高 倩

（山东石油化工学院 文法与经济管理学院，山东 东营 257000）

一、引言

2021年11月举行的中国电子政务论坛暨首届数字政府建设峰会指出，中国需要不断加强数字政府建设，尽快推动电子政务内网互联互通，建立政务数据安全运营的常态化管理体系，提升政务工作效率与安全性。电子政务云作为数字政府中的有机组成部分，关乎数字政府运行效率以及公共社会问题治理的能效性。在大数据、区块链与云计算等智能化科技支撑下，电子政务云能够促使各类政务数据要素流动、共享。但是，电子政务云作为云计算终端与云端互动的应用系统，一直面临假冒窃听、业务欺诈、计算机病毒、信息泄露、内部威胁等安全问题，严重干扰政务数据的保存与应用。而审计具有查错纠弊、检查监督、保障管理等功能，能够以第三方视角约束、规范电子政务的运作流程。尤其是基于大数据技术的应用优势，建立安全审计评价体系成为推进电子政务云安全管理的必要举措，利于实现政务工作动态化、智能化与立体化。

目前学术界主要从以下三个方面对电子政务云安全审计展开研究：

1.风险分析

姜茸等(2014)认为电子政务云安全风险来源于云终端与后续应用服务，表现为数据泄密、账户劫持、系统漏洞等方面[1]。王会金、刘国城(2018)发现电子政务云安全风险主要源于内部滥用、外部侵袭、大数据泄露与技术漏洞[2]。李建华(2018)研究发现，电子政务云安全与通信资源调度不匹配、政府信息滥用，以及功能架构不完善等问题具有相关性[3]。

2.审计方法应用研究概况

马晓方等(2016)立足于电子政务工程项目绩效审计，提出功效系数法这一审计方法[4]。唐志豪、郝振平(2013)在借鉴国际经验的基础上，从审计对象、审计范围和审计目标三方面提出电子政务项目审计方法[5]。

3.审计模式探讨

王会金、张文秀(2020)结合大数据特点，比较分析新旧审计模式，探讨得出电子政务“流”审计模式[6]。李震(2017)立足于大数据时代下审计工作的变革特征，从审计环境、技术、人员等维度提出适应信息时代的理论审计模式[7]。

基于大数据的电子政务云安全审计是以现代审计理念为核心，对电子政务云运行环境以及用户行为进行监督，实现数据全程追踪，旨在提升系统安全控制与管理水平。从现有文献来看，基于大数据的电子政务云安全审计研究已经初步形成理论积累。但文献研究仅停留于风险分析、审计方法应用研究以及审计模式探讨方面，尚未针对基于大数据技术下电子政务云安全审计评价体系展开研究。在新发展格局下，电子政务云安全审计面临体制变革、信息化方式革新与管理方式转变等局面，亟需采取合理化评价指标体系展开深入探究。为此，契合新时代发展要求，并且基于大数据技术的应用优势，探索建立电子政务云安全审计评价体系，重新审视电子政务云面临的安全问题，成为学术理念创新和推进数字政府建设的关键要义。

二、大数据下电子政务云安全审计的现实基础

1.必要性分析

电子政务云是数字化时代形成涵盖政府经济活动的系统，是可以通过数据交换协调多个层级的政务云平台，利于提升政府工作的便捷性。与审计信息理论相对应，电子政务云内部生成的数据资源在要素市场化配置影响下，逐渐由“上云”转变为“云上”，促使内部数据协同性进一步提升。而可靠性作为电子政务云应用的“灵魂”，关乎内部政府云数据与社会数据融合效率以及数据要素价值的释放。若想保证电子政务云系统运作有效，管理机构需准确捕捉内外部数据的异常轨迹，及时规避防范潜在风险。安全审计作为独立经济监督方式，可强化电子政务云系统关键要素的控制与管理。特别是借助以大数据技术为代表的新兴智能化技术，开展电子政务云安全审计工作成为数字政府建立的根本诉求。故而，基于大数据技术实施电子政务云安全审计，成为电子政务云安全防护、管理、控制的关键选择。

