联网审计系统如何实现“联网”

作 者:

作者简介:
余海东,肖茂,四川省审计厅

原文出处:
中国审计

内容提要:

02


期刊代号:V3
分类名称:审计文摘
复印期号:2017 年 05 期

关 键 词:

字号:

      互联网时代,大数据的运用正日益深刻地改变着审计工作,而联网审计则是这一切变化最集中的体现,也是传统审计迈向现代审计的必然一步。从数据流转的角度来看,联网审计涉及数据的采集、存储、传输、分析与处理,以及最后的数据归档等几个主要环节。本文主要围绕数据传输这一重要环节,从传输技术、网络拓扑、安全策略等多个方面,讨论当前条件下建设联网审计系统的关键问题,即如何实现“联网”。

      承载网及传输技术的选择思路

      通常在考虑联网审计的组网模型时,首先要考虑网络环境,包括被审计单位与审计单位所在区域的整体网络环境,也包括二者各自所在的局部网络环境。尤其是前者,决定了审计人员可以选择什么样的承载网来作为数据传输通道。其次还应重点考虑并分析被审计单位的数据分布方式。最后,还要根据被审计单位的业务性质或者数据性质,以及数据的敏感程度或涉密等级来选择符合要求的承载网,而不同的承载网及相应的组网模型对数据传输的效率、安全性及经济性会产生不同的影响。

      (一)数据的量级和密级决定了承载网的选择

      对于一般业务数据,在满足远端审计行为需要的最小带宽要求下,可以通过包括互联网、国家电子政务外网等公网建立虚拟专用网的方式,实现网络连接或数据传输。如果业务数据较为敏感(不包括涉密数据),以四川本地为例,则可以通过党政网(与互联网、电子政务外网物理隔离)搭建VPN虚拟专用网,实现网络连接和数据传输。在条件具备或联网审计系统规模、数量不大的前提下,也可以通过与电信运营商合作,以建立专线的方式解决联网审计的“联网问题”,但此种方式的主要问题是经济成本较大,如果联网审计系统较大、线路密度较高的话,则会带来数量庞大的专线需要维护和运转,成本过高,同时也会给被审计单位数据安全保障带来较大压力。当然,如果被审计单位的数据涉密的话,则只能通过涉密网络或建立专线的方式解决数据传输的问题。

      (二)联网审计应用层面的差异对承载网的影响

      不同的应用需求会对承载网产生不同的要求。如有关应用分析软件的主要分析和处理工作是在被审计端完成,不需要传输到审计端实施,则传输通道上只有轻量级的数据(如一些查询语句或其他指令性数据等)需要传输,从承载能力上看,利用公网即可完成上述传输任务;如果大量的计算、分析、处理等任务需要在审计端完成,被审计端存在海量数据需要及时传输到审计端,则公网通常难以满足其在传输效率和稳定性方面的要求。此时通过与运营商合作建立专网进行数据传输,是为数不多的选项之一。

      反过来,承载网的选择也对联网审计的应用层面产生影响。如选择互联网或国家电子政务外网等承载网,其公网属性决定了可供联网审计系统传输通道所用的实时带宽不确定、不稳定,难以满足联网审计系统中较为常见的大数据量、高强度传输的性能需求,以致大数据量、大运算量的分析和处理只能滞留在被审计端完成,这样的应用特征又要求放置在被审计端的前置机或数据备份系统必须具备强大的硬件支撑能力。而如果通过运营商建立专线进行数据传输的话,由于专线的数据传输能力(具体仍然取决于其提供的有效带宽)通常较强,在应用层面较为灵活,各种数据分析、处理等操作在审计端或被审计端均可完成。

      在具体的传输技术选择上,鉴于传输技术种类较多,如采用专线传输数据的话,可以采用SDH、PDH、PTN或裸纤等技术方式实现,每种实现方式在传输效率及费用等方面都有差异,具体可根据自身业务需求向当地运营商咨询可提供的有效解决方案。

      总体上,承载网及具体传输技术的选择取决于多方面的因素,包括被审计单位数据分布类型、数据敏感程度(涉密或非涉密)、审计端的应用组织方式、数据传输的时限要求(定时定期传输还是实时传输),以及建设和运维的预算投入等。联网审计的建设单位应在综合考虑上述几方面因素的基础上,选择最佳的承载网络和传输方案,以适应联网审计系统中数据量大、数据安全性要求高等特点。

      网络拓扑的设计与分类方法

      (一)单源点组网模型与多源点组网模型

      从网络拓扑的角度来看,联网审计系统可以分为三个部分,即被审计端内部局域网、传输网络和审计端内部局域网。被审计单位的数据分布类型决定了联网审计的网络拓扑。如果被审计单位的数据全部有效汇聚到一个数据中心或其他单个数据存储设施上,从传输通道上看,其数据传输源头仅为单个,可以概括为单源点组网模型。单源点组网模型较为简单,可在综合考虑数据敏感程度、应用组织方式、数据传输时限要求、预算投入等相关要素的前提下,在数据传输源点与数据接收存储设施之间建立有效的传输通道即可;如果被审计单位的所有数据被分散或分割存储到不同区域的数据存储设施上(如存在多个数据分中心),无论其是按数据类型不同分别汇聚还是按区域不同进行汇聚,从传输通道看,其数据传输源头都多于一个,可以概括为多源点组网模型。

      对于多源点组网模型来说,首先要分析多个数据存储设施所存储的数据之间的逻辑关系。如果各个存储设施之间是按业务性质和行政区域等属性划分得到的,相互之间无层次区分或隶属关系,彼此为平等的数据存储实体,此种情况下,可以采取两种方式进行处理。一种是在被审计端先行设立一个安全、有效的数据存储设施,如设立高性能前置服务器,将被审计单位分布在不同位置的数据根据审计端的业务需求,先行汇聚到该存储设施里,然后按照单源点组网模型的处理方式进行远程传输;另一种方式是将被审计单位位于各个不同位置的数据存储设施直接与审计端的审计服务器或其他数据存储设施进行连接,在数据传输到审计端的内部局域网后再进行汇聚。

相关文章: