云计算与审计信息化(3)--审计私有云

1、云计算与审计信息化（3）-审计私有云通过云计算与审计信息化系列的前两篇文章介绍，我们已经对云计算本身及其与审计信息化的关系有了一定的认识。本篇文章我们主要从云计算和审计工作如何结合的角度浅谈审计工作如何利用云计算技术实现审计私有云, 进而帮助审计人员摆脱复杂的审计软件、硬件、网络问题的困扰，实现将全部的精力投入到审计业务本身的目标。一、 审计私有云的含义审计私有云是以云的基本架构为基础，以云计算技术为保障，以审计业务需求为核心而构建的审计云平台。基于审计私有云，实现各类审计资源的“云化”，包括各类硬件资源（如网络设备、计算设备、存储设备）、信息资源（如审计基础信息、审计业务信息、共享信息）、软

2、件资源（各类审计应用系统）等。通过审计私有云，审计人员在进行审计业务处理时，只需通过客户端接入审计私有云并提出相应服务请求，云就会向审计人员提供所需服务，而审计人员不必考虑相应服务所需的数据、软件、硬件等资源的情况。二、 审计私有云的业务流程审计私有云所包含的业务流程可以分为两方面，分别是审计资源的加载、分析、存储、分发，以及审计业务的请求、应答。从审计业务角度，我可以将审计私有云划分为审计分析云和审计数据云。审计分析云和审计数据云都遵循云的基本层次划分，是审计私有云的有机组成部分。审计数据云是审计私有云应用的基础。审计业务的开展，离不开被审计单位的业务数据、实施审计的方法体系、审计分析模型和

3、模型分析环境等资源。所有这些资源都是审计数据云中需要存储和管理的内容。审计数据云的业务流程如下图： 单位数据 数据目录管理员管理员制作系统基础系统镜像目录注册系统目录数据存储与管理系统配置与管理从图中可以看出，审计数据云承载着审计数据的存储与管理和审计系统的配置与管理两个方面的业务功能。审计数据存储与管理审计业务数据从被审计单位采集后，存储到审计数据云中。通过审计数据云中的数据分析工具，可以将审计业务数据根据时间、地域和行业等维度进行切片分析、整理。形成审计业务数据目录，向审计人员提供审计数据服务。审计系统配置与管理由云平台管理员预先将相应的审计业务系统进行初始化，并形成基础系统镜像文件和配置

4、文件，并将这些基础系统注册到服务目录，形成系统目录，向审计人员提供审计业务系统服务。审计分析云是审计私有云的重要组成部分，它向审计业务人员提供各类审计业务系统服务。审计人员无需知道各业务系统如何配置、调用，只要提出请求，审计分析云即可向审计人员提供相应的审计分析服务。审计分析云业务流程图如下： 分析服务数从流程图中可以看出，审计人员根据实际业务需要，向审计分析云提出审计分析环境申请，审计分析云通过数据目录和系统目录向审计数据云提出数据申请和系统申请。审计数据云接收申请后，将数据云中已有的业务数据和基础系统分发到审计分析云的一体机中，形成审计分析环境，并向审计人员提供审计分析功能。三、 审计私有

5、云的架构审计私有云符合云计算架构的基本层次划分，即软件即服务SaaS(Software as a Service，平台即服务PaaS(Platform as a Service，以及基础设施即服务IaaS(Infrastructure as a Service。审计私有云架构如下图： 审计私有云架构图IaaS 层处于总体架构的最底层，为上层提供基础设施支持，主要包括硬件资源和信息资源两部分。其中，硬件资源包括网络设备、计算设备和存储设备，为电子政务公共平台提供网络、计算和存储基础服务；信息资源通过对信息资源的采集、存储、分类、组织、表现等为上层提供信息服务，包括各级审计机关基础信息资源库、共享

