摘要:随着云计算、大数据等技术的高速发展,各地政府响应“放管服”改革和建设服务型政府的战略决策,逐渐深化电子政务的实践。本文首先以文献综述的方式系统性分析近年来国内外关于信息系统审计的研究进展,其次梳理我国信息系统审计发展概况,最后提出电子政务信息系统云安全审计体系。文末分析我国信息系统安全审计亟待解决的问题,并从行业法规标准的完善、审计工具软件的优化配置及人才培养储备等方面提出相关改进建议。
关键词:云计算;电子政务;信息系统审计;安全审计
一、引言
“十二五”规划明确要求以云计算为基础,积极构建并完善政府公共服务平台,促进政府各机关组织全方位协同、信息资源共享以及为信息安全提供保障。“互联网+政务服务”的概念在2016年政府报告中被提及,自此政务云、政务信息系统的建设步履不停。翟云(2017)认为“互联网+政务服务”能够推动政府实现治理现代化。从实践成果方面看,全国各地积极将电子政务系统投入公共服务工作中,并建成各省市区网上政务信息平台。成都市致力于统筹公共信息平台与信息系统,综合调度、加强政务信息系统的交互访问;2019年甘肃开辟多条信息化税务通道“前后呼应”为民众减负;北京大兴区政府致力于建设智慧城市、打通政务服务“最后一公里”,与百度合作共同打造“指尖上的政务”;2020年浙江开设“云上商务厅”,提供线上“厅长问诊”服务。据2020年联合国出具的对世界各国电子政务调查报告显示,我国2020年电子政务发展指数居全球第45位,排名较之前有了显著提升。我国电子政务系统建设虽初有成效,但仍有进步空间。在信息系统设计与实施方面,电子政务信息系统的协同与完善、政务数据互联共享机制有待完善;在数据存储安全方面,信息存储与访问安全、公民隐私保护措施仍有待加强。
二、相关概念与理论基础
1.电子政务。电子政务是依赖信息技术与通信技术开展的政府政务活动。电子政务建立在一系列信息基础设施之上,使用相关软件实现政府功能,电子政务信息系统是一种利用网络实现公共服务,集信息处理、交互、反馈为一体的系统,电子政务信息系统适用于政府各机关组织、企业和公众。电子政务信息系统服务的对象包括该组织的内部机构,以及其他机构、团体、企业和公众,处理内容包括政府机构的内部信息,可以在一定范围内交换的信息,并接受各种类型的投诉、建议和要求。简而言之,电子政务信息系统是一种政府综合行政电子管理系统,通过技术手段将政府传统行政方式转变为电子管理模式。
2.信息系统安全审计。2012年审计署发布的《信息系统审计指南》指出,信息系统审计是国家审计机关依法对被审计单位信息系统的合法性、真实性、效益性和安全性进行审计监督。而信息系统安全审计是围绕系统的“安全性”属性展开一系列审计活动。例如,从风险管理角度测试黑客攻击、网络诈骗、病毒侵入等安全风险对组织造成的不利影响;或是从内部控制角度审查来自组织内部的舞弊、异常删除、未经授权的访问等,造成信息资产损坏、个人隐私泄露等后果。综上所述,信息系统安全审计的目标是评价信息系统是否足够安全,能否识别并抵御内部、外部的安全威胁,以及评价信息系统内数据的安全性、完整性。
三、文献研究综述
1.数据与存储安全审计。数据安全指的就是承托信息的数据安全,包括结构化与非结构化数据的安全。在实务中的理解就是,做到用户数据信息资产的保密性、完整性、可用性、授权与访问等方面的安全防护。随着政府信息化建设的不断推进,信息资产安全需求增加,政府对数据的机密性、完整性要求极高,但受制于有限的本地存储资源,往往会依托第三方可靠的云存储服务。由此,电子政务信息系统的安全审计需基于“云”的背景展开。国际信息系统审计与控制协会(InformationSystemsAu-ditandControlAssociation,ISACA)认为云审计的主要关注点是云治理、网络配置管理、身份和访问管理、资源配置管理和资源安全、日志与监控、安全事件响应、业务连续性和灾难恢复、数据保护和数据加密。Wang(2013)从资源配置角度提出一个云存储系统,基于公钥的同态线性身份认证器显著减少审计方的通信和计算开销。Mei(2014)从云治理层面提出一个能够对典型云存储系统进行审计的云安全审计体系,将可信的计算技术与第三方审计相结合,既支持云服务提供商的问责,又能保护云用户的利益。在身份和访问管理层面,Anbuchelian等(2019)创新了密码策略,密钥提供者使用改进的RSA密码系统算法(称为MRSAC算法)生成密钥,采用多级哈希树算法对数据信息的完整性进行审计验证。Shen(2017)则是从身份验证机制方面提出改良建议,引入第三方媒介为用户生成身份验证器,并代表用户验证数据完整性。区别于加密算法复杂的操作过程,用户访问云数据时无需执行耗时的解密操作,只需确保使用的第三方媒介在有效期内且获得授权即可。为确保外包数据的完整性,Li等(2020)提出一种支持数据动态的安全可审计云存储方案,使用轻量级的信息加密操作便能使审计在检查数据完整性方面快了两倍。Madi等(2016)则从系统结构的视角,构建一个自动化审计框架用以验证与虚拟化相关的安全属性、多个控制层的一致性,并通过覆盖层和第二层的云视图来审计openstack管理的云中虚拟网络之间的一致性隔离。
2.政务信息系统审计理论框架。陈柏兴(2010)基于可拓模糊理论的负载均衡模型,构建了一个适用于电子政务信息系统的安全审计框架。刘国城、王会金(2012)借鉴COBIT理论,以日志为导向提出了信息系统安全审计模型构想。张文秀(2012)综合比较典型的国际信息系统审计标准、框架和指南,以国家文化差异为影响因子建模,探究信息系统审计规范制度是否可移植。同样是研究国外理论的可移植性,唐志豪(2014)就国际信息系统审计准则进行本土化分析。冯朝胜(2015)从加密存储、安全审计和密文访问控制3个方面对云计算在数据安全方面进行评述。刘国城(2016)基于审计的“过程”视角探讨信息系统安全审计如何展开,并提出适用于电子政务的云安全审计模式,结合既定风险估值与风险等级层次分析,从宏观角度论证信息系统安全审计免疫体系。杨文(2018)从国家宏观层面出发,认为我国政务信息资源共享安全方面面临着数据风险、平台风险和管理风险,提议建立政务信息系统共享平台,多角度、全方位地进行信息系统审计。白利芳(2020)对我国数据安全审计现有的四大机制进行综述,并在此基础上构建了数据安全审计机制的框架。还有的学者探讨如何量化政务云安全风险。刘国城(2017)以商业银行信息系统为审计客体,以“审计免疫”为理论基础,借助“信息熵”技术进行安全审计,实现风险的分级与量化。王会金、刘国城(2018)创新性地引入“重大漏误风险”,对实施、管理、控制与技术这四个领域实施系统化的风险评估,构建审计框架。
四、我国电子政务信息系统审计实施现状
我国审计机关开展信息系统安全审计工作起步较晚,信息系统安全审计上也有一定的研究。首先从政府部门角度来看,我国相继出台了一些有关信息系统安全审计的法律法规。2010年4月,审计署发布了《关于检查信息系统相关审计事项的指导意见》,该指导意见第一条就明确要求审计机关检查被审计单位的信息系统的安全性,也具体说明了信息系统安全审计的对象、内容及方法。此后,审计署发布了《信息系统审计指南》,在指南中明确信息系统安全审计的内容,并提供了一些信息系统安全审计的方式方法、审计程序,指导审计机关开展信息系统安全审计工作。从审计内容方面看,信息系统安全审计主要包括安全性审计、内部控制审计和平台建设健全性审计。安全性审计是指各国在进行信息系统安全审计时都以信息系统的安全威胁作为关键审计事项。电子政务系统的信息安全不仅包括信息数据本身的完整性、保密性、安全性,还包括云存储方式下存储技术的安全与信息载体的安全,因此防范和化解信息系统安全威胁是保证我国政务信息安全的关键。除此之外,信息系统审计还需关注内部控制和平台建设健全性审计。一方面,电子政务信息资产涉及国家或相关企业的内部信息,保护信息资产安全是核心要务。虽然政务内网与政务外网存在物理隔离,但内部人员的恶意泄露防不胜防,因此要审查内部控制的规范性,力求避免机密信息的泄露或丢失。另一方面,政务系统本身可能存在设计缺陷或平台建设安全问题,因此既要从系统设计层面审查系统结构的健全性,又要完善信息资产的分级、分类存储程序。
五、我国电子政务信息系统安全审计的启示
1.建立健全信息系统审计安全体系。中国计算机用户协会发布的《信息系统审计师职业技能评价》(T/CCUA002—2020)标准,提出了基于信息系统的4类结构性控制的知识体系,以及4个方面的信息系统审计知识。从近年国内出台的规范来看,由于没有专门机构负责审计系统审计方面的规则、标准、指南,各个机构出台标准、规范、指南等并不统一。由于缺少适应我国国情的标准和规范,大部分还是出于信息系统审计人员个人理解对理论研究和框架模式的探索,不具有广泛性。国内信息系统安全审计方面系统体系混乱的问题亟待解决。因此,从云治理层面出发需要关注云治理结构、方针政策和规范制度、风险管理与权责分离。一是完善法律法规,为IT审计人员提供强有力的法律依据;二是加强审计指南的层次性,细致具体的审计层次结构能够帮助审计人员快速识别分析的控制弱点、确定审计计划、实施具体审计程序,提高审计效率,也节省审计资源;三是优化信息系统控制标准,便于IT审计人员评估系统的控制状态。具体而言,建议指定机构专门负责编制相关标准、指南,为构建符合实际需求的安全审计体系,建议出台总体标准、基础设施标准、数据标准、业务标准、服务标准、管理标准以及安全标准,将信息系统安全审计的体系规范化、详细化。具体如图1所示。
2.优化审计工具软件配置。目前我国政府机关配置的计算机信息系统与审计软件的接口匹配度不高,导致审计工具软件的利用率较低;此外随着信息系统审计实务越加复杂化,审计软件需要定期更新升级,否则审计软件存在功能滞后性,严重影响信息系统审计的实施。信息系统审计工具软件优化配置可从以下几方面进行:一是建议将审计软件的采购纳入招标竞争机制,优先采购通用型审计软件,解决软件与硬件不匹配的问题;二是提高审计软件的采购标准,尤其是对审计软件的实务类的功能(如数据分析处理功能)严格把关;三是与审计软件供应商签订长期服务协议,保证审计软件的配置与维护升级。
3.信息系统审计人才培养与储备。信息系统审计不仅需要灵活使用专业知识,更需要实务经验,因此人才是信息系统审计的关键,只有重视并系统性培养人才,才能在未来信息系统发展中赢得优势。信息系统审计师需要将诸多学科的理论知识融会贯通,并灵活应用于实践。在审计实践中不仅仅会遇到信息系统审计方面的难题,还可能遭遇财务难题、组织管理难题、网络技术难题等。因此,想要提高国内信息系统审计水平,离不开人才的培养与储备,应加快建设并扩充信息系统审计的职业队伍。信息系统审计人才培养可考虑从以下几方面进行:一是加强理论研究。鼓励高校线上线下同时开展信息系统审计相关课程的培训,帮助学生学习掌握信息系统审计的理论体系;二是加大培训力度、拓宽培训范围。开展多渠道的培训讲座,展示表彰优秀审计案例,加强审计人员间经验交流;三是加大绩效考核和优化激励制度。号召相关从业人员积极参与实务,定期考核从业人员的绩效并及时发放奖励,充分调动审计人员的参与积极性。
六、小结
综上所述,我国信息系统审计发展进程略微落后,研究方向大体是信息系统审计框架探索、信息系统数据存储安全审计等。面对新形势、新挑战,一方面我国需要尽快落实信息系统审计体系划分,出台相应的政策和法规,明确统一通用型的指南与标准。另一方面,我国需重视组建并扩充信息系统审计的职业队伍,为国内信息系统审计的发展积蓄人才。总而言之,关于电子政务信息系统审计的研究仍有较大发展空间,我国未来可以在通用审计实务经验、软件功能更新和规范落实等方向上继续探索。
《我国电子政务信息系统云安全审计研究述评》来源:《河北企业》,作者:侯良格
