劇杰 徐清 (南京審計大學政府審計學院 江蘇南京 211815)
隨著信息技術的飛速發(fā)展,網(wǎng)絡已經(jīng)滲透到生活的方方面面。國家對數(shù)字經(jīng)濟時代的網(wǎng)絡發(fā)展也給予了高度重視,先后提出“‘互聯(lián)網(wǎng)+’行動計劃”和“大數(shù)據(jù)計劃”等。《“十四五”數(shù)字經(jīng)濟發(fā)展規(guī)劃》指出,發(fā)展數(shù)字經(jīng)濟是把握新一輪科技革命和產(chǎn)業(yè)變革新機遇的戰(zhàn)略選擇,并強調(diào)著力強化數(shù)字經(jīng)濟安全體系,包括增強網(wǎng)絡安全防護能力等舉措??傮w上來說,依托數(shù)字技術,網(wǎng)絡空間與現(xiàn)實世界深度融合,數(shù)字化轉型已成大勢所趨,網(wǎng)絡安全問題也成為審計機關關注的重點。
首先,在網(wǎng)絡系統(tǒng)中,設備、軟件、數(shù)據(jù)等各自的信息相互較獨立,所以被審計單位很可能存在由于技術漏洞導致的重復預警或信息不一致的問題,與此同時,黑客、爬蟲等新型攻擊風險也在加大,亦會直接導致重要信息數(shù)據(jù)的泄露。其次,各地政府在網(wǎng)絡安全防護技術的資源投入和人員配備上也可能不盡相同,部分單位可能存在內(nèi)部操作制度與管理不合規(guī)而導致的風險。通過網(wǎng)絡安全審計,各地政府能夠明確了解自身在網(wǎng)絡安全防護技術方面的具體缺陷,強化內(nèi)部人員操作管理的標準及制度要求,加強網(wǎng)絡安全操作的合規(guī)性,在此基礎上對防護技術修復升級,如及時升級病毒庫、關閉高危端口、禁止共享訪問等,嚴防病毒攻擊與數(shù)據(jù)泄露,增強應對新型網(wǎng)絡攻擊的能力。
近年來,我國正加大力度推進政府數(shù)字化轉型、打造智慧城市,著重構建覆蓋全國的統(tǒng)一政務數(shù)據(jù)共享平臺,以期實現(xiàn)政府資源信息共享,減少信息不對稱的情況,為社會公眾提供便利。部分省市已經(jīng)設立相應的大數(shù)據(jù)管理部門,各地政府部門比以往更加依賴網(wǎng)絡,大量的機密數(shù)據(jù)和公民隱私數(shù)據(jù)往往存儲在云服務器中。云服務器容量大且使用方便,但是一旦存在安全隱患,就增加了機密信息和個人隱私泄露的風險。由于各種政務數(shù)據(jù)的復雜性,加之各地政府缺少對數(shù)字政府網(wǎng)絡安全的規(guī)劃設計,導致網(wǎng)絡安全管理方面存在制度缺失和技術上的不足,這也給網(wǎng)絡安全防護系統(tǒng)的運行帶來了不小的風險。網(wǎng)絡安全審計可以從事前、事中和事后發(fā)現(xiàn)并預防安全風險,加大對機密信息和隱私數(shù)據(jù)的保障力度,及時防范或化解信息泄露的重大風險。
我國“十四五”規(guī)劃綱要提出要打造數(shù)字經(jīng)濟新優(yōu)勢,“十四五”時期經(jīng)濟社會發(fā)展主要目標中,“數(shù)字經(jīng)濟核心產(chǎn)業(yè)增加值占GDP比重”首次成為體現(xiàn)創(chuàng)新驅動的指標。2021年世界互聯(lián)網(wǎng)大會提出的發(fā)展重點也是構建網(wǎng)絡空間命運共同體,向數(shù)字時代邁進。人工智能、區(qū)塊鏈、云計算、物聯(lián)網(wǎng)等新興技術的運用大大提高了數(shù)字經(jīng)濟的發(fā)展效率,但由于足夠“新”,新興技術的使用標準及規(guī)范尚未明確統(tǒng)一,在使用中很可能出現(xiàn)諸如數(shù)字信任等危機,所以數(shù)字經(jīng)濟的發(fā)展更加需要重視新興技術及網(wǎng)絡安全風險。此外,在智慧城市建設中,地方政府可能會脫離實際制定發(fā)展目標、盲目追求數(shù)字技術創(chuàng)新,致使地方政府的財政壓力和政策制定壓力加大。通過網(wǎng)絡安全審計,能夠提高政府的政策規(guī)劃意識及風險意識,促使政府監(jiān)督相關部門的職責履行情況,保障技術創(chuàng)新與政策執(zhí)行并駕齊驅,從而維持數(shù)字經(jīng)濟的平穩(wěn)發(fā)展。
