電子政務(wù)信息系統(tǒng)安全審計研究

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了電子政務(wù)信息系統(tǒng)安全審計研究范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：隨著云計算、大數(shù)據(jù)等技術(shù)的高速發(fā)展，各地政府響應(yīng)“放管服”改革和建設(shè)服務(wù)型政府的戰(zhàn)略決策，逐漸深化電子政務(wù)的實踐。本文首先以文獻綜述的方式系統(tǒng)性分析近年來國內(nèi)外關(guān)于信息系統(tǒng)審計的研究進展，其次梳理我國信息系統(tǒng)審計發(fā)展概況，最后提出電子政務(wù)信息系統(tǒng)云安全審計體系。文末分析我國信息系統(tǒng)安全審計亟待解決的問題，并從行業(yè)法規(guī)標準的完善、審計工具軟件的優(yōu)化配置及人才培養(yǎng)儲備等方面提出相關(guān)改進建議。

關(guān)鍵詞：云計算；電子政務(wù)；信息系統(tǒng)審計；安全審計

一、引言

“十二五”規(guī)劃明確要求以云計算為基礎(chǔ)，積極構(gòu)建并完善政府公共服務(wù)平臺，促進政府各機關(guān)組織全方位協(xié)同、信息資源共享以及為信息安全提供保障?！盎ヂ?lián)網(wǎng)+政務(wù)服務(wù)”的概念在2016年政府報告中被提及，自此政務(wù)云、政務(wù)信息系統(tǒng)的建設(shè)步履不停。翟云（2017）認為“互聯(lián)網(wǎng)+政務(wù)服務(wù)”能夠推動政府實現(xiàn)治理現(xiàn)代化。從實踐成果方面看，全國各地積極將電子政務(wù)系統(tǒng)投入公共服務(wù)工作中，并建成各省市區(qū)網(wǎng)上政務(wù)信息平臺。成都市致力于統(tǒng)籌公共信息平臺與信息系統(tǒng)，綜合調(diào)度、加強政務(wù)信息系統(tǒng)的交互訪問；2019年甘肅開辟多條信息化稅務(wù)通道“前后呼應(yīng)”為民眾減負；北京大興區(qū)政府致力于建設(shè)智慧城市、打通政務(wù)服務(wù)“最后一公里”，與百度合作共同打造“指尖上的政務(wù)”；2020年浙江開設(shè)“云上商務(wù)廳”，提供線上“廳長問診”服務(wù)。據(jù)2020年聯(lián)合國出具的對世界各國電子政務(wù)調(diào)查報告顯示，我國2020年電子政務(wù)發(fā)展指數(shù)居全球第45位，排名較之前有了顯著提升。我國電子政務(wù)系統(tǒng)建設(shè)雖初有成效，但仍有進步空間。在信息系統(tǒng)設(shè)計與實施方面，電子政務(wù)信息系統(tǒng)的協(xié)同與完善、政務(wù)數(shù)據(jù)互聯(lián)共享機制有待完善；在數(shù)據(jù)存儲安全方面，信息存儲與訪問安全、公民隱私保護措施仍有待加強。

二、相關(guān)概念與理論基礎(chǔ)

1．電子政務(wù)。電子政務(wù)是依賴信息技術(shù)與通信技術(shù)開展的政府政務(wù)活動。電子政務(wù)建立在一系列信息基礎(chǔ)設(shè)施之上，使用相關(guān)軟件實現(xiàn)政府功能，電子政務(wù)信息系統(tǒng)是一種利用網(wǎng)絡(luò)實現(xiàn)公共服務(wù)，集信息處理、交互、反饋為一體的系統(tǒng)，電子政務(wù)信息系統(tǒng)適用于政府各機關(guān)組織、企業(yè)和公眾。電子政務(wù)信息系統(tǒng)服務(wù)的對象包括該組織的內(nèi)部機構(gòu)，以及其他機構(gòu)、團體、企業(yè)和公眾，處理內(nèi)容包括政府機構(gòu)的內(nèi)部信息，可以在一定范圍內(nèi)交換的信息，并接受各種類型的投訴、建議和要求。簡而言之，電子政務(wù)信息系統(tǒng)是一種政府綜合行政電子管理系統(tǒng)，通過技術(shù)手段將政府傳統(tǒng)行政方式轉(zhuǎn)變?yōu)殡娮庸芾砟Ｊ健?/p>

