数字经济时代加强政府网络安全审计的探讨
2022-11-07剧杰徐清南京审计大学政府审计学院江苏南京211815
剧杰 徐清 (南京审计大学政府审计学院 江苏南京 211815)
随着信息技术的飞速发展,网络已经渗透到生活的方方面面。国家对数字经济时代的网络发展也给予了高度重视,先后提出“‘互联网+’行动计划”和“大数据计划”等。《“十四五”数字经济发展规划》指出,发展数字经济是把握新一轮科技革命和产业变革新机遇的战略选择,并强调着力强化数字经济安全体系,包括增强网络安全防护能力等举措。总体上来说,依托数字技术,网络空间与现实世界深度融合,数字化转型已成大势所趋,网络安全问题也成为审计机关关注的重点。
一、加强网络安全审计的重要意义
(一)加强网络安全审计,推动网络安全防护技术的更新迭代
首先,在网络系统中,设备、软件、数据等各自的信息相互较独立,所以被审计单位很可能存在由于技术漏洞导致的重复预警或信息不一致的问题,与此同时,黑客、爬虫等新型攻击风险也在加大,亦会直接导致重要信息数据的泄露。其次,各地政府在网络安全防护技术的资源投入和人员配备上也可能不尽相同,部分单位可能存在内部操作制度与管理不合规而导致的风险。通过网络安全审计,各地政府能够明确了解自身在网络安全防护技术方面的具体缺陷,强化内部人员操作管理的标准及制度要求,加强网络安全操作的合规性,在此基础上对防护技术修复升级,如及时升级病毒库、关闭高危端口、禁止共享访问等,严防病毒攻击与数据泄露,增强应对新型网络攻击的能力。
(二)加强网络安全审计,防范隐私及数据泄露风险
近年来,我国正加大力度推进政府数字化转型、打造智慧城市,着重构建覆盖全国的统一政务数据共享平台,以期实现政府资源信息共享,减少信息不对称的情况,为社会公众提供便利。部分省市已经设立相应的大数据管理部门,各地政府部门比以往更加依赖网络,大量的机密数据和公民隐私数据往往存储在云服务器中。云服务器容量大且使用方便,但是一旦存在安全隐患,就增加了机密信息和个人隐私泄露的风险。由于各种政务数据的复杂性,加之各地政府缺少对数字政府网络安全的规划设计,导致网络安全管理方面存在制度缺失和技术上的不足,这也给网络安全防护系统的运行带来了不小的风险。网络安全审计可以从事前、事中和事后发现并预防安全风险,加大对机密信息和隐私数据的保障力度,及时防范或化解信息泄露的重大风险。
(三)加强网络安全审计,为数字经济发展保驾护航
我国“十四五”规划纲要提出要打造数字经济新优势,“十四五”时期经济社会发展主要目标中,“数字经济核心产业增加值占GDP比重”首次成为体现创新驱动的指标。2021年世界互联网大会提出的发展重点也是构建网络空间命运共同体,向数字时代迈进。人工智能、区块链、云计算、物联网等新兴技术的运用大大提高了数字经济的发展效率,但由于足够“新”,新兴技术的使用标准及规范尚未明确统一,在使用中很可能出现诸如数字信任等危机,所以数字经济的发展更加需要重视新兴技术及网络安全风险。此外,在智慧城市建设中,地方政府可能会脱离实际制定发展目标、盲目追求数字技术创新,致使地方政府的财政压力和政策制定压力加大。通过网络安全审计,能够提高政府的政策规划意识及风险意识,促使政府监督相关部门的职责履行情况,保障技术创新与政策执行并驾齐驱,从而维持数字经济的平稳发展。
二、我国网络安全审计工作存在的不足
(一)审计采集的数据不完整或时效性不足
现阶段,我国正全力推进政府数字化转型,充分利用大数据技术及网络打造政务平台,各地方政府也在积极参与转型。政务工作电子化确实提高了工作效率,方便了广大群众,然而,由于不同地区在经济上存在差异,经济相对落后的地区可能无法投入足够的资源和技术;各地服务的对象也有所不同,各部门自行开发的信息系统传输协议等存在较大差异,所以很可能出现系统中数据无法及时、完整共享的情况,导致政务平台信息系统存在信息发布滞后、互通性差,数据不完整、共享程度低等问题。对政府信息系统的审计是网络安全审计工作中的重要一环,审计工作要依托于系统记录的基本数据,信息系统本身的数据缺失对审计数据的采集造成了一定影响,加上这样的数字信息过于碎片化,使得审计人员很难做出全面准确的评估;信息系统的数据滞后问题同样关键,数据滞后很容易使审计人员和政府部门之间产生信息不对称,从而进一步影响了网络安全评估审计的效率和质量。
(二)网络安全审计队伍的专业能力需要培养与优化
