電子政務信息系統安全審計研究

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了電子政務信息系統安全審計研究范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：隨著云計算、大數據等技術的高速發展，各地政府響應“放管服”改革和建設服務型政府的戰略決策，逐漸深化電子政務的實踐。本文首先以文獻綜述的方式系統性分析近年來國內外關于信息系統審計的研究進展，其次梳理我國信息系統審計發展概況，最后提出電子政務信息系統云安全審計體系。文末分析我國信息系統安全審計亟待解決的問題，并從行業法規標準的完善、審計工具軟件的優化配置及人才培養儲備等方面提出相關改進建議。

關鍵詞：云計算；電子政務；信息系統審計；安全審計

一、引言

“十二五”規劃明確要求以云計算為基礎，積極構建并完善政府公共服務平臺，促進政府各機關組織全方位協同、信息資源共享以及為信息安全提供保障。“互聯網+政務服務”的概念在2016年政府報告中被提及，自此政務云、政務信息系統的建設步履不停。翟云（2017）認為“互聯網+政務服務”能夠推動政府實現治理現代化。從實踐成果方面看，全國各地積極將電子政務系統投入公共服務工作中，并建成各省市區網上政務信息平臺。成都市致力于統籌公共信息平臺與信息系統，綜合調度、加強政務信息系統的交互訪問；2019年甘肅開辟多條信息化稅務通道“前后呼應”為民眾減負；北京大興區政府致力于建設智慧城市、打通政務服務“最后一公里”，與百度合作共同打造“指尖上的政務”；2020年浙江開設“云上商務廳”，提供線上“廳長問診”服務。據2020年聯合國出具的對世界各國電子政務調查報告顯示，我國2020年電子政務發展指數居全球第45位，排名較之前有了顯著提升。我國電子政務系統建設雖初有成效，但仍有進步空間。在信息系統設計與實施方面，電子政務信息系統的協同與完善、政務數據互聯共享機制有待完善；在數據存儲安全方面，信息存儲與訪問安全、公民隱私保護措施仍有待加強。

二、相關概念與理論基礎

1．電子政務。電子政務是依賴信息技術與通信技術開展的政府政務活動。電子政務建立在一系列信息基礎設施之上，使用相關軟件實現政府功能，電子政務信息系統是一種利用網絡實現公共服務，集信息處理、交互、反饋為一體的系統，電子政務信息系統適用于政府各機關組織、企業和公眾。電子政務信息系統服務的對象包括該組織的內部機構，以及其他機構、團體、企業和公眾，處理內容包括政府機構的內部信息，可以在一定范圍內交換的信息，并接受各種類型的投訴、建議和要求。簡而言之，電子政務信息系統是一種政府綜合行政電子管理系統，通過技術手段將政府傳統行政方式轉變為電子管理模式。

2．信息系統安全審計。2012年審計署的《信息系統審計指南》指出，信息系統審計是國家審計機關依法對被審計單位信息系統的合法性、真實性、效益性和安全性進行審計監督。而信息系統安全審計是圍繞系統的“安全性”屬性展開一系列審計活動。例如，從風險管理角度測試黑客攻擊、網絡詐騙、病毒侵入等安全風險對組織造成的不利影響；或是從內部控制角度審查來自組織內部的舞弊、異常刪除、未經授權的訪問等，造成信息資產損壞、個人隱私泄露等后果。綜上所述，信息系統安全審計的目標是評價信息系統是否足夠安全，能否識別并抵御內部、外部的安全威脅，以及評價信息系統內數據的安全性、完整性。