第一，开展安全风险评价的必要性。审计主体依托大数据技术，借助科学评价方法确定评价指标体系，结合统计学、运筹学与系统工程学等涵盖的模糊数学方法，建立若干评价模型。在此评价模型下，各主体可根据不同情形对各类安全风险展开测试、评价，保障电子政务云系统的安全性。第二，实施安全审计取证的必要性。审计主体依据电子政务云内部模块任务、功能与策略需求，在大数据技术中遴选适合数据挖掘的工具与算法。然后，全方位收集审计依据，不断对审计证据进行测试、核验、分析与流程再造，形成明晰的证据链条。这可辅助审计主体以客观公正、合法细致与充分恰当为主线，构建电子政务云安全审计取证机制，实现审计取证工作中的模式发现、职业判断、知识创造与流程智能。第三，防御系统安全漏洞的必要性。对于电子政务云而言，漏洞检测具有静态与动态之分。前者主要通过分析程序特征判断异常行为，或者使用者根据特定核验技术测试程序合规性；后者则在程序运作过程中注入测试数据，寻求漏洞。以此为出发点，审计主体借助大数据技术，构建有关电子政务云安全漏洞的“攻击工具库”“技术规程库”“入侵特征库”“补丁库”与“防御流程库”，全面防御电子政务云可能存在的安全漏洞。第四，监测系统安全威胁的必要性。根据不同任务需求，审计主体利用大数据技术制定预警规则，确定内部安全威胁检测模型与具体算法，建立电子政务云安全威胁检测系统，实现知识服务系统化、数据要素可视化、应急响应及时化以及决策流程化。

2.适用性分析

随着数字经济的快速发展，电子政务云系统将服务经济社会作为主要职能定位，更加注重向“智能服务型”发展。在此背景下，电子政务云安全审计不仅需应对各种社会经济与行政方式变化，还需匹配国家政务发展战略的导向定位。由此，审计机构需要借助智能化技术，对数据进行采集、整合，强化政府数据与社会数据的可用性，为政府工作提供数据支撑。从具体应用实践来看，大数据技术在电子政务云安全审计中有较高的适用性。

其一，适用于数据资产管理与开发。数据资产管理与开发作为电子政务云日常管理机构的主要工作事务，关乎管理工作能否顺畅实施。而大数据技术作为伴随互联网技术与信息革命而产生的新兴技术手段，其涵盖的技术与工具应用特征契合审计机构技术的职能定位，利于机构进行数据资产管理与开发。例如，大数据储备、融通、接口、可视化与应用等技术可匹配数据汇总、储存、流动、共享与应用等工作，为审计人员提供准确决策依据。其二，适用于审计服务职能发挥。在电子政务云系统配置中，社会服务职能作为各级政府的交叉部分，涵盖不同层级社会服务。而大数据在电子政务云安全审计中的运用，一方面能够为审计机构提供基础设施支撑，包括数据端口接入、开放、数据共享、数据市场化配置等服务。另一方面，审计机关能够合理引导各层级电子政务云系统集聚，集中开展审计工作，提升审计工作的便捷性。其三，利于监督工作顺利开展。一般而言，审计机关开展安全审计之后，会伴随后续监督工作。大数据技术应用可智能化匹配各层级电子政务云治理过程，便于审计人员对于系统后续运作开展监督与引导。另外，大数据技术手段的深入应用能够辅助审计机构对电子政务运行效果进行评估，使审计工作流程更加“数智化”。

三、基于大数据的电子政务云安全审计评价指标体系确立

1.评价指标选取

大数据背景下电子政务云安全审计评价指标体系选择，应体现电子政务云安全审计特征，以及大数据技术的适用性。故在大数据、电子政务云安全审计评价等相关理论的基础上，文章借鉴张彦超、赵爽(2014)[8]和王会金、刘国城(2021)[9]的研究结果，从安全运营、安全防护、安全管理、安全控制、大数据技术等维度入手，构建大数据背景下电子政务云安全审计评价指标体系，结果见表1。

表1 基于大数据的电子政务云安全审计评价指标

（1）安全运营指标

安全运营是电子政务云系统的应用基础，针对其开展审计十分必要。文章选取规范操作、标准化运维、应急预案演练衡量电子政务云安全运营审计指标。其中，规范操作主要是指通过对电子政务云管理组织及业务流程的梳理，形成详细的管理规范与需求分析文档。对规范性操作审计，能有效减少工作人员操作失误，使其在面临危险时做出预判性操作。标准化运维关键表征完善化的运营流程与指导，规范人员操作行为。应急预案演练是针对已有安全事故特征制定的方案，可为应对安全事件提供一定经验借鉴。可以说，电子政务云的所有者是否进行应急预案的制定，已经成为审计内容中的重要组成部分。

