馮龍飛

[摘 要] 本文介紹了云計(jì)算的概念、特點(diǎn)及其應(yīng)用中的風(fēng)險(xiǎn)點(diǎn)，分析了云計(jì)算給內(nèi)部控制帶來的挑戰(zhàn)，即在云計(jì)算環(huán)境下內(nèi)部控制面臨人才缺乏、云計(jì)算內(nèi)部控制難以審計(jì)、內(nèi)部控制環(huán)境發(fā)生變化、溝通與協(xié)調(diào)更加困難、法律問題、保密性與數(shù)據(jù)安全六大挑戰(zhàn)。在云計(jì)算環(huán)境下，風(fēng)險(xiǎn)與機(jī)遇并存，企業(yè)要通過不斷地學(xué)習(xí)創(chuàng)新來適應(yīng)環(huán)境的變化，迎接云計(jì)算帶來的挑戰(zhàn)并把握蘊(yùn)含在其中的機(jī)會。

[關(guān)鍵詞] 云計(jì)算；內(nèi)部控制；挑戰(zhàn)

[中圖分類號] F239.45 [文獻(xiàn)標(biāo)識碼] A [文章編號] 1673 - 0194（2014）19- 0014- 04

1 引 言

21世紀(jì)為是計(jì)算方式激變的時(shí)代，高速、便捷且成本低廉的云計(jì)算逐漸成為主流計(jì)算模式。云計(jì)算漸漸走進(jìn)了我們的生活，使我們的計(jì)算模式從一個(gè)以桌面系統(tǒng)為中心的應(yīng)用模型向新的以網(wǎng)絡(luò)為中心的應(yīng)用模型轉(zhuǎn)變。云計(jì)算給企業(yè)帶來的改變，不僅是計(jì)算機(jī)使用方式的改變，還必將從根本上改變?nèi)藗儷@取信息、保存信息及交流信息的方式。云計(jì)算具有一系列特殊優(yōu)勢，如降低用戶的軟硬件負(fù)擔(dān)、打破時(shí)間與地域束縛、提高數(shù)據(jù)災(zāi)害的預(yù)防與恢復(fù)能力和降低信息傳遞成本等。但同時(shí)云計(jì)算也給企業(yè)管理帶來了諸多的挑戰(zhàn)，復(fù)雜的商業(yè)環(huán)境和日新月異的信息技術(shù)給企業(yè)帶來了前所未有的變化，企業(yè)要想生存發(fā)展，必須通過不斷學(xué)習(xí)創(chuàng)新來適應(yīng)環(huán)境的變化。內(nèi)部控制已從內(nèi)部牽制階段逐漸發(fā)展到如今的企業(yè)風(fēng)險(xiǎn)整合框架階段，表明日益復(fù)雜的商業(yè)環(huán)境對企業(yè)內(nèi)部控制的要求逐漸增加。因此，有必要探討云計(jì)算對企業(yè)內(nèi)部控制帶來的影響。

2 云計(jì)算與內(nèi)部控制

2.1 云計(jì)算定義

1983年，太陽電腦提出“網(wǎng)絡(luò)式電腦”理念，2006年3月，亞馬遜推出彈性計(jì)算云服務(wù)。2006年8月9日，Google首席執(zhí)行官埃里克·施密特首次提出“云計(jì)算”的概念。目前，業(yè)界還沒有對云計(jì)算的概念形成統(tǒng)一的認(rèn)識。

