公務(wù)員期刊網(wǎng) 論文中心 正文

電子政務(wù)信息系統(tǒng)安全審計(jì)研究

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了電子政務(wù)信息系統(tǒng)安全審計(jì)研究范文,希望能給你帶來靈感和參考,敬請(qǐng)閱讀。

電子政務(wù)信息系統(tǒng)安全審計(jì)研究

摘要:隨著云計(jì)算、大數(shù)據(jù)等技術(shù)的高速發(fā)展,各地政府響應(yīng)“放管服”改革和建設(shè)服務(wù)型政府的戰(zhàn)略決策,逐漸深化電子政務(wù)的實(shí)踐。本文首先以文獻(xiàn)綜述的方式系統(tǒng)性分析近年來國內(nèi)外關(guān)于信息系統(tǒng)審計(jì)的研究進(jìn)展,其次梳理我國信息系統(tǒng)審計(jì)發(fā)展概況,最后提出電子政務(wù)信息系統(tǒng)云安全審計(jì)體系。文末分析我國信息系統(tǒng)安全審計(jì)亟待解決的問題,并從行業(yè)法規(guī)標(biāo)準(zhǔn)的完善、審計(jì)工具軟件的優(yōu)化配置及人才培養(yǎng)儲(chǔ)備等方面提出相關(guān)改進(jìn)建議。

關(guān)鍵詞:云計(jì)算;電子政務(wù);信息系統(tǒng)審計(jì);安全審計(jì)

一、引言

“十二五”規(guī)劃明確要求以云計(jì)算為基礎(chǔ),積極構(gòu)建并完善政府公共服務(wù)平臺(tái),促進(jìn)政府各機(jī)關(guān)組織全方位協(xié)同、信息資源共享以及為信息安全提供保障?!盎ヂ?lián)網(wǎng)+政務(wù)服務(wù)”的概念在2016年政府報(bào)告中被提及,自此政務(wù)云、政務(wù)信息系統(tǒng)的建設(shè)步履不停。翟云(2017)認(rèn)為“互聯(lián)網(wǎng)+政務(wù)服務(wù)”能夠推動(dòng)政府實(shí)現(xiàn)治理現(xiàn)代化。從實(shí)踐成果方面看,全國各地積極將電子政務(wù)系統(tǒng)投入公共服務(wù)工作中,并建成各省市區(qū)網(wǎng)上政務(wù)信息平臺(tái)。成都市致力于統(tǒng)籌公共信息平臺(tái)與信息系統(tǒng),綜合調(diào)度、加強(qiáng)政務(wù)信息系統(tǒng)的交互訪問;2019年甘肅開辟多條信息化稅務(wù)通道“前后呼應(yīng)”為民眾減負(fù);北京大興區(qū)政府致力于建設(shè)智慧城市、打通政務(wù)服務(wù)“最后一公里”,與百度合作共同打造“指尖上的政務(wù)”;2020年浙江開設(shè)“云上商務(wù)廳”,提供線上“廳長問診”服務(wù)。據(jù)2020年聯(lián)合國出具的對(duì)世界各國電子政務(wù)調(diào)查報(bào)告顯示,我國2020年電子政務(wù)發(fā)展指數(shù)居全球第45位,排名較之前有了顯著提升。我國電子政務(wù)系統(tǒng)建設(shè)雖初有成效,但仍有進(jìn)步空間。在信息系統(tǒng)設(shè)計(jì)與實(shí)施方面,電子政務(wù)信息系統(tǒng)的協(xié)同與完善、政務(wù)數(shù)據(jù)互聯(lián)共享機(jī)制有待完善;在數(shù)據(jù)存儲(chǔ)安全方面,信息存儲(chǔ)與訪問安全、公民隱私保護(hù)措施仍有待加強(qiáng)。

二、相關(guān)概念與理論基礎(chǔ)

1.電子政務(wù)。電子政務(wù)是依賴信息技術(shù)與通信技術(shù)開展的政府政務(wù)活動(dòng)。電子政務(wù)建立在一系列信息基礎(chǔ)設(shè)施之上,使用相關(guān)軟件實(shí)現(xiàn)政府功能,電子政務(wù)信息系統(tǒng)是一種利用網(wǎng)絡(luò)實(shí)現(xiàn)公共服務(wù),集信息處理、交互、反饋為一體的系統(tǒng),電子政務(wù)信息系統(tǒng)適用于政府各機(jī)關(guān)組織、企業(yè)和公眾。電子政務(wù)信息系統(tǒng)服務(wù)的對(duì)象包括該組織的內(nèi)部機(jī)構(gòu),以及其他機(jī)構(gòu)、團(tuán)體、企業(yè)和公眾,處理內(nèi)容包括政府機(jī)構(gòu)的內(nèi)部信息,可以在一定范圍內(nèi)交換的信息,并接受各種類型的投訴、建議和要求。簡(jiǎn)而言之,電子政務(wù)信息系統(tǒng)是一種政府綜合行政電子管理系統(tǒng),通過技術(shù)手段將政府傳統(tǒng)行政方式轉(zhuǎn)變?yōu)殡娮庸芾砟J健?/p>

2.信息系統(tǒng)安全審計(jì)。2012年審計(jì)署的《信息系統(tǒng)審計(jì)指南》指出,信息系統(tǒng)審計(jì)是國家審計(jì)機(jī)關(guān)依法對(duì)被審計(jì)單位信息系統(tǒng)的合法性、真實(shí)性、效益性和安全性進(jìn)行審計(jì)監(jiān)督。而信息系統(tǒng)安全審計(jì)是圍繞系統(tǒng)的“安全性”屬性展開一系列審計(jì)活動(dòng)。例如,從風(fēng)險(xiǎn)管理角度測(cè)試黑客攻擊、網(wǎng)絡(luò)詐騙、病毒侵入等安全風(fēng)險(xiǎn)對(duì)組織造成的不利影響;或是從內(nèi)部控制角度審查來自組織內(nèi)部的舞弊、異常刪除、未經(jīng)授權(quán)的訪問等,造成信息資產(chǎn)損壞、個(gè)人隱私泄露等后果。綜上所述,信息系統(tǒng)安全審計(jì)的目標(biāo)是評(píng)價(jià)信息系統(tǒng)是否足夠安全,能否識(shí)別并抵御內(nèi)部、外部的安全威脅,以及評(píng)價(jià)信息系統(tǒng)內(nèi)數(shù)據(jù)的安全性、完整性。