传统网络安全审计工作主要以资金真实性、制度合规性审计为主。例如,通过走访、座谈和查阅相关文件的方式,审查被审计单位是否制定完整的规章制度,是否根据规章制度严格落实网络安全防护工作,对网络安全项目建设的资金使用是否真实合规等。数字经济时代下,审计内容不断丰富,审计领域不同于以往传统的业务活动。面对海量的网络数据,审计人员需要判断采集何种数据、用什么方法采集、如何对数据关系进行深层挖掘分析等,这对审计人员的专业素质能力提出了更高的要求。然而,目前审计队伍中从事数据采集及分析的专业技术人员相对较少,审计人员运用新兴审计软件与技术的能力有待提高,进而影响了审计的质量与效率。
(三)审计准则不够明确,审计覆盖范围不广
目前我国还没有出台一套标准化的网络安全管理流程,最新通过的《数据安全法》也缺少对微观层面的详细指导,各单位对网络安全防护的应对方法不尽相同。在审计方式上,国家审计机关尚未建立标准统一的大数据审计平台,因此与被审计单位的数据库接口很可能不一致,导致在网络安全审计工作中很难获取完整信息。对于审计机关来说,没有网络安全风险审计准则作为指导,在确定审计范围时,有可能出现遗漏的情况。例如对教育、医疗等关键基础设施的审计,审计人员会从宏观制度层面进行评价,同时落实单位领导责任履行情况,审查领导是否发挥带头作用,有效推动单位网络安全管理,而在微观的风险管理流程层面,对网络基础设施的风险识别、分析和应对环节可能审计不全面。此外, 5G、物联网、供应链等新技术若运用不当也会存在较大的网络安全风险,但在审计过程中有些审计人员并未将新技术纳入网络安全审计的范围。
三、英国审计署(NAO)网络安全审计实践借鉴
(一)英国审计署网络安全审计概况
与我国相比,英国互联网起步早、普及率高,所以英国审计署(NAO)对网络安全审计的研究也比较早,相关的体系和制度更完善。早在1994年,英国政府就提出建设“电子政府”,开始政府数字化转型,2012年,英国开设单一政府网站www.gov.uk,从这一入口人们可以查询到自己想要的所有公开政务信息,不仅如此,人们还可以在网站上纳税、缴费、申请贷款、办理驾照等。一站式服务方便了社会公众,由于数据信息的集中和权威性,也保证了审计人员对数据获取的效率和质量。随着电子政务的发展,NAO于2002年开始对网络安全进行审计,重点审查内阁办公室、国防部等是否有效地协调实施了国家网络安全计划及战略,包括评估政府在网络安全方面的做法、内阁办公室对计划及战略的管理、计划实施的进展并对计划的最终成果进行预测。通过多次审计,国防部完成了至少80%的网络安全项目,英国政府各部门遭遇的网络攻击数也大大下降。
(二)英国审计署数字政府建设中网络安全审计的特点
1.始终关注网络安全项目资金的管理使用情况。制定切实有效的网络安全防护项目计划是保护网络运行的关键,因此,以网络安全行动中心、网络安全和信息保障办公室为代表的相关部门对网络安全防护项目的资金投入较多。资金的使用效率决定了该项目是否能够成功运行,NAO审计的重点便是项目资金,首先调查各部门在制定项目计划前,是否充分了解实际网络规模、所需资金规模,是否充分预估项目实施各阶段情况以及制定相应的资金投入预算安排;在实施过程中,各部门是否严格按照规章制度使用资金,有无挪用项目资金的情况;项目完成时,各部门是否详细记录每笔资金的实际用途,确认与原先预算安排是否存在较大差异,寻找差异原因并判断合理性等。通过审计,促使各部门优化对网络安全项目资金的分配使用,有效保障项目运行。
2.制定标准,注重网络安全计划的绩效情况。2011年,为了提高对网络攻击的抵御能力,英国国防部制定了英国网络安全战略,并出资8.6亿英镑实施了《2011—2016年国家网络安全计划》(NCSP1),而后又投入13亿英镑推进《2016—2021年国家网络安全战略》,成立国家网络安全中心(NCSC)。NAO重点关注网络安全计划和战略实施的绩效情况,通过审计,评估各部门绩效框架涵盖的内容是否全面,衡量指标是否科学公正,促使各部门完善绩效框架、制定具体的绩效衡量指标,同时,引入专业人员对绩效衡量进行监督,保障网络安全计划和战略实施的经济性和效率性。NAO还对各部门提交的网络安全报告进行审查,包括项目评估报告、进度报告等,及时了解计划的进展程度,并且重点评估计划是否涵盖国家网络安全战略中威慑、防御和发展的三大主题内容,通过审查报告,督促各部门强化职责履行意识,加强内部管理。
