审计为计算机云端带来的挑战和应对策略
来源:
高顿网校
2014-05-19
审计在云端面对的挑战主要集中在以下三个方面即数据安全的挑战、持续高效提供云服务的挑战以及人员胜任能力的挑战。
(一)数据安全挑战及对策。云计算自诞生以来其安全问题就广受关注,而数据作为大数据时代具有产权乃至主权属性的特殊资源,其安全性更是受到广泛的关注。在云安全联盟(CSA)发布的《2013云计算9大威胁》报告中,除了提到数据破坏和数据丢失这两个典型的数据安全问题外,还提到账户劫持、不安全的API、恶意的内部人员、滥用与恶意使用和审查不足等5种会对数据安全造成威胁的方式[3]。事实上,集合海量数据的大型数据中心对黑客颇具诱惑性,早已成为其发动攻击的新目标。2011年3月,谷歌邮箱就爆发大规模的用户数据泄漏事件,大约有15万Gmail用户受到影响。审计机关因其工作特性会掌握部分被审企业的财务业务数据及国家政府机构数据,这些数据往往具有敏感性甚至是涉密数据,因此审计在云端要特别重视数据安全。
如果数据是存放在私有云之外的云端,那么就无从知晓数据的现存地点(服务器或存储设备)和曾经存放的地点[4],而这既不利于数据管理更不利于数据安全,为此审计机关更适宜于建设审计私有云。建设使用云平台的审计机关在维护数据安全方面应做到:制定云计算使用政策,明确界定可适用于云计算解决方案的业务流程和数据分类标准(按照法律要求根据数据密级及敏感性进行分类);制定严格的授权政策和数据传输规定,根据授权级别明确授权人能够使用的数据范围、能够得到的云服务,明确数据传输方式和使用人的责任义务;在云平台数据中心部署信息安全硬件设备和软件,在客户端使用基于真随机数等方式的身份认证装置;制定紧急情况应急响应方案并定期进行数据备份,在发生数据破坏或数据丢失的情况时将危害降低到最低程度;定期对云平台的系统安全性进行检查;当云服务外包建设运维时,还应明确服务商与审计机关之间的责任和义务,并建立云计算安全审计制度,以便对服务商进行安全评估。
(二)持续高效提供云服务的挑战及对策。能否持续高效的提供云服务取决于两个方面,即能否保证云平台的稳定运行和能否借助高带宽通信网络进行有效地数据传输。后者主要取决于我国的网络环境,目前而言我国的平均接入网速差强人意。Akamai Technologies公司发布的《2012年3季度全球互联网流量报告》 显示我国网络平均接入速度1.6Mbps,低于全球2.8Mbps的平均水平,排名第94位。在这方面,审计机关除加大投入租用电信运营商高带宽线路外,只能寄希望于我国网络环境的改善。
云服务中止早已不是新鲜事,2011年4月,由于EC2业务的漏洞和缺陷,亚马逊公司爆出了云计算数据中心宕机事件。今年,苹果公司iCloud也再次爆出故障问题,给全球范围的用户造成影响。事实上,故障是一种可能发生于任何计算环境下的风险事件,要保持云平台的稳定运行降低故障造成的影响应从以下方面入手:一是建立后备云服务并制定故障切换策略,以便发生意外之后能够将备份数据迅速地部署到后备云服务上。二是对系统可用状态(数据中心环境、服务器内存使用、网络入侵、病毒等)进行实时监控,确保能够及时发现问题。三是确保紧急情况应急响应方案的有效性,当发生网络攻击、宕机等突发事件时能做出及时、充分的响应。
(三)人员胜任能力的挑战及对策。审计在云端对审计人员提出了新的要求。一是在技术层面对从事信息化技术工作的审计人员提出了新的挑战,表现为要求相应人员熟悉了解云计算的基本知识、熟悉了解云服务的内容和方式,既能够利用审计云服务开展审计工作又能对被审计单位的云数据和云服务开展审计。对于独自建设云平台的审计机关技术人员来说还必须了解云计算的核心技术,包括集群与负载均衡技术、虚拟化技术、分布式数据存储技术、分布式计算技术、服务管理技术和云计算数据中心建设方案等。二是在管理层面对从事信息化管理工作的审计人员提出了新的挑战,相关人员要拟定并执行云计算使用政策、授权政策、数据分类原则、云审计方案等制度。对于将审计云服务外包的审计机关信息化管理人员来说,还必须参与拟订与云服务提供商之间的服务协议以明确彼此间的权责,并在云服务运行的过程中保持对云服务供应商的有效管理以保证云服务的持续有效运行。三是对审计人员和运维人员职业道德提出的挑战。审计在云端,意味着审计人员和运维人员可以掌握更多的数据资源,当数据资源可以为个人带来利益的时候就可能引发数据的滥用或恶意使用,无论是借此牟利还是擅自向外披露敏感数据都会给审计机关带来严重负面影响。为有效提高人员胜任能力一方面应加强对现有人员的技术能力培训、管理技能培训和职业道德教育,并为他们提供技术交流的机会和平台;另一方面应加强云计算相关技术人才和管理人才的引进力度。
