“我们在云计算中引入了IT审计的理念来解决云计算所面临的风险。”在2009年，国都兴业提出了云审计的概念，徐亚非回忆说，“当时大家都在关心这个问题——用户的资源和数据信息放在云中如何实现可审计、可视化。云计算提供了虚拟的一个环境，用户可以按需获取资源和服务，当时也有人称这个说法是‘云里雾里’，这也从侧面反映当时大家对云计算的安全性和可靠性存在着疑虑。从用户角度来看，用户是希望使用的安全可靠的云服务的，所以国都兴业的云审计是从整个信息系统的角度去考虑的。”

对于云计算所带来的安全隐患，徐亚非认为，云安全变成了一个更大的范围，有别于和以往的使用模式。原有的解决方案中用户可以给自己的网设置边界，就像建立一道围墙。有了云计算以后，难以确定这道围墙的范围。

其中比较大的问题是使用者的身份认证问题，随之而来的还有权限问题、数据资源的存放、传输等问题，“我们认为到了云安全时代，对于用户来说重点是安全地使用云计算。当基础设施不再需要用户考虑的时候，用户就需要开始考虑自己的数据、资源放在提供商的平台上是否能够放心。什么人在用我的数据、我的数据如何传输、怎么存放得安全，成为用户更关注的事情。”

云计算平台需与云审计同步部署：可视化、可审计的云计算

从云计算本身带来的风险来说，当前用户主要考虑两个层面，一个是云基础设施的安全性，一个是数据的安全性。“现在市场还处于一个比较馄饨的状态”，徐亚非指出，“谁该负责什么、谁不该考虑什么，目前还没有形成很清晰的层次。国都兴业的业务是从一个面做到几个面的，到最后扩张到一个新系统的审核。领域也是由安全性扩展到可靠性、合规性以及效率方面。从层面上来说，是从底层向应用层面扩展的。”据他介绍，目前国都兴业的客户在电信、银行、税务、国防等系统等行业都有分布。

对于云计算的安全性，用户一般考虑的是广义的。把数据资源放在云中，用户会担心数据的存储和使用的安全性。这里的安全性是广义的，除了去考虑数据如何去备份之外，云平台本身的效率如何也是用户要考虑的。从狭义角度来看，用户会担心是不是任何人都能看到他的数据。这就需要云服务的提供商们提供一个证明，徐亚非认为云审计恰恰解决了这个问题。

在徐亚非看来，云审计渗透了方方面面的资源，包括数据和信息系统的。如此一来就给用户提供了一个“可视化”的服务。目前在我国，云审计还处于刚刚起步的阶段，“很多用户认为云计算本身还比较飘渺，但事实上云审计很贴近很现实，它需要和企业云建设同步考虑。当企业准备建设各种各样的云，在这之前就要首先想到可以不可以放入云审计。”徐亚非饶有兴趣地解释说，“有人预言，公有云会发展得比私有云快，但这种情况在中国正好相反。云审计在国内是伴随着云基础设施的建设而发展的，如果云审计没有跟上云平台的建设，首先就会带来安全隐患问题。”

一方面，建设云计算平台需要云审计的同步部署，另一方面云审计也为云计算的发展带来了促进作用。徐亚非解释说，“用户在部署云审计的时候首先会从业务入手。从基础设施的安全性上来看，用户能够从传统的安全往云安全转变得较快速，但是真正到了云的环境中，入手考虑云审计是更贴近应用层面的。用户需要经历由初级到中级、再到高级的过程。从云安全的角度来考虑云审计的部署，初级我们认为是围绕云基础设施开展的、贴近应用层面，然后是数据层面，云的基础设施和核心的用户的数据信息的支撑。”

谈到云审计的现实意义，徐亚非表示，云审计本身能够很好地推动云计算服务的发展——有了云的服务平台，吸引了大量的中小企业用户。云审计为看不清云的企业用户进行了对焦。这些中小企业用户本身业务量不小，但是现有条件下不能大力发展自己的云计算平台。如果所有的资源都由云计算服务提供商来做的，就可以将IT审计的触角延伸到那些原本没有能力自己做云计算但是又有极强需求的企业中，在客观上，云审计为他们引入了一种类似第三方的服务，为云计算的整体发展起到了推动作用。
 

(责任编辑：安博涛)