美國國家標(biāo)準(zhǔn)技術(shù)研究院對云計(jì)算的定義是：“云計(jì)算是一種按使用量付費(fèi)的模式，這種模式提供可用的、便捷的、按需的網(wǎng)絡(luò)訪問，進(jìn)入可配置的計(jì)算資源共享池（資源包括網(wǎng)絡(luò)、服務(wù)器、存儲、應(yīng)用軟件、服務(wù)等），這些資源能夠被快速提供，只需投入很少的管理工作，或與服務(wù)供應(yīng)商進(jìn)行很少的交互?！泵绹鳤rgonne國家實(shí)驗(yàn)室的資深科學(xué)家、Globus 項(xiàng)目的領(lǐng)導(dǎo)人Ian Foster將云計(jì)算定義為：“云計(jì)算是由規(guī)模經(jīng)濟(jì)拖動，為互聯(lián)網(wǎng)上的外部用戶提供一組抽象的、虛擬化的、動態(tài)可擴(kuò)展的、可管理的計(jì)算資源能力、存儲能力、平臺和服務(wù)的一種大規(guī)模分布式計(jì)算的聚合體?！盜BM在其技術(shù)白皮書中指出：云計(jì)算一詞描述了一個(gè)系統(tǒng)平臺或一類應(yīng)用程序；該平臺可以根據(jù)用戶的需求動態(tài)部署、配置等；云計(jì)算是一種可以通過互聯(lián)網(wǎng)進(jìn)行訪問的可以擴(kuò)展的應(yīng)用程序。中國網(wǎng)格計(jì)算、云計(jì)算專家劉鵬給出如下定義：“云計(jì)算將計(jì)算任務(wù)分布在大量計(jì)算機(jī)構(gòu)成的資源池上，使各種應(yīng)用系統(tǒng)能夠根據(jù)需要獲取計(jì)算力、存儲空間和各種軟件服務(wù)”。

以上云計(jì)算提供商、科研機(jī)構(gòu)、學(xué)術(shù)會議和專家對云計(jì)算的定義體現(xiàn)了認(rèn)識云計(jì)算的幾個(gè)角度：一是可以從模式的角度來認(rèn)識云計(jì)算，如IBM認(rèn)為是一種計(jì)算模式，美國國家標(biāo)準(zhǔn)與技術(shù)研究院則認(rèn)為是一種資源利用模式；二是可以從服務(wù)的角度來認(rèn)識云計(jì)算，如美國加州大學(xué)伯克利分校的研究者將云計(jì)算歸結(jié)為互聯(lián)網(wǎng)服務(wù)及相應(yīng)的軟硬件設(shè)施；三是可以從計(jì)算機(jī)制來認(rèn)識云計(jì)算，如美國Argonne國家實(shí)驗(yàn)室的研究人員認(rèn)為云計(jì)算是一種通過互聯(lián)網(wǎng)實(shí)現(xiàn)的大規(guī)模分布式計(jì)算機(jī)制；四是可以從資源形式來認(rèn)識云計(jì)算，如IBM和Luis M等把云計(jì)算看作虛擬化的資源池；五是IEEE會議提出根據(jù)對象的身份來定義云計(jì)算。

云計(jì)算概念出現(xiàn)的時(shí)間并不長，但由于云計(jì)算技術(shù)的產(chǎn)生背景和推動力量非常復(fù)雜，研究者背景與視野不一，因此云計(jì)算的概念多且雜亂。Matrix曾總結(jié)了云計(jì)算的20個(gè)定義，但仍遠(yuǎn)遠(yuǎn)不能涵蓋已有定義。概念混亂是學(xué)者們質(zhì)疑云計(jì)算研究的理由之一。對研究企業(yè)內(nèi)部控制而言，應(yīng)該適當(dāng)與云計(jì)算概念的討論保持一定距離，而將理論關(guān)注的重心放在云計(jì)算的應(yīng)用上。通過考察云計(jì)算的應(yīng)用特點(diǎn)，重點(diǎn)把握應(yīng)用云計(jì)算將會給企業(yè)帶來哪些影響。

2.2 云計(jì)算的特點(diǎn)

首先，云計(jì)算是一種計(jì)算模式，應(yīng)具備時(shí)間和網(wǎng)絡(luò)存儲，而很少或不需要與任何服務(wù)提供商進(jìn)行交互。

其次，云計(jì)算具有廣泛的接入功能。通過網(wǎng)絡(luò)獲取計(jì)算能力，通過標(biāo)準(zhǔn)機(jī)制進(jìn)行訪問，通過異構(gòu)的客戶端平臺（如移動電話、便攜式計(jì)算機(jī)或PDA）使用。

第三，云計(jì)算擁有資源池。資源包括存儲、處理、內(nèi)存、網(wǎng)絡(luò)帶寬的虛擬機(jī)。云計(jì)算服務(wù)提供商的計(jì)算資源被池化，通過多租戶模式為不同用戶提供服務(wù)，并根據(jù)用戶的需求動態(tài)提供不同的、物理的或虛擬的資源。用戶并不知道資源的確切位置，但是用戶可以指定較高層次的位置，如國家、州或數(shù)據(jù)中心。

