刘国城，杨丽丽

(1.南京审计大学 会计学院，江苏 南京 211815；2.安徽财经大学 工商管理学院，安徽 蚌埠 233030)

一、引 言

2008年，IBM公司首次提出“智慧地球”概念，认为智能技术融合于社会各个方面，基于互联网+、大数据与云计算等技术，人们将以更为动态与精准的方式运营生产与管理生活，进而实现“智慧”状态。教育也不例外，“智慧教育”(Smart Education)是“智慧地球”的衍生概念。目前我国传统教育存在着诸多弊端，且逐步同社会进步、教育需求不相适应，智慧教育将成为我国未来教育的发展方向，其是以智慧为目的与手段，以互联网、大数据、云计算等智能技术作为教育的“道”与“器”，将我国教育信息化的发展推向新台阶，它将成为教育创新时代下引领教育发展的主旋律。有关于“互联网+智慧教育”的理论研究与实践应用在我国已经初步开展。理论研究方面，截至2016年11月，中国知网关于“智慧教育”的期刊论文累计146篇，主要集中于近3年。其中，杨现民等分析了智慧教育的内涵、特征、体系架构、关键支撑技术、发展战略与路径选择[1]12-19[2]77-84；陈琳等探索了面向智慧教育微课设计的思想与方式[3]127-131；王学严等基于技术驱动研究了智慧教育生态环境的构建策略[4]13-18。实践应用方面，由中国教育学会主办的“国际智慧教育展览会”于2016年11月在国家会议中心举办，众多“智慧教育”实务组织展示各具特色的智能化校园管理平台、智慧教育云协同平台、智慧教育应用平台等，且功能显著。2016年11月，智课教育举办以“教育、生态、进化”为题的战略发布会，大力推进智课网络、VR等全场景智能教学生态机制建设，实施智慧教育体系标准化，实现个性化教学，为智慧教育绘制了光明的愿景。

“互联网+智慧教育”实现的关键在于智能技术化平台的建设，大数据下“互联网+智慧教育”运营平台体系的架构参见图1。现今在我国，有关于“互联网+智慧教育”智能平台安全审计的理论文献尚未出现，实践经验缺乏，从近年相应的系列安全事故看，智慧教育平台的安全问题极为严重，用户隐私泄露、网络瘫痪、内部恶意威胁、黑客攻击等风险事件呈几何倍增长，运营平台的安全及审计问题亟待智慧教育组织关注与重视。2016年9月，“互联网+智慧教育(西部)高峰论坛”在陕西师范大学召开，与会专家分享了技术创新下智慧教育信息化发展的理论成果，但也对智慧教育平台的安全性问题一致表示担忧。智慧教育平台所依托的全新智能技术是一把双刃剑，它一方面引领我国教育信息化与个性化的发展方向，而另一方面却带来信息泄露、端口扫描、网络嗅探以及拒绝服务攻击等严峻的平台安全问题，图1所属的物理层、虚拟资源层、逻辑层、展现层、应用层、网络层以及用户层都有可能成为内在员工和网络黑客恶意攻击的对象。有鉴于此，“互联网+智慧教育”组织急需建立高水平专业内部审计团队，或聘请资深外部安全审计机构，加大审计投入，与审计主体一道，基于大数据与云计算的特点，构架有效的安全审计模式，架设科学的动态安全审计平台，全方位强化对“互联网+智慧教育”平台的控制、审计与管理。

