■劉文靜 榮慶嬌 王淵

2021 年11 月，我國出臺《“十四五”信息通信行業(yè)發(fā)展規(guī)劃》（簡稱《規(guī)劃》），其重在強(qiáng)調(diào)在“十四五”期間，深化互聯(lián)網(wǎng)安全保護(hù)。《規(guī)劃》將行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施及新型數(shù)字基礎(chǔ)設(shè)施的安全保障提到新的戰(zhàn)略高度，通過深化網(wǎng)絡(luò)安全防護(hù)和風(fēng)險管理、防范遏制重大網(wǎng)絡(luò)安全事件，提升行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施及新型數(shù)字基礎(chǔ)設(shè)施保障水平。此外，《規(guī)劃》首次將創(chuàng)新發(fā)展網(wǎng)絡(luò)安全產(chǎn)業(yè)作為重要任務(wù)之一。大數(shù)據(jù)時代，中國針對互聯(lián)網(wǎng)安全方面的審計工作迫切需要進(jìn)一步提高?；ヂ?lián)網(wǎng)安全審計不同于傳統(tǒng)審計，取證范圍極為廣泛，審計對象可能涉及互聯(lián)網(wǎng)、計算機(jī)科學(xué)以及安全科學(xué)等。鑒于此，本文通過對已有文獻(xiàn)進(jìn)行回顧的基礎(chǔ)上，探討了大數(shù)據(jù)時代下審計發(fā)展的趨勢，梳理了互聯(lián)網(wǎng)安全審計可能存在的風(fēng)險，最后分析了互聯(lián)網(wǎng)安全審計過程建模的理論與模塊如何進(jìn)行分解，本文的研究旨在為互聯(lián)網(wǎng)安全審計理論的發(fā)展提供建設(shè)性基本思路。

一、文獻(xiàn)綜述

現(xiàn)有大數(shù)據(jù)下互聯(lián)網(wǎng)安全審計的研究極為匱乏，學(xué)術(shù)界對該領(lǐng)域的理論研究還處于起步階段，文獻(xiàn)過于零散，呈現(xiàn)零碎化的狀態(tài)。

關(guān)于安全審計的研究。王文娟等（2017）從云計算安全審計面臨的挑戰(zhàn)、框架建議、機(jī)制等三個方面對云計算安全審計進(jìn)行了文獻(xiàn)綜述分析。楊宇婷（2018）借鑒美國審計署網(wǎng)絡(luò)安全審計經(jīng)驗分析了中國網(wǎng)絡(luò)安全審計未來如何實施。崔慧敏（2021）從云電子商務(wù)視角探討了安全審計問題，進(jìn)行了風(fēng)險的梳理。

關(guān)于大數(shù)據(jù)時代安全審計的研究。劉國城（2018、2020）結(jié)合大數(shù)據(jù)背景，以“互聯(lián)網(wǎng)+”領(lǐng)域的過程安全為對象，從理論、例證、評價、策略四個方面探討了如何進(jìn)行互聯(lián)網(wǎng)安全審計過程建模。王會金等（2021）結(jié)合大數(shù)據(jù)背景，從政務(wù)云角度分析了安全審計。認(rèn)為應(yīng)該基于風(fēng)險導(dǎo)向開展安全審計，從而降低政務(wù)云面臨的安全隱患問題。并從理論上探討了如何構(gòu)建電子政務(wù)云安全審計策略體系。

從已有文獻(xiàn)分析，可知結(jié)合“大數(shù)據(jù)”＋“互聯(lián)網(wǎng)安全審計”研究，目前還比較匱乏，最近幾年才開始受到關(guān)注，早期基本都是關(guān)注云數(shù)據(jù)安全審計，電子政務(wù)、電子商務(wù)等具體方面的安全審計問題，精準(zhǔn)研究互聯(lián)網(wǎng)安全審計的文章相對還是較少。本文結(jié)合大數(shù)據(jù)時代的背景，探討互聯(lián)網(wǎng)安全審計問題是對本領(lǐng)域相關(guān)研究的適當(dāng)改進(jìn)。聚焦于互聯(lián)網(wǎng)安全審計的研究對我國大數(shù)據(jù)發(fā)展中的安全問題具有一定意義上的理論參考價值。

二、大數(shù)據(jù)發(fā)展下審計演化趨勢

在大數(shù)據(jù)時代下審計未來的發(fā)展趨勢會有以下幾個方面的變化：

1.從抽樣分析轉(zhuǎn)向全數(shù)據(jù)分析。隨著大數(shù)據(jù)的發(fā)展，數(shù)據(jù)的獲取會相對簡單易行，且成本低。新的技術(shù)條件的改善，使得計算機(jī)能夠處理海量的數(shù)據(jù)，這使得未來審計師可以收集和處理全部的數(shù)據(jù)，建立總體審計的思維模式。

2.從發(fā)現(xiàn)事物的因果關(guān)系轉(zhuǎn)向運(yùn)用事物的相關(guān)關(guān)系。大數(shù)據(jù)下，審計資源的豐富，通過過程建?？梢詫Μ嵥榈臄?shù)據(jù)進(jìn)行相關(guān)性分析，從而發(fā)現(xiàn)事物之間的相關(guān)關(guān)系，預(yù)測一些事物的發(fā)展規(guī)律，建立關(guān)聯(lián)機(jī)理。

3.從追求數(shù)據(jù)的精確度轉(zhuǎn)向提高數(shù)據(jù)的使用效率。隨著大數(shù)據(jù)的發(fā)展，在審計互聯(lián)網(wǎng)安全時獲取的數(shù)據(jù)，存在瑣碎無序，優(yōu)劣摻雜，精準(zhǔn)度低的特點，如何更好的挖掘出這些混雜數(shù)據(jù)背后的價值，提升數(shù)據(jù)的及時性和使用效率，這是未來審計師需要實現(xiàn)的思維跨越。另外，為了提高審計質(zhì)量，審計工作人員應(yīng)學(xué)會使用一些新方法、新技術(shù)、數(shù)學(xué)模型，如新的大數(shù)據(jù)儲存、處置和查找方法、分布式拓?fù)浣Y(jié)構(gòu)、過程建模等。

三、互聯(lián)網(wǎng)安全審計風(fēng)險的梳理與分析

本文沿用傳統(tǒng)審計風(fēng)險理論（被審單位的固有風(fēng)險、控制風(fēng)險、審計主體的檢查風(fēng)險）對互聯(lián)網(wǎng)安全審計風(fēng)險進(jìn)行分析?；ヂ?lián)網(wǎng)安全審計風(fēng)險的構(gòu)成體系闡述如下（見圖1）：

圖1 互聯(lián)網(wǎng)安全審計風(fēng)險構(gòu)成

1.互聯(lián)網(wǎng)安全審計固有風(fēng)險。

互聯(lián)網(wǎng)安全審計固有風(fēng)險定義為若被審計對象沒有內(nèi)部控制，受內(nèi)部要素與客觀環(huán)境的干擾，互聯(lián)網(wǎng)發(fā)生重要安全事件以及促成重大安全損失的可能性。互聯(lián)網(wǎng)下固有風(fēng)險涵蓋技術(shù)（如數(shù)據(jù)、應(yīng)用、網(wǎng)絡(luò)、主機(jī)系統(tǒng)等）與管理（組織、制度、系統(tǒng)建設(shè)、人員等）兩個層面。每個層面上的任意環(huán)節(jié)出現(xiàn)問題，都可能產(chǎn)生互聯(lián)網(wǎng)安全隱患，因此，審計主體需要充分了解固有風(fēng)險的構(gòu)成，系統(tǒng)、透徹的分析數(shù)據(jù)，評估風(fēng)險發(fā)生的概率，依據(jù)分析評價固有風(fēng)險。

2.互聯(lián)網(wǎng)安全審計控制風(fēng)險。

互聯(lián)網(wǎng)安全審計控制風(fēng)險定義為被審計對象的內(nèi)部控制系統(tǒng)沒有及時進(jìn)行防御或發(fā)現(xiàn)互聯(lián)網(wǎng)安全事件與損失的可能性?；ヂ?lián)網(wǎng)安全審計控制風(fēng)險涵蓋兩個層面：（1） 內(nèi)部控制設(shè)計的健全性評價；（2）內(nèi)部控制執(zhí)行的有效性評價。因此，針對控制風(fēng)險，需要審計主體重點關(guān)注互聯(lián)網(wǎng)安全的內(nèi)部控制是否在制度設(shè)計與執(zhí)行方面存在缺陷，以便對有關(guān)審計流程及早進(jìn)行布局，將控制風(fēng)險降低到可以承受的范圍之內(nèi)。

3.互聯(lián)網(wǎng)安全審計檢查風(fēng)險。

互聯(lián)網(wǎng)安全審計檢查風(fēng)險定義為因?qū)徲嬛黧w方面使用了不合適的審計流程，導(dǎo)致未能及時發(fā)現(xiàn)互聯(lián)網(wǎng)存在重大安全事件與損失的可能性。由定義可知檢查風(fēng)險源于審計主體，原因分成以下2 個方面：（1）互聯(lián)網(wǎng)安全審計缺乏相關(guān)的法規(guī)、條例，審計主體因缺乏客觀的參考依據(jù)，這無形中增加審計主體對互聯(lián)網(wǎng)安全誤判的可能性；（2）互聯(lián)網(wǎng)安全審計領(lǐng)域嚴(yán)重缺少復(fù)合型人才，很難找到既懂網(wǎng)絡(luò)工程科學(xué)，又熟悉審計學(xué)的復(fù)合型人才。審計主體知識的不全面性，在依據(jù)經(jīng)驗判斷時，無形中會導(dǎo)致審計人員出錯概率的大幅增加。為此，新一代的審計師需要有IT 相關(guān)的知識以及傳統(tǒng)的財務(wù)審計能力，同時國家也需要繼續(xù)完善互聯(lián)網(wǎng)安全審計相關(guān)法律條文，讓審計人員有客觀參考依據(jù)。