第四，云計(jì)算具有快速伸縮性。計(jì)算能力可以快速、彈性獲得。在自動化條件下，規(guī)模可以快速擴(kuò)大或縮小。對于用戶來說，提供的計(jì)算能力似乎是無限的，可以任意購買，隨時(shí)購買。

最后，云計(jì)算提供可計(jì)量的服務(wù)。云計(jì)算系統(tǒng)通過對服務(wù)的平衡計(jì)量，以實(shí)現(xiàn)自動控制和優(yōu)化資源使用。資源的使用情況可以檢測、控制、計(jì)量，為用戶和服務(wù)商提供透明的服務(wù)使用量信息。

云計(jì)算屬于分布式計(jì)算的范疇，是以提供對外服務(wù)為導(dǎo)向的分布式計(jì)算形式。云計(jì)算明顯的特點(diǎn)是計(jì)算資源能夠被動態(tài)地有效分配，消費(fèi)者（最終用戶、組織或者IT部門）能夠最大限度地使用計(jì)算資源但又無需管理底層復(fù)雜的技術(shù)。

2.3 云計(jì)算的部署形式

云計(jì)算的部署形式主要有以下4種。私有云（Private cloud） 架構(gòu)僅對單一組織開放，由企業(yè)自身或第三方進(jìn)行管理，企業(yè)可自行搭建，亦可由第三方提供。社區(qū)云（Community cloud） 出于共同利益需求（如任務(wù)、行業(yè)協(xié)作以及和規(guī)定要求等），云架構(gòu)由數(shù)個(gè)企業(yè)共享，組成一個(gè)特別的社區(qū)。公共云（Public cloud）云架構(gòu)僅對公共部門或大型行業(yè)集團(tuán)開放，所有權(quán)歸云計(jì)算服務(wù)提供機(jī)構(gòu)所有?；旌显疲℉ybrid cloud）是上述兩種或兩種以上云計(jì)算部署模式的混合體，每種模式仍然保持相對獨(dú)立，通過標(biāo)準(zhǔn)化或?qū)＠夹g(shù)組合在一起，便于數(shù)據(jù)和應(yīng)用軟件的傳遞。

企業(yè)采用何種云計(jì)算部署形式取決于企業(yè)需要“云”化處理的業(yè)務(wù)的特點(diǎn)、“云”化的成本與收益以及企業(yè)對待云計(jì)算的風(fēng)險(xiǎn)偏好。不同的云計(jì)算部署形式對企業(yè)內(nèi)部控制的影響是不同的。在私有云部署形式下，企業(yè)的云數(shù)據(jù)存放在企業(yè)自己搭建的服務(wù)器上或者存放在第三方搭建的服務(wù)器上，但該第三方服務(wù)器上企業(yè)的數(shù)據(jù)沒有與其他企業(yè)的數(shù)據(jù)相互聯(lián)通和共享資源，此時(shí)企業(yè)對“云”的控制較強(qiáng)，但成本較高。相反，在公共云部署形式下，企業(yè)的成本低，但面臨著較大的風(fēng)險(xiǎn)。

2.4 云計(jì)算的安全性和風(fēng)險(xiǎn)點(diǎn)

加特納公司所指出的云計(jì)算七大風(fēng)險(xiǎn)，即優(yōu)先訪問權(quán)風(fēng)險(xiǎn)、管理權(quán)限風(fēng)險(xiǎn)、數(shù)據(jù)處所風(fēng)險(xiǎn)、數(shù)據(jù)隔離風(fēng)險(xiǎn)、數(shù)據(jù)恢復(fù)風(fēng)險(xiǎn)、調(diào)查支持風(fēng)險(xiǎn)、長期發(fā)展風(fēng)險(xiǎn)?！对朴?jì)算權(quán)利宣言》一口氣提出了云計(jì)算用戶應(yīng)有的“審計(jì)、賬單、備份、數(shù)據(jù)、接口、法律、位置、安全、服務(wù)、標(biāo)準(zhǔn)”10項(xiàng)權(quán)利要求。馬里蘭大學(xué)的Jaeger等人討論了云計(jì)算的“獲取、可靠性、安全性、數(shù)據(jù)保密和隱私、知識產(chǎn)權(quán)、數(shù)據(jù)的所有權(quán)、互換性、審計(jì)”8個(gè)方面的“規(guī)則”。所有這些研究，均涉及云計(jì)算的安全性及宏觀管理問題。