2．信息系統(tǒng)安全審計。2012年審計署的《信息系統(tǒng)審計指南》指出，信息系統(tǒng)審計是國家審計機關(guān)依法對被審計單位信息系統(tǒng)的合法性、真實性、效益性和安全性進行審計監(jiān)督。而信息系統(tǒng)安全審計是圍繞系統(tǒng)的“安全性”屬性展開一系列審計活動。例如，從風險管理角度測試黑客攻擊、網(wǎng)絡(luò)詐騙、病毒侵入等安全風險對組織造成的不利影響；或是從內(nèi)部控制角度審查來自組織內(nèi)部的舞弊、異常刪除、未經(jīng)授權(quán)的訪問等，造成信息資產(chǎn)損壞、個人隱私泄露等后果。綜上所述，信息系統(tǒng)安全審計的目標是評價信息系統(tǒng)是否足夠安全，能否識別并抵御內(nèi)部、外部的安全威脅，以及評價信息系統(tǒng)內(nèi)數(shù)據(jù)的安全性、完整性。

三、文獻研究綜述

1．數(shù)據(jù)與存儲安全審計。數(shù)據(jù)安全指的就是承托信息的數(shù)據(jù)安全，包括結(jié)構(gòu)化與非結(jié)構(gòu)化數(shù)據(jù)的安全。在實務(wù)中的理解就是，做到用戶數(shù)據(jù)信息資產(chǎn)的保密性、完整性、可用性、授權(quán)與訪問等方面的安全防護。隨著政府信息化建設(shè)的不斷推進，信息資產(chǎn)安全需求增加，政府對數(shù)據(jù)的機密性、完整性要求極高，但受制于有限的本地存儲資源，往往會依托第三方可靠的云存儲服務(wù)。由此，電子政務(wù)信息系統(tǒng)的安全審計需基于“云”的背景展開。國際信息系統(tǒng)審計與控制協(xié)會（InformationSystemsAu-ditandControlAssociation，ISACA）認為云審計的主要關(guān)注點是云治理、網(wǎng)絡(luò)配置管理、身份和訪問管理、資源配置管理和資源安全、日志與監(jiān)控、安全事件響應(yīng)、業(yè)務(wù)連續(xù)性和災(zāi)難恢復、數(shù)據(jù)保護和數(shù)據(jù)加密。Wang（2013）從資源配置角度提出一個云存儲系統(tǒng)，基于公鑰的同態(tài)線性身份認證器顯著減少審計方的通信和計算開銷。Mei（2014）從云治理層面提出一個能夠?qū)Φ湫驮拼鎯ο到y(tǒng)進行審計的云安全審計體系，將可信的計算技術(shù)與第三方審計相結(jié)合，既支持云服務(wù)提供商的問責，又能保護云用戶的利益。在身份和訪問管理層面，Anbuchelian等（2019）創(chuàng)新了密碼策略，密鑰提供者使用改進的RSA密碼系統(tǒng)算法（稱為MRSAC算法）生成密鑰，采用多級哈希樹算法對數(shù)據(jù)信息的完整性進行審計驗證。Shen（2017）則是從身份驗證機制方面提出改良建議，引入第三方媒介為用戶生成身份驗證器，并代表用戶驗證數(shù)據(jù)完整性。區(qū)別于加密算法復雜的操作過程，用戶訪問云數(shù)據(jù)時無需執(zhí)行耗時的解密操作，只需確保使用的第三方媒介在有效期內(nèi)且獲得授權(quán)即可。為確保外包數(shù)據(jù)的完整性，Li等（2020）提出一種支持數(shù)據(jù)動態(tài)的安全可審計云存儲方案，使用輕量級的信息加密操作便能使審計在檢查數(shù)據(jù)完整性方面快了兩倍。Madi等（2016）則從系統(tǒng)結(jié)構(gòu)的視角，構(gòu)建一個自動化審計框架用以驗證與虛擬化相關(guān)的安全屬性、多個控制層的一致性，并通過覆蓋層和第二層的云視圖來審計openstack管理的云中虛擬網(wǎng)絡(luò)之間的一致性隔離。

