答疑云平臺VS.解惑數據安全

文/本刊記者 田 君

技術的驅動創新和運營數據的深度應用，是公司運營全面向數字化轉型的必由之路。隨著數據量的倍增和決策的日益復雜，企業需要足夠大的存儲中心和計算中心來支撐數據的收集、分析和處理。具備超大計算能力的云端中心，將為人工智能和智聯網的連接提供路徑。

調研顯示，財務共享服務中心正在采用云技術來提升價值，接近30%的共享平臺采用了云服務。其主要應用于企業的差旅費用報銷、云端存儲、報銷規則自動審核、辦公、基于云的財務共享服務、云端會計檔案等領域。

財務共享中心接入服務云平臺，可以聯接更多的應用，通過對大數據采集、存儲、挖掘和應用進行戰略布局，從而為企業的戰略決策賦能。但不管是大型企業建立的私有云，還是面向中小型企業的公有云，或是兩者兼備的混合云。作為共享搭建的首要步驟：如何從傳統IT架構平滑上云，保證數據在云端的安全都顯得尤為關鍵。

據KPMG的一項調研分析指出，81%的公司正在評估云服務，已經規劃了云實施方案或是正在執行云策略；只有低于10%的企業并不打算立即使用云。無論是創建私有云、使用公有云還是選擇混合云，向云端遷移——正在成為不同類型企業的共同選擇。

應用在業務上的重要性、管理問題、所需要的服務水平，以及云服務整合后的公司融合問題都將成為企業向云遷移必須考慮的重要因素。而把云安全的討論歸結為“公有云不安全，私有云安全”，顯然過于簡單化。

云安全的兩個錯誤認知

調查表明，安全問題仍然是企業全面部署應用云平臺的最大顧慮。絕大多數企業認為，企業內部部署私有云會比公有云平臺更可靠。這樣的認知得益于，私有云是在企業自己的數據中心邊界范圍內部署的，這種方案在大規模云部署的趨勢中占有相當的份額，尤其顯現在規模較大的跨國公司或大型集團企業中。

當然，私有云能讓客戶對云服務中各個環節都有一個總把控，無論是基于公司自身業務的站點，還是由供應商提供的數據中心托管。利用私有云，客戶可以定制選擇添加多層次的安全性、用戶認證和入侵檢測和預防系統，而許多公共云網站則不可能提供如此眾多的選項，無法實現“非標”化的需求設計。

然而，“裝在自己兜里的私有云是絕對安全的”，這是云安全的第一個錯誤認知。實際上，一個管理不善和配置不穩定的私有云應用程序是非常容易受到攻擊的。要想保證私有云的絕對安全，就必須要制定周密的計劃。

企業加速上云的過程中，私有云會為構建在高度虛擬化基礎設施上的工作負載提供服務，但當網絡數據流在虛擬機之間傳輸，企業用戶對敏感信息和高級惡意軟件的監視和控制能力會被削弱，此時就要借助關鍵安全控件或外部手段進行干預，這是私有云的一個自身弱點。

除了由傳統終端漏洞帶來的潛在威脅外，私有云對傳統網絡架構的部署造成了挑戰，原因在于流量承載和業務匹配。對虛擬化環境所產生的跨域訪問、多個虛擬機之間的資源調用和防護等仍有不足之處。

私有云環境的安全性需要做到管理的平臺化和自動化。構建了彈性可擴展的資源池之后，要借助統一的管理平臺對計算、網絡、存儲等資源進行實時查看，設置深入到業務邏輯的安全子域和關系鏈。

第二個錯誤認知是“公有云的安全完全取決于云服務提供商”?，F實情況則是，服務提供商領域的安全是提供商與用戶共同承擔的責任。

服務提供商負責基礎設施的安全以及應用程序與托管的環境之間的接口安全，用戶負責接入這個環境的接口安全，更重要的是負責應用程序本身的內部安全。沒有正確地配置應用程序，如環境安全接口或者沒有采取適當的應用程序級安全預防措施，會使用戶產生一些問題。任何提供商也許都不會對這種問題承擔責任。

在HyperStratus咨詢公司CEO伯納德·戈爾登看來，安全一直被說成是私有云固有的好處和公有云計算的基本缺陷。斷言公有云環境有安全缺陷，不認真考慮如何緩解這些不安全因素，似乎是不負責任的。