6、主题资源以及各类主体业务数据库组成的业务信息资源。PaaS 层为上层应用服务提供运行、维护等软件生命周期管理基础服务，为下层基础资源提供资源的各类管理服务。应用运行与维护平台提供业务服务与基础软件部署、运行、维护、升级所需的环境与工具集；综合服务平台为整个云平台提过基础的综合管理服务、综合应用服务、统一用户管理服务、统一权限管理服务、统一消息管理服务和统一身份认证服务。基础资源管理平台为基础资源层提供资源目录管理服务、数据采集服务、资源调度服务和数据分析服务。SaaS 层是针对审计业务框架的软件服务集合, 实现审计部门业务的核心功能，依赖于底层的PaaS 平台构建，并为上层的展现层提供业务支撑

7、。根据审计机关的业务要求，形成各类审计应用服务，并实现各分类下应用的云部署。SaaS 层提取了各级审计机关应用系统之间的共性服务，构建专用的应用服务，并实现各业务系统之间的协同。包括服务资源、服务实现和服务内容三个领域的所有业务应用服务。四、 审计私有云的建设展望1.IaaS 层建设审计私有云IaaS 层上构建一个云平台，为审计机关提供统一的基础设施服务，包括处理、存储、网络和其它基本的计算资源。各审计机关能够部署和运行所需软件，包括操作系统和应用程序，但不需要管理或控制任何云计算基础设施。（1）应用服务节点：采用刀片设计。数据库集群节点：采用大内存节点设计，通过数据库本身的功能实现RAC 或

8、者集群数据库平台。（2）云存储：私有云存储系统是集成私有云存储软件的存储系统，专为存储虚拟化和高性能应用而设计, 有先进的存储虚拟化功能和强大的扩展性，可以为中大型企业搭建私有云应用存储系统创造良好的基础。（3）备份系统：备份存储系统可以针对多平台的复杂IT 环境提供企业级数据保护，并采用灵活的模块化结构，一个系统就可满足客户目前和将来的需求，大大降低了配置成本。2.PaaS 层建设管理平台：云操作平台主要实现虚拟化资源的抽象与管理、快速部署和按需使用、智能化的任务调度和负载管理、海量数据管理和分布式存储、功耗管理和节能降耗、安全机制的保证等。（1）模块化的系统结构基于模块化的系统架构，可以针

9、对不同用户的需求，灵活组合各种功能模块以提供不同的功能。可选的或基于定制的用户Portal ，为不同的用户提供丰富的系统访问体验。模块化的系统架构也方便对系统进行升级。当系统添加新功能时，只需将新的功能模块添加到系统中，而无需对系统已有功能进行改动。当系 统改进某项功能时，也只需将相应的功能模块进行升级即可。 （2）资源抽象与管理 对系统已注册的各种软硬件资源实现不同层次和粒度的资源抽象， 将云计算 中心的所有资源（包括服务器、网络、存储等）进行统一的管理，为实现资源的 负载管理和动态调度、 快速部署及按需分配、资源隔离与安全可靠等方面打下坚 实的基础，同时为管理员快速、精确的掌控系统运行情况

10、提供基础信息。 资源抽象可以使得系统软件环境与其底层硬件基础架构分离， 以便将多个服 务器、存储基础架构和网络聚合成共享资源池。然后，根据需要安全可靠地向应 用程序动态提供这些资源。 借助这种具有开创意义的方法，客户可以使用价格低 廉的行业标准服务器以构造块的形式构建自我优化的数据中心， 并实现高水平的 利用率、可用性、自动化和灵活性。 实现对系统中各种资源有效的监控，包括服务器、存储、网络等。监控信息 由模块化的采集插件从各资源中收集并保存，再经过监控模块的处理，形成各种 有用的系统监控信息， 并以实时图示、 报表、 告警等多种方式呈现给相关的用户， 以供系统运维人员及决策者参考，同时作为多

