【摘要】物联网建设的本质不是“互联互通”，而是远程智能控制，而能够沟通感知层、网络层与应用层，实现远程智能控制的只有大数据。因此，确保大数据的真实、可信与安全便成为物联网建设的重要任务。大数据审计是实现这个任务的重要工作之一。基于这个背景，文章介绍了大数据审计的目标、审计的依据、审计对象、企业三层审计制度等内容。

　　【关键词】大数据审计；物联网；云计算

　　物联网建设的本质不是“互联互通”，而是远程智能控制，而能够沟通感知层、网络层与应用层，实现远程智能控制的只有大数据。因此，确保大数据的真实、可信与安全便成为物联网建设的核心任务。大数据审计是实现这个任务的重要工作之一。基于这个背景，本文介绍了大数据审计的目标、审计的依据、审计内容、企业三层审计制度等内容。

　　一、大数据风险暴露：物联网建设数据风险规避的需要

　　物联网的发展使企业从“小数据时代”进入“大数据时代”，而这些巨量的非结构化为主的大数据的处理只有云计算技术（或平台）才能够实现。因此，当业务和数据从传统的信息系统环境转移到“云”上后，数据与业务的安全、操作合规、业务持续、数据真实、安全、可信等是企业信息化考虑过程中除了效率和成本之外的核心问题。虽然云服务提供商会考虑如何为用户提供安全、可信的云计算解决方案，但用户必须考虑如何确保自己的信息资源的可信与可控。大数据风险不仅具有传统网络环境下的风险，还具有云环境下的风险。

　　（一）传统网络环境下的大数据风险

　　1.大数据暴露在“第三只眼”的风险

　　由于网络的虚拟化、无边界、流动性等特征，数据及其系统面临较多的安全问题。黑客的入侵、恶意代码的攻击、拒绝服务攻击、网络钓鱼或敏感信息外泄等，如：网络中的病毒、木马、恶意软件对公司数据或系统的监测、攻击，导致公司的数据或系统不能够正常运转与应用；数据在网络、服务器、存储、平台到应用的过程经常遭到泄露和被第三方窃取的问题，特别是公司内部员工恶意利用实体的方式，接触备份敏感数据，或是利用在系统上的权限，存取第三数据，窃听重要会议机密，获取商业机密；系统内部自然、人为因素导致数据或系统不能够正常运作；由于火灾、地震等自然因素，或硬件与软件运行过程的正常与不正常因素，导致数据或系统不能够正常运作。

　　2.数据质量问题导致数据的误用

　　“与有形产品不同，垃圾的数据只能产生垃圾的信息。”由于在大数据过程中经常出现数据不准确、不完整、不及时等数据质量的问题，因此，在数据分析处理的过程中必须确保大数据的质量。

　　3.数据被人为操纵的风险

　　数据分析的目的是解决企业业务问题、提升业务决策。由于业务的理解因人而异，业务决策的目标也因人而异。数据分析所应用的数据和模型不同，分析的结果也将会不同。也就是说，数据分析如果不能够客观，将会产生被人为操纵的风险。因此，企业必须通过审计杜绝那种自私的操纵统计数据的做法，并增强注重客观性的企业文化。

　　（二）大数据暴露于云计算平台下的风险

　　1.大数据暴露于服务供应商的风险

　　在物联网、云计算环境下，企业的数据置于企业边界之外的公共共享网络上，并且数据的所有权、管理权及使用权发生了分离——企业用户失去了对数据资源的直接控制，直接面临着用户与服务提供商的安全问题。

　　2.数据暴露于共享平台上租户的风险

　　在物联网、云计算环境下，企业数据经常处在与其他客户共享的情况中，许多数据加密也未能防止数据泄露，且必须进行资源隔离，特别是对数据休眠期间的安全隔离。由于企业数据的信任边界审计，许多数据虚拟化技术未能确知托管于什么地方，这些动态变化的信任边界要求逻辑层的访问控制和授权管理得到审计与信任。

　　3.数据暴露于企业业务变化的风险

　　企业数据会由于企业需求变化、投资变化、监管策略变化从一个云平台迁移到另外一个云平台，数据兼容性和互操作性、各个平台的统一合规标准等需要审计，确保数据的安全、可靠与可信。

　　二、大数据审计：物联网建设的制度保证

　　企业传统信息化系统存在于企业内部，是相对封闭的信息系统，只有少量的Web应用、邮件系统等需要发布的业务系统暴露在外，企业只需要在出口部署安全设备、设置高颗粒度安全访问控制策略、内部规范管理、提供操作性较强的安全防护措施就能够确保企业的信息安全问题。然而，在物联网、云计算时代，企业数据从业务分布处理向可快速分发、快速迁移的计算资源整合，对网络安全方案提出更高的要求，包括高性能要求、性能弹性扩展、全面的可靠性保障、虚拟化和可视化要求、立体式的安全防护等。

　　因此，物联网和云计算的技术特征和商业模式决定了用户在使用云计算服务时，难以控制数据和业务的风险，必然导致对数据安全、隐私保护、合规水平等问题的担忧。因此，更合理的方式应该基于持续性专业监控和专业分析，对云计算应用作出客观、公正、综合的评价。大数据审计正是扮演这样一个角色。

　　大数据审计是传统信息审计的发展，它仍然是“收集并评估证据以决定一个计算机系统是否有效做到保护资产、维护数据完整、完成目标，同时最经济地使用资源。”随着物联网的建设，大数据大审计是企业内部控制、信息系统治理、安全风险控制等不可或缺的关键手段。

　　大数据审计定位为物联网建设中大数据风险的综合治理，它保持独立性，以第三方客观的立场对物联网建设中大数据进行检查和评价，不仅保护建立在“云”上物联网业务和“云”中大数据安全，而且对大数据处理过程中的效果、效率、可靠以及合规等风险隐患提出审计意见。

　　三、大数据审计的标准规范

　　与会计审计遵循《审计准则》一样，大数据审计需要有一套共同遵循的审计规范。物联网、云计算快速发展带来大数据审计的需要，各国政府、协会或民间组织也积极关注并推行大数据审计的规范。一般说来，大数据审计主要存在于信息审计或云计算的审计规范之中，当前国外主要信息审计的相关标准如下：

　　信息系统审计与控制基金会在1996年制定的IT治理模型（COBIT），是国际公认的、权威的安全与信息技术管理和控制的标准，也是国际上通用的信息系统审计的标准之一。它的宗旨是跨越业务和IT控制之间的鸿沟，建立一个面向业务目标的IT控制框架。特别是最新的COBIT5.0版本中，被称为“一个治理和管理企业IT的业务框架”。它是IT技术人员、用户、企业管理人员和IT审计师之间的桥梁。

期刊库（http://www.zgqkk.com），是一个专门从事期刊推广、投稿辅导的网站。
　　本站提供如何投稿辅导，寻求投稿辅导合作，快速投稿辅导，投稿辅导格式指导等解决方案：省级投稿辅导/国家级投稿辅导/核心期刊投稿辅导//职称投稿辅导。

　　【免责声明】本文仅代表作者本人观点，与投稿辅导_期刊发表_中国期刊库专业期刊网站无关。投稿辅导_期刊发表_中国期刊库专业期刊网站站对文中陈述、观点判断保持中立，不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考，并请自行承担全部责任。