與云服務(wù)提供商和其他云租戶共同處于同一個(gè)風(fēng)險(xiǎn)系統(tǒng)中——當(dāng)一個(gè)組織采用了第三方管理的云解決方案后，該組織就與云服務(wù)提供商在法律責(zé)任、風(fēng)險(xiǎn)環(huán)境、事件響應(yīng)以及其他方面產(chǎn)生了新的依存關(guān)系。

當(dāng)一家企業(yè)接受了云服務(wù)商提供的云計(jì)算服務(wù)后，對于企業(yè)來說就不得不承受以下風(fēng)險(xiǎn)。（1）云服務(wù)提供商缺乏透明度。企業(yè)接受了云計(jì)算服務(wù)，例如將企業(yè)的某些業(yè)務(wù)數(shù)據(jù)或財(cái)務(wù)數(shù)據(jù)存放于第三方的云服務(wù)器并且利用云技術(shù)進(jìn)行實(shí)施處理，企業(yè)可以完全控制的就只有企業(yè)的輸入端，而具體的運(yùn)算和輸出并沒有在企業(yè)的掌握之中，相對于企業(yè)來說云服務(wù)提供商提供的服務(wù)被放進(jìn)了一個(gè)黑匣子里。傳統(tǒng)企業(yè)并不需要完全知道供應(yīng)商是如何運(yùn)作的，只需要把握最后的結(jié)果即可，然而在云計(jì)算模式下，由于存放在云端的數(shù)據(jù)以及數(shù)據(jù)的運(yùn)行方式可能是影響全局的，因此企業(yè)就不得不重新考慮云服務(wù)提供商服務(wù)的透明度甚至云服務(wù)的可審計(jì)性問題。（2）云服務(wù)商的可靠性和性能問題。由于企業(yè)需要保持業(yè)務(wù)的連續(xù)性和可持續(xù)性，當(dāng)一個(gè)云服務(wù)商提供的服務(wù)不夠可靠時(shí)，就可能使得企業(yè)的業(yè)務(wù)出現(xiàn)漏洞甚至使企業(yè)陷入癱瘓。此外，當(dāng)企業(yè)對計(jì)算資源和計(jì)算要求提高時(shí)，要確保云服務(wù)提供商服務(wù)器性能足以應(yīng)對。（3）軟件的專用性。如果云計(jì)算服務(wù)提供商所提供的軟件具有較強(qiáng)的專用性，通常就會降低企業(yè)的議價(jià)能力，企業(yè)自己的核心資料、算法及應(yīng)用被綁定到一家企業(yè)中。（4）安全性和合規(guī)性。企業(yè)的信息必須保證足夠安全并且合規(guī)，尤其是企業(yè)的財(cái)務(wù)信息。然而在云計(jì)算模式下云計(jì)算服務(wù)提供商所保存數(shù)據(jù)的安全性和合規(guī)性將會受到更多的關(guān)注。（5）IT部門人員的流動。與傳統(tǒng)的計(jì)算模式相比較，云計(jì)算下企業(yè)不需要過多的IT人員，而保留下來的IT人員就顯得越發(fā)重要。IT部門關(guān)鍵人員的流動都可能給企業(yè)造成巨大的損失。