三、文獻(xiàn)研究綜述

1.?dāng)?shù)據(jù)與存儲(chǔ)安全審計(jì)。數(shù)據(jù)安全指的就是承托信息的數(shù)據(jù)安全,包括結(jié)構(gòu)化與非結(jié)構(gòu)化數(shù)據(jù)的安全。在實(shí)務(wù)中的理解就是,做到用戶數(shù)據(jù)信息資產(chǎn)的保密性、完整性、可用性、授權(quán)與訪問等方面的安全防護(hù)。隨著政府信息化建設(shè)的不斷推進(jìn),信息資產(chǎn)安全需求增加,政府對(duì)數(shù)據(jù)的機(jī)密性、完整性要求極高,但受制于有限的本地存儲(chǔ)資源,往往會(huì)依托第三方可靠的云存儲(chǔ)服務(wù)。由此,電子政務(wù)信息系統(tǒng)的安全審計(jì)需基于“云”的背景展開。國際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)(InformationSystemsAu-ditandControlAssociation,ISACA)認(rèn)為云審計(jì)的主要關(guān)注點(diǎn)是云治理、網(wǎng)絡(luò)配置管理、身份和訪問管理、資源配置管理和資源安全、日志與監(jiān)控、安全事件響應(yīng)、業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)、數(shù)據(jù)保護(hù)和數(shù)據(jù)加密。Wang(2013)從資源配置角度提出一個(gè)云存儲(chǔ)系統(tǒng),基于公鑰的同態(tài)線性身份認(rèn)證器顯著減少審計(jì)方的通信和計(jì)算開銷。Mei(2014)從云治理層面提出一個(gè)能夠?qū)Φ湫驮拼鎯?chǔ)系統(tǒng)進(jìn)行審計(jì)的云安全審計(jì)體系,將可信的計(jì)算技術(shù)與第三方審計(jì)相結(jié)合,既支持云服務(wù)提供商的問責(zé),又能保護(hù)云用戶的利益。在身份和訪問管理層面,Anbuchelian等(2019)創(chuàng)新了密碼策略,密鑰提供者使用改進(jìn)的RSA密碼系統(tǒng)算法(稱為MRSAC算法)生成密鑰,采用多級(jí)哈希樹算法對(duì)數(shù)據(jù)信息的完整性進(jìn)行審計(jì)驗(yàn)證。Shen(2017)則是從身份驗(yàn)證機(jī)制方面提出改良建議,引入第三方媒介為用戶生成身份驗(yàn)證器,并代表用戶驗(yàn)證數(shù)據(jù)完整性。區(qū)別于加密算法復(fù)雜的操作過程,用戶訪問云數(shù)據(jù)時(shí)無需執(zhí)行耗時(shí)的解密操作,只需確保使用的第三方媒介在有效期內(nèi)且獲得授權(quán)即可。為確保外包數(shù)據(jù)的完整性,Li等(2020)提出一種支持?jǐn)?shù)據(jù)動(dòng)態(tài)的安全可審計(jì)云存儲(chǔ)方案,使用輕量級(jí)的信息加密操作便能使審計(jì)在檢查數(shù)據(jù)完整性方面快了兩倍。Madi等(2016)則從系統(tǒng)結(jié)構(gòu)的視角,構(gòu)建一個(gè)自動(dòng)化審計(jì)框架用以驗(yàn)證與虛擬化相關(guān)的安全屬性、多個(gè)控制層的一致性,并通過覆蓋層和第二層的云視圖來審計(jì)openstack管理的云中虛擬網(wǎng)絡(luò)之間的一致性隔離。

2.政務(wù)信息系統(tǒng)審計(jì)理論框架。陳柏興(2010)基于可拓模糊理論的負(fù)載均衡模型,構(gòu)建了一個(gè)適用于電子政務(wù)信息系統(tǒng)的安全審計(jì)框架。劉國城、王會(huì)金(2012)借鑒COBIT理論,以日志為導(dǎo)向提出了信息系統(tǒng)安全審計(jì)模型構(gòu)想。張文秀(2012)綜合比較典型的國際信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)、框架和指南,以國家文化差異為影響因子建模,探究信息系統(tǒng)審計(jì)規(guī)范制度是否可移植。同樣是研究國外理論的可移植性,唐志豪(2014)就國際信息系統(tǒng)審計(jì)準(zhǔn)則進(jìn)行本土化分析。馮朝勝(2015)從加密存儲(chǔ)、安全審計(jì)和密文訪問控制3個(gè)方面對(duì)云計(jì)算在數(shù)據(jù)安全方面進(jìn)行評(píng)述。劉國城(2016)基于審計(jì)的“過程”視角探討信息系統(tǒng)安全審計(jì)如何展開,并提出適用于電子政務(wù)的云安全審計(jì)模式,結(jié)合既定風(fēng)險(xiǎn)估值與風(fēng)險(xiǎn)等級(jí)層次分析,從宏觀角度論證信息系統(tǒng)安全審計(jì)免疫體系。楊文(2018)從國家宏觀層面出發(fā),認(rèn)為我國政務(wù)信息資源共享安全方面面臨著數(shù)據(jù)風(fēng)險(xiǎn)、平臺(tái)風(fēng)險(xiǎn)和管理風(fēng)險(xiǎn),提議建立政務(wù)信息系統(tǒng)共享平臺(tái),多角度、全方位地進(jìn)行信息系統(tǒng)審計(jì)。白利芳(2020)對(duì)我國數(shù)據(jù)安全審計(jì)現(xiàn)有的四大機(jī)制進(jìn)行綜述,并在此基礎(chǔ)上構(gòu)建了數(shù)據(jù)安全審計(jì)機(jī)制的框架。還有的學(xué)者探討如何量化政務(wù)云安全風(fēng)險(xiǎn)。劉國城(2017)以商業(yè)銀行信息系統(tǒng)為審計(jì)客體,以“審計(jì)免疫”為理論基礎(chǔ),借助“信息熵”技術(shù)進(jìn)行安全審計(jì),實(shí)現(xiàn)風(fēng)險(xiǎn)的分級(jí)與量化。王會(huì)金、劉國城(2018)創(chuàng)新性地引入“重大漏誤風(fēng)險(xiǎn)”,對(duì)實(shí)施、管理、控制與技術(shù)這四個(gè)領(lǐng)域?qū)嵤┫到y(tǒng)化的風(fēng)險(xiǎn)評(píng)估,構(gòu)建審計(jì)框架。

四、我國電子政務(wù)信息系統(tǒng)審計(jì)實(shí)施現(xiàn)狀

我國審計(jì)機(jī)關(guān)開展信息系統(tǒng)安全審計(jì)工作起步較晚,信息系統(tǒng)安全審計(jì)上也有一定的研究。首先從政府部門角度來看,我國相繼出臺(tái)了一些有關(guān)信息系統(tǒng)安全審計(jì)的法律法規(guī)。2010年4月,審計(jì)署了《關(guān)于檢查信息系統(tǒng)相關(guān)審計(jì)事項(xiàng)的指導(dǎo)意見》,該指導(dǎo)意見第一條就明確要求審計(jì)機(jī)關(guān)檢查被審計(jì)單位的信息系統(tǒng)的安全性,也具體說明了信息系統(tǒng)安全審計(jì)的對(duì)象、內(nèi)容及方法。此后,審計(jì)署了《信息系統(tǒng)審計(jì)指南》,在指南中明確信息系統(tǒng)安全審計(jì)的內(nèi)容,并提供了一些信息系統(tǒng)安全審計(jì)的方式方法、審計(jì)程序,指導(dǎo)審計(jì)機(jī)關(guān)開展信息系統(tǒng)安全審計(jì)工作。從審計(jì)內(nèi)容方面看,信息系統(tǒng)安全審計(jì)主要包括安全性審計(jì)、內(nèi)部控制審計(jì)和平臺(tái)建設(shè)健全性審計(jì)。安全性審計(jì)是指各國在進(jìn)行信息系統(tǒng)安全審計(jì)時(shí)都以信息系統(tǒng)的安全威脅作為關(guān)鍵審計(jì)事項(xiàng)。電子政務(wù)系統(tǒng)的信息安全不僅包括信息數(shù)據(jù)本身的完整性、保密性、安全性,還包括云存儲(chǔ)方式下存儲(chǔ)技術(shù)的安全與信息載體的安全,因此防范和化解信息系統(tǒng)安全威脅是保證我國政務(wù)信息安全的關(guān)鍵。除此之外,信息系統(tǒng)審計(jì)還需關(guān)注內(nèi)部控制和平臺(tái)建設(shè)健全性審計(jì)。一方面,電子政務(wù)信息資產(chǎn)涉及國家或相關(guān)企業(yè)的內(nèi)部信息,保護(hù)信息資產(chǎn)安全是核心要?jiǎng)?wù)。雖然政務(wù)內(nèi)網(wǎng)與政務(wù)外網(wǎng)存在物理隔離,但內(nèi)部人員的惡意泄露防不勝防,因此要審查內(nèi)部控制的規(guī)范性,力求避免機(jī)密信息的泄露或丟失。另一方面,政務(wù)系統(tǒng)本身可能存在設(shè)計(jì)缺陷或平臺(tái)建設(shè)安全問題,因此既要從系統(tǒng)設(shè)計(jì)層面審查系統(tǒng)結(jié)構(gòu)的健全性,又要完善信息資產(chǎn)的分級(jí)、分類存儲(chǔ)程序。

五、我國電子政務(wù)信息系統(tǒng)安全審計(jì)的啟示

1.建立健全信息系統(tǒng)審計(jì)安全體系。中國計(jì)算機(jī)用戶協(xié)會(huì)的《信息系統(tǒng)審計(jì)師職業(yè)技能評(píng)價(jià)》(T/CCUA002—2020)標(biāo)準(zhǔn),提出了基于信息系統(tǒng)的4類結(jié)構(gòu)性控制的知識(shí)體系,以及4個(gè)方面的信息系統(tǒng)審計(jì)知識(shí)。從近年國內(nèi)出臺(tái)的規(guī)范來看,由于沒有專門機(jī)構(gòu)負(fù)責(zé)審計(jì)系統(tǒng)審計(jì)方面的規(guī)則、標(biāo)準(zhǔn)、指南,各個(gè)機(jī)構(gòu)出臺(tái)標(biāo)準(zhǔn)、規(guī)范、指南等并不統(tǒng)一。由于缺少適應(yīng)我國國情的標(biāo)準(zhǔn)和規(guī)范,大部分還是出于信息系統(tǒng)審計(jì)人員個(gè)人理解對(duì)理論研究和框架模式的探索,不具有廣泛性。國內(nèi)信息系統(tǒng)安全審計(jì)方面系統(tǒng)體系混亂的問題亟待解決。因此,從云治理層面出發(fā)需要關(guān)注云治理結(jié)構(gòu)、方針政策和規(guī)范制度、風(fēng)險(xiǎn)管理與權(quán)責(zé)分離。一是完善法律法規(guī),為IT審計(jì)人員提供強(qiáng)有力的法律依據(jù);二是加強(qiáng)審計(jì)指南的層次性,細(xì)致具體的審計(jì)層次結(jié)構(gòu)能夠幫助審計(jì)人員快速識(shí)別分析的控制弱點(diǎn)、確定審計(jì)計(jì)劃、實(shí)施具體審計(jì)程序,提高審計(jì)效率,也節(jié)省審計(jì)資源;三是優(yōu)化信息系統(tǒng)控制標(biāo)準(zhǔn),便于IT審計(jì)人員評(píng)估系統(tǒng)的控制狀態(tài)。具體而言,建議指定機(jī)構(gòu)專門負(fù)責(zé)編制相關(guān)標(biāo)準(zhǔn)、指南,為構(gòu)建符合實(shí)際需求的安全審計(jì)體系,建議出臺(tái)總體標(biāo)準(zhǔn)、基礎(chǔ)設(shè)施標(biāo)準(zhǔn)、數(shù)據(jù)標(biāo)準(zhǔn)、業(yè)務(wù)標(biāo)準(zhǔn)、服務(wù)標(biāo)準(zhǔn)、管理標(biāo)準(zhǔn)以及安全標(biāo)準(zhǔn),將信息系統(tǒng)安全審計(jì)的體系規(guī)范化、詳細(xì)化。具體如圖1所示。

2.優(yōu)化審計(jì)工具軟件配置。目前我國政府機(jī)關(guān)配置的計(jì)算機(jī)信息系統(tǒng)與審計(jì)軟件的接口匹配度不高,導(dǎo)致審計(jì)工具軟件的利用率較低;此外隨著信息系統(tǒng)審計(jì)實(shí)務(wù)越加復(fù)雜化,審計(jì)軟件需要定期更新升級(jí),否則審計(jì)軟件存在功能滯后性,嚴(yán)重影響信息系統(tǒng)審計(jì)的實(shí)施。信息系統(tǒng)審計(jì)工具軟件優(yōu)化配置可從以下幾方面進(jìn)行:一是建議將審計(jì)軟件的采購納入招標(biāo)競(jìng)爭(zhēng)機(jī)制,優(yōu)先采購?fù)ㄓ眯蛯徲?jì)軟件,解決軟件與硬件不匹配的問題;二是提高審計(jì)軟件的采購標(biāo)準(zhǔn),尤其是對(duì)審計(jì)軟件的實(shí)務(wù)類的功能(如數(shù)據(jù)分析處理功能)嚴(yán)格把關(guān);三是與審計(jì)軟件供應(yīng)商簽訂長期服務(wù)協(xié)議,保證審計(jì)軟件的配置與維護(hù)升級(jí)。

3.信息系統(tǒng)審計(jì)人才培養(yǎng)與儲(chǔ)備。信息系統(tǒng)審計(jì)不僅需要靈活使用專業(yè)知識(shí),更需要實(shí)務(wù)經(jīng)驗(yàn),因此人才是信息系統(tǒng)審計(jì)的關(guān)鍵,只有重視并系統(tǒng)性培養(yǎng)人才,才能在未來信息系統(tǒng)發(fā)展中贏得優(yōu)勢(shì)。信息系統(tǒng)審計(jì)師需要將諸多學(xué)科的理論知識(shí)融會(huì)貫通,并靈活應(yīng)用于實(shí)踐。在審計(jì)實(shí)踐中不僅僅會(huì)遇到信息系統(tǒng)審計(jì)方面的難題,還可能遭遇財(cái)務(wù)難題、組織管理難題、網(wǎng)絡(luò)技術(shù)難題等。因此,想要提高國內(nèi)信息系統(tǒng)審計(jì)水平,離不開人才的培養(yǎng)與儲(chǔ)備,應(yīng)加快建設(shè)并擴(kuò)充信息系統(tǒng)審計(jì)的職業(yè)隊(duì)伍。信息系統(tǒng)審計(jì)人才培養(yǎng)可考慮從以下幾方面進(jìn)行:一是加強(qiáng)理論研究。鼓勵(lì)高校線上線下同時(shí)開展信息系統(tǒng)審計(jì)相關(guān)課程的培訓(xùn),幫助學(xué)生學(xué)習(xí)掌握信息系統(tǒng)審計(jì)的理論體系;二是加大培訓(xùn)力度、拓寬培訓(xùn)范圍。開展多渠道的培訓(xùn)講座,展示表彰優(yōu)秀審計(jì)案例,加強(qiáng)審計(jì)人員間經(jīng)驗(yàn)交流;三是加大績效考核和優(yōu)化激勵(lì)制度。號(hào)召相關(guān)從業(yè)人員積極參與實(shí)務(wù),定期考核從業(yè)人員的績效并及時(shí)發(fā)放獎(jiǎng)勵(lì),充分調(diào)動(dòng)審計(jì)人員的參與積極性。

六、小結(jié)

綜上所述,我國信息系統(tǒng)審計(jì)發(fā)展進(jìn)程略微落后,研究方向大體是信息系統(tǒng)審計(jì)框架探索、信息系統(tǒng)數(shù)據(jù)存儲(chǔ)安全審計(jì)等。面對(duì)新形勢(shì)、新挑戰(zhàn),一方面我國需要盡快落實(shí)信息系統(tǒng)審計(jì)體系劃分,出臺(tái)相應(yīng)的政策和法規(guī),明確統(tǒng)一通用型的指南與標(biāo)準(zhǔn)。另一方面,我國需重視組建并擴(kuò)充信息系統(tǒng)審計(jì)的職業(yè)隊(duì)伍,為國內(nèi)信息系統(tǒng)審計(jì)的發(fā)展積蓄人才??偠灾?,關(guān)于電子政務(wù)信息系統(tǒng)審計(jì)的研究仍有較大發(fā)展空間,我國未來可以在通用審計(jì)實(shí)務(wù)經(jīng)驗(yàn)、軟件功能更新和規(guī)范落實(shí)等方向上繼續(xù)探索。

作者:侯良格 單位:南京審計(jì)大學(xué)政府審計(jì)學(xué)院