四、互聯(lián)網(wǎng)安全審計過程建模的理論分析與模塊分解

1.互聯(lián)網(wǎng)安全審計過程建模的理論分析。

大數(shù)據(jù)時代下，開展互聯(lián)網(wǎng)安全審計的思維方式將發(fā)生“質(zhì)”的改變。審計過程建模將成為新一代審計思維模式的主導(dǎo)方式，從應(yīng)用隨機(jī)抽樣方式轉(zhuǎn)為建構(gòu)全體數(shù)據(jù)模型；從探尋精確數(shù)據(jù)取證轉(zhuǎn)為建構(gòu)混雜數(shù)據(jù)模型；從追求因果關(guān)系思維轉(zhuǎn)為構(gòu)建相關(guān)關(guān)系模型；從利用審計職業(yè)預(yù)測轉(zhuǎn)為借助技術(shù)工具建模?；诖髷?shù)據(jù)技術(shù)的建模工具可以大大減少審計師在工作中的主觀性失誤，有助于提高互聯(lián)網(wǎng)安全審計監(jiān)測數(shù)據(jù)與預(yù)警機(jī)制的科學(xué)性。

2.互聯(lián)網(wǎng)安全審計過程建模的模塊分解。

本文借鑒前人研究，選取互聯(lián)網(wǎng)安全審計的若干核心過程，將互聯(lián)網(wǎng)安全審計過程建模分解為以下四個模塊進(jìn)行分析。

（1）風(fēng)險評估模塊。

風(fēng)險評估可以對大數(shù)據(jù)時代互聯(lián)網(wǎng)安全涉及的每一個節(jié)點進(jìn)行評估，以便能夠評估互聯(lián)網(wǎng)安全威脅、攻擊和危害發(fā)生的概率。互聯(lián)網(wǎng)安全風(fēng)險評估過程可以分為風(fēng)險識別、風(fēng)險分析、風(fēng)險應(yīng)對三個環(huán)節(jié)。大數(shù)據(jù)時代下，互聯(lián)網(wǎng)安全風(fēng)險評估領(lǐng)域?qū)V泛采用傳統(tǒng)的互聯(lián)網(wǎng)風(fēng)險估計模型，并結(jié)合人工智能經(jīng)典模型進(jìn)行風(fēng)險評估。

（2）過程挖掘模塊。

互聯(lián)網(wǎng)安全過程挖掘建模理論涉及網(wǎng)絡(luò)安全挖掘和大數(shù)據(jù)挖掘兩個方面?；ヂ?lián)網(wǎng)安全過程挖掘工作可以分為過程挖掘準(zhǔn)備、過程挖掘?qū)嵤?、過程挖掘終結(jié)三個環(huán)節(jié)。過程挖掘準(zhǔn)備工作包括數(shù)據(jù)采集和數(shù)據(jù)預(yù)處理；過程挖掘?qū)嵤┌Ｐ桶l(fā)現(xiàn)、模型構(gòu)建、一致性檢查、模型評估、隱性知識顯性化；過程挖掘終結(jié)包括知識評估、挖掘評價、任務(wù)策略思考。

（3）過程取證模塊。

大數(shù)據(jù)下互聯(lián)網(wǎng)安全審計取證區(qū)別于傳統(tǒng)審計取證側(cè)重關(guān)注過去的事實，而是全方位關(guān)注，不僅關(guān)注過去，還聚焦未來，利用大數(shù)據(jù)可以進(jìn)行鑒定預(yù)測證據(jù)，及時發(fā)現(xiàn)互聯(lián)網(wǎng)將受到怎樣的威脅?；ヂ?lián)網(wǎng)安全審計過程取證包括符合性測試、建模工具的廣泛運(yùn)用、取證建模實施三個步驟。

（4）監(jiān)測預(yù)警模塊。

監(jiān)測預(yù)警已成為審計范疇下的重要組成。學(xué)術(shù)界在理論和領(lǐng)域應(yīng)用兩方面對互聯(lián)網(wǎng)監(jiān)測預(yù)警建模都進(jìn)行了深入研究?；ヂ?lián)網(wǎng)安全審計下監(jiān)測預(yù)警模塊分為任務(wù)與需求、平臺搭建、過程建模三個構(gòu)建步驟。