扫一扫微信,*9时间获取2014年国际内审师考试报名时间和考试时间提醒
(一)数据安全挑战及对策。云计算自诞生以来其安全问题就广受关注,而数据作为大数据时代具有产权乃至主权属性的特殊资源,其安全性更是受到广泛的关注。在云安全联盟(CSA)发布的《2013云计算9大威胁》报告中,除了提到数据破坏和数据丢失这两个典型的数据安全问题外,还提到账户劫持、不安全的API、恶意的内部人员、滥用与恶意使用和审查不足等5种会对数据安全造成威胁的方式[3]。事实上,集合海量数据的大型数据中心对黑客颇具诱惑性,早已成为其发动攻击的新目标。2011年3月,谷歌邮箱就爆发大规模的用户数据泄漏事件,大约有15万Gmail用户受到影响。审计机关因其工作特性会掌握部分被审企业的财务业务数据及国家政府机构数据,这些数据往往具有敏感性甚至是涉密数据,因此审计在云端要特别重视数据安全。
如果数据是存放在私有云之外的云端,那么就无从知晓数据的现存地点(服务器或存储设备)和曾经存放的地点[4],而这既不利于数据管理更不利于数据安全,为此审计机关更适宜于建设审计私有云。建设使用云平台的审计机关在维护数据安全方面应做到:制定云计算使用政策,明确界定可适用于云计算解决方案的业务流程和数据分类标准(按照法律要求根据数据密级及敏感性进行分类);制定严格的授权政策和数据传输规定,根据授权级别明确授权人能够使用的数据范围、能够得到的云服务,明确数据传输方式和使用人的责任义务;在云平台数据中心部署信息安全硬件设备和软件,在客户端使用基于真随机数等方式的身份认证装置;制定紧急情况应急响应方案并定期进行数据备份,在发生数据破坏或数据丢失的情况时将危害降低到最低程度;定期对云平台的系统安全性进行检查;当云服务外包建设运维时,还应明确服务商与审计机关之间的责任和义务,并建立云计算安全审计制度,以便对服务商进行安全评估。
(二)持续高效提供云服务的挑战及对策。能否持续高效的提供云服务取决于两个方面,即能否保证云平台的稳定运行和能否借助高带宽通信网络进行有效地数据传输。后者主要取决于我国的网络环境,目前而言我国的平均接入网速差强人意。Akamai Technologies公司发布的《2012年3季度全球互联网流量报告》 显示我国网络平均接入速度1.6Mbps,低于全球2.8Mbps的平均水平,排名第94位。在这方面,审计机关除加大投入租用电信运营商高带宽线路外,只能寄希望于我国网络环境的改善。
云服务中止早已不是新鲜事,2011年4月,由于EC2业务的漏洞和缺陷,亚马逊公司爆出了云计算数据中心宕机事件。今年,苹果公司iCloud也再次爆出故障问题,给全球范围的用户造成影响。事实上,故障是一种可能发生于任何计算环境下的风险事件,要保持云平台的稳定运行降低故障造成的影响应从以下方面入手:一是建立后备云服务并制定故障切换策略,以便发生意外之后能够将备份数据迅速地部署到后备云服务上。二是对系统可用状态(数据中心环境、服务器内存使用、网络入侵、病毒等)进行实时监控,确保能够及时发现问题。三是确保紧急情况应急响应方案的有效性,当发生网络攻击、宕机等突发事件时能做出及时、充分的响应。
(三)人员胜任能力的挑战及对策。审计在云端对审计人员提出了新的要求。一是在技术层面对从事信息化技术工作的审计人员提出了新的挑战,表现为要求相应人员熟悉了解云计算的基本知识、熟悉了解云服务的内容和方式,既能够利用审计云服务开展审计工作又能对被审计单位的云数据和云服务开展审计。对于独自建设云平台的审计机关技术人员来说还必须了解云计算的核心技术,包括集群与负载均衡技术、虚拟化技术、分布式数据存储技术、分布式计算技术、服务管理技术和云计算数据中心建设方案等。二是在管理层面对从事信息化管理工作的审计人员提出了新的挑战,相关人员要拟定并执行云计算使用政策、授权政策、数据分类原则、云审计方案等制度。对于将审计云服务外包的审计机关信息化管理人员来说,还必须参与拟订与云服务提供商之间的服务协议以明确彼此间的权责,并在云服务运行的过程中保持对云服务供应商的有效管理以保证云服务的持续有效运行。三是对审计人员和运维人员职业道德提出的挑战。审计在云端,意味着审计人员和运维人员可以掌握更多的数据资源,当数据资源可以为个人带来利益的时候就可能引发数据的滥用或恶意使用,无论是借此牟利还是擅自向外披露敏感数据都会给审计机关带来严重负面影响。为有效提高人员胜任能力一方面应加强对现有人员的技术能力培训、管理技能培训和职业道德教育,并为他们提供技术交流的机会和平台;另一方面应加强云计算相关技术人才和管理人才的引进力度。