图1大数据下“互联网+智慧教育”运营平台体系框架

二、大数据下“互联网+智慧教育”安全审计模式的实现

(一)审计风险的判断与评价

我国的审计模式经历三个阶段，依次是账项导向审计、制度导向审计与风险导向审计。传统风险导向模式下审计风险由固有风险、控制风险与检查风险构成，现代风险导向模式下审计风险由重大错报风险与检查风险构成。沿用传统风险审计理论，“互联网+智慧教育”安全审计的风险由教育组织的固有风险与控制风险，以及审计主体的检查风险组合而成，见图2。为实现科学审计，智慧教育审计主体必须对审计风险予以准确衡量，并做如下努力：(1)固有风险识别。结合图2，智慧教育的固有风险体现在身份认证、安全事件监控、安全漏洞与扫描、病毒扫描与检测、DDoS攻击防护、安全基线控制、商密云以及安全防护等事项。上述风险事项可归纳为技术与管理两个层面。管理层面风险隐藏于管理制度、人员配置、管理组织、平台建设管理、平台运维管理以及服务协议管理；技术层面风险隐藏于数据安全、信息系统安全、物理安全、网络安全以及应用安全。每一层面下任何因素若存在安全隐患，都可能造成平台运行失效，或内外部人为威胁，进而将形成由“风险源”向“脆弱点”再向“安全事故损失”的递进式转换。审计主体必须全面感知智慧教育系统平台的固有风险，在剔除内部控制影响的基础上，深入识别智慧教育的“天然”劣势，以便审计主体确定对终极审计风险的影响。(2)控制风险判断。智慧教育在运行中，大多时候处理程序同相应的控制流程交融并行。当控制制度设计的不正确或不完善，或控制制度执行的不科学或不全面，则控制流程将失效，进而促发智慧教育控制风险产生。智慧教育的控制风险既表现在安全管理、终端安全控制、流量攻击防御、内容安全防控等方面的约束机制失效风险，还表现在边界访问控制、权限访问控制、电子数据维护等方面的系统数据安全风险。审计主体需要估计智慧教育内控制度有关于设计的科学性以及执行的有效性，进而判断系统平台抗击风险的能力，以满足审计决策需求。(3)检查风险评价。图2中的智慧教育运行系统平台涵盖智慧校园、电子书包、虚拟实验室、智能微格教学系统、智慧教育图书馆以及远程交互教育平台等若干模块，审计主体由于人员、知识、经验、技能、精力等都有所限制，它们运用实质性测试程序不可能全面发现重大安全隐患，进而审计检查风险随之生成。审计检查风险来自于审计主体的执业水平风险与职业道德风险两类层面，因为“互联网+智慧教育”安全审计涉列多方经验的融合运用，对审计人员的执业能力是一项挑战，因而，审计主体需要事前客观评价自身检查风险，以便合理确定审计范围，及时调整实质性测试程序。

图2大数据下“互联网+智慧教育”安全审计模式的实现

(二)安全审计的全方位筹划

“互联网+智慧教育”安全审计遵循信息论、控制论、系统论、协同论及突变论等原则，是一项复杂的工程。智慧教育组织需要关注安全审计的组织管理，有效做好智慧教育系统平台安全审计的顶层设计与全局规划，注重标本兼治与重在治本有机结合。审计主体所应布局的方面有：(1)审计目标与审计原则。“互联网+智慧教育”安全审计的总体目标是保障智慧教育系统运行与平台运作的可靠性、完整性、一致性、安全性、保密性、正确性与效益性。智慧教育还有专项审计，此时审计主体则应合理制定专项目标，如数据来源安全、数据存储安全、数据传输安全、数据可信、隐私保护机密、服务持续可用以及不可抵赖等。因为在性质和范围等方面与传统审计存在巨大差异，智慧教育安全审计除遵守传统审计的客观性、独立性、公正性外，还应恪守整体性、实用性、重要性、相关性等其他原则。审计主体必须事前科学确定目标与原则，进而明确审计的方向与行动。(2)审计指南与人员配备。如今，我国还没有“互联网+智慧教育”安全审计方面的规定与指南，关于大数据下“互联网+”安全管理的规范与标准难成体系，过于零碎化，也缺乏相关经验积累，这对于审计主体来说，缺少有针对性的理论指导与策略借鉴，一切均在摸索之中。基于此，为科学制定审计规划，审计主体应该基于图2的IS审计理论与安全控制思想，明晰各层次下的审计决策需求，并基于需求导向正确引入国内外成熟的安全控制标准，以智慧教育为轴心实施可行性论证，总结规律，归纳经验，持续建立安全审计指南体系。此外，智慧教育安全审计属于教育科学、审计科学、信息科学、计算机科学以及安全科学的交叉范域，相关审计人员的配备需要具备知识结构多元化、实务技能分类化等特点，审计主体不但具备“大数据”“云计算”“在线教育”等审计知识，还应精通图1平台下各层次的实践运行机理。(3)总体策略与分项策略。“互联网+智慧教育”安全审计的总体策略是运用审计手段发现安全风险，评价安全控制、提供整改建议，协同审计防御、持续审计预警、动态审计监测，建立科学的智慧教育安全审计框架与机制。另外，对于具体审计，审计主体还应该在审计全覆盖的基础上分类制定分项策略。审计主体可以借鉴ISO/IEC27001的11类控制项制定分项审计方案，也可参照COBIT框架下318个详细控制目标制定分项审计流程，如图1中物理层下“网络设备”资产责任的分项策略应该确定为“检查是否根据平台结构和运作流程识别网络设备以及绘制清单；审核是否指派专人负责网络设备以及预防其丢失、毁损、误用与滥用”。

