电子政务是国家机关在政务活动中,使用各类网络技术、现代信息技术与办公自动化技术为社会公众提供在线服务、信息发布以及互动反馈等功能的一种管理模式。电子政务云的发展需要大数据、云计算、区块链等智能科技的有力支撑。2016年12月,国务院办公厅印发的《“互联网+政务服务”技术体系建设指南》中提出,促进云计算、大数据、物联网、移动互联网等在政务服务中的应用,不断提升政务服务便捷化、个性化、智慧化、安全化水平。在大数据时代,云应用是基于云计算的终端和云端互动的应用,其优势是跨平台性、资源整合、轻量性、易用性和节约成本,但也面临着计算机病毒、假冒窃听、内部威胁、业务欺骗、信息泄露等严峻的安全问题。审计具有查错纠弊、监督保障、促进管理等功能,以独立的第三方视角促进电子政务云安全建设是审计重要的业务内容之一。审计主体有必要紧跟大数据时代潮流,深入探索电子政务云安全审计的体系结构与运行机制,力求推进电子政务云安全管理的动态化、立体化与智能化。 在网络安全、信息安全以及云计算安全受到极大威胁的大数据时代,电子政务云的安全问题亟待学界的高度关注。电子政务发展至今已经历网络建设、系统建设和数据赋能三个阶段。与其他云安全审计比较,电子政务云安全审计的内容不仅包括互联网、政务外网、政务专网、政务内网等方面的安全审计,而且涵盖有关电子政务的云辅助决策系统、云政务服务系统、云生态监测系统、云市场监管系统和云社会管理系统等方面的安全审计,且应包含有关电子政务云的数聚、数享与数治等方面的安全审计。当前,我国缺乏一套成熟的信息系统安全审计体系与经验,电子政务云也不例外。在大数据时代,对电子政务云安全审计策略开展系统性研究,具有重要的学术价值,具体表现为:(1)借鉴和吸收国内外相关思想,能够科学建立适用于电子政务云特色的信息安全审计标准;(2)基于工程学视角,分析电子政务云的安全审计框架,将会拓展政务云安全审计模式;(3)基于免疫监视思想,研究安全风险的构成及其评价,将会丰富政务云审计监控方法;(4)基于系统论视角,将云审计规范、云风险估计、云审计模块、云取证机制、云漏洞防御等要项整合于一体,分析彼此之间的逻辑关联,探索整体和局部的辩证关系,提炼整体功能与价值的普遍性规律,建立电子政务云安全审计理论体系,能够创新电子政务云安全审计理论。 一、文献回顾 电子政务云是将传统的政务应用迁移至云系统中,基于云技术对政府功能实施再造,并依托IT技术在云中实现流程办理以及服务职能的信息化平台。安全是电子政务云有效运行的前提。当前,针对电子政务云安全的文献主要集中于:(1)风险分析。姜茸等认为电子政务云安全风险来源于应用服务层和云终端,主要体现在虚拟化、API、软件漏洞等方面;刘国城认为电子政务云安全风险集中于管理、实施、安全等领域,并分属于“开发与获取”“人员管理”等若干要项。(2)控制技术。胡俊等基于推理和角色的访问控制技术设计云政务系统的混合访问控制模型;池亚平等基于OpenStack与Shibboleth的Keystone安全组件技术,建立一种细粒度的电子政务云跨域访问控制系统。(3)保障策略。黄瑞锋和张会宁等建立电子政务云关键服务的OWL描述机制以及云用户任务的安全调度策略。(4)监管政策。在电子政务云安全监管政策方面,欧盟制定《政务云安全框架》、美国出台《云安全指南》、日本发布《信息安全管理基准》,相关标准能够为我国构建电子政务云安全管理框架提供借鉴。 云安全审计是以现代审计理念为核心,跟踪云用户行为,揭示云应用漏洞,改善云计算性能,对云规程及其应用政策开展全过程监督的活动。有关云安全审计的理论研究较为分散,尚未形成完整的体系。在云存储安全方面,秦志光等基于双线性对技术和默克尔哈希树提出分层次索引结构的动态数据完整性存储审计方案;徐洋等针对云端大数据安全存储问题,基于代数签名技术提出数据持有性审计策略;邵必林等基于数据的可恢复证明、持有性证明和所有权证明设计云存储安全审计协议。在云日志安全方面,赵春晔等和郭涛敏等采用改进的关联规则挖掘算法分析云用户行为日志的异常信息,建立云日志安全审计方案。在云外包数据安全方面,柳玉东等基于字符串相等检测协议制定面向全生命周期的云外包数据安全审计措施。云安全审计面临着多层服务、多租户、虚拟化、跨域共享等方面的挑战,为提升云安全审计质量,有必要科学搭建云安全审计平台,该平台的优势是增加云安全审计效率、提升云安全的保密性、降低云审计风险以及保障云安全审计数据传输的通畅性。 电子政务云安全审计是对电子政务云的内外部用户行为进行全过程监督,对电子政务云操作步骤开展全过程追踪,监测安全漏洞和滥用行为,捕捉电子政务云用户异常轨迹,记录电子政务云安全事件,以强化对电子政务云安全的控制与管理。通过文献梳理我们发现,学术界在电子政务云安全以及云安全审计等方面已取得一定的积累,但有关电子政务云安全审计的理论文献还极为匮乏,难成体系。尽管政务大数据实现了云操作,但电子政务云在每一构成要素上都面临着严峻的威胁。审计具有成熟的理论与方法,以审计为视角探索电子政务云安全问题,将会通过交叉领域融合研究进而推动学术理念创新。 二、理论分析 从审计的本质来看,美国会计学会(AAA)1972年发布的《审计基本概念公告》中提出的审计系统过程论得到学术界的普遍认可,该观点认为“审计是以客观性要求收集和评价与经济活动事项相关认定的证据,并确定其与既定标准的相符程度,最终把结果向利益相关者传递的系统性过程”。审计的系统过程论概括地说明了审计对经济活动事项如何查、怎么查等问题。在实施恰当的审计程序并获取充分、适当的审计证据后,审计可对鉴证业务提供高水平的合理保证,即审计的本质是审计对经济事项的鉴证、评价和监督作用。在此作用下,一方面,审计的信息理论认为审计可以使经济信息更加可靠;另一方面,审计的受托责任理论认为审计由委托方、受托方和审计机构的三方关系产生,是一项独立的经济监督活动,通过审计可实现委托方对受托方的监督。