2．政務(wù)信息系統(tǒng)審計理論框架。陳柏興（2010）基于可拓模糊理論的負載均衡模型，構(gòu)建了一個適用于電子政務(wù)信息系統(tǒng)的安全審計框架。劉國城、王會金（2012）借鑒COBIT理論，以日志為導向提出了信息系統(tǒng)安全審計模型構(gòu)想。張文秀（2012）綜合比較典型的國際信息系統(tǒng)審計標準、框架和指南，以國家文化差異為影響因子建模，探究信息系統(tǒng)審計規(guī)范制度是否可移植。同樣是研究國外理論的可移植性，唐志豪（2014）就國際信息系統(tǒng)審計準則進行本土化分析。馮朝勝（2015）從加密存儲、安全審計和密文訪問控制3個方面對云計算在數(shù)據(jù)安全方面進行評述。劉國城（2016）基于審計的“過程”視角探討信息系統(tǒng)安全審計如何展開，并提出適用于電子政務(wù)的云安全審計模式，結(jié)合既定風險估值與風險等級層次分析，從宏觀角度論證信息系統(tǒng)安全審計免疫體系。楊文（2018）從國家宏觀層面出發(fā)，認為我國政務(wù)信息資源共享安全方面面臨著數(shù)據(jù)風險、平臺風險和管理風險，提議建立政務(wù)信息系統(tǒng)共享平臺，多角度、全方位地進行信息系統(tǒng)審計。白利芳（2020）對我國數(shù)據(jù)安全審計現(xiàn)有的四大機制進行綜述，并在此基礎(chǔ)上構(gòu)建了數(shù)據(jù)安全審計機制的框架。還有的學者探討如何量化政務(wù)云安全風險。劉國城（2017）以商業(yè)銀行信息系統(tǒng)為審計客體，以“審計免疫”為理論基礎(chǔ)，借助“信息熵”技術(shù)進行安全審計，實現(xiàn)風險的分級與量化。王會金、劉國城（2018）創(chuàng)新性地引入“重大漏誤風險”，對實施、管理、控制與技術(shù)這四個領(lǐng)域?qū)嵤┫到y(tǒng)化的風險評估，構(gòu)建審計框架。

四、我國電子政務(wù)信息系統(tǒng)審計實施現(xiàn)狀

我國審計機關(guān)開展信息系統(tǒng)安全審計工作起步較晚，信息系統(tǒng)安全審計上也有一定的研究。首先從政府部門角度來看，我國相繼出臺了一些有關(guān)信息系統(tǒng)安全審計的法律法規(guī)。2010年4月，審計署了《關(guān)于檢查信息系統(tǒng)相關(guān)審計事項的指導意見》，該指導意見第一條就明確要求審計機關(guān)檢查被審計單位的信息系統(tǒng)的安全性，也具體說明了信息系統(tǒng)安全審計的對象、內(nèi)容及方法。此后，審計署了《信息系統(tǒng)審計指南》，在指南中明確信息系統(tǒng)安全審計的內(nèi)容，并提供了一些信息系統(tǒng)安全審計的方式方法、審計程序，指導審計機關(guān)開展信息系統(tǒng)安全審計工作。從審計內(nèi)容方面看，信息系統(tǒng)安全審計主要包括安全性審計、內(nèi)部控制審計和平臺建設(shè)健全性審計。安全性審計是指各國在進行信息系統(tǒng)安全審計時都以信息系統(tǒng)的安全威脅作為關(guān)鍵審計事項。電子政務(wù)系統(tǒng)的信息安全不僅包括信息數(shù)據(jù)本身的完整性、保密性、安全性，還包括云存儲方式下存儲技術(shù)的安全與信息載體的安全，因此防范和化解信息系統(tǒng)安全威脅是保證我國政務(wù)信息安全的關(guān)鍵。除此之外，信息系統(tǒng)審計還需關(guān)注內(nèi)部控制和平臺建設(shè)健全性審計。一方面，電子政務(wù)信息資產(chǎn)涉及國家或相關(guān)企業(yè)的內(nèi)部信息，保護信息資產(chǎn)安全是核心要務(wù)。雖然政務(wù)內(nèi)網(wǎng)與政務(wù)外網(wǎng)存在物理隔離，但內(nèi)部人員的惡意泄露防不勝防，因此要審查內(nèi)部控制的規(guī)范性，力求避免機密信息的泄露或丟失。另一方面，政務(wù)系統(tǒng)本身可能存在設(shè)計缺陷或平臺建設(shè)安全問題，因此既要從系統(tǒng)設(shè)計層面審查系統(tǒng)結(jié)構(gòu)的健全性，又要完善信息資產(chǎn)的分級、分類存儲程序。