（2）安全防护指标

作为影响电子政务云安全审计的重要因素，审计安全防护工作的落实情况是审计机构关注的重点，主要分为静态与动态两个维度。其中，静态维度主要判断电子政务云系统共享网络的边界是否明确；动态维度则注重分析操作平台安全信息，以及授权、通信、日志、审计、算法、验证等关键点的防护情况。通过静态与动态方面的审计，能够发现电子政务云存在的安全防护问题。

（3）安全管理指标

作为电子政务云安全审计中的另一个维度，安全管理是保证电子政务云安全稳定运行的前提。基于电子政务云的运作实情，从安全制度设置、机构分布、人员培训、监管执行、监管反馈、实时跟踪、安全责任等维度设置电子政务云安全审计指标。其中，安全制度是电子政务云安全审计制定应急预案、应急经费支出的依据，能辅助审计人员做出基本判断；机构分布与人员培训是审计机构对于系统安全管理人员分布与能力的考量；监管执行、监管反馈与实时跟踪则是判断该系统安全管理的落实情况；安全责任与安全投入费用则重点评断安全管理投入情况。

（4）安全控制指标

在电子政务云运行中对安全控制能力进行审计，能够衡量电子政务云发生风险后的处理情况。统一服务平台与运维平台能够为用户提供多种查询需求，动态制定用户权限集合，可体现电子政务云安全控制情况；密钥导出和导入、身份认证、服务权限控制、权限控制等主要判断系统的访问需求是否合法；根据信任服务控制日志对特定调用请求和资源服务进行控制指标的审计关键在于，判断系统中数据的保存情况。

（5）大数据技术指标

大数据技术应用能够提升电子政务云系统的运作效率，是审计机构关注的重点板块。借鉴赵豫生等(2020)的研究观点[10]，文章选用数据可视化、共享、收集、储存能力4个指标进行综合表征，用以衡量系统大数据技术应用水平。其中，大数据可视化主要是指电子政务内网数据的透明程度，是衡量电子政务工作公开性与透明性的主要指标；数据共享程度主要用来衡量电子政务内网不同部门与机构之间数据自由流动的情况；数据收集水平主要衡量电子政务云数据处理能力，可从数据收集、清洗、挖掘等方面入手进行衡量；数据存储能力主要衡量电子政务云的数据存储容量，可从数据存储容量的增长情况进行衡量。

2.隶属度分析

上述22个指标均是参照部分学者的相关观点提炼形成，具有一定主观性，故需要进行隶属度分析，以确保研究结果的科学性与合理性。隶属度分析主要是将无法通过经典集合归类的指标元素进行模糊化处理，并将绝大部分元素归纳到某一特定集合，确保指标准确性。故将基于大数据技术的电子政务云安全审计评价指标体系作为一个模糊集合，通过计算集合中各元素隶属度，确定是否采用该项指标。假设Zn为第n个评价指标，且共有m个调查者选择该指标。则Zn在模糊集中隶属度可以为Yn=m/n。Yn越大，说明Zn指标越符合模糊合集。

基于上述指标体系，通过邮件、线下走访以及微信公众号等方式，对200名从政人员进行调查，邀请其选择10个相对重要的指标。此次调查对象的工作内容均与电子政务云安全相关，且对于大数据技术具有较深的认识。对收集到的数据进行隶属度分析，得出C23、C24、C32、C53的隶属度分别为0.0554、0.0874、0.0654、0.0579，均低于隶属度临界值0.1。因此，剔除上述4个指标，对剩余18个指标进行下一步研究。

3.相关性分析

相关性主要检验评价指标两两之间是否具有相关关系。其中，相关系数大于0.6，说明两指标之间具有相关性，不能用于评价研究；若相关系数低于0.6，则表示评价指标不具有显著关联性，可进行评价研究[11]。文章运用SPSS23.0软件对隶属度分析之后所保留的18个指标进行相关性分析，结果见表2。

