大数据审计-物联网建设制度保障.docVIP

大数据审计:物联网建设制度保障 　　【摘 要】 物联网建设的本质不是“互联互通”，而是远程智能控制，而能够沟通感知层、网络层与应用层，实现远程智能控制的只有大数据。因此，确保大数据的真实、可信与安全便成为物联网建设的重要任务。大数据审计是实现这个任务的重要工作之一。基于这个背景，文章介绍了大数据审计的目标、审计的依据、审计对象、企业三层审计制度等内容。 【关键词】 大数据审计； 物联网； 云计算 物联网建设的本质不是“互联互通”，而是远程智能控制，而能够沟通感知层、网络层与应用层，实现远程智能控制的只有大数据。因此，确保大数据的真实、可信与安全便成为物联网建设的核心任务。大数据审计是实现这个任务的重要工作之一。基于这个背景，本文介绍了大数据审计的目标、审计的依据、审计内容、企业三层审计制度等内容。 一、大数据风险暴露：物联网建设数据风险规避的需要 物联网的发展使企业从“小数据时代”进入“大数据时代”，而这些巨量的非结构化为主的大数据的处理只有云计算技术（或平台）才能够实现。因此，当业务和数据从传统的信息系统环境转移到“云”上后，数据与业务的安全、操作合规、业务持续、数据真实、安全、可信等是企业信息化考虑过程中除了效率和成本之外的核心问题。虽然云服务提供商会考虑如何为用户提供安全、可信的云计算解决方案，但用户必须考虑如何确保自己的信息资源的可信与可控。大数据风险不仅具有传统网络环境下的风险，还具有云环境下的风险。 （一）传统网络环境下的大数据风险 1.大数据暴露在“第三只眼”的风险 由于网络的虚拟化、无边界、流动性等特征，数据及其系统面临较多的安全问题。黑客的入侵、恶意代码的攻击、拒绝服务攻击、网络钓鱼或敏感信息外泄等，如：网络中的病毒、木马、恶意软件对公司数据或系统的监测、攻击，导致公司的数据或系统不能够正常运转与应用；数据在网络、服务器、存储、平台到应用的过程经常遭到泄露和被第三方窃取的问题，特别是公司内部员工恶意利用实体的方式，接触备份敏感数据，或是利用在系统上的权限，存取第三数据，窃听重要会议机密，获取商业机密；系统内部自然、人为因素导致数据或系统不能够正常运作；由于火灾、地震等自然因素，或硬件与软件运行过程的正常与不正常因素，导致数据或系统不能够正常运作。 2.数据质量问题导致数据的误用 “与有形产品不同，垃圾的数据只能产生垃圾的信息。”由于在大数据过程中经常出现数据不准确、不完整、不及时等数据质量的问题，因此，在数据分析处理的过程中必须确保大数据的质量。 3.数据被人为操纵的风险 数据分析的目的是解决企业业务问题、提升业务决策。由于业务的理解因人而异，业务决策的目标也因人而异。数据分析所应用的数据和模型不同，分析的结果也将会不同。也就是说，数据分析如果不能够客观，将会产生被人为操纵的风险。因此，企业必须通过审计杜绝那种自私的操纵统计数据的做法，并增强注重客观性的企业文化。 （二）大数据暴露于云计算平台下的风险 1.大数据暴露于服务供应商的风险 在物联网、云计算环境下，企业的数据置于企业边界之外的公共共享网络上，并且数据的所有权、管理权及使用权发生了分离——企业用户失去了对数据资源的直接控制，直接面临着用户与服务提供商的安全 问题。 2.数据暴露于共享平台上租户的风险 在物联网、云计算环境下，企业数据经常处在与其他客户共享的情况中，许多数据加密也未能防止数据泄露，且必须进行资源隔离，特别是对数据休眠期间的安全隔离。由于企业数据的信任边界审计，许多数据虚拟化技术未能确知托管于什么地方，这些动态变化的信任边界要求逻辑层的访问控制和授权管理得到审计与信任。 3.数据暴露于企业业务变化的风险 企业数据会由于企业需求变化、投资变化、监管策略变化从一个云平台迁移到另外一个云平台，数据兼容性和互操作性、各个平台的统一合规标准等需要审计，确保数据的安全、可靠与可信。 二、大数据审计：物联网建设的制度保证 企业传统信息化系统存在于企业内部，是相对封闭的信息系统，只有少量的Web应用、邮件系统等需要发布的业务系统暴露在外，企业只需要在出口部署安全设备、设置高颗粒度安全访问控制策略、内部规范管理、提供操作性较强的安全防护措施就能够确保企业的信息安全问题。然而，在物联网、云计算时代，企业数据从业务分布处理向可快速分发、快速迁移的计算资源整合，对网络安全方案提出更高的要求，包括高性能要求、性能弹性扩展、全面的可靠性保障、虚拟化和可视化要求、立体式的安全防护等。 因此，物联网和云计算的技术特征和商业模式决定了用户在使用云计算服务时，难以控制数据和业务的风险，必然导致对数据安全、隐私保护、合规水平等问题的担忧。因此