(三)审计业务的全过程管理

目前，我国“互联网+智慧教育”安全问题主要表现为安全技术不成熟、安全标准不规范以及监管体系不健全，审计主体需要以风险为导向，做好安全审计的全过程管理。智慧教育安全审计业务需要经历如下过程：(1)准备。该过程是审计主体针对受托审计事项，如数据泄露、病毒入侵、密码漏洞等，初步了解固有风险，初步评价内部控制，确立审计目标与范围，确定审计技术与方法，规划审计方案。其中，需要重点准备的有两项，其一是审计主体应事先界定与描述安全风险等级，将“致使系统瘫痪，业务随时中断视为Ⅰ级”，“数据较大损失，难于弥补视为Ⅱ级”，“影响运行，对系统服务信任度降低视为Ⅲ级”，“危害较低，易于弥补视为Ⅳ级”，“危害极小，可以忽略视为Ⅴ级”，并以此为基础基于图1各层次对智慧教育系统平台的固有风险特征以及内部控制设计进行初步分级；其二是智慧教育安全审计不同于传统审计，其审计技术与方法广泛拓展，不但涵盖日志跟踪、审计数据库控制、平行模拟、变异检测、系统文档审核、联网审计等IT审计技术，也包括网络监测、指标监测、统计分析等互联网监管方法，还包含数据挖掘、BLP模型、专家系统等智能控制技术，审计主体需要对各种技法有所掌握，事先作以优化选择。(2)实施。它是审计主体进行符合性测试、实质性测试、审计风险评价、审计证据收集、审计可视化以及审计工作底稿编制的过程。审计主体通过符合性测试充分检测智慧教育系统平台内控制度设计的完整性与科学性，以及内控制度执行的有效性与实施情况，并以此为基础，通过实质性测试采用包含入侵检测、统计抽样、数据挖掘等系列技术方法对“互联网+智慧教育”的安全性进行全面审查。该过程下，根据风险等级Ⅰ—Ⅴ描述，审计主体需深入确定固有风险、控制风险与检查风险的级别，进而评价终极审计风险的程度，且结合事先估计的重要性水平，合理确定审计证据的数量与范围，充分收集与筛选审计证据，准确编制审计工作底稿。(3)终结。其是审计主体进行审计报告与建议、协同整改与防御，以及建设相关审计监测与预警机制的过程。现代审计的功能广泛拓展，其不仅涵盖鉴证、评价与改善，而且更应涵盖自稳、防御、监测与预警，因智慧教育依托于诸多智能科技，风险叠加，其所要实现的功能更不例外。为此，审计主体需要深刻揭示智慧教育系统平台的固有风险与控制风险，协同智慧教育组织实施审计整改以及基于战略视角做好安全防御，完善安全管理制度，提升安全管理质量，构架审计监测预警的运行实现、知识服务以及决策支持等平台，完备风险数据的采集、存储和管理，完善风险可视化与信息预警，推进决策任务的分配以及风险变化的持续反馈。

