在云环境下开展审计工作的新思考
2021-04-02杨硕
杨硕
【摘 要】文章概述了云服务,从审计视角列出组织在云服务规划、实施和管理阶段需要考虑和解决的问题。本文立足于人民银行“数字央行”发展规划,从云服务路径选择方向出发,提出对人民银行信息技术审计的启示建议。
【关键词】云服务;人民银行;信息技术审计
一、引言
云服务是指使用互联网访问组织场所外部存储的系统和数据,可以将其视为IT服务外包的发展方向。不同于传统信息系统主要依赖组织内部的软、硬件设施,云服务主要提供虚拟化的资源,在效率、灵活性和安全性等方面的显著优势可以通过云供应商的规模经济和专业知识实现。
1.云服务模式。
目前,主要以IAAS、PAAS、SAAS三种方式提供服务,来满足不同的需求和应用场景。
(1)基础设施即服务(IAAS)。提供的服务是对所有基础设施的使用,如:CPU、内存、存储、网络、防火墙等资源。支持任意操作系统和应用软件,最不可能导致供应商锁定,但是随着业务数据累计增加需要花费更高的费用去升级服务器或者扩容存储空间。
(2)平台即服务(PAAS)。提供的服务是应用程序开发、测试和部署平台,用户需要具备较高的IT技术水平。
(3)软件即服务(SAAS)。用户直接通过网络租用供应商提供的应用软件服务,不需要安装或维护软件或拥有自己的硬件。但对更新的控制最少,会面临软件许可、软件维护和技术支持等隐性成本不断增加,也很难迁移到其他云服务平臺。图1将本地系统架构与三种服务模式进行了对比。
2.“云”的类型。
上述云服务可以在以下类型的云上提供:
(1)公共云:多个客户可共享相同的硬件、存储和网络设备等资源,不用架设任何设备或配备管理人员,便可享有专业的IT服务。
(2)私有云:云供应商为单个客户提供特定云系统的专用使用,在人员和设备方面所需投资最大。
(3)社区云:在有限的组织之间共享专用服务,这些组织对安全性、隐私、性能和合规性有共同要求。
(4)混合云:这是上述内容的组合,其中某些应用程序和服务在公共云中运行,而其他应用程序和服务在私有云中运行。
二、云服务的评估
在选择云解决方案之前,组织需要评估云是否适合他们的需求和目标,清楚了解各种云服务的相对优点和潜在缺陷。而管理层则需要制定明确的需求目标并对备选方案作出恰当评估,综合考虑成本效益,从而选择最适合的供应商。
1.数字策略。
组织在部署“云战略”时,应制定明确的数字战略和清晰的技术要求,避免过度依赖于特定技术方案。审计应当关注:
(1)组织是否考虑过选用哪种类型的云解决方案?能否确保所有用户都能访问互联网?
(2)是否了解本地系统向云平台迁移的复杂性和相关配置?数字化策略是否对系统迁移进行风险评估?
(3)在安全方面是否遵循最佳做法?在承诺使用云服务之前,组织是否遵循了国家规定的云安全原则?对于云服务如何与现有的服务、系统和进程兼容是否有一个长远的规划?
2.尽职调查。
供应商可以提供一个安全的技术环境,但识别和处理数据泄露、黑客入侵等行为仍然是组织的责任。确定选择标准前应明确组织的特定需求。组织应对备选供应商进行尽职调查,确保他们是否符合所有安全规定、相关标准及业务特定需要。审计应当关注:
(1)组织和云供应商之间是否有明确的责任关系?组织对云供应商有什么监督机制?云供应商是否签订分包合同,如何管理风险?
(2)服务条款是什么?云供应商保证的存储空间和服务功能是否足以满足组织的需求?业务连续性安排是什么?供应商的责任上限是否足以弥补组织遭受的任何损失?
(3)供应商的基础设施部署在哪里,数据在哪个司法管辖区保存?对数据境内存放和跨境行为是否有法律法规保护?
(4)组织是否考虑过利用市场竞争优势选择其他供应商而终止当前合同的成本?合同终止过程是否有完整的文件记录,当前合同中云供应商是否有协助传输和删除数据的法律承诺?
三、云服务的实施
相较于传统系统而言,云服务配置可能更为复杂。管理层需要确信他们已经充分了解并能够接受云服务实现涉及到的相关风险。
1.系统配置。
云环境中的潜在变化和创新可能使配置比本地网络更具挑战性。正确的配置可以确保云服务系统和原有系统进行高效、安全地通信和互操作。审计应当关注:
(1)组织是否制定了项目管理计划?供应商对系统配置方面的承诺是什么?
