云安全是企业采用云计算最大的顾虑，这已是业内共识。对于云安全的担忧，包括对于存放在云上的数据的存储、传输和访问安全，云基础设施的可靠性，企业上的数据不会被非相关人员看到等，即云计算的可视化、可控性的问题。而云审计——对于云计算的可审计、可视化——是打消企业对于云安全顾虑最为对症下药的方法。

2009年，国都兴业率先提出了云审计这一概念。据记者了解，国都兴业总经理徐亚非曾在军队科研部门工作近20年,并于2002年带领着7人的小团队和50万元人民币扎进网络安全领域，对于安全技术的发展徐亚非有着自己独特的看法和与时俱进的眼光。那么，云计算到底会有哪些安全问题？IT审计能解决什么样的问题？云审计究竟如何解决企业对于云安全的顾虑？为此，记者就云安全和云审计这一话题，专访了国都兴业总经理徐亚非。

传统IT审计：“矛”与“盾”的平衡

据徐亚非介绍国都兴业是在2009年提出云审计这一概念的。那个时候恰好美国的思科公司也成立了一个云审计工作小组，徐亚非笑称，“看来大家都在那个时间开始关注这个问题了。”在此之前，国都兴业一直专注于研究开发网络安全软件、网络一体化监测系统，到2004年，数据库安全审计系统的问世标志着国都兴业正式进军了IT系统审计领域。

在徐亚非看来，对国内企业来说传统的IT审计既是“矛”又是“盾”。他认为，“企业外部将把IT审计这个‘矛’刺向企业内部，同时IT审计的理论和实践也给企业信息化建设，控制IT风险提供了很好的‘盾’。”IT审计是一个获取并评价证据的过程，主要目标就是对组织实施的风险管理环境和控制环境的保证措施进行识别和评估，判断管理层关于控制的声明是否是可靠的，所以审计必须保持其独立性，以第三方客观的立场进行检查和评价。

IT审计是为了更好地控制IT风险，有效地帮助企业规避风险，是从信息系统的安全性、有效性、合规性、效率四个方面对IT风险进行监测、评估和控制的过程，是对企业日常IT运营的监控，也是从战略层面对IT进行评价。

IT审计一方面随计算机在财务领域的应用而产生的，大量IT技术应用于财务领域，在这种环境下要做好财务审计必须借助于IT手段，IT控制有效性是财务报告真实性的重要保障。另一方面，企业信息系统不仅是一个个孤立的财务系统，信息系统已经遍布了企业生活的各个环节，是集财务、人事、供销、生产为一体的综合性体系。通过IT审计，企业整体目标的实现将更有保障。从IT审计关注的安全性、合规性、有效性、效率来看，安全性方面等级保护、分级保护的力度在不断的加大。

在徐亚非看来，企业在信息化建设过程中不仅要注意信息系统的可用性，解决使用方面的问题，不仅要对传统的IT安全问题进行关注，而且要从战略层面、从治理层面对企业的信息化进行统一的战略规划，从组织结构、职能入手对IT进行统一的管理、统一的运营，更好的促进企业目标的实现，降低企业风险。

传统IT审计的云跨越：应对云供应商和云采用者的风险

“2009年提出的云审计是从整个信息系统角度来看的，不仅是单纯从安全角度来看的。”徐亚非认为，云计算的兴起为传统的IT审计带来了新的机遇和挑战。

徐亚非和他的团队首先研究了云计算带来的风险是什么。他们认为这些风险可以分成两个层面，一个是云提供商所面临的风险，一个是云计算使用者要考虑的风险。对于提供商而言，他们需要考虑的是如何去为用户提供安全可控、可信的云计算解决方案，对于使用者而言，要考量的是如何确保自己的信息资源和数据资源的可信与可控。

(责任编辑：安博涛)