三、大数据下“互联网+智慧教育”动态安全审计平台的实现

(一)审计挖掘子平台

当前，“互联网+智慧教育”数据呈现海量化，且以半结构化与非结构化为主导，随机、噪声、模糊等数据无法发挥潜在价值。数据挖掘能够寻找数据关联，发现规律，值得审计借鉴。结合图3，审计主体建立安全审计平台的第一步骤是架构大数据审计挖掘子平台，且遵循两个阶段：(1)建立“库”群与预处理。审计挖掘有其特定的应用环境，为实现精准挖掘，审计主体首要任务是建立有关于“互联网+智慧教育”下安全管理、审计控制及其数据挖掘的系列“库”，如目标库、知识库、规则库、算法库、协议库以及案例库等，并通过大数据采集、存储与分类建立日志库、数据库与信息库，“库”群旨在为审计挖掘提供强有力的方向支撑、依据支撑、证据支撑、源泉支撑以及技术支撑。此后，审计主体需要开展数据挖掘前的预处理工作，提高数据质量。大数据预处理主要实施数据的清洗、集成、变换与规约等过程，清除异常数据，补充缺省数据，数据格式标准化，同质数据通过数据仓库集中存储，将特征数据转换为适于挖掘的模式，并获取数据集的规约表示。该阶段的预处理主要是以MapReduce为基础，整合传统预处理方法，融合现代Deep Web集成、多模态实体识别及数据流实时处理等技术，大幅提升数据合并、并行计算与迭代计算等能力[5]103-107。(2)设立模型与测试运行。审计挖掘模型设计需要审计主体综合考虑智慧教育下审计具体目标、实质性测试性质、数据个性、挖掘算法特征以及审计决策需求等因素，并在预处理基础上，对数据进行特征提取与进一步过滤，借助特别挖掘原理，将普遍情形和一般规律抽象为一种分析模型[6]49-55。针对特定需求，必须选用切合实际的挖掘算法。大数据挖掘有很多算法可供选择，如传统的聚类、分类、关联规则、异常检测、序列模式、剪枝算法、离群数据点与相似用户挖掘等算法，再如现代的分布式数据挖掘、并行数据挖掘、CEP引擎、流式计算与频繁访问路径挖掘等算法。每种算法都有自身的优势、缺陷与适用条件，审计主体应予做好系列算法的最优化选择。例如，对于APT攻击，审计主体建立主题数据库，获取攻击的时间与方式、黑客关注度、系统指纹及行为历史等特征信息，采纳机器学习算法，通过类比学习与事例学习，追踪Web渗透行为，追溯攻击源。模型构建后，需要反复测试与深入运行。模型测试的目的是验证挖掘模型设计的科学性、一致性与延展性，广泛运行的目标是挖掘智慧教育系统平台的固有风险与控制风险，查找“脆弱性”，探寻根本性规律。