2.5 云計(jì)算的服務(wù)模式及內(nèi)部控制

云計(jì)算主要的服務(wù)模式有3種，即：軟件即服務(wù)（SaaS）、平臺即服務(wù)（PaaS）、基礎(chǔ)設(shè)施即服務(wù)（IaaS）?；A(chǔ)設(shè)施即服務(wù)（Infrastructure as a Service，IaaS）是使用 CPU、儲存、網(wǎng)絡(luò)以及各種基礎(chǔ)運(yùn)算資源的新型方式，使用者無須購買服務(wù)器、操作系統(tǒng)等許可證，只是從服務(wù)提供商那里按需獲取這些資源的使用權(quán)限，并按使用量進(jìn)行付費(fèi)。平臺即服務(wù)（Platform as a Service，PaaS）是對計(jì)算資源更高層次的封裝，它讓使用者從更高的抽象層面管理、使用所需要的資源，如程序的運(yùn)行環(huán)境、數(shù)據(jù)庫服務(wù)、消息服務(wù)等，而并不需要關(guān)心底層的基礎(chǔ)架構(gòu)。軟件即服務(wù)（Software as a Service，SaaS）是一種軟件交付模式，在這種交付模式中，軟件及其相關(guān)的數(shù)據(jù)被托管在云端。用戶通常使用瀏覽器來訪問這些軟件服務(wù)。它最大的優(yōu)勢是通過將硬件和軟件維護(hù)及支持外包給 SaaS 的提供者，來降低 IT 成本。云計(jì)算的3種不同的服務(wù)模式下企業(yè)技術(shù)構(gòu)架的“云”化水平是不同的，3種不同的服務(wù)模式下的內(nèi)部控制對企業(yè)技術(shù)構(gòu)架的控制水平如表1所示。

3 云計(jì)算給內(nèi)部控制帶來的挑戰(zhàn)

云技術(shù)使得企業(yè)能夠獲得代價(jià)低廉的技術(shù)替代方案，無須添置許多設(shè)備，也無須知道企業(yè)信息資產(chǎn)的確切存放地點(diǎn)。但是云計(jì)算給內(nèi)部控制也帶來了諸多挑戰(zhàn)。目前，在云計(jì)算建設(shè)過程中，存在著重視硬件和業(yè)務(wù)流程建設(shè)，而忽視內(nèi)部控制建設(shè)的現(xiàn)象。其結(jié)果是導(dǎo)致數(shù)據(jù)的丟失和泄露、云計(jì)算資源的濫用和非法使用、不安全的服務(wù)接口和API、惡意的內(nèi)部用戶、共享云設(shè)施帶來的安全隔離問題、賬戶和服務(wù)的劫持問題、不能被用戶感知的風(fēng)險(xiǎn)態(tài)勢等問題的發(fā)生。云計(jì)算中的內(nèi)部控制問題已經(jīng)成為制約其順利發(fā)展的主要瓶頸問題，是用戶質(zhì)疑和擔(dān)憂的主要原因。云計(jì)算給內(nèi)部控制帶來的挑戰(zhàn)包括兩個(gè)方面的內(nèi)容：一是云計(jì)算服務(wù)提供者的內(nèi)部控制，二是云計(jì)算使用者的內(nèi)部控制。以下嘗試梳理出云計(jì)算環(huán)境下企業(yè)內(nèi)部控制面臨的挑戰(zhàn)。

挑戰(zhàn)一：人才缺乏。

CIO缺乏內(nèi)部控制理論與實(shí)踐；內(nèi)部控制專家或內(nèi)部控制設(shè)計(jì)人員缺乏IT知識和實(shí)踐。同時(shí)擁有信息技術(shù)和內(nèi)部控制理論與實(shí)踐的復(fù)合型人才的匱乏導(dǎo)致云計(jì)算系統(tǒng)設(shè)計(jì)人員較少地考慮企業(yè)內(nèi)部控制的具體問題，而內(nèi)部控制專家由于對云計(jì)算理解不夠深入，導(dǎo)致企業(yè)在先進(jìn)的信息技術(shù)環(huán)境下內(nèi)部控制變得無所適從。

挑戰(zhàn)二：云計(jì)算內(nèi)部控制難以審計(jì)。

評審云計(jì)算內(nèi)部控制的目標(biāo)是對云計(jì)算內(nèi)部控制的有效性進(jìn)行評審，即對IaaS、PaaS和SaaS各個(gè)層面的內(nèi)部控制有效性進(jìn)行評審，以確認(rèn)云計(jì)算內(nèi)部控制的有效性。但是，云計(jì)算環(huán)境是一個(gè)多個(gè)用戶共享云設(shè)施的環(huán)境，它所面臨的內(nèi)部控制是一個(gè)綜合系統(tǒng)，很難對云計(jì)算中單個(gè)企業(yè)進(jìn)行內(nèi)部控制評審。

