云安全是企业采用云计算最大的顾虑,这已是业内共识。对于云安全的担忧,包括对于存放在云上的数据的存储、传输和访问安全,云基础设施的可靠性,企业上的数据不会被非相关人员看到等,即云计算的可视化、可控性的问题。而云审计——对于云计算的可审计、可视化——是打消企业对于云安全顾虑最为对症下药的方法。
2009年,国都兴业率先提出了云审计这一概念。据记者了解,国都兴业总经理徐亚非曾在军队科研部门工作近20年,并于2002年带领着7人的小团队和50万元人民币扎进网络安全领域,对于安全技术的发展徐亚非有着自己独特的看法和与时俱进的眼光。那么,云计算到底会有哪些安全问题?IT审计能解决什么样的问题?云审计究竟如何解决企业对于云安全的顾虑?为此,记者就云安全和云审计这一话题,专访了国都兴业总经理徐亚非。
传统IT审计:“矛”与“盾”的平衡
据徐亚非介绍国都兴业是在2009年提出云审计这一概念的。那个时候恰好美国的思科公司也成立了一个云审计工作小组,徐亚非笑称,“看来大家都在那个时间开始关注这个问题了。”在此之前,国都兴业一直专注于研究开发网络安全软件、网络一体化监测系统,到2004年,数据库安全审计系统的问世标志着国都兴业正式进军了IT系统审计领域。
在徐亚非看来,对国内企业来说传统的IT审计既是“矛”又是“盾”。他认为,“企业外部将把IT审计这个‘矛’刺向企业内部,同时IT审计的理论和实践也给企业信息化建设,控制IT风险提供了很好的‘盾’。”IT审计是一个获取并评价证据的过程,主要目标就是对组织实施的风险管理环境和控制环境的保证措施进行识别和评估,判断管理层关于控制的声明是否是可靠的,所以审计必须保持其独立性,以第三方客观的立场进行检查和评价。
IT审计是为了更好地控制IT风险,有效地帮助企业规避风险,是从信息系统的安全性、有效性、合规性、效率四个方面对IT风险进行监测、评估和控制的过程,是对企业日常IT运营的监控,也是从战略层面对IT进行评价。
IT审计一方面随计算机在财务领域的应用而产生的,大量IT技术应用于财务领域,在这种环境下要做好财务审计必须借助于IT手段,IT控制有效性是财务报告真实性的重要保障。另一方面,企业信息系统不仅是一个个孤立的财务系统,信息系统已经遍布了企业生活的各个环节,是集财务、人事、供销、生产为一体的综合性体系。通过IT审计,企业整体目标的实现将更有保障。从IT审计关注的安全性、合规性、有效性、效率来看,安全性方面等级保护、分级保护的力度在不断的加大。
在徐亚非看来,企业在信息化建设过程中不仅要注意信息系统的可用性,解决使用方面的问题,不仅要对传统的IT安全问题进行关注,而且要从战略层面、从治理层面对企业的信息化进行统一的战略规划,从组织结构、职能入手对IT进行统一的管理、统一的运营,更好的促进企业目标的实现,降低企业风险。
传统IT审计的云跨越:应对云供应商和云采用者的风险
“2009年提出的云审计是从整个信息系统角度来看的,不仅是单纯从安全角度来看的。”徐亚非认为,云计算的兴起为传统的IT审计带来了新的机遇和挑战。
徐亚非和他的团队首先研究了云计算带来的风险是什么。他们认为这些风险可以分成两个层面,一个是云提供商所面临的风险,一个是云计算使用者要考虑的风险。对于提供商而言,他们需要考虑的是如何去为用户提供安全可控、可信的云计算解决方案,对于使用者而言,要考量的是如何确保自己的信息资源和数据资源的可信与可控。
“我们在云计算中引入了IT审计的理念来解决云计算所面临的风险。”在2009年,国都兴业提出了云审计的概念,徐亚非回忆说,“当时大家都在关心这个问题——用户的资源和数据信息放在云中如何实现可审计、可视化。云计算提供了虚拟的一个环境,用户可以按需获取资源和服务,当时也有人称这个说法是‘云里雾里’,这也从侧面反映当时大家对云计算的安全性和可靠性存在着疑虑。从用户角度来看,用户是希望使用的安全可靠的云服务的,所以国都兴业的云审计是从整个信息系统的角度去考虑的。”
对于云计算所带来的安全隐患,徐亚非认为,云安全变成了一个更大的范围,有别于和以往的使用模式。原有的解决方案中用户可以给自己的网设置边界,就像建立一道围墙。有了云计算以后,难以确定这道围墙的范围。
其中比较大的问题是使用者的身份认证问题,随之而来的还有权限问题、数据资源的存放、传输等问题,“我们认为到了云安全时代,对于用户来说重点是安全地使用云计算。当基础设施不再需要用户考虑的时候,用户就需要开始考虑自己的数据、资源放在提供商的平台上是否能够放心。什么人在用我的数据、我的数据如何传输、怎么存放得安全,成为用户更关注的事情。”
云计算平台需与云审计同步部署:可视化、可审计的云计算
从云计算本身带来的风险来说,当前用户主要考虑两个层面,一个是云基础设施的安全性,一个是数据的安全性。“现在市场还处于一个比较馄饨的状态”,徐亚非指出,“谁该负责什么、谁不该考虑什么,目前还没有形成很清晰的层次。国都兴业的业务是从一个面做到几个面的,到最后扩张到一个新系统的审核。领域也是由安全性扩展到可靠性、合规性以及效率方面。从层面上来说,是从底层向应用层面扩展的。”据他介绍,目前国都兴业的客户在电信、银行、税务、国防等系统等行业都有分布。
对于云计算的安全性,用户一般考虑的是广义的。把数据资源放在云中,用户会担心数据的存储和使用的安全性。这里的安全性是广义的,除了去考虑数据如何去备份之外,云平台本身的效率如何也是用户要考虑的。从狭义角度来看,用户会担心是不是任何人都能看到他的数据。这就需要云服务的提供商们提供一个证明,徐亚非认为云审计恰恰解决了这个问题。
在徐亚非看来,云审计渗透了方方面面的资源,包括数据和信息系统的。如此一来就给用户提供了一个“可视化”的服务。目前在我国,云审计还处于刚刚起步的阶段,“很多用户认为云计算本身还比较飘渺,但事实上云审计很贴近很现实,它需要和企业云建设同步考虑。当企业准备建设各种各样的云,在这之前就要首先想到可以不可以放入云审计。”徐亚非饶有兴趣地解释说,“有人预言,公有云会发展得比私有云快,但这种情况在中国正好相反。云审计在国内是伴随着云基础设施的建设而发展的,如果云审计没有跟上云平台的建设,首先就会带来安全隐患问题。”
一方面,建设云计算平台需要云审计的同步部署,另一方面云审计也为云计算的发展带来了促进作用。徐亚非解释说,“用户在部署云审计的时候首先会从业务入手。从基础设施的安全性上来看,用户能够从传统的安全往云安全转变得较快速,但是真正到了云的环境中,入手考虑云审计是更贴近应用层面的。用户需要经历由初级到中级、再到高级的过程。从云安全的角度来考虑云审计的部署,初级我们认为是围绕云基础设施开展的、贴近应用层面,然后是数据层面,云的基础设施和核心的用户的数据信息的支撑。”
谈到云审计的现实意义,徐亚非表示,云审计本身能够很好地推动云计算服务的发展——有了云的服务平台,吸引了大量的中小企业用户。云审计为看不清云的企业用户进行了对焦。这些中小企业用户本身业务量不小,但是现有条件下不能大力发展自己的云计算平台。如果所有的资源都由云计算服务提供商来做的,就可以将IT审计的触角延伸到那些原本没有能力自己做云计算但是又有极强需求的企业中,在客观上,云审计为他们引入了一种类似第三方的服务,为云计算的整体发展起到了推动作用。