图3大数据下“互联网+智慧教育”动态安全审计平台的实现

(二)审计可视化子平台

可视化涵盖数据可视化、科学计算可视化、信息可视化与知识可视化四类，图3中审计可视化子平台所融合的主要是可视化的后两类理论，且该子平台是审计主体建立智慧教育安全审计平台的第二步骤。审计可视化子平台承载的职能有两项，其一是基于信息可视化进行知识发现，即快速辨别数据之间的关联逻辑及其发展趋势，并评价相关“疑点”的重要程度与期望损失；其二是基于知识可视化重构既有可行的审计挖掘路径，进行流程再现。可视化能够加速审计挖掘中规律的发现，为有效发挥该子平台的功能，促进审计知识创造，审计主体应做如下努力：(1)可视化准备。可视化准备工作包含组件设计与服务规划。可视化组件设计要求审计主体事先明确可视化应用方法，并借助于地理数据、图形数据、图像数据、多维、趋势、多元、关联以及社会网络等诸多分析工具，布局可视化的方法组合；可视化服务规划要求审计主体事先考量可视化的动力因素，并分析知识可视化、信息可视化、挖掘算法、人机交互、可视建模、数理统计、人工智能、过程建模、图形处理以及图像处理等若干引擎的驱动机理。(2)知识发现可视化。信息可视化是知识发现的理论根基，其采用直观交互的方式为审计主体浏览与观测审计挖掘全过程提供极大便利，它对知识发现的贡献经历信息调度、静态可视化、过程模拟与探索性分析等阶段。针对智慧教育下该子平台的特征，审计主体首先需要对挖掘测试所输出的庞杂信息快速调度，其次通过静态可视化解决利用符号系统所反映信息的关联特征与关系模式[7]91-102，再次依托过程模拟对测试过程进行可视化跟踪、引导与监控，此后借助多维分析、交互建模分析等技术，以及引擎驱动，发现智慧教育系统平台下大数据中隐含的关系、特征与模式，最后依赖于大数据之间异常、矛盾、离群、关联等规律发现“风险源”，采用趋势、多元等分析工具衡量“疑点”的风险等级，运用数理统计等引擎估推“风险损失”期望值，进而发现审计证据以及强化相关证据的价值性。(3)流程再现可视化。知识可视化是流程再现的理论根基，其是指一切能够传输与建构复杂知识的图解方法，它的目标在于传输经验、见解、预测与期望。流程再现的职责是记忆已有挖掘经历，积累与创新挖掘规范。为此，审计主体应该在安全需求基础上，选择知识图谱、思维导图、语义网络等合适的可视化分析工具组件[8]6-11，明确挖掘测试下各类算法在解决问题过程中各个节点的属性、特征、状态与动作，深度聚合各个节点间的关联逻辑，基于视觉表征实现流程再塑，以求提升审计未来防御的水平。

(三)审计监测子平台

审计监测子平台承载的功能是发现“互联网+智慧教育”系统平台事故的预兆或现实故障，并对其既有“风险源”、潜在“脆弱点”以及非正常状态提前发出警报，该子平台是审计主体建立智慧教育安全审计平台的第三步骤。为有效搭建该子平台，审计主体应重视如下工作：(1)梳理与规划。风险是监测预警的基本对象，审计主体需要对固有风险与控制风险进行整体认知，如图3，能够明晰数据管理、技术缺陷、数据可信度、个人隐私意识、黑客攻击以及内控缺陷等风险漏洞的属性与产生条件。此外，以风险梳理为背景，审计主体还需基于信息安全与虚拟化安全对该子平台作以监测规划。信息安全上，应该完善网络、数据库、服务器、应用系统、日志以及数据等方向的监控引擎设计；虚拟化安全上，应予完备平台异常、平台漏洞、黑客攻击以及平台任务配置等方面的监测模块设计。(2)监测与检验。审计主体需要通过业务建模开展该子平台下的终端状态监控、非法终端识别、终端应用监控、外设接口监控、用户行为监控以及网络行为监控等各类活动，并相应做好任务调度、数据管理与策略配置等各项监测服务[9]17-23。智慧教育系统平台下各类监测经历两个过程：其一是监测运行，即利用多源多模态信息集成、异构数据智能转化与自动容错映射等方式实现监测数据的采集，采用超高并发访问数据持续服务交付等手段实现危机数据的存储，运用数据容灾、高效元数据管理以及系统弹性拓展等技术实现风险数据的管理[10]23-25；其二是监测决策，即进行“疑点”发现，实施风险可视化，风险挖掘以及感知风险程度。为保障审计证据的科学性，监测所发现的“疑点”需要审计主体独立进行实质性测试，重新验证其客观性、重要性及危害程度。(3)预警与响应。通过监测或流程记忆，如果发现“异常预兆”，该子平台则应向审计主体发布紧急信号，预告危险等级。审计监测子平台下预警机制建设需要关注两个方面：其一是预警级别设置。同前述风险等级“Ⅰ—Ⅴ”相一致，审计主体需要相应界定审计的预警级别“Ⅰ—Ⅴ”，并作以描述。显然，预警Ⅰ级等级最高，需立即全面补救，预警Ⅴ级等级最低，暂不考虑；其二是预警指标建立。审计主体需要设计系列预警指标进而确认“风险”预警等级，指标设计应基于多方考虑，涵盖警度评估与风险状态分析，定性与定量相结合，横向与纵向相融合，安全管理与审计控制相整合。预警后，审计主体需要在该子平台下作出积极响应，利用联动工具与技术，阻断风险入侵，运用交换机端口控制进行联动等模式，隔离攻击源，借用密网、蜜罐等技术，抑制攻击行为，采用网络拓扑结构调整、数据加密等手段，加固智慧教育系统平台安全。

