云审计面面观二：国都兴业眼中的云审计

国都兴业是对各种云审计理论方法的集成者和实践者。在国都兴业眼中，云审计是综合运用多种技术搭建的云计算风险管理平台，是根据用户需求而提供的应用服务，是推动云计算发展的有效措施。

首先，云审计是对云技术的应用实践。

云审计在本质上是云计算技术的一个具体应用。“云”具有超大规模和高度虚拟化等特征，单纯依靠人的传统审计服务以及目标明确的传统安全审计产品技术，对于“云”而言明显是不适合的。

国都兴业认为，云审计是综合应用多种云计算技术构建的平台，通过提供多种服务满足不同用户对于“云”上业务以及“云”中资源的风险审计需求，例如，财务人员可以利用云审计平台提供的服务获得需要的信息和数据，进而有效开展财务审计工作;安全人员利用云审计服务获取安全审计记录，准确识别和防范各种安全问题。

另一方面，云审计平台由专业人员搭建和维护，对用户而言，只需要根据业务风险的审计需求使用相匹配的服务，并按照实际使用的服务类型和服务量支付费用。

其次，云审计是对云风险的综合管理。

云计算是信息技术应用领域的一场变革，通过综合应用虚拟化、分布式计算、负载均衡等多种技术，使“云”具备了更强的计算能力和存储能力，但是另一方面“云”中资源的物理属性和实体信息却被完全屏蔽，用户不知道为自己保管数据的物理存储正在经历哪些重大威胁，比如地震、火灾，或者是已经达到使用期限，此刻一切正常的业务是否会在下一秒意外中断或者响应缓慢。

国都兴业认为，当业务和数据从传统的信息系统环境迁移到“云”，安全已经不是信息技术带给用户具有唯一的问题，其他方面的风险同样甚至更加需要管理，比如，隐私保护，操作合规，司法取证，业务持续，等等。

所以，云审计定位为云计算风险的综合治理，用户通过应用云审计服务，不仅保护“云”上业务和“云”中数据安全，而且有效应对在效果、效率、可靠以及合规等其他业务需求的风险隐患。

第三，云审计是云计算发展的助推器。

国内某权威机构在一份有关云计算应用的调研报告中预测，到2012年云计算应用在中国市场的规模将达到606亿元，并且在未来3年，云计算及相关服务市场将继续保持高速增长态势。另一方面，在选择和使用云计算服务等问题上，除了效率和成本之外，数据安全、建设标准、成功案例、风险控制能力、运维经验水平等同样是各类用户共同关注的核心问题。

国都兴业认为，针对用户关注的各种问题，除了成功案例和建设标准等问题的答案相对客观之外，其他问题多属于主观评价范畴。这些评价如果来自云计算应用的提供者，在可信度上显然是要打折扣的。更合理的方式应该是由第三方基于持续性监控和专业分析，对云计算应用做出客观、公正、综合的评价。云审计正是扮演这样一个角色。用户通过使用云审计服务，获得评价信息，了解云计算应用在建设、运维等方面的真实水平，掌握业务和数据在应用云计算服务过程中面对的风险，从而合理选择和应用云计算服务。

另一方面，用户信任和应用云计算服务，是云计算产业能够持续发展的动力和前提。云计算的技术特征和商业模式决定了，用户在使用云计算服务时难以控制数据和业务的风险，必然导致对于数据安全、隐私保护、合规水平等问题的担忧。因此，为保证云计算行业健康发展，应该并且必须存在一个解决方案帮助用户消除担忧和疑虑，推动云计算技术广泛应用，进而实现云计算产业健康发展。