表2 电子政务云安全审计评价指标的相关性

由表2可知，指标C37与指标C13相关系数值为0.99，大于临界值0.6，具有较大的相关性，会对最终结果产生影响。因此，文章将C37剔除，对余下17个指标进行评价分析。整合隶属度与相关性分析结果，获得的最终指标见表3。

表3 基于大数据的电子政务云安全审计评价指标（整合隶属度和相关性分析后修正）

4.权重计算

完成评价指标体系构建之后，为确保评价结果的准确性，需要对评价指标体系中的每个指标进行赋权。学术界有关权重系数确定的方法主要有主观赋权法与客观赋权法。主观赋权法是专家、学者、经验较为丰富的监督者根据学识经验等为指标赋权，包括最小平方法、层次分析法、德尔菲法等方法。客观赋权法主要包括熵技术法、主成分分析法与变异系数等方法。其中，主观赋权法对专家学识具有较高要求，对数理依据要求较弱。客观赋权法需要数据作支撑，但对于评价指标实际意义难以考量。而电子政务云安全审计指标使用历史数据难以反映某一因素未来的发展情况，对于安全危险源更不能依靠预测进行判断。故在实际赋权中，单纯依靠历史数据对指标进行赋权可能会出现失真问题，使得最终审计结果存在误差性。加之，研究设计的电子政务云安全审计评价指标体系中包含大量定性指标，更加适合采用主观赋权法。据此，文章使用专家打分法和层次分析法确定电子政务云安全审计评级指标权重。

（1）明确被评价主体作用

在构建判断矩阵时，需要明确下一级元素对上一级元素的重要程度。因此，在被评价对象达成目标之前，需要明确其先决条件、主体与每项功能条件，以及要素之间的联系。

（2）分析层次后构建模型

在明确被评价主体作用的基础上，构建层次结构图（见图1）。文章所构建的大数据电子政务云安全审计评价指标体系细分为三类层次，分别是最高层、中间层与最底层。最高层便是电子政务云安全审计；中间层是围绕五个标准建立的分析指标，并将对应项目进行约束；最底层则是具体的定量或者定性指标，即为分析所对应的备选方案。其中，最底层指标更加侧重于是否能够真实反映上一级指标的需求，以及是否能够衡量电子政务云安全。

图1 递阶层次模型图

在图1中，A为目标层，描述总体目标，表示被评价主体所需反映的总体功能。Bi(i=1，2，3，…)为准则层，主要分解每个层次的限制与约束条件，保障最终目标实现。C为措施层，是系统最底层，可针对各措施作出相应备选方案。

（3）建立判断矩阵

建立的层次结构模型中只含有各项指标，但并没有对每个指标的重要性进行排序。因此，需要进一步比较确认各指标的重要性。然而，直接对各指标进行比较存在一定难度。因此，文章运用判断矩阵，对不同指标进行两两对比，最大程度上提高判断精准性。具体而言，假定目标层A中的第K个元素AK与准则层B中B1、B2、…、Bn等有着隐含联系，构建矩阵见表4。

表4 层次分析法判断矩阵

由表4可知，对于目标层中A的第K个元素AK来说，借鉴侯慧敏等(2019)的做法[12]，利用Satty研究构建的1~9分标度法，将bij表征为Bi相应于Bj的相对权重度量化，即Bi相较于Bj的重要程度，1~9分标度具体含义见表5。

表5 Satty1~9分标度表

基于上述分标度表，形成如下判断矩阵：

通过计算上述判断矩阵，获得了最大特征值的特征向量，并进行归一化处理。然后通过求解矩阵特征值与特征向量，对不同元素的重要程度进行排序。具体公式如下：

SW=λmax×W

式中，λmax为最大特征值，W为归一化处理后的特征向量。为排除其他因素干扰，开展一致性检验。若符合一致性检验，说明判断矩阵较为合理，可进行后续检验。一致性检验公式如下所示：

其中，CI为一致性指标，n为判断矩阵阶数。当CI为0时，说明判断矩阵具有完全一致性；CI值越大，表明判断矩阵一致性越弱。实际情况中，一致性会存在普遍偏离。因此，确定判断矩阵一致性时需要将平均随机一致性指标RI引入，如下所示：