私有云也有共享基因

當企業啟動業務轉型或處于管理變革當中時，如縮減成本、ERP實施，往往會考慮推進共享服務建設。一方面共享服務可以與其他變革舉措互為補充支撐，實現變革收益；另一方面，企業可在資源充足的前提下同步完成多項變革舉措，從而將變革對資源耗用和對業務的負面影響控制到最低水平。

FSSC離不開信息系統，云計算部署方式有利于財務共享服務中心系統平臺的統一搭建和整合。通過充分共享網絡硬件資源，用私有云的方式，能夠有效降低財務共享服務系統的IT投入。通過云存儲，可以降低因為采用影像技術所帶來的財務共享服務中心的存儲成本；通過軟件即服務模式部署的應用能夠低成本地供企業租用。

可以說，私有云具備大型集團企業搭建共享平臺所需的數據安全架構、技術及資本實力的天然基因，是共享IT構建快速切入和落地的最佳方式。

任何一家跨國公司或大型企業集團想要實現真正的財務共享服務，必須從傳統的企業預置型軟件轉向基于云的應用軟件和服務。傳統ERP系統強調的是單個企業內部的信息流橫向貫通，財務模塊主要滿足會計核算的基礎功能。財務共享系統則關注通過對財務流程標準化和專業化分工，強化對下屬企業的縱向管控，通過縱向再集約整體提質增效。

私有云的核心屬性是專有資源，通過私有云建立企業內置的虛擬數據中心，將信息化平臺和數據集中存放于集團總部進行集中管理，再通過網絡資源分配到不同的數據需求部門，實現子分公司機構跨越地理距離的障礙，達到云端方式訪問共享中心系統。

安全性、可控性成為集團企業采納私有云的重要考量。在云安全層面，私有云可以基于IT團隊的傳統安全模式使用經典的網絡分段技術進行改進，例如虛擬局域網、防火墻以及入侵檢測和預防系統等。用戶的關注點主要集中在數據加密和用戶隱私保護上兩個方式，安全預警與安全接入已經得到廣泛應用。

據中國信息通信研究院發布的《中國私有云發展調查報告（2018）》報告顯示，2017年我國私有云市場增速尚未有所減緩，未來幾年私有云市場會繼續保持20%以上的增長速度。企業遷移到私有云上的應用和數據比例小幅提升。硬件設備標準化程度和軟件異構能力的提升，極大地增強了技術架構上的靈活性和擴展性，超過一半的企業選擇利用已有硬件，采用單獨購買軟件及服務的方式部署私有云；而近六成的企業通過部署私有云，提升了IT運行效率、降低了IT成本。

受訪企業對私有云數據安全問題、網絡隔離和網絡攻擊防護重視度最高，一組數據直觀反映出企業在部署私有云時的關注點。其中，39.7%的私有云企業在云安全上的投入占IT總投入的比例已超過10%；超半數的企業將數據加密和用戶隱私保護作為首要選擇的私有云安全保護措施；超過六成的企業采用主機安全監控；半數以上的企業已經應用了網絡威脅預警，而近2/3的企業私有云安全責任由服務商承擔；在已經部署私有云的企業中，云備份和云監控類私有云安全產品的使用率最高；超過四成的企業選擇使用云備份、云監控產品，其他產品的使用率依次為抗DDoS類、云主機安全、云WAF、防火墻、漏洞掃描。

私有云環境有其特性所在，集團企業在建設共享平臺時，首先在網絡架構層面，多租戶和多業務之間不僅要考慮隔離方案的可行性，還要顧及到網絡的可擴展性，像物理防火墻就不再適用于當前資源池的需求。如果采用分布式虛擬化防火墻，就可以對東西向流量進行隔離，而縱向流量則可以利用NFV來解決。

私有云的數據存儲雖不像公有云那么多變，但也要考慮資源隔離、加密保護、入侵檢測、數據銷毀等問題。除了在數據防護時加強機密性、完整性、可用性的能力，還要考慮到不同應用所采用的加密算法對防護強度的不一致。在企業內部，一般會在關鍵路徑上部署檢測系統，對讀寫操作進行抓取、統計、分析，并且建立全域的查錯機制，對特征庫既要實時更新，也要及時告警。

公有云使小企業FSSC成為可能

成本會成為企業自建私有云的一大障礙。當前，集團企業財務共享服務項目的實現還是相當昂貴的。僅在IT方面，購置軟件、進行產品實施、購置硬件設備、部署網絡環境等花費對一般企業來說都是一筆不小的投入。也正因如此，高額的前期投入與后期維護費用都讓大多數企業在考慮是否采用私有云建設財務共享服務模式上有所顧慮。