11、种系统策略的参数，包括资源部署 策略、资源分发策略、资源调度策略、系统能耗管理策略、用户资产管理等。 （3）资源部署与按需分发 实现对系统资源的统一管理， 并以服务的方式为用户提供一个完整的运行平 台。将接收用户发送的请求，或根据系统设置的资源部署生成策略，并根据系统 当前运行状态，包括资源部署、资源分发、资源使用、用户状态等条件，在资源 部署策略的作用下， 基于点对点快速分发技术，实现新的系统资源的快速批量部 署。在部署生成新的资源之后，系统会根据用户请求，按照系统资源分发策略设 置的条件，选择系统中合适的资源，按需分发给用户，供用户使用。 （4）资源调度 通过对资源的统一管理， 实现对各种

12、资源的高效利用，面对不同用户的不同 任务， 通过全局的细粒度的调度方式，实现对业务系统的负载均衡和对资源的充 分利用。 为实现任务调度与负载管理，对物理硬件层、资源抽身层及业务服务层的多 种运行指标均进行实时的监控和分析，对应用和资源配置调度策略，设定服务级 别，并对关键指标进行统计预测，保证资源可满足应用负载，同时实现多种应用 之间的负载均衡，充分利用资源的效能。 （5）功耗管理 实现多种系统功耗管理与节能策略， 以满足系统在不同运行时期的能耗管理 需求。这些管理策略综合考虑系统设计规模、系统实际运行状态、系统用户活动 状态、系统资源运行及调度状态等多种因素，实现系统自动化功耗管理。同时允

13、许管理员手动设置多种系统参数，以便于管理员对系统进行有针对性的优化。 （6）用户管理 实现一套完善的用户管理流程， 以满足云计算中心对大量用户有效管理的需 求。对用户进行分类，并分别赋予不同的系统角色，通过用户角色与系统权限的 关联， 使不同的用户拥有不同的系统权限， 进而保证满足各种用户的需求的同时， 使用户之间不会相互干扰， 也不会对系统进行越权访问，以保证系统及用户的安 全。 （7）安全管控 采用个人密钥、加密卡、防火墙系统等产品与技术，构成云安全方案，可以 实现从网络层到数据层的真正安全。 3.SaaS 层建设 本文仅针对联网审计服务介绍 SaaS 层软件建设。 传统的联网审计系统部署

14、模式为各审计机关分别采购应用服务器、 数据库服 务器并安装联网审计系统， 审计人员通过办公局域网访问系统开展审计工作，这 种情况下势必产生一系列问题：比如地方审计机关 IT 成本居高不下；地方审计 机关人力资源有限缺乏专业维护人员； 有些审计机关因为当地财力有限无法支付 高成本的建设费和维护费用。 产生这些问题的一个重要原因在于传统联网审计系 统部署模式属于分级单独部署， 每个审计机关都需要配置独立的硬件资源、软件 资源。 以地税审计业务为例，由于地税审计数据实现了省级集中管理，审计厅从省 地税局取的数据已经包含全省的地税数据， 这种情况下， 非常适合建设一套 SaaS 的地税联网审计系统，由

15、省审计厅为下面市级、县级审计机关统一提供硬件、应 用软件的资源服务， 消除了地方审计机关需要购买、构建和维护基础设施和应用 程序的问题。 市级、 县级审计机关通过电子政务网访问省厅的地税联网审计云服 务，省厅的地税联网审计云服务提供统一的用户管理、安全登录、权限管理等功 能， 实现了审计人员利用地税审计模型只能访问授权后的数据，从而可以像应用 本级的系统一样的效果开展常规的项目审计。 传统模式与云服务模式下的应用比较如下图所示： 地税联网 地税联网 审计系统 审计系统 A市审计局 A市审计局 B市审计局 B市审计局 省厅集中部署的一套 地税联网审计系统 局域网 局域网 电子政务网 客户端 客户端 A市审计局 B市审计局 图 应用模式比较 从这两种模式的比较来看，SaaS 特点的地税联网审计系统优点如下： 1.从技术方面来看： 市级、 县级审计机关无再配备 IT 方面的