云计算是结合分布式处理、虚拟化资源和网络存储和网络协议等多项技术的新型商业计算服务模式。近年来国家出台多项政策,保障云计算服务行业发展创新。2017年,工业和信息化部发布《云计算发展三年行动计划》,提出健全云计算产业相关标准体系,强化云计算服务应用和云基础设施建设,推动重点领域企业上云。云计算作为数字经济的重点产业,担负着加快数字化发展的重大责任。中国信通院《云计算白皮书(2023年)》指出,过去一年,我国云计算产业保持快速发展,市场规模达到4550亿元,预计2025年我国云计算整体市场规模超万亿元,同时云安全问题的重要性日益突出。云承载了大量隐私信息数据的同时也产生了众多安全风险问题,计算机病毒、隐私泄露、数据滥用、外部攻击、技术缺陷等安全漏洞阻碍云平台的正常运行。云安全涉及范围较广,需要从全局的视角进行安全防护。 新时代审计事业高质量发展为中国式现代化提供了审计保障。审计作为经济监督部门有必要以现代信息技术为战略支撑探索创新。发展云平台审计是科技强审、推进审计全覆盖的必经之路。云安全审计能有效迎合云平台安全风险管控的需求,各相关利益方迫切需要将其引入云服务。云平台建设参与主体和涉及部门众多、关系复杂,对各利益相关方间需求沟通、差异协调的要求较高,进行云安全审计时,审计主体面对的风险因素错综复杂。本研究通过社会网络分析法探究云安全风险因素在利益相关主体间的影响关系,在理论上拓宽现有云安全审计领域的研究视角,从实践上辅助审计主体识别出云安全风险传导的关键节点,实行有效的审计管控措施,旨在全面提升云安全审计治理能力,助力云审计赋能数字经济。 一、文献回顾 (一)云安全风险及审计 云安全漏洞是当前云计算应用途中的一大阻碍。从相关研究进展来看,学者主要从云计算环境下安全风险识别、评价与控制等方面展开研究。目前针对云安全风险的文献主要集中于:(1)云安全问题。Malhotra et al.研究发现云计算安全性是制约云服务发展的重要障碍,认为应用服务层和云终端层是云安全风险的两大主要源头。(2)云安全风险评价。阮树骅等以云计算相关的政策法规、技术领域和管理领域作为起点识别风险因素,构建云安全风险评估指标体系和风险评估计量模型,为云安全风险评估提供量化依据。(3)云安全控制技术。C Lee et al.和张晓娟等研究了国外云计算技术安全标准体系及框架建设,为政府云的建设管理提供理论支持。冯朝胜等和王于丁等基于已有云计算访问控制技术框架,分别探索云虚拟化以及云计算访问控制等方面的安全技术和方法。随着电子政务云技术应用逐渐兴起,章谦骅等规划建设政务云安全体系方案,并设计政务云安全保障策略,旨在支持电子政务云高效稳定运营。 安全审计是防范化解云安全风险的一种有效方式。云安全审计是基于现代审计理念,追踪云用户行为,评估云安全风险,揭示云应用漏洞,提升云服务效益,从云平台的建设、部署、应用、运维等环节开展全过程监督的活动。作为新兴审计范式,当前云安全审计研究主要集中于:(1)优化云安全审计技术。孔丹等在梳理传统安全审计存在的缺陷以及结合现有改进技术的基础上,整合审计信息收集、存储与分析三大功能子模块,设计出一种基于改进的Apriori算法的云安全审计系统,并证明该算法能大幅提升运作效率和安全性能。陈康康建立面向云存储系统的身份认证协议,并使用代理重加密技术设计安全可靠的云数据存储加密协议及共享机制,且有效性已通过Hadoop平台验证。(2)构建云安全审计框架。刘国城以“过程挖掘”作为核心技术,深入研究云安全审计过程运行机制,创造性地设计出一种新的云安全审计模式,推进电子政务云安全审计管理体系建设。 (二)社会网络分析在风险管理中的应用 社会网络分析是一种用于研究个体或组织之间复杂关系的定量分析方法,近年来被引入于风险管理中,侧重研究风险因素间的相互影响,具体有:(1)风险传染机制研究。部分学者将其应用到金融、工程项目领域风险的研究中,如娄燕妮等探究交通领域PPP项目建设过程中的风险传导机制。部分学者的风险研究对象涉及社会稳定领域,对基层腐败网络进行结构分析。(2)风险管控策略研究。社会网络分析可以融合利益相关者理论,结合相关主体间的合作关系深层次发掘风险因素间的相互作用。赵国超等基于社会网络分析,识别智慧社区运营的利益相关主体,给出风险缓解策略并检测风险控制效果,提出相应协同发展建议。 (三)社会网络分析在审计中的应用 随着大数据等新技术的快速发展,审计工作开始智能化转型。将审计对象间的各种社会属性形式化,并用复杂网络再现其特定社会关系,对于审计主体查找关键人物或团体、进一步追查审计线索有重要意义。社会网络分析在审计中的应用研究集中于:(1)审计线索发掘。吴益兵等基于社会网络理论发现审计师和公司高管的社会网络关系会影响审计师选择、审计收费以及审计质量等一系列审计行为。结合具体案例,陈伟等融合金融科技风险审计方法,以社会网络分析技术为基础设计一套金融科技系统用户管理风险审计方法,有关结论为信息系统审计师提供参考思路。(2)审计社会网络实践路径。目前审计社会网络分析应用实践仍处于探索阶段。吕天阳等在深入研究已公开审计案例的基础上,阐明审计社会网络分析的数学基础和基本方法,搭建审计社会网络实践框架。在关联方交易审计案例中,杨超等将交易作为节点引入社会网络,通过建模呈现关联方交易特有的闭环现象,并检验该模型效果,说明社会网络分析有利于拓展大数据审计方法,降低第三方机构承担的审计风险。