式中，RI与矩阵阶数n负相关。随着n增大，RI偏离程度越高。各判断矩阵阶数n所对应的RI值见表6。

表6 一致性指标RI

一致性偏离程度可能是由RI造成，故需要对CI与RI进一步比较，利用检验系数CR衡量。CR值计算方式如下：

当CR小于等于0.1时，说明构建的判断矩阵满足一致性检验；当CR大于0.1时，说明判断矩阵不满足一致性检验，需要调整判断矩阵重新检验。

（4）确定权重

第一，维度层权重计算。根据层次分析法确定两两比较的专家打分问卷表。专家主要根据Satty提出的标度法对指标进行打分，获得维度层判断矩阵。然后采用MATLAB软件，计算获得电子政务云安全审计各维度判断矩阵S的最大特征根。

λmax=5.2629

第二，展开一致性检验，如下所示：

当n=5时，平均随机一致性指标为RI=1.16，将其代入公式得到随机一致性比率：

第三，确定权重系数。经过一致性检验之后，发现维度层判断矩阵通过一致性检验，可展开下一步研究，获得各维度层权重（见表7）。

第四，指标层权重计算。指标层的权重确认流程与维度层一致，获得各指标层权重（见表7）。

表7 指标权重计算结果

四、基于大数据的电子政务云安全审计评价模型构建

一般情况下，获取事物相关信息具有一定的模糊性，如若采用常规数理统计法将会导致研究结果存在误差。而文章所建立的评价指标体系具有多层次性，且极个别指标存在不完全性，这可能导致上述指标适用性有待改善。故基于上述研究，采用模糊评价法，以案例形式检验基于大数据技术的电子政务云安全审计评价指标体系。

1.某园区大数据下电子政务云安全审计模糊评价

某工业园区（以下简称园区）电子政务云平台是面对开发区所辖所有党政机关、事业单位。园区电子政务云所使用基础设施能够承载区内所有政务信息系统，主要由电子政务外网、数据中心以及政务云等部分组成。其中，政务传输网络由政务通、企业通、居民通平台组成，并通过SOA安全架构集成后台应用系统功能和数据一体化解决相关问题。数据中心包括人口库、法人库、地理信息三大基础数据库。政务云包括各级政府机构间电子政务、政府与商业机构间电子政务、政府与公众之间的电子政务。

为进一步验证基于大数据技术电子政务云安全审计评价体系的有效性与合理性，文章采用问卷调查法展开评价。评价过程中共计发放120份问卷，回收有效问卷98份，回收率为81.7%，构建指标考核见表8。为更加直观地将评价结果呈现出来，文章为每个评语等级设置对应的分值，并将其设置为一个列向量方便日后计算，设定为V。其中，差对应分数为1分，较差对应分数为2分，一般对应分数为3分，较好对应分值为4分，好对应分值为5分。即V=(1，2，3，4，5)T。

表8 指标体系考核表

（1）维度层指标评价

对安全运营C1指标进行评价，由表8可获得安全运营指标对应模糊关系矩阵如下：

安全运营指标对应的权重为W1=[0.0664 0.5614 0.2333]，评价向量为C1=W1×R1=[0.0364 0.0867 0.4140 0.2997 0.1661]。

对安全防护指标C2进行评价，由表8可获得相应模糊关系矩阵如下：

安全防护指标对应权重为W2=[0.3669 0.1164]，评价向量为C2=W2×R2=[0.0287 0.0564 0.1954 0.4399 0.2803]。

对安全管理指标C3进行评价，由表8可获得安全管理指标对应模糊关系矩阵为：

安全管理指标对应权重是W3=[0.6547 0.1235 0.1654 0.2547 0.2697 0.3547]，评价向量为C3=W3×R3=[0.2147 0.3269 0.3647 0.2547 0.2111]。

对安全控制指标C4进行评价，通过表8获得安全控制指标对应模糊关系矩阵：

安全控制指标对应的权重是W4=[0.6541 0.1257 0.2987]，评价向量为C4=W4×R4=[0.1219 0.2057 0.4369 0.3017 0.3887]。

对大数据技术指标C5进行评价，通过表8获得大数据技术指标对应的模糊关系矩阵：

大数据技术指标对应的权重是W5=[0.5399 0.2977 0.1633]，综合评分向量为C5=W5×R5=[0.0000 0.0239 0.2855 0.4887 0.2016]。

