電子政務(wù)網(wǎng)絡(luò)安全審計(jì)應(yīng)用層淺議

前言：想要寫(xiě)出一篇引人入勝的文章？我們特意為您整理了電子政務(wù)網(wǎng)絡(luò)安全審計(jì)應(yīng)用層淺議范文，希望能給你帶來(lái)靈感和參考，敬請(qǐng)閱讀。

摘要：本文以電子政務(wù)網(wǎng)絡(luò)安全為研究對(duì)象，探析如何在大數(shù)據(jù)背景下基于網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防范建立安全審計(jì)應(yīng)用層。在分析固有風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)、檢查風(fēng)險(xiǎn)的基礎(chǔ)上，確定電子政務(wù)網(wǎng)絡(luò)安全審計(jì)模式和技術(shù)方法，探索基于基礎(chǔ)設(shè)備安全、數(shù)據(jù)信息安全、應(yīng)用服務(wù)安全等模塊的電子政務(wù)網(wǎng)絡(luò)安全審計(jì)應(yīng)用層模型，構(gòu)建出切實(shí)可行并具備科學(xué)合理化的電子政務(wù)網(wǎng)絡(luò)安全審計(jì)應(yīng)用層體系。

關(guān)鍵詞：電子政務(wù)；安全審計(jì)；大數(shù)據(jù)；應(yīng)用層

我國(guó)于2021年11月出臺(tái)的《“十四五”信息通信行業(yè)發(fā)展規(guī)劃》首次將創(chuàng)新發(fā)展網(wǎng)絡(luò)安全產(chǎn)業(yè)作為重要任務(wù)之一，并將新型數(shù)字基礎(chǔ)設(shè)施的安全保障提升到新的戰(zhàn)略高度[1]。大數(shù)據(jù)背景下，審計(jì)主體應(yīng)順應(yīng)電子政務(wù)網(wǎng)絡(luò)動(dòng)態(tài)監(jiān)管要求，將網(wǎng)絡(luò)安全引入電子政務(wù)審計(jì)模式中。由于電子政務(wù)網(wǎng)絡(luò)安全審計(jì)區(qū)別于傳統(tǒng)審計(jì)工作，其具有取證廣泛性、審計(jì)對(duì)象多樣性等特征。鑒于此，本文基于風(fēng)險(xiǎn)分析和模塊取證，對(duì)電子政務(wù)網(wǎng)絡(luò)安全審計(jì)應(yīng)用層做出探討，旨在為電子政務(wù)網(wǎng)絡(luò)安全審計(jì)應(yīng)用層理論發(fā)展提供參考思路。電子政務(wù)網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的建設(shè)過(guò)程是一種動(dòng)態(tài)模式，其建立在現(xiàn)代軟件工程環(huán)境基礎(chǔ)上，結(jié)合安全模式下數(shù)據(jù)交換與程序鏈接的一種安全信息審計(jì)系統(tǒng)，通過(guò)訪問(wèn)控制與安全審計(jì)等方式，對(duì)用戶(hù)信息進(jìn)行集中管理與調(diào)控，具體見(jiàn)圖1。大數(shù)據(jù)背景下電子政務(wù)網(wǎng)絡(luò)安全審計(jì)應(yīng)用層的設(shè)計(jì)應(yīng)從安全層面進(jìn)行深度思考，圍繞安全審計(jì)進(jìn)行研發(fā)，其應(yīng)用層設(shè)計(jì)包括風(fēng)險(xiǎn)分析與模塊取證等。

1.風(fēng)險(xiǎn)分析視域下的電子政務(wù)網(wǎng)絡(luò)安全審計(jì)應(yīng)用層探析

1.1電子政務(wù)網(wǎng)絡(luò)安全審計(jì)風(fēng)險(xiǎn)分析

1983年，美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)（AmericanInstituteofCertifiedPublicAccountants，AICPA)提出風(fēng)險(xiǎn)算法，審計(jì)風(fēng)險(xiǎn)不僅是重大錯(cuò)誤風(fēng)險(xiǎn)與檢查風(fēng)險(xiǎn)的乘積，還是固有風(fēng)險(xiǎn)（InherentRisk，IR）、控制風(fēng)險(xiǎn)（ControlRisk，CR）、檢查風(fēng)險(xiǎn)（DetectionRisk，DR）三者乘積[2]。因此，大數(shù)據(jù)背景下電子政務(wù)網(wǎng)絡(luò)安全審計(jì)風(fēng)險(xