电子政务是实现国家信息化战略的重要基础。在大数据时代,电子政务云安全面临着严峻的挑战,数据泄密、账户劫持、系统漏洞等因素阻碍着政务信息化的发展。查错纠弊是审计的基本职责,云安全审计作为一种监督手段,有效迎合了电子政务云的安全管控需求。面对云计算的复杂性,如何建立一套成熟的电子政务云安全审计策略体系已成为亟待解决的热点问题。在理论回顾的基础上,设计电子政务云安全审计框架,确定电子政务云安全审计模式和技术方法,分析电子政务云安全审计风险的构成,探索基于基础设施安全、数据信息安全、应用服务安全、安全组织管理等模块的电子政务云安全审计机制,形成具有可行性、科学性的电子政务云安全审计体系。研究结论从审计视角为大数据时代电子政务云的安全管理实践提供了理论支持,是电子政务云安全审计策略构建的实践参考。
电子政务是国家机关在政务活动中,使用各类网络技术、现代信息技术与办公自动化技术为社会公众提供在线服务、信息发布以及互动反馈等功能的一种管理模式。电子政务云的发展需要大数据、云计算、区块链等智能科技的有力支撑。2016年12月,国务院办公厅印发的《“互联网+政务服务”技术体系建设指南》中提出,促进云计算、大数据、物联网、移动互联网等在政务服务中的应用,不断提升政务服务便捷化、个性化、智慧化、安全化水平。在大数据时代,云应用是基于云计算的终端和云端互动的应用,其优势是跨平台性、资源整合、轻量性、易用性和节约成本,但也面临着计算机病毒、假冒窃听、内部威胁、业务欺骗、信息泄露等严峻的安全问题。审计具有查错纠弊、监督保障、促进管理等功能,以独立的第三方视角促进电子政务云安全建设是审计重要的业务内容之一。审计主体有必要紧跟大数据时代潮流,深入探索电子政务云安全审计的体系结构与运行机制,力求推进电子政务云安全管理的动态化、立体化与智能化。
在网络安全、信息安全以及云计算安全受到极大威胁的大数据时代,电子政务云的安全问题亟待学界的高度关注。电子政务发展至今已经历网络建设、系统建设和数据赋能三个阶段。与其他云安全审计比较,电子政务云安全审计的内容不仅包括互联网、政务外网、政务专网、政务内网等方面的安全审计,而且涵盖有关电子政务的云辅助决策系统、云政务服务系统、云生态监测系统、云市场监管系统和云社会管理系统等方面的安全审计,且应包含有关电子政务云的数聚、数享与数治等方面的安全审计。当前,我国缺乏一套成熟的信息系统安全审计体系与经验,电子政务云也不例外。在大数据时代,对电子政务云安全审计策略开展系统性研究,具有重要的学术价值,具体表现为:(1)借鉴和吸收国内外相关思想,能够科学建立适用于电子政务云特色的信息安全审计标准;(2)基于工程学视角,分析电子政务云的安全审计框架,将会拓展政务云安全审计模式;(3)基于免疫监视思想,研究安全风险的构成及其评价,将会丰富政务云审计监控方法;(4)基于系统论视角,将云审计规范、云风险估计、云审计模块、云取证机制、云漏洞防御等要项整合于一体,分析彼此之间的逻辑关联,探索整体和局部的辩证关系,提炼整体功能与价值的普遍性规律,建立电子政务云安全审计理论体系,能够创新电子政务云安全审计理论。
一、文献回顾
电子政务云是将传统的政务应用迁移至云系统中,基于云技术对政府功能实施再造,并依托IT技术在云中实现流程办理以及服务职能的信息化平台。安全是电子政务云有效运行的前提。当前,针对电子政务云安全的文献主要集中于:(1)风险分析。姜茸等认为电子政务云安全风险来源于应用服务层和云终端,主要体现在虚拟化、API、软件漏洞等方面;刘国城认为电子政务云安全风险集中于管理、实施、安全等领域,并分属于“开发与获取”“人员管理”等若干要项。(2)控制技术。胡俊等基于推理和角色的访问控制技术设计云政务系统的混合访问控制模型;池亚平等基于OpenStack与Shibboleth的Keystone安全组件技术,建立一种细粒度的电子政务云跨域访问控制系统。(3)保障策略。黄瑞锋和张会宁等建立电子政务云关键服务的OWL描述机制以及云用户任务的安全调度策略。(4)监管政策。在电子政务云安全监管政策方面,欧盟制定《政务云安全框架》、美国出台《云安全指南》、日本发布《信息安全管理基准》,相关标准能够为我国构建电子政务云安全管理框架提供借鉴。
云安全审计是以现代审计理念为核心,跟踪云用户行为,揭示云应用漏洞,改善云计算性能,对云规程及其应用政策开展全过程监督的活动。有关云安全审计的理论研究较为分散,尚未形成完整的体系。在云存储安全方面,秦志光等基于双线性对技术和默克尔哈希树提出分层次索引结构的动态数据完整性存储审计方案;徐洋等针对云端大数据安全存储问题,基于代数签名技术提出数据持有性审计策略;邵必林等基于数据的可恢复证明、持有性证明和所有权证明设计云存储安全审计协议。在云日志安全方面,赵春晔等和郭涛敏等采用改进的关联规则挖掘算法分析云用户行为日志的异常信息,建立云日志安全审计方案。在云外包数据安全方面,柳玉东等基于字符串相等检测协议制定面向全生命周期的云外包数据安全审计措施。云安全审计面临着多层服务、多租户、虚拟化、跨域共享等方面的挑战,为提升云安全审计质量,有必要科学搭建云安全审计平台,该平台的优势是增加云安全审计效率、提升云安全的保密性、降低云审计风险以及保障云安全审计数据传输的通畅性。
电子政务云安全审计是对电子政务云的内外部用户行为进行全过程监督,对电子政务云操作步骤开展全过程追踪,监测安全漏洞和滥用行为,捕捉电子政务云用户异常轨迹,记录电子政务云安全事件,以强化对电子政务云安全的控制与管理。通过文献梳理我们发现,学术界在电子政务云安全以及云安全审计等方面已取得一定的积累,但有关电子政务云安全审计的理论文献还极为匮乏,难成体系。尽管政务大数据实现了云操作,但电子政务云在每一构成要素上都面临着严峻的威胁。审计具有成熟的理论与方法,以审计为视角探索电子政务云安全问题,将会通过交叉领域融合研究进而推动学术理念创新。
二、理论分析
从审计的本质来看,美国会计学会(AAA)1972年发布的《审计基本概念公告》中提出的审计系统过程论得到学术界的普遍认可,该观点认为“审计是以客观性要求收集和评价与经济活动事项相关认定的证据,并确定其与既定标准的相符程度,最终把结果向利益相关者传递的系统性过程”。审计的系统过程论概括地说明了审计对经济活动事项如何查、怎么查等问题。在实施恰当的审计程序并获取充分、适当的审计证据后,审计可对鉴证业务提供高水平的合理保证,即审计的本质是审计对经济事项的鉴证、评价和监督作用。在此作用下,一方面,审计的信息理论认为审计可以使经济信息更加可靠;另一方面,审计的受托责任理论认为审计由委托方、受托方和审计机构的三方关系产生,是一项独立的经济监督活动,通过审计可实现委托方对受托方的监督。
电子政务云是在数字化背景下发展形成的一种政府经济活动数据生成系统,该系统可通过应用集成平台和数据交换平台协调多层级政务云平台。与审计的信息理论对应,电子政务云生成的数据信息在当前数据要素市场化配置改革的制度安排下,政府云数据已经逐渐由“上云”转为“云上”,政府云建设重点向基层政府转移,这在一定程度上说明了政府云数据的内部共享协同进一步扩大;同时,政府云数据开放的广度也逐渐提高,有试点城市已经面向社会开放相应数据,通过政府云数据与社会数据融合以最大化数据要素价值。然而,可靠性是数据价值的“灵魂”,对电子政务云的构成要素进行安全审计可以对数据生成的过程控制进行评估与测试,发现数据生成过程的安全漏洞,改善数据生成系统性能,最终提高政府内部数据利用效率以及政府云数据与社会数据的融合效率,从而增进数据要素价值。此外,与审计的受托责任理论对应,若把各层级政府看作分级的委托代理关系,参与电子政务云的政府部门一定程度上可以看作政务云系统中执行数据生成与交换的代理人,上级政府可以看作统筹参与政务云系统的政府部门以生成可靠经济信息的委托人。若要保证电子政务云系统运行的有效性,委托人可聘请独立的审计机构进行审计鉴证以保证电子政务云系统生成信息的可靠性。对电子政务云的安全审计可捕捉电子政务云内外部用户的异常轨迹,发现代理人用户的道德风险行为,也即安全审计作为独立的经济监督,可强化对电子政务云系统安全关键要素的控制与管理。因此,电子政务云的安全审计可充分发挥审计的鉴证、评价与监督作用,既能增进数据要素价值,又能加强对电子政务云的控制,保证电子政务云系统的有效运行。基于此,本文从基础层、应用层和体系层着手设计电子政务云安全审计框架,并开展有关电子政务云安全审计方向的学术研究,以期为电子政务云安全管理实践提供理论与现实支持。
三、电子政务云安全审计框架设计
对电子政务云安全进行审计是一项复杂的工程,应遵循独立性、客观性、整体性、重要性、相关性和可操作性等原则。电子政务云安全审计框架是包含在理论系统内的各个基本要项的集合体。设计电子政务云安全审计框架应该包含审计模式、审计方法、风险分析、模块取证、审计体系等要素,它们具有整体性、抽象性和前瞻性等特征,并在总体框架之下相互作用、运行有序、辩证统一。本文尝试构架大数据时代电子政务云安全审计框架,如图1所示。电子政务云安全审计框架由基础层、应用层和体系层三部分组成。基础层以电子政务云安全审计的本质属性为基本导向,涵盖审计模式、审计技术、审计方法等内容。应用层以电子政务云安全审计的业务特征为逻辑起点,涵盖固有风险分析、控制风险分析、检查风险分析、审计模块取证等内容。体系层以电子政务云安全审计的体系建设为发展动力,涵盖审计标准规范、风险评价流程、审计取证机制、漏洞防御机制、威胁监测机制等内容。基础层是电子政务安全审计事项的根基与起点,应用层是电子政务安全审计过程的演进和实施,体系层是电子政务安全审计经历的凝结与整合。基础层、应用层、体系层三者之间相辅相成,有机演进,在理论中寻求指引、明晰方向,从实务中发现问题、积累经验、总结规律,促进电子政务云安全审计知识创造,并进一步通过理论和实践的深度融合进而推进云安全审计理论的丰富与完善。
四、电子政务云安全审计基础层要素设计
从电子政务云安全审计基础层要素的分解来看,电子政务云安全审计基础层包含审计模式、审计技术方法等体现云安全审计本质属性的要素。
(一)电子政务云安全审计的模式
电子政务云安全审计模式有两种类型以供审计主体参考和借鉴。一是基于具体业务的静态审计。该种模式经历如下过程:(1)准备,内容涵盖明确审计任务和重点、签订审计业务约定书、判断重要性水平、编制审计计划和具体方案等;(2)实施,主要是通过对有关电子政务云安全的大数据进行采集、预处理、分析和可视化,开展符合性测试与实质性测试,识别云风险,发现云漏洞,并对取证资料的充分性、客观性、合规性等方面进行分析和鉴定;(3)终结,内容涵盖整理工作底稿、编制安全审计报告、执行审计决定以及促进审计整改。二是基于实时联网的动态审计。该种模式经历如下过程:(1)自动响应,主要是指当被审事项遇到潜在攻击时所采取的自动响应措施,如进行实时报警、中断服务或终止违例进程等;(2)事件生成、分析与预览,内容涵盖对在安全功能控制下发生的相关安全事件进行记录,定义可审计事件清单,在线自动分析潜在的或实际发生的安全违规操作,对系统形成潜在攻击的特征事件进行匹配,以及授权云用户对安全审计记录进行访问和浏览;(3)事件存储与选择,内容涵盖建立安全审计跟踪日志并保证审计存储的有效性,界定审计集合中可接受审计的事件或不接受的事件,并要求审计系统提供相应的安全控制措施。
(二)电子政务云安全审计的技术方法
………………
大数据时代电子政务云安全审计策略构建研究 PDF 完整版下载(文字可复制):
https://www.aliyundrive.com/s/bjnaDHNv6kj 提取码: 40dk