3.从防范网络安全风险角度,提高对劳动力和新技术的关注。在不断推进公共服务数字化转型的过程中,对网络问题的深入理解对于保护公共服务及用户至关重要。拥有高水平网络技术人员对保障部门网络安全、推动网络安全项目实施具有重要作用,为此,NAO对各部门是否有足够的工作人员处理网络安全问题的能力、是否有积极的计划去招聘和保留现有专业安全技能人员、对员工是否提供培训来提高风险意识和合规意识等开展评估。此外,新技术的出现不仅带来了网络安全风险,也威胁到个人数据隐私安全,NAO将新技术纳入审计范围,以供应链为例,评估各部门是否充分了解供应链和对应的服务、是否有针对个人数据隐私的明确规定,以及是否有持续改进和发展网络安全和信息风险的流程。
四、数字经济时代我国加强网络安全审计的建议
(一)以资金为主线,重点关注网络关键基础设施
与英国类似,我国的网络关键基础设施也不断遭受威胁。从中国国家互联网应急中心报告可以看出,2020年,超5万个恶意程序控制服务器控制了我国境内约531万台主机,新冠肺炎疫情期间,医疗系统更是频频遭受攻击。因此,各地政府亟需加大对网络安全项目建设的资金投入,强化对网络关键基础设施的安全风险管控。2008年以来,全国各地、各级政府都在全力推动数字政府的建设,但是建设程度、标准无法统一,我国可以参考借鉴英国的一站式政务平台,在政府信息管理系统中集中、统一、及时地公开建设网络安全项目的相关数据,例如各项目的资金投入数额、资金使用具体流向、适用的政策等,为审计人员采集网络安全审计所需的数据减少阻力。网络安全项目资金的使用效率直接影响着风险防护的有效程度,因此,对项目资金使用真实合规性的审查仍然是审计工作的重点,审计机关应重点关注保护网络关键基础设施科研项目的资金使用情况,规范科研资金管理,提高资金使用效率,促使各地政府提高安全防范意识,从而有效保障关键基础设施的正常运行。
(二)完善网络安全审计准则,聚焦网络安全计划实施部门的职责履行情况
在网络安全审计准则方面,英国审计署于2017发布了《网络安全和信息风险良好实践指南》的第一版,2021年又发布第二版,列明审计主题和重点,提供了对网络安全审计标准的指导。目前,我国关于网络安全的法律法规主要有《国家安全法》《网络安全法》《数据安全法》等。这些法律法规是从宏观层面制定的,对于相关部门具体职责划分及如何实施没有详细的规定,尽管各地网信、工信、公安等部门都自行制定了规章制度,但制度的履行情况难以明确掌握。为此,我国需要通过审计促进网络安全制度的健全完善,另外,也需制定完善网络安全审计的相关准则或指南。在审计准则的指导下,审计机关应对网络相关的管理部门、实施部门等开展审计,审查各部门是否严格、有效落实法律的相关规定及配套制度文件;是否制定了完整、详细的管理制度来保障部门数据和网络的安全;网络安全项目是否有序实施、能否达到预期效果等。在此过程中,审计机关应积极发挥监督作用,充分关注部门责任履行情况,促使相关部门事先做好对网络安全的风险评估;必要时可根据部门实际情况,制定网络安全项目绩效评价框架。
(三)加强问责力度,关注相关网络安全计划、项目实施等重大风险
党的十八大以来,中央高度重视网络安全工作。2014年,中央成立网络安全和信息化领导小组,表明我国网络安全工作又迈上了一个新台阶。审计机关作为国家监督体系的重要组成部分,要重点审查国家层面重大战略及计划的执行情况,保障顶层设计的领导力。在教育、医疗、新兴技术等关键基础设施方面,审计机关应结合国家网络安全重大战略,从面临的风险入手,通过风险识别、分析和应对等环节,对涉及网络安全的项目充分评估,防范、发现并化解重大风险。同时,通过审计问责整改,各级网络安全计划落实部门、项目实施部门要分清责任主体,不仅依据查出的问题来定责,更要深入问题根源,提高审计整改成效。
(四)创新审计方法,发挥协同作用
数字经济时代,审计方法应有所创新。可以充分利用大数据技术,建立网络安全信息共享平台,密切审计机关与相关部门内部审计之间的联系,掌握相关部门的计划或项目实施的信息,识别分析和控制可能存在的风险,从而提高风险防范的有效性。此外,审计机关也可与社会审计协同工作,对于专业性较强的问题可聘请专家,参考专家的建议,使得网络安全审计工作更具有科学性、针对性。审计机关应加大对网络安全计划的实施和监管力度,必要时对计划、政策等进行跟踪审计,提出有针对性的审计建议,促进相关法律的完善,从而积极推动国家层面网络安全的建设。