四、大数据下“互联网+智慧教育”安全审计的策略拓展

2016年7月，教育部审议《国家教育事业发展第十三个五年规划》，提出加快推进教育信息化，强化信息技术安全和教育信息化标准。“互联网+智慧教育”是教育信息化的创新，安全审计是其创新的保障。为促进智慧教育良性运作，审计主体应关注如下策略探索：

(一)重视网络信息安全的管理与控制

近年来，网络泄密、网络诈骗等安全事故频发，其根本原因在于互联网组织忽视大数据下的网络信息安全问题。“互联网+智慧教育”组织需要正确把握安全与发展之间的辩证关系，切实加强对自身网络安全以及用户隐私保护的重视，确保智慧教育功能的安全实现。基于安全审计视角，智慧教育组织所应重视的方面包括：(1)安全理念。理念是一种思想或观念，智慧教育安全审计模式的建立与运行是以智慧教育领导层的安全理念为依托的，领导者对安全观念的认知，直接决定着智慧教育安全审计工作的广度与深度，安全理念是安全审计指导思想，有助于促进安全审计价值观的形成。智慧教育组织必须在观念与思想方面强化对网络信息安全管理与控制的持续关注，运用核心安全理念、安全目标、安全原则、安全方针、安全任务、安全使命与安全愿景等模块构建适用于自身的一系列安全理念体系。依据科学的安全理念，智慧教育组织应基于战略层面优化安全管理思想，对大数据下“互联网+智慧教育”的安全审计模式构建实施多视角跟踪指导，对动态安全审计平台的实现进行全方位统筹布局，进而促进图2与图3的相融相生，为智慧教育安全审计培育土壤与根基，孕育创新源泉。(2)质量管理。Bowen与Dean(1994)认为，全面质量管理是由系列相互促进的质量理论所组成的管理方法[11]390-419。“互联网+”时代，一所学校、一批教师、一间实体教室的教育模式将成为过去，英特网、移动终端、千百学生，课程与教师任选，视频反复视听，智慧图书馆等全新教育理念快速呈现，微课、慕课、弹幕教学以及翻转课堂等新颖教学平台持续涌现。由此，智慧教育组织应予广泛借鉴全面质量管理方法，基于质量领导、标准设计、过程控制、质量保证、质量文化、技术研发、人员管理、多方参与、安全成熟度以及用户满意度等多项内容实现与安全审计过程的多层次交融，明确管理者的安全管理领导职责，建立科学的安全质量管理体系，强化质量管理考核机制，力争运用安全审计手段促进对智慧教育系统平台安全的全过程免疫控制。