很多企業也開始意識到云平臺在效率與效益上頗具潛力。一種普遍的認識是，以華為云、阿里云、百度云為主流的公有云平臺更適合于增長快速、并不具有豐厚財力儲備的中小型企業。公有云使得中小企業財務共享服務成為可能。云計算利用SAAS模式——由服務商通過服務端面向中小企業財務共享服務中心提供在線的云系統支持，通過租用的方式，以較小的代價實現財務共享服務的系統支持。

公有云雖然具有更加強大的計算性能以及平臺化管理，但是對于云計算最大的天敵“數據安全”來說，公有云顯然還競爭不過私有云平臺。不過，在過去的一年中，整個公有云市場呈現了同比增長36%的市場趨勢，雖然增速有所放緩，但是其市場規模以及市場前景仍然一片大好。國內的IaaS市場仍然呈現高增長的態勢，市場規模突破了10億元規模，PaaS與SaaS市場規模也分別達到2.2億元與34.9億元，同比增長均超過20%。企業用戶當前所采用的公有云服務的重點，正在由基礎設施租用轉向更有針對性的基于自身需求和業務的平臺開發和應用。

在傳統認知上，公共云的基礎設施是虛擬的，而私有云或本地應用的基礎架構是物理存在的。公共云服務就好像不設任何防護一樣很難保護用戶數據信息。但事實上，公有云基礎設施只要使用得當就可以提供足夠的安全屬性，適用于組織的需求。這些在邏輯上相互分離的服務器會被提供商的基礎設施嚴格管理，其安全性往往并不遜色于私有云。此外，公共云服務還具有規模經濟效益、超強的彈性以及隨時隨地訪問全球資源等優點。

但不可忽略的是，除了網絡安全之外，公有云的身份管理尤其重要，適當的身份和授權控制仍然最終取決于其本身。公有云服務可能還存在未能提供與企業預期一致的管理水平和可用性，比如企業不能忍受服務的中斷等。

公有云服務提供商由于規模優勢，能夠比其他大型企業在安全方面投入更多，其安全性成本也被大量的用戶所稀釋。不過，這并不意味著企業可以將數據安全的責任完全轉移給服務商?，F在，數據備份和災難恢復（DR）已經逐漸將云計算作為首選存儲介質，公有云安全還要考慮包括加密、多因素認證、VPN管理、數據管理工具的支持。

從FSSC角度上看，最初的公有云適合簡單、管理需求少、業務能力比較少的財務共享服務初級應用。但隨著云技術的日趨成熟，越來越多的大型企業也開始嘗試將一些基礎數據在公有云端共享。

本刊此前了解到，國內一家規模體量在千億級的多元化集團企業，正在嘗試將“On Going”中的財務共享平臺直接落地在公有云平臺上，其創新的共享路徑堪稱魄力十足，但最終能否成為樣本示范，尚不得而知。

“多元化的業務形態，本身就增加了財務共享服務系統集成的難度和廣度。敢于把大型集團的共享服務中心搭建在公有云平臺上，目前在國內僅有我們一家。如果一旦成功上線，我們將成為阿里云上運行的最大企業?！睆脑摷瘓F信息部部長兼總經理的表述上看，對于公有云上實現共享搭建，從數據安全角度考慮，還是給予了更多的信任。

顯然，私有云的好處就是企業的數據全部放在企業防火墻內部，并且可以控制訪問權限，限制外網的訪問端口。更多的人，還是對公有云的安全性表示擔心。而在其看來，采用公有云平臺做共享，可以實現財務資源的共享，減少人員及軟硬件系統的重復設置，降低總體運營成本的同時，提升了企業整合能力，支持企業的業務整合與快速擴張。

在成本上，按照集團的規模，上一套傳統的財務共享系統至少要300萬元的硬件設備，后期的各種保障、安全防護成本也很高，還要建設自己的基地和云中心。組裝、開箱調試這個過程一般就要花費在40天左右?！肮性破脚_可以實現開箱即用，這是一個巨大的轉變。云天然有個優勢，本身云就是有多個節點，本地原有的設備和機房，就變成了災備中心，業務成本大幅降低?！?/p>

