众多云服务用户的需求,以此大大减少云服务提供方的生产成本和维护成本。
三是安全审计原则。
构建专业的、系统的云计算环境下的审计信息系统,必须考虑系统安全。
避免数据泄露失窃的风险,能够有效加强云计算的审计监控能力,能够提供专业、高效和相对安全的数据存储,能在一定程度上消除因各种安全问题导致数据丢失的顾虑。
因此,云计算环境下的审计信息系统应结合目前国家审计中IT应用的实际情况,以省一级审计机关为单位,构建SaaS、PaaS、IaaS相结合的混合服务模式云审计服务系统,最终实现省、市、县三级审计机关的硬件资源、软件资源、服务共享的集约化、低成本化的安全审计系统。
四、云计算环境下审计信息系统架构
根据以上综述,云计算环境下的审计信息系统由基础设施层、平台服务层、平台应用层、客户端服务层、安全审计平台和外部应用接口构成,如图1所示:
各级审计机关用户
客户端服务层
用户管理
身份认证
权限管理
云审计系统
安全审计平台
外部应用接口
政务平台接入
审计监控
系统应用层
SaaS
审计实施系统AO
决策支持系统
审计管理系统OA
审计云数据中心
金融部门接入
漏洞扫描
应用与维护服务
平台维护
资源开发
资源部署
税务部门接入
系统服务层
PaaS
管理服务
审计论坛
消息管理
综合管理
安全预警
资源服务
其他接入
资源调度
专家经验
信息服务
基础设施层
IaaS
服务器
网络设备
操作系统
数据库
图1:
云审计系统架构
基础设施层IaaS为审计机关提供了统一的基础设施服务,包括处理、存储、网络、安全防范和其他基本的计算资源。
下级审计机关无需购买和建设服务器、网络设备、操作系统、安全等基础设施,不需要管理、控制和维护任何云审计基础设施。
基础设施层IaaS服务是PaaS和SaaS服务的重要基础,是实现PaaS和SaaS服务的基本保障。
系统服务层PaaS为下级审计机关提供审计与其他综合服务,包括资源服务中的信息共享、专家经验库的上传和下载审计案例经验、对资源进行调度和安排,实现对各种资源的高效利用;管理服务平台提供综合管理、消息发布和接收,审计BBS论坛的交流和讨论等;应用与维护平台提供资源部署与分发、专业工具和程序段开发、系统应用与维护服务等功能,下级审计机关无需为缺乏维护的专业人员和高昂的维护费用发愁。
系统应用层SaaS是云审计平台的中心,主要部署审计实施系统、审计管理系统、审计决策支持系统和审计数据中心。
其中,根据国家“金审工程”的要求,审计实施系统(AO)和审计管理系统(OA)要实行交互管理,审计数据中心是在云环境下对大数据信息进行集中采集、处理、存储、传输、交换和管理的一个中心数据库,中心数据库除了包括被审财务业务数据,还包括审计综合信息数据库、审计专家经验数据库、法律法规数据库等。
下级审计机关无需再建设审计实施和审计管理系统,只需要通过WEB浏览器进入云端应用系统,就能方便、快捷、安全、完整地从云审计数据中心获取审计所需要的数据并进行审计作业。
客户端服务层是各级审计机关用户访问云审计平台的客户端入口。
客户端服务层通过用户管理、身份认证、权限管理各级审计机关用户提供审计资源云服务,包括上级审计机关和下级审计机关各种用户都可以通过终端设施从中获取相应的审计信息资源云服务。
服务方式有根据自身的特点和要求定制的个性化云服务和根据身份匹配的规定审计服务。
安全审计平台是立足于为云计算环境下各主体和客体提供全面的、可靠的统一监测、监督、预警的安全卫士。
审计监控对云平台提供全面的异常监控和故障监测,并把检测到的异常信息发送到指定系统,对云平台提供立体化安全策略;漏洞扫描对平台提供安全漏洞扫描技术,定期扫描、评估和测试平台安全水平,及时发现平台的安全漏洞,给予漏洞修补意见和报警记录;安全预警是对平台的监测信息进行分析、追踪,并形成分析评价指标,当监测到云环境中有未知访问、非法篡改和复制、安全漏洞等情况发生时,及时提供预警,并定期形成预警事件报告和实时响应机制。
此外,为了与外界进行信息交换、数据传递、资源共享,系统还设计了对外应用接口与外部机构和其他部门挂接。
通过外部接口使审计机关和各级部门共享基础信息资源库、共享主题资源、数据传递渠道畅通。
同时还可提供公众信息服务,开通网上公众举报、政务公开、审计结果公开、审计网上宣传、新闻发布、审计工作开展情况与开展进程等,以此提高审计透明度,扩大审计影响力,树立审计的公众形象。
五、结束语
本文根据云计算的特点和应用现状,构建了云环境下审计信息系统的基本框架。
但云计算环境下的审计信息系统建设是一个系统工程,除了平台架构外,还有诸如信息安全、云责任等标准体系和安全审计的法律法规建设。
如果在实施审计信息化项目时盲目应用云计算技术,而忽视标准体系和法律法规建设,将会产生严重的潜在审计风险。
因此,进行云计算环境下审计安全技术标准、技术规范研究和相关产品开发,是推动未来我国审计信息化发展的关键。
参考文献:
[1]秦荣生.云计算的发展及其对会计、审计的挑战[J].当代财经,2013
(1):
111-117.
[2]MELLP,GRANCET.TheNISTDefinitionofCloudComputing[R].NationalInstituteofStandardsandTechnology,2011.
[3]文峰.云计算与云审计——关于未来审计的概念与框架的一些思考[J].信息技术,2011
(2):
98-102.
[4]邓川,杨文莺.基于云审计的会计师事务所机遇、挑战及对策[J].财会通讯,2012(10):
83-84.
[5]鲍伟民.基于云计算的安全审计系统研究与设计[J].软件产业与工程,2012(6):
41-45.
[6]张剑,陈剑锋,王强.云计算安全审计服务研究[J].学术研究,2013(6):
62-64.
[7]冯秀珍,郝鹏.云计算环境下的信息资源云服务模式研究[J].计算机科学,2012(10):
110-114.
7
升级会员 