(二)完善相关安全审计的标准与规范

大数据与云计算背景下，加强对“互联网+”的安全保护与监管控制是一项极为迫切的任务，未来一段时期，审计主体亟需协同“互联网+”组织，尽快建立与完善相关安全审计的条例、规范、制度、标准或指南，以便于“互联网+”安全审计工作有据可依，有章可循。在“互联网+智慧教育”安全审计标准及其规范的构架中，审计主体首先需要借鉴的是国内信息安全与技术管理标准[12]28-35，如《信息系统审计指南—计算机审计实务公告第34号》《互联网信息服务管理办法》《计算机信息系统安全保护条例》《计算机信息网络国际联网安全保护管理办法》《大数据标准化白皮书》《计算机信息系统安全等级保护通用技术要求》《内部审计具体准则第28号—信息系统审计》《信息安全技术云计算服务安全能力要求》《信息安全等级保护管理办法》《计算机信息系统安全保护等级划分标准》以及《信息安全技术云计算服务安全指南》等，国内系列规范符合我国国情，是基于我国网络信息安全管理现状所设立的具体要求；其次，审计主体需要参照的是国外先进的网络信息安全控制理念，如ISACA颁布的《信息系统审计准则》、COBIT控制框架、ITIL信息技术管理标准、SC27信息安全国际标准、BS7799信息安全管理体系标准以及CC信息安全通用准则等，国外诸多理论明确了网络信息安全管理的控制方法与技术标准，阐释了安全控制的关键因素，能够为智慧教育安全审计提供测试依据；再次，审计主体还需融合COSO内部控制框架、风险管理与评估以及教育信息化管理等其他理论，毕竟智慧教育安全审计同教育信息化以及风险控制等对象密不可分。需要强调的是，审计主体在审计规范与标准的制定中，对于上述外来经验的汲取，不是简单的叠加，而是有序的整合，因为它们各有侧重，功能各异，只有物尽其用，深度融合，才能基于具体标准、审计指南与实践手册三层结构逐步完善智慧教育安全审计规范体系。

(三)加强安全审计团队的组织与建设

当前，审计团队合作常见的问题表现在临时组合、授权与角色定位不规范以及缺乏会议沟通等方面，这些都将对智慧教育安全审计团队组织带来严重的负面影响。“互联网+智慧教育”安全审计并非传统审计，其跨越智能科学与技术、网络安全科学、信息安全科学、计算机安全科学、审计科学、教育科学等多门学科，是多元知识的跨学科有机融合。为此，智慧教育组织在安全审计团队建设中，务必要将具备上述学科背景的各方人才集合于一体，而且需要聘请相关学科的专家与顾问定期开展会议研讨与经验交流，巩固审计成果，丰富审计经历。智慧教育安全审计团队的建设需要关注两方面的问题：其一是跨学科异质性知识的耦合。团队内不同类型的知识，审计主体应予采用差异化知识分享方式进行跨学科串并，对于单一学科显性知识，应该选用认知学习方式；对于多学科显性知识，应该选用协作互补方式；对于经验类隐性知识，应该选用启发借鉴方式；对于跨学科深度隐性知识，应该选用深度融合与协同探索相结合的方式。智慧教育审计团队需要遵循开放、创新、共享与协作的原则，致力为产、学、研、用搭建一个勤于互动、责权利分明、协同创新的跨学科知识服务支持平台[13]76-80，实现审计跨学科成员之间的经验发掘、技能整合、知识服务、理论交融与实务创新；其二是审计团队文化的塑造。审计文化决定着审计团队的价值取向、思维方式和行为规范，智慧教育审计主体应予关注团队文化建设，优秀的文化可以促进审计成员之间的引导、凝聚、约束、激励与调适。跨学科背景下，审计团队需要基于精神文化、制度文化、行为文化与物质文化等层面构筑团队文化理论，基于团队沟通、团队信任、团队协作、工作冲突、人际冲突、目标愿景、经验分享与模式创新等因素开展团队文化实践，设计科学的激励评价机制，树立长远的人才成长规划。相信，审计团队和谐的氛围，审计成员强大的创新效能感，必将为智慧教育的信息化建设及其安全保障提供源泉与动力。