現(xiàn)階段,我國正全力推進政府數(shù)字化轉型,充分利用大數(shù)據(jù)技術及網(wǎng)絡打造政務平臺,各地方政府也在積極參與轉型。政務工作電子化確實提高了工作效率,方便了廣大群眾,然而,由于不同地區(qū)在經(jīng)濟上存在差異,經(jīng)濟相對落后的地區(qū)可能無法投入足夠的資源和技術;各地服務的對象也有所不同,各部門自行開發(fā)的信息系統(tǒng)傳輸協(xié)議等存在較大差異,所以很可能出現(xiàn)系統(tǒng)中數(shù)據(jù)無法及時、完整共享的情況,導致政務平臺信息系統(tǒng)存在信息發(fā)布滯后、互通性差,數(shù)據(jù)不完整、共享程度低等問題。對政府信息系統(tǒng)的審計是網(wǎng)絡安全審計工作中的重要一環(huán),審計工作要依托于系統(tǒng)記錄的基本數(shù)據(jù),信息系統(tǒng)本身的數(shù)據(jù)缺失對審計數(shù)據(jù)的采集造成了一定影響,加上這樣的數(shù)字信息過于碎片化,使得審計人員很難做出全面準確的評估;信息系統(tǒng)的數(shù)據(jù)滯后問題同樣關鍵,數(shù)據(jù)滯后很容易使審計人員和政府部門之間產(chǎn)生信息不對稱,從而進一步影響了網(wǎng)絡安全評估審計的效率和質(zhì)量。
傳統(tǒng)網(wǎng)絡安全審計工作主要以資金真實性、制度合規(guī)性審計為主。例如,通過走訪、座談和查閱相關文件的方式,審查被審計單位是否制定完整的規(guī)章制度,是否根據(jù)規(guī)章制度嚴格落實網(wǎng)絡安全防護工作,對網(wǎng)絡安全項目建設的資金使用是否真實合規(guī)等。數(shù)字經(jīng)濟時代下,審計內(nèi)容不斷豐富,審計領域不同于以往傳統(tǒng)的業(yè)務活動。面對海量的網(wǎng)絡數(shù)據(jù),審計人員需要判斷采集何種數(shù)據(jù)、用什么方法采集、如何對數(shù)據(jù)關系進行深層挖掘分析等,這對審計人員的專業(yè)素質(zhì)能力提出了更高的要求。然而,目前審計隊伍中從事數(shù)據(jù)采集及分析的專業(yè)技術人員相對較少,審計人員運用新興審計軟件與技術的能力有待提高,進而影響了審計的質(zhì)量與效率。
目前我國還沒有出臺一套標準化的網(wǎng)絡安全管理流程,最新通過的《數(shù)據(jù)安全法》也缺少對微觀層面的詳細指導,各單位對網(wǎng)絡安全防護的應對方法不盡相同。在審計方式上,國家審計機關尚未建立標準統(tǒng)一的大數(shù)據(jù)審計平臺,因此與被審計單位的數(shù)據(jù)庫接口很可能不一致,導致在網(wǎng)絡安全審計工作中很難獲取完整信息。對于審計機關來說,沒有網(wǎng)絡安全風險審計準則作為指導,在確定審計范圍時,有可能出現(xiàn)遺漏的情況。例如對教育、醫(yī)療等關鍵基礎設施的審計,審計人員會從宏觀制度層面進行評價,同時落實單位領導責任履行情況,審查領導是否發(fā)揮帶頭作用,有效推動單位網(wǎng)絡安全管理,而在微觀的風險管理流程層面,對網(wǎng)絡基礎設施的風險識別、分析和應對環(huán)節(jié)可能審計不全面。此外, 5G、物聯(lián)網(wǎng)、供應鏈等新技術若運用不當也會存在較大的網(wǎng)絡安全風險,但在審計過程中有些審計人員并未將新技術納入網(wǎng)絡安全審計的范圍。
