计算机论文
电子政务网络安全审计风险分析
时间:2022-09-03 22:49 所属分类:计算机论文 点击次数:
2021年11月,中国发布了《中国》“十四五”《信息通信产业发展规划》首次将网络安全产业的创新发展作为重要任务之一,将新数字基础设施的安全提升到新的战略高度[1]。在大数据背景下,审计主体应符合电子政务网络动态监管要求,将网络安全引入电子政务审计模式。由于电子政务网络安全审计不同于传统审计工作,具有取证广泛、审计对象多样性等特点。鉴于此,本文基于风险分析和模块取证,探讨了电子政务网络安全审计的应用,旨在为电子政务网络安全审计应用层的理论发展提供参考。电子政务网络安全审计系统的建设过程是一种基于现代软件工程环境,结合安全模式下数据交换和程序链接的动态模式。通过访问控制和安全审计,对用户信息进行集中管理和调控。详见图1。在大数据背景下,电子政务网络安全审计应用层的设计应从安全层面进行深入思考,围绕安全审计进行研发。应用层设计包括风险分析和模块证据收集。
风险分析视野下电子政务网络安全审计应用层分析
电子政务网络安全审计风险分析
1983年,美国注册会计师协会(AmericanInstituteofCertifiedPublicAccountants,AICPA)提出风险算法,审计风险不仅是重大错误风险和检查风险的乘积,也是固有风险(InherentRisk,IR),控制风险(ControlRisk,CR),检查风险(DetectionRisk,DR)三者乘积[2]。因此,在大数据背景下,电子政务网络安全审计风险由上述三个要素组成。电子政务网络安全审计风险构成见图2。1.1.1电子政务网络安全固有风险。电子政务网络安全固有风险是指基于大数据的电子政务系统在排除内部因素的控制下,由某些因素引起的重大安全事故,以及在这些因素的影响下造成的损失。关键节点个因素的概率。固有风险主要体现在技术、管理和政策层面。任何一个层面的问题都可能导致电子政务下的审计风险,因此需要系统地分析固有风险的组成部分,并根据分析评估电子政务网络安全的固有风险。首先,技术层面主要涵盖数据、应用、主机系统和网络,其固有风险表现在数据、应用、主机系统和网络上SaaS层,PaaS层,IaaS层[3]。SaaS层技术风险包括数据传输风险、应用隔离风险、应用程序与应用补丁不兼容风险和数据泄露风险;PaaS层技术风险包括数据处理风险和云开发风险。数据处理风险是由服务器频繁增减、组件故障和多用户并发访问引起的风险,而云开发风险是由不确定的编程模型、不安全的开发环境和复杂的编程界面引起的风险;IaaS层技术风险主要来自虚拟机的内外风险,内部风险来自虚拟机的攻击和冲突,外部风险来自虚拟机与外部系统交叉时产生的信息泄露风险。二是管理层面主要涵盖制度、人员、组织和制度建设。管理层面的固有风险包括权限管理混乱、供应链终端、数据归属不明、服务终止、安全边界不明确、内部人员恶意操作等。最后,隐私数据的保护和泄露以及责任定义所面临的风险也属于固有风险范畴。1.1.2.电子政务网络安全控制风险。电子政务网络安全控制风险被定义为未及时发现网络安全事件的内部控制范和处理即将发生的安全事故的概率。大数据背景下的控制风险包括审计系统的设计和控制,以确保科学有效的安全控制为前提[4]。目前,电子政务网络安全管理只注重业务流程和安全硬件建设,对电子政务系统内部控制建设重视不够。当审计应用层内部控制系统混乱、模糊或错误时,意味着执行力和计算能力不足,容易造成电子政务网络安全控制风险。因此,审计应用层内部控制建设应由建设方、开发方、运营商和服务方共同参与和重视。1.1.3.电子政务网络安全检查风险。电子政务网络安全检查风险定义为未检测到安全事故造成的安全风险。检查风险因素包括多个维度:(1)工作人员的素质,如审计人员的工作能力;(2)审计方案、技术等审计环节的规范是否科学合理;(3)检测环节的合规性,如检测中的技术手段是否合适;(4)审计环节是否合理,审计抽样是否合理。在大数据背景下,电子政务网络安全审计不仅要求审计主体具备计算机技术、审计技术、安全管理等领域的知识,还要精通这些学科。由于培养复合审计人才需要一个长期的过程,目前还没有相对成熟的安全审计体系和规范可供参考。因此,如何降低电子政务网络安全审计检查的风险是现阶段需要高度重视的问题,审计主体需要采取多项措施和整体规划。