(2)是否为迁移准备了基础设施、应用程序和数据?如果旧数据质量较差,是否应将其以现有状态传输到新系统中?
(3)组织是否过度依赖第三方资源?实施完成后内部团队是否全面了解系统的配置方式?
2.风险和安全。
云服务并不一定比现有的技术架构更安全,它们所面临的安全风险大致相似。云解决方案虽然具有强大的网络防御能力和多层安全性,但同样存在大量默认配置的问题。审计应当关注:
(1)组织是否明确技术风险的责任归属和应对措施?是否对系统资源枯竭、数据泄漏、误操作等风险制定应对方案?
(2)组织是否更新了业务连续性计划?系统备份如何实现?
3.实施。
云服务的实施过程中,除了技术管理外,还必须关注变更管理对所有利益相关者和用户的重要性。审计应当关注:
(1)主要利益相关者是否通过全面的变更管理策略参与实施?组织是否根据所选服务为用户提供培训和指导?
(2)是否有应急计划?
(3)是否制定了测试规范?
四、云服务管理
云服务会减少组织维护内部管理系统所需的人力物力,云服务供应商可以负责管理和维护基础设施,以及软件更新。但组织不能将数据管理和业务流程控制的责任外包出去。
1.变更。
云服务上线后,可能会面临一个短暂的问题高发期,在此过程中,持续的变更管理对于消除用户疑虑、匹配系统接口或更新配置都非常重要。与内部部署环境相比,云环境更具动态性,更改和更新的频率和数量会更大。审计应当关注:
(1)对云供应商的计划是否有明确的监督?云供应商是否公开发布新功能和系统升级计划?组织是否评估计划变更对业务的影响?
(2)系统变更和升级的责任是否明确?内部团队是否具备管理变更的权限和知识?将更改发布到实施服务中之前,是否进行模拟测试?
(3)是否已打开审计功能以提供跟踪信息?
2.保障。
云供应商通常以服务组织控制报告形式向客户提供保证。云供应商委托独立审计师编写这些报告,以确保其流程安全合规。管理层需要掌握这些报告提供的保证以及可能存在控制缺陷或需要进一步保证的领域。审计应当关注:
(1)管理层是否了解不同服务组织控制报告的一般范围和局限性?
(2)服务组织控制报告的频率是否足以跟上持续改进的步伐?如果云供应商对其系统进行重大更改,是否有相关合同条款要求获取最新报告?
(3)管理层是否仔细审查服务组织控制报告的结果?
五、对央行内部审计工作的启示
随着我国金融改革的不断深入和信息技术的快速发展,人民银行提出建设“数字央行”的发展战略,充分利用大数据、云计算技术,实施IT架构转型升级,对内部管理和各项业务进行重构,实现金融服务与监管职能“数字化”。云计算的不断渗透,在以虚拟化为基础的IAAS私有云之上,基于容器技术和分布式中间件构建适用于人民银行分支机构的云服务平台,形成分布式服务型系统架构,已经成为一种可行的解决路径,很可能会成为未来人民银行“数字化”进程中的一种备选方案。
在云服务不可逆转的发展趋势下,云环境的开放性和商业性、特有的数据和服务外包、虚拟化和跨业务领域共享等特征使其面临的安全威胁相比传统IT环境更复杂多样,给信息技术审计带来新的挑战。云租户对云环境资源的非法访问、恶意云管理员的越权操作和误操作、云端数据泄漏、被破坏或丢失、云基础设施资源枯竭、配置不当、网络遭受攻击等风险将会成为信息技术审计重点关注内容。人民银行各级内审部门需要持续从关注风险的角度出发,在推动央行科技工作改革升级过程中,始终紧跟技术发展趋势,围绕信息系统重大风险、重要业务应用系统和科技领域重点工作开展信息技术审计,靠前一步,主动学习了解云服务在金融行业领域的场景应用和安全保障,主动加强与科技和业务部门的沟通协调,及时掌握业务需求变化和技术路径选择,做好知识储备,更新审计技术和工具,为高质量发挥审计监督职能奠定坚实的基础。
参考文献
[1]范煜.云环境下的数据审计技术研究[D].電子科技大学,2020.
[2]李慧芳.云计算环境下云审计的系统设计与实施[D].江西财经大学,2017.
[3]陈希凡.基于“云计算”的政府金融审计方法与技术探索[D].南京审计大学,2017.
(作者单位:中国人民银行银川中心支行)