與我國相比,英國互聯(lián)網(wǎng)起步早、普及率高,所以英國審計署(NAO)對網(wǎng)絡安全審計的研究也比較早,相關的體系和制度更完善。早在1994年,英國政府就提出建設“電子政府”,開始政府數(shù)字化轉型,2012年,英國開設單一政府網(wǎng)站www.gov.uk,從這一入口人們可以查詢到自己想要的所有公開政務信息,不僅如此,人們還可以在網(wǎng)站上納稅、繳費、申請貸款、辦理駕照等。一站式服務方便了社會公眾,由于數(shù)據(jù)信息的集中和權威性,也保證了審計人員對數(shù)據(jù)獲取的效率和質(zhì)量。隨著電子政務的發(fā)展,NAO于2002年開始對網(wǎng)絡安全進行審計,重點審查內(nèi)閣辦公室、國防部等是否有效地協(xié)調(diào)實施了國家網(wǎng)絡安全計劃及戰(zhàn)略,包括評估政府在網(wǎng)絡安全方面的做法、內(nèi)閣辦公室對計劃及戰(zhàn)略的管理、計劃實施的進展并對計劃的最終成果進行預測。通過多次審計,國防部完成了至少80%的網(wǎng)絡安全項目,英國政府各部門遭遇的網(wǎng)絡攻擊數(shù)也大大下降。
1.始終關注網(wǎng)絡安全項目資金的管理使用情況。制定切實有效的網(wǎng)絡安全防護項目計劃是保護網(wǎng)絡運行的關鍵,因此,以網(wǎng)絡安全行動中心、網(wǎng)絡安全和信息保障辦公室為代表的相關部門對網(wǎng)絡安全防護項目的資金投入較多。資金的使用效率決定了該項目是否能夠成功運行,NAO審計的重點便是項目資金,首先調(diào)查各部門在制定項目計劃前,是否充分了解實際網(wǎng)絡規(guī)模、所需資金規(guī)模,是否充分預估項目實施各階段情況以及制定相應的資金投入預算安排;在實施過程中,各部門是否嚴格按照規(guī)章制度使用資金,有無挪用項目資金的情況;項目完成時,各部門是否詳細記錄每筆資金的實際用途,確認與原先預算安排是否存在較大差異,尋找差異原因并判斷合理性等。通過審計,促使各部門優(yōu)化對網(wǎng)絡安全項目資金的分配使用,有效保障項目運行。
2.制定標準,注重網(wǎng)絡安全計劃的績效情況。2011年,為了提高對網(wǎng)絡攻擊的抵御能力,英國國防部制定了英國網(wǎng)絡安全戰(zhàn)略,并出資8.6億英鎊實施了《2011—2016年國家網(wǎng)絡安全計劃》(NCSP1),而后又投入13億英鎊推進《2016—2021年國家網(wǎng)絡安全戰(zhàn)略》,成立國家網(wǎng)絡安全中心(NCSC)。NAO重點關注網(wǎng)絡安全計劃和戰(zhàn)略實施的績效情況,通過審計,評估各部門績效框架涵蓋的內(nèi)容是否全面,衡量指標是否科學公正,促使各部門完善績效框架、制定具體的績效衡量指標,同時,引入專業(yè)人員對績效衡量進行監(jiān)督,保障網(wǎng)絡安全計劃和戰(zhàn)略實施的經(jīng)濟性和效率性。NAO還對各部門提交的網(wǎng)絡安全報告進行審查,包括項目評估報告、進度報告等,及時了解計劃的進展程度,并且重點評估計劃是否涵蓋國家網(wǎng)絡安全戰(zhàn)略中威懾、防御和發(fā)展的三大主題內(nèi)容,通過審查報告,督促各部門強化職責履行意識,加強內(nèi)部管理。
3.從防范網(wǎng)絡安全風險角度,提高對勞動力和新技術的關注。在不斷推進公共服務數(shù)字化轉型的過程中,對網(wǎng)絡問題的深入理解對于保護公共服務及用戶至關重要。擁有高水平網(wǎng)絡技術人員對保障部門網(wǎng)絡安全、推動網(wǎng)絡安全項目實施具有重要作用,為此,NAO對各部門是否有足夠的工作人員處理網(wǎng)絡安全問題的能力、是否有積極的計劃去招聘和保留現(xiàn)有專業(yè)安全技能人員、對員工是否提供培訓來提高風險意識和合規(guī)意識等開展評估。此外,新技術的出現(xiàn)不僅帶來了網(wǎng)絡安全風險,也威脅到個人數(shù)據(jù)隱私安全,NAO將新技術納入審計范圍,以供應鏈為例,評估各部門是否充分了解供應鏈和對應的服務、是否有針對個人數(shù)據(jù)隱私的明確規(guī)定,以及是否有持續(xù)改進和發(fā)展網(wǎng)絡安全和信息風險的流程。