在维度层指标评价基础上，通过C1、C2、C3、C4、C5评价得分构成电子政务云安全审计模糊关系矩阵：

指标权重为W=[0.1731 0.3951 0.2393 0.0731 0.1196]，电子政务云安全综合评分向量为C=W×R=[0.2537 0.3673 0.2967 0.0620 0.0203]。

（2）总目标评价

通过以上计算，得出各维度的评价向量，为使模糊综合评价分值清晰明了，进一步将各维度评价向量与分值转置向量相乘，获得各维度得分见表9。

表9 某园区电子政务云安全审计综合评分

2.某园区大数据下电子政务云安全审计综合评价结果

通过对该园区电子政务云安全审计进行综合评价，汇总调查问卷结果发现，有2.03%的被调查者认为该园区电子政务云安全审计工作很差；6.2%的被调查者认为该园区电子政务安全审计工作较差；29.67%的被调查者认为该园区电子政务云安全审计工作一般；36.73%的被调查者认为该园区电子政务云安全审计工作做得较好；25.37%的被调查者认为该园区电子政务云安全审计工作开展得很好。

按照已经获得的结果，依据取值最大原则，确定园区电子政务云安全审计综合评价结果为3.3673。根据文章所设置评价标准，判定该园区电子政务云安全审计处于一般状态，仍需进一步改进与完善。从本次审计评价结果来看，该园区电子政务云系统整体安全保障工作落实较为良好。具体体现在以下两方面：一方面，系统安全防护工作已形成初步方法；另一方面，大数据技术应用已取得初步成效。同时，该园区电子政务云存在三点不足：第一，安全运营水平有待提升。园区电子政务云运营环境仍存在较大安全隐患，需进一步规范运作流程。第二，安全防护能力亟待强化。出现这一现象的可能原因是，在园区电子政务云平台应用过程中，相关部门并未形成统一化、流程化与系统化安全防护网络，因此，园区内安全防护能力还有待进一步完善。第三，安全控制技术应用仍需提高。当前，该园区电子政务云应用处于初级阶段，对安全控制技术使用的深度与广度还有待改进。因此，园区电子政务云需在借鉴本土电子化平台安全控制技术的基础上，积极吸收先进技术对平台安全加以控制，强化系统运作安全性。综合上述专家打分结果以及评价结果，证明文章构建的基于大数据技术的电子政务云安全审计指标体系具有准确性和可靠性。

五、结论

文章通过选取安全运营、安全防护、安全管理、安全控制与大数据技术应用5大指标，构建基于大数据的电子政务云安全审计评价指标体系。同时，运用层次分析法与专家打分法确定各评价指标权重，并以某园区为例，采用模糊评价法对园区电子政务云安全审计展开评价分析，发现所选指标能够有效反映电子政务云的安全情况。由此说明，文章构建评价指标体系具有适用性，能够有效提升电子政务云安全审计质量。基于此，文章针对后续审计工作开展提出如下建议：

第一，建立审计绩效考核方法。从上述电子政务云安全审计结果来看，安全运营、安全防护、安全管理、安全控制与大数据技术5个方面对于系统安全均较为重要。因此，政府部门应出台相应的规定，制定内部审计考核方法。为促进各部门内部审计工作有效、规范地进行，需要制定相应的目标，有针对性地对电子政务云开展安全审计工作。在考核方式方面，可从内审自批、基础考核、项目质量等方面入手，将电子政务云安全运营、防护、管理、控制等内容纳入考核。

第二，加大审计人员培训力度。根据上述研究，中国应加大电子政务云安全审计人员的培训工作，有效推动审计工作顺利开展。电子政务云安全涉及较多版块，具有审计内容和范围广的特点，因此审计机关应统筹安排全年项目计划，针对不同审计内容，合理安排符合条件人员进行岗位培训与后续教育。

第三，适时应用大数据技术。由上述结果可知，大数据技术对电子政务云安全审计评价具有重要影响。据此，相关部门应加强大数据在电子政务云安全审计中的应用深度，确保电子政务云安全运行。在对电子政务云开展安全审计时，应结合大数据处理技术以及数据安全运营的实践，精准识别敏感数据。同时，审计人员还可通过多种算法脱敏确保数据安全可用，有效防止外部攻击与内部窃取导致的数据泄露问题。