“以往會遇到大規模數據并發量的時候，要臨時購買服務器設備，恢復之后就會閑置下來。公有云可以自動擴充，自帶很多預警提示工具，可以設置一些臨界值，當達到臨界值的時候，系統自動幫我增加一臺機器配置，彈性空間就出來了，周期、速度都比之前大大提高。這種云端維護的工作就少了，雖然做了共享，但集團到目前為止，IT人員還沒有增加?！痹摷瘓F負責人從彈性角度進一步解釋道。

混合云搶位VS.財務云主導

混合云環境對組織存儲和管理數據的方式提出了革命性的改變。從單一同構的基礎設施轉向跨越私有云、公共云、傳統本地數據中心環境的體系結構，可以提供更高的敏捷性、可擴展性和其他優勢。

引入混合云模式也是共享服務領域的創新表現?；旌显萍闪斯性茝姶蟮挠嬎隳芰退接性频陌踩詢瀯?，應用需要為用戶提供企業級的安全性、跨平臺的客觀理性以及數據之間的互操作性?；旌显埔环矫婺軌驅崿F私有云的獨立部署，以及對文檔數據內容的擁有和充分管理；另一方面支持公有云的靈活、便捷和完全托管。

據Cicero Group調研機構發布的《混合云現狀研究報告》顯示，目前全球大約74%的企業采用2個或者以上的供應商所提供的云基礎架構來支持工作負載，23%的企業甚至擁有4個以上的供應商。這意味著，IT部門將需要承擔更多跨異構環境的數據的保護、管理和確保使用的重擔。這也說明了不同公有云之間的“混合”也是個大趨勢。

值得關注的是，中國企業是最快采用混合云架構的用戶，目前混合云應用的比例高達64%。對待云的心態不同，有部分用戶，堅持部分特定工作負載將永遠不會遷至云端。在中國，30%的受訪者表示災難恢復工作負載將繼續保留在企業內部，而19%的受訪者表示會將歸檔和數據倉庫工作負載繼續保留在企業內部。

但如同硬幣的正反面，混合云在實現成本節約與數據安全兼顧的同時，諸多潛在的風險也逐漸浮出水面。從安全角度出發，在混合云的搭建中，云架構師需要跨數據中心的冗余來減緩單一數據中心宕機的影響，而缺少冗余對混合云而言可能是極其嚴重的安全風險。私有云構架的SLA、管理員在混合云風險管理上的經驗缺失、私有云與公有云上共同工作的安全控制都可能釀成混合云潛在的安全隱患。在技術層面，私有云與共有云之間的連接搭建、兼容性和一致性的實現等環節也尤其重要。

此外，一個重要且可能令人驚訝的風險是圍繞誰擁有數據?；旧嫌袃煞N訪問混合云存儲的方式，用戶可以直接與他們選擇的公有云或私有云提供商打交道，也可以選擇轉售至公有云存儲的混合云提供商。

可與預見的是，未來對于主流的共享服務中心來說，必將是基于新技術應用，通過與大數據、智能硬件、人工智能、財務云等要素緊密銜接，實現更智能、更智慧的財務共享，讓共享中心真正成為云服務、大數據處理及分析等多職能中心。

財務共享服務中心結合大數據能夠對自身的職能范圍進行一次質變。當財務共享服務中心具備了數據管理基礎和技術手段后，績效分析、預算分析、盈利分析等內容都將成為可能。財務共享服務中心對于影像技術的廣泛使用，獲取并積累了大量的非結構化數據，實現量變到質變的轉換，直指大數據本源，從而為企業創造更多商業價值。

顯然，構建共享財務云已經成為FSSC建設的共識以及主流趨勢。財務云最基本的要求便是數據標準化以及要素精確化，大到企業之間的合同，小到出差的發票，對每一個財務要素進行標準化制定。交易處理全面進入智能化時代，包括智能化票據識別、校驗、報賬；電子發票的廣泛應用及稅務服務社會化連接，成就了稅務共享；依靠電子簽名、電子簽章等技術，全面實現企業財務憑證無紙化，讓簽字審批包括合同簽訂、報銷賬目等工作都能在網上操作，任何財務單據都直接進入財務云系統中。

從安全角度考慮，財務云也是一套更成熟的系統架構。財務共享服務中心通過建立資金云、核算云、費控云、預算云等財務云，連接采購云、分析云、IT云、OA云、HR云等，為人工智能的深度學習提供海量數據，為智聯網獲取的數據提供存儲空間，為隨時隨地的管理需求提供強大的計算能力，降低財務共享服務中心的投入成本，實現內外部信息的真正共享。