挑戰(zhàn)三：內(nèi)部控制環(huán)境發(fā)生了變化，向外延伸，更難把握。

云計(jì)算背景下，企業(yè)內(nèi)部控制不再是對傳統(tǒng)意義上的錢物分管、嚴(yán)格手續(xù)、加強(qiáng)復(fù)核方面進(jìn)行控制，也不僅僅是對企業(yè)一系列計(jì)算機(jī)硬件和相關(guān)財(cái)務(wù)業(yè)務(wù)系統(tǒng)的管理與控制，而是擴(kuò)大到對包括云計(jì)算服務(wù)提供商、云資源安全、云資源隱私在內(nèi)的諸多內(nèi)容和環(huán)節(jié)進(jìn)行控制，以最大限度地確保企業(yè)數(shù)據(jù)的真實(shí)性、有效性和完整性。

某些情況下，云計(jì)算能夠繞過常規(guī)的管理層監(jiān)控體系。如某云解決方案只是需要少量的經(jīng)費(fèi)和人員的投入，沒有嚴(yán)格的管理層介入。但是，對于云計(jì)算，小投資也能產(chǎn)生大影響，因此管理層可能需要給予更多的關(guān)注，不管采用何種云解決方案，管理層都應(yīng)該依據(jù)企業(yè)可承受風(fēng)險(xiǎn)的水平對云服務(wù)的部署和交付模式進(jìn)行評估，以確定最優(yōu)的云計(jì)算環(huán)境和相關(guān)的必要控制。

挑戰(zhàn)四：協(xié)調(diào)與溝通更加困難。

一方面，實(shí)施云計(jì)算之后，云服務(wù)提供商或許不能及時(shí)傳遞信息，或是信息的質(zhì)量無法與企業(yè)內(nèi)部IT部分所提供的信息的質(zhì)量相提并論。管理層或許還需要關(guān)注云服務(wù)商的相關(guān)外部信息。另一方面，在這個(gè)世界里，外包的興起、數(shù)據(jù)的充斥和選擇的激增使得需要溝通的范圍擴(kuò)大。雖然先進(jìn)的信息技術(shù)促進(jìn)了信息的傳遞和人們的交流，但是溝通的目的是為了協(xié)調(diào)，而協(xié)調(diào)的基礎(chǔ)是利益關(guān)系，云技術(shù)使得企業(yè)的利害關(guān)系變得更為復(fù)雜，協(xié)調(diào)與溝通也因此變得更加困難。

挑戰(zhàn)五：管轄權(quán)、知識產(chǎn)權(quán)、法律問題。

雖然數(shù)據(jù)存儲在“云”中，但這個(gè)“云”或相應(yīng)的服務(wù)器會有一個(gè)地理位置。它也許在另一個(gè)地區(qū)甚至另一個(gè)國家。而且，這個(gè)“云”會移動，也就是說存儲數(shù)據(jù)的供應(yīng)商自身會搬遷，或決定將數(shù)據(jù)重置在其他地點(diǎn)的服務(wù)器中。而另一個(gè)國家（或地區(qū)）的法律系統(tǒng)必然存在差異，如果當(dāng)事人求助于法院解決爭端，這將帶來特有的挑戰(zhàn)。

云計(jì)算技術(shù)的實(shí)施，使得人們“資源共享”的夢想有望成為現(xiàn)實(shí)，但也帶來了更為復(fù)雜的知識產(chǎn)權(quán)問題，與不使用云計(jì)算服務(wù)相比，使用云計(jì)算服務(wù)更有可能使自己陷入知識產(chǎn)權(quán)訴訟的風(fēng)險(xiǎn)之中。

挑戰(zhàn)六：保密性和數(shù)據(jù)安全性問題。

如何保證用戶的數(shù)據(jù)不被非法訪問和泄露是系統(tǒng)必須要解決的兩個(gè)重要問題，即數(shù)據(jù)的安全和隱私問題。同時(shí)云計(jì)算系統(tǒng)本身的可擴(kuò)展性、可用性、可靠性、可管理性等都是要重點(diǎn)解決的問題。

在云數(shù)據(jù)自云端形成至完全銷毀的完整生命周期中，其時(shí)刻面臨著云服務(wù)商和公權(quán)機(jī)關(guān)侵害數(shù)據(jù)保密權(quán)、支配權(quán)、知情權(quán)等諸多風(fēng)險(xiǎn)。美國CIO雜志的調(diào)查顯示，67%的受訪者不使用云計(jì)算的首要原因是數(shù)據(jù)隱私侵權(quán)風(fēng)險(xiǎn)。滿足數(shù)據(jù)交流需要的云平臺往往與傳統(tǒng)隱私權(quán)保障機(jī)制相沖突。