扫一扫微信,*9时间获取2014年国际内审师考试报名时间和考试时间提醒
高顿网校特别提醒:已经报名2014年国际内审师考试的考生可按照复习计划有效进行!另外,高顿网校2014年内部审计师课程通过针对性地讲解、训练、答疑、模考,对学习过程进行全程跟踪、分析、指导,可以帮助考生全面提升备考效果。
报考指南: 2014年内部审计师考试报考指南
考前冲刺:内部审计师考试试题 考试辅导
报考指南: 2014年内部审计师考试报考指南
考前冲刺:内部审计师考试试题 考试辅导
版权声明:本条内容自发布之日起,有效期为一个月。凡本网站注明“来源高顿教育”或“来源高顿网校”或“来源高顿”的所有作品,均为本网站合法拥有版权的作品,未经本网站授权,任何媒体、网站、个人不得转载、链接、转帖或以其他方式使用。
经本网站合法授权的,应在授权范围内使用,且使用时必须注明“来源高顿教育”或“来源高顿网校”或“来源高顿”,并不得对作品中出现的“高顿”字样进行删减、替换等。违反上述声明者,本网站将依法追究其法律责任。
本网站的部分资料转载自互联网,均尽力标明作者和出处。本网站转载的目的在于传递更多信息,并不意味着赞同其观点或证实其描述,本网站不对其真实性负责。
如您认为本网站刊载作品涉及版权等问题,请与本网站联系(邮箱fawu@gaodun.com,电话:021-31587497),本网站核实确认后会尽快予以处理。
严选名师 全流程服务
其他人还搜了
热门推荐
-
国际内审师用什么教材好? 2021-04-21
-
四种CIA考试答题技巧,值得一看! 2020-12-07
-
在大学,国际内审师这么备考,准能一举拿下! 2020-12-03
-
如何准备国际注册内审师? 2020-11-30
-
国际内审师考试难度如何,怎么备考比较好? 2020-11-19
-
12月CIA考试特点及注意事项相关细则 2020-11-17
-
cia备考一般要多久? 2020-11-16
-
CIA和CPA区别解析 2019-08-12
-
CIA最后复习阶段,你得知道这四个妙招! 2019-08-12
-
零基础怎么学习CIIA? 2019-08-12
-
上班族如何利用CIA复习时间 2019-07-11
-
零基础可以考cia吗?! 2019-07-08
-
CIA考试大概要准备多久? 2019-07-03
-
CIA考试复习要花多长时间? 2019-07-03
-
CIA考试怎么复习? 2019-07-01
-
CIA考试怎么复习? 2019-07-01
-
9月CIA考试必看的注意事项! 2019-06-17
-
cia考试需要准备多久? 2019-05-30
-
2019年CIA考试备考指导:合理安排复习时间 2019-05-06
-
2019年国际内审师考前经验分享:CIA应对策略 2019-05-06
-
税收歇后语 2014-10-22
-
重庆市内部审计师协会的英文名缩写是什么? 2014-08-25
-
四川省内部审计师协会是什么情况? 2014-08-25
-
云南省内部审计师协会英文译名是什么? 2014-08-25
-
广东省内部审计协会简称是什么?2014年广东省CIA考点设在哪里? 2014-08-25
-
北京市国际注册内部审计师考试考场确认点在哪?确认时间是什么? 2014-08-25
-
北京市内部审计协会具体什么情况?考点一般设在哪里? 2014-08-25
-
2014国际注册内部审计师资格考试答题卡填写注意事项 2014-06-13
-
2014年国际注册内部审计师考试复习方法 2014-06-10
-
2014年国际注册内部审计师考试应试技巧 2014-06-10