三、文獻研究綜述

1．數據與存儲安全審計。數據安全指的就是承托信息的數據安全，包括結構化與非結構化數據的安全。在實務中的理解就是，做到用戶數據信息資產的保密性、完整性、可用性、授權與訪問等方面的安全防護。隨著政府信息化建設的不斷推進，信息資產安全需求增加，政府對數據的機密性、完整性要求極高，但受制于有限的本地存儲資源，往往會依托第三方可靠的云存儲服務。由此，電子政務信息系統的安全審計需基于“云”的背景展開。國際信息系統審計與控制協會（InformationSystemsAu-ditandControlAssociation，ISACA）認為云審計的主要關注點是云治理、網絡配置管理、身份和訪問管理、資源配置管理和資源安全、日志與監控、安全事件響應、業務連續性和災難恢復、數據保護和數據加密。Wang（2013）從資源配置角度提出一個云存儲系統，基于公鑰的同態線性身份認證器顯著減少審計方的通信和計算開銷。Mei（2014）從云治理層面提出一個能夠對典型云存儲系統進行審計的云安全審計體系，將可信的計算技術與第三方審計相結合，既支持云服務提供商的問責，又能保護云用戶的利益。在身份和訪問管理層面，Anbuchelian等（2019）創新了密碼策略，密鑰提供者使用改進的RSA密碼系統算法（稱為MRSAC算法）生成密鑰，采用多級哈希樹算法對數據信息的完整性進行審計驗證。Shen（2017）則是從身份驗證機制方面提出改良建議，引入第三方媒介為用戶生成身份驗證器，并代表用戶驗證數據完整性。區別于加密算法復雜的操作過程，用戶訪問云數據時無需執行耗時的解密操作，只需確保使用的第三方媒介在有效期內且獲得授權即可。為確保外包數據的完整性，Li等（2020）提出一種支持數據動態的安全可審計云存儲方案，使用輕量級的信息加密操作便能使審計在檢查數據完整性方面快了兩倍。Madi等（2016）則從系統結構的視角，構建一個自動化審計框架用以驗證與虛擬化相關的安全屬性、多個控制層的一致性，并通過覆蓋層和第二層的云視圖來審計openstack管理的云中虛擬網絡之間的一致性隔離。

2．政務信息系統審計理論框架。陳柏興（2010）基于可拓模糊理論的負載均衡模型，構建了一個適用于電子政務信息系統的安全審計框架。劉國城、王會金（2012）借鑒COBIT理論，以日志為導向提出了信息系統安全審計模型構想。張文秀（2012）綜合比較典型的國際信息系統審計標準、框架和指南，以國家文化差異為影響因子建模，探究信息系統審計規范制度是否可移植。同樣是研究國外理論的可移植性，唐志豪（2014）就國際信息系統審計準則進行本土化分析。馮朝勝（2015）從加密存儲、安全審計和密文訪問控制3個方面對云計算在數據安全方面進行評述。劉國城（2016）基于審計的“過程”視角探討信息系統安全審計如何展開，并提出適用于電子政務的云安全審計模式，結合既定風險估值與風險等級層次分析，從宏觀角度論證信息系統安全審計免疫體系。楊文（2018）從國家宏觀層面出發，認為我國政務信息資源共享安全方面面臨著數據風險、平臺風險和管理風險，提議建立政務信息系統共享平臺，多角度、全方位地進行信息系統審計。白利芳（2020）對我國數據安全審計現有的四大機制進行綜述，并在此基礎上構建了數據安全審計機制的框架。還有的學者探討如何量化政務云安全風險。劉國城（2017）以商業銀行信息系統為審計客體，以“審計免疫”為理論基礎，借助“信息熵”技術進行安全審計，實現風險的分級與量化。王會金、劉國城（2018）創新性地引入“重大漏誤風險”，對實施、管理、控制與技術這四個領域實施系統化的風險評估，構建審計框架。

四、我國電子政務信息系統審計實施現狀

我國審計機關開展信息系統安全審計工作起步較晚，信息系統安全審計上也有一定的研究。首先從政府部門角度來看，我國相繼出臺了一些有關信息系統安全審計的法律法規。2010年4月，審計署了《關于檢查信息系統相關審計事項的指導意見》，該指導意見第一條就明確要求審計機關檢查被審計單位的信息系統的安全性，也具體說明了信息系統安全審計的對象、內容及方法。此后，審計署了《信息系統審計指南》，在指南中明確信息系統安全審計的內容，并提供了一些信息系統安全審計的方式方法、審計程序，指導審計機關開展信息系統安全審計工作。從審計內容方面看，信息系統安全審計主要包括安全性審計、內部控制審計和平臺建設健全性審計。安全性審計是指各國在進行信息系統安全審計時都以信息系統的安全威脅作為關鍵審計事項。電子政務系統的信息安全不僅包括信息數據本身的完整性、保密性、安全性，還包括云存儲方式下存儲技術的安全與信息載體的安全，因此防范和化解信息系統安全威脅是保證我國政務信息安全的關鍵。除此之外，信息系統審計還需關注內部控制和平臺建設健全性審計。一方面，電子政務信息資產涉及國家或相關企業的內部信息，保護信息資產安全是核心要務。雖然政務內網與政務外網存在物理隔離，但內部人員的惡意泄露防不勝防，因此要審查內部控制的規范性，力求避免機密信息的泄露或丟失。另一方面，政務系統本身可能存在設計缺陷或平臺建設安全問題，因此既要從系統設計層面審查系統結構的健全性，又要完善信息資產的分級、分類存儲程序。