五、我國電子政務(wù)信息系統(tǒng)安全審計的啟示

1．建立健全信息系統(tǒng)審計安全體系。中國計算機用戶協(xié)會的《信息系統(tǒng)審計師職業(yè)技能評價》（T/CCUA002—2020）標準，提出了基于信息系統(tǒng)的4類結(jié)構(gòu)性控制的知識體系，以及4個方面的信息系統(tǒng)審計知識。從近年國內(nèi)出臺的規(guī)范來看，由于沒有專門機構(gòu)負責審計系統(tǒng)審計方面的規(guī)則、標準、指南，各個機構(gòu)出臺標準、規(guī)范、指南等并不統(tǒng)一。由于缺少適應(yīng)我國國情的標準和規(guī)范，大部分還是出于信息系統(tǒng)審計人員個人理解對理論研究和框架模式的探索，不具有廣泛性。國內(nèi)信息系統(tǒng)安全審計方面系統(tǒng)體系混亂的問題亟待解決。因此，從云治理層面出發(fā)需要關(guān)注云治理結(jié)構(gòu)、方針政策和規(guī)范制度、風險管理與權(quán)責分離。一是完善法律法規(guī)，為IT審計人員提供強有力的法律依據(jù)；二是加強審計指南的層次性，細致具體的審計層次結(jié)構(gòu)能夠幫助審計人員快速識別分析的控制弱點、確定審計計劃、實施具體審計程序，提高審計效率，也節(jié)省審計資源；三是優(yōu)化信息系統(tǒng)控制標準，便于IT審計人員評估系統(tǒng)的控制狀態(tài)。具體而言，建議指定機構(gòu)專門負責編制相關(guān)標準、指南，為構(gòu)建符合實際需求的安全審計體系，建議出臺總體標準、基礎(chǔ)設(shè)施標準、數(shù)據(jù)標準、業(yè)務(wù)標準、服務(wù)標準、管理標準以及安全標準，將信息系統(tǒng)安全審計的體系規(guī)范化、詳細化。具體如圖1所示。

2．優(yōu)化審計工具軟件配置。目前我國政府機關(guān)配置的計算機信息系統(tǒng)與審計軟件的接口匹配度不高，導致審計工具軟件的利用率較低；此外隨著信息系統(tǒng)審計實務(wù)越加復雜化，審計軟件需要定期更新升級，否則審計軟件存在功能滯后性，嚴重影響信息系統(tǒng)審計的實施。信息系統(tǒng)審計工具軟件優(yōu)化配置可從以下幾方面進行：一是建議將審計軟件的采購納入招標競爭機制，優(yōu)先采購通用型審計軟件，解決軟件與硬件不匹配的問題；二是提高審計軟件的采購標準，尤其是對審計軟件的實務(wù)類的功能（如數(shù)據(jù)分析處理功能）嚴格把關(guān)；三是與審計軟件供應(yīng)商簽訂長期服務(wù)協(xié)議，保證審計軟件的配置與維護升級。

3．信息系統(tǒng)審計人才培養(yǎng)與儲備。信息系統(tǒng)審計不僅需要靈活使用專業(yè)知識，更需要實務(wù)經(jīng)驗，因此人才是信息系統(tǒng)審計的關(guān)鍵，只有重視并系統(tǒng)性培養(yǎng)人才，才能在未來信息系統(tǒng)發(fā)展中贏得優(yōu)勢。信息系統(tǒng)審計師需要將諸多學科的理論知識融會貫通，并靈活應(yīng)用于實踐。在審計實踐中不僅僅會遇到信息系統(tǒng)審計方面的難題，還可能遭遇財務(wù)難題、組織管理難題、網(wǎng)絡(luò)技術(shù)難題等。因此，想要提高國內(nèi)信息系統(tǒng)審計水平，離不開人才的培養(yǎng)與儲備，應(yīng)加快建設(shè)并擴充信息系統(tǒng)審計的職業(yè)隊伍。信息系統(tǒng)審計人才培養(yǎng)可考慮從以下幾方面進行：一是加強理論研究。鼓勵高校線上線下同時開展信息系統(tǒng)審計相關(guān)課程的培訓，幫助學生學習掌握信息系統(tǒng)審計的理論體系；二是加大培訓力度、拓寬培訓范圍。開展多渠道的培訓講座，展示表彰優(yōu)秀審計案例，加強審計人員間經(jīng)驗交流；三是加大績效考核和優(yōu)化激勵制度。號召相關(guān)從業(yè)人員積極參與實務(wù)，定期考核從業(yè)人員的績效并及時發(fā)放獎勵，充分調(diào)動審計人員的參與積極性。

六、小結(jié)

綜上所述，我國信息系統(tǒng)審計發(fā)展進程略微落后，研究方向大體是信息系統(tǒng)審計框架探索、信息系統(tǒng)數(shù)據(jù)存儲安全審計等。面對新形勢、新挑戰(zhàn)，一方面我國需要盡快落實信息系統(tǒng)審計體系劃分，出臺相應(yīng)的政策和法規(guī)，明確統(tǒng)一通用型的指南與標準。另一方面，我國需重視組建并擴充信息系統(tǒng)審計的職業(yè)隊伍，為國內(nèi)信息系統(tǒng)審計的發(fā)展積蓄人才?？偠灾?，關(guān)于電子政務(wù)信息系統(tǒng)審計的研究仍有較大發(fā)展空間，我國未來可以在通用審計實務(wù)經(jīng)驗、軟件功能更新和規(guī)范落實等方向上繼續(xù)探索。

作者:侯良格 單位:南京審計大學政府審計學院