與英國類似,我國的網(wǎng)絡關鍵基礎設施也不斷遭受威脅。從中國國家互聯(lián)網(wǎng)應急中心報告可以看出,2020年,超5萬個惡意程序控制服務器控制了我國境內(nèi)約531萬臺主機,新冠肺炎疫情期間,醫(yī)療系統(tǒng)更是頻頻遭受攻擊。因此,各地政府亟需加大對網(wǎng)絡安全項目建設的資金投入,強化對網(wǎng)絡關鍵基礎設施的安全風險管控。2008年以來,全國各地、各級政府都在全力推動數(shù)字政府的建設,但是建設程度、標準無法統(tǒng)一,我國可以參考借鑒英國的一站式政務平臺,在政府信息管理系統(tǒng)中集中、統(tǒng)一、及時地公開建設網(wǎng)絡安全項目的相關數(shù)據(jù),例如各項目的資金投入數(shù)額、資金使用具體流向、適用的政策等,為審計人員采集網(wǎng)絡安全審計所需的數(shù)據(jù)減少阻力。網(wǎng)絡安全項目資金的使用效率直接影響著風險防護的有效程度,因此,對項目資金使用真實合規(guī)性的審查仍然是審計工作的重點,審計機關應重點關注保護網(wǎng)絡關鍵基礎設施科研項目的資金使用情況,規(guī)范科研資金管理,提高資金使用效率,促使各地政府提高安全防范意識,從而有效保障關鍵基礎設施的正常運行。
在網(wǎng)絡安全審計準則方面,英國審計署于2017發(fā)布了《網(wǎng)絡安全和信息風險良好實踐指南》的第一版,2021年又發(fā)布第二版,列明審計主題和重點,提供了對網(wǎng)絡安全審計標準的指導。目前,我國關于網(wǎng)絡安全的法律法規(guī)主要有《國家安全法》《網(wǎng)絡安全法》《數(shù)據(jù)安全法》等。這些法律法規(guī)是從宏觀層面制定的,對于相關部門具體職責劃分及如何實施沒有詳細的規(guī)定,盡管各地網(wǎng)信、工信、公安等部門都自行制定了規(guī)章制度,但制度的履行情況難以明確掌握。為此,我國需要通過審計促進網(wǎng)絡安全制度的健全完善,另外,也需制定完善網(wǎng)絡安全審計的相關準則或指南。在審計準則的指導下,審計機關應對網(wǎng)絡相關的管理部門、實施部門等開展審計,審查各部門是否嚴格、有效落實法律的相關規(guī)定及配套制度文件;是否制定了完整、詳細的管理制度來保障部門數(shù)據(jù)和網(wǎng)絡的安全;網(wǎng)絡安全項目是否有序實施、能否達到預期效果等。在此過程中,審計機關應積極發(fā)揮監(jiān)督作用,充分關注部門責任履行情況,促使相關部門事先做好對網(wǎng)絡安全的風險評估;必要時可根據(jù)部門實際情況,制定網(wǎng)絡安全項目績效評價框架。
黨的十八大以來,中央高度重視網(wǎng)絡安全工作。2014年,中央成立網(wǎng)絡安全和信息化領導小組,表明我國網(wǎng)絡安全工作又邁上了一個新臺階。審計機關作為國家監(jiān)督體系的重要組成部分,要重點審查國家層面重大戰(zhàn)略及計劃的執(zhí)行情況,保障頂層設計的領導力。在教育、醫(yī)療、新興技術等關鍵基礎設施方面,審計機關應結合國家網(wǎng)絡安全重大戰(zhàn)略,從面臨的風險入手,通過風險識別、分析和應對等環(huán)節(jié),對涉及網(wǎng)絡安全的項目充分評估,防范、發(fā)現(xiàn)并化解重大風險。同時,通過審計問責整改,各級網(wǎng)絡安全計劃落實部門、項目實施部門要分清責任主體,不僅依據(jù)查出的問題來定責,更要深入問題根源,提高審計整改成效。
數(shù)字經(jīng)濟時代,審計方法應有所創(chuàng)新??梢猿浞掷么髷?shù)據(jù)技術,建立網(wǎng)絡安全信息共享平臺,密切審計機關與相關部門內(nèi)部審計之間的聯(lián)系,掌握相關部門的計劃或項目實施的信息,識別分析和控制可能存在的風險,從而提高風險防范的有效性。此外,審計機關也可與社會審計協(xié)同工作,對于專業(yè)性較強的問題可聘請專家,參考專家的建議,使得網(wǎng)絡安全審計工作更具有科學性、針對性。審計機關應加大對網(wǎng)絡安全計劃的實施和監(jiān)管力度,必要時對計劃、政策等進行跟蹤審計,提出有針對性的審計建議,促進相關法律的完善,從而積極推動國家層面網(wǎng)絡安全的建設。