在預(yù)設(shè)的理想狀態(tài)中，所有活動均在云服務(wù)器中進(jìn)行，掌握編碼的云服務(wù)商通過賬戶管理有效控制用戶群，提高對云數(shù)據(jù)隱私、敏感技術(shù)和知識產(chǎn)權(quán)等的保障力度?，F(xiàn)實(shí)云環(huán)境卻極端不穩(wěn)定，云技術(shù)的不成熟與云數(shù)據(jù)隱私保障制度不健全促使很多追求利潤最大化的云服務(wù)商參與或默許數(shù)據(jù)存儲與流動中的泄露與損毀侵害（包括協(xié)助公權(quán)機(jī)構(gòu)侵害云數(shù)據(jù)隱私權(quán)），嚴(yán)重威脅云用戶數(shù)據(jù)隱私的保密性、準(zhǔn)確性與完整性。迫切需要針對保密性和數(shù)據(jù)安全問題提出有效的控制措施。

4 結(jié)束語

COSO《企業(yè)風(fēng)險(xiǎn)管理——整體框架》報(bào)告指出，“企業(yè)風(fēng)險(xiǎn)管理能夠使管理層有效應(yīng)對不確定性因素及與相關(guān)的風(fēng)險(xiǎn)和機(jī)會，提升組織的價(jià)值創(chuàng)造能力”。云計(jì)算技術(shù)能夠反映企業(yè)運(yùn)營環(huán)境的巨大變化，如果采用整體框架的建議，企業(yè)需要通過不斷演化的云計(jì)算模式識別不確定性因素以及隱藏在其中的機(jī)會。風(fēng)險(xiǎn)與機(jī)遇并存，企業(yè)要通過不斷學(xué)習(xí)創(chuàng)新來適應(yīng)環(huán)境的變化，迎接云計(jì)算帶來的挑戰(zhàn)并把握蘊(yùn)含在其中的機(jī)會。

主要參考文獻(xiàn)

[1]馮登國，張敏，張妍，徐震.云計(jì)算安全研究[J].軟件學(xué)報(bào)，2011（1）：71-83.

[2]朱一紅.云計(jì)算在圖書館的應(yīng)用與潛在風(fēng)險(xiǎn)[J].圖書館理論與實(shí)踐，2011（3）：32-35.

[3]尤春花.云計(jì)算環(huán)境下圖書館信息資源共享的挑戰(zhàn)與對策[J].圖書與情報(bào)，2011（4）：66-68.

[4]楊健，汪海航，王劍，俞定國.云計(jì)算安全問題研究綜述[J].小型微型計(jì)算機(jī)系統(tǒng)，2012（3）：472-479.

[5]蔣潔.云數(shù)據(jù)隱私侵權(quán)風(fēng)險(xiǎn)與矯正策略[J].情報(bào)雜志，2012（7）：157-162.

[6]王世偉，趙付春.企業(yè)用戶感知視角下的云計(jì)算信息安全策略研究[J].圖書情報(bào)工作，2012（6）：29-32.

[7]張艷，胡新和.云計(jì)算模式下的信息安全風(fēng)險(xiǎn)及其法律規(guī)制[J].自然辯證法研究，2012（10）：59-63.

[8]秦榮生.云計(jì)算的發(fā)展及其對會計(jì)、審計(jì)的挑戰(zhàn)[J].當(dāng)代財(cái)經(jīng)，2013（1）：111-117.

[9]蔣潔.云數(shù)據(jù)安全風(fēng)險(xiǎn)與規(guī)制框架[J].情報(bào)資料工作，2013（1）：57-60.

[10]汪鴻昌，肖靜華，謝永勤.基于企業(yè)視角的云計(jì)算研究述評與未來展望[J].外國經(jīng)濟(jì)與管理，2013（6）.

[11]吳仁群.云會計(jì)與云審計(jì)關(guān)系淺析[J].財(cái)務(wù)與會計(jì)，2013（7）：44.

[12]盧霈.云計(jì)算環(huán)境下企業(yè)內(nèi)部控制的應(yīng)對策略研究[J].中國注冊會計(jì)師，2013（8）：115-118.