五、我國電子政務信息系統安全審計的啟示

1．建立健全信息系統審計安全體系。中國計算機用戶協會的《信息系統審計師職業技能評價》（T/CCUA002—2020）標準，提出了基于信息系統的4類結構性控制的知識體系，以及4個方面的信息系統審計知識。從近年國內出臺的規范來看，由于沒有專門機構負責審計系統審計方面的規則、標準、指南，各個機構出臺標準、規范、指南等并不統一。由于缺少適應我國國情的標準和規范，大部分還是出于信息系統審計人員個人理解對理論研究和框架模式的探索，不具有廣泛性。國內信息系統安全審計方面系統體系混亂的問題亟待解決。因此，從云治理層面出發需要關注云治理結構、方針政策和規范制度、風險管理與權責分離。一是完善法律法規，為IT審計人員提供強有力的法律依據；二是加強審計指南的層次性，細致具體的審計層次結構能夠幫助審計人員快速識別分析的控制弱點、確定審計計劃、實施具體審計程序，提高審計效率，也節省審計資源；三是優化信息系統控制標準，便于IT審計人員評估系統的控制狀態。具體而言，建議指定機構專門負責編制相關標準、指南，為構建符合實際需求的安全審計體系，建議出臺總體標準、基礎設施標準、數據標準、業務標準、服務標準、管理標準以及安全標準，將信息系統安全審計的體系規范化、詳細化。具體如圖1所示。

2．優化審計工具軟件配置。目前我國政府機關配置的計算機信息系統與審計軟件的接口匹配度不高，導致審計工具軟件的利用率較低；此外隨著信息系統審計實務越加復雜化，審計軟件需要定期更新升級，否則審計軟件存在功能滯后性，嚴重影響信息系統審計的實施。信息系統審計工具軟件優化配置可從以下幾方面進行：一是建議將審計軟件的采購納入招標競爭機制，優先采購通用型審計軟件，解決軟件與硬件不匹配的問題；二是提高審計軟件的采購標準，尤其是對審計軟件的實務類的功能（如數據分析處理功能）嚴格把關；三是與審計軟件供應商簽訂長期服務協議，保證審計軟件的配置與維護升級。

3．信息系統審計人才培養與儲備。信息系統審計不僅需要靈活使用專業知識，更需要實務經驗，因此人才是信息系統審計的關鍵，只有重視并系統性培養人才，才能在未來信息系統發展中贏得優勢。信息系統審計師需要將諸多學科的理論知識融會貫通，并靈活應用于實踐。在審計實踐中不僅僅會遇到信息系統審計方面的難題，還可能遭遇財務難題、組織管理難題、網絡技術難題等。因此，想要提高國內信息系統審計水平，離不開人才的培養與儲備，應加快建設并擴充信息系統審計的職業隊伍。信息系統審計人才培養可考慮從以下幾方面進行：一是加強理論研究。鼓勵高校線上線下同時開展信息系統審計相關課程的培訓，幫助學生學習掌握信息系統審計的理論體系；二是加大培訓力度、拓寬培訓范圍。開展多渠道的培訓講座，展示表彰優秀審計案例，加強審計人員間經驗交流；三是加大績效考核和優化激勵制度。號召相關從業人員積極參與實務，定期考核從業人員的績效并及時發放獎勵，充分調動審計人員的參與積極性。

六、小結

綜上所述，我國信息系統審計發展進程略微落后，研究方向大體是信息系統審計框架探索、信息系統數據存儲安全審計等。面對新形勢、新挑戰，一方面我國需要盡快落實信息系統審計體系劃分，出臺相應的政策和法規，明確統一通用型的指南與標準。另一方面，我國需重視組建并擴充信息系統審計的職業隊伍，為國內信息系統審計的發展積蓄人才。總而言之，關于電子政務信息系統審計的研究仍有較大發展空間，我國未來可以在通用審計實務經驗、軟件功能更新和規范落實等方向上繼續探索。

作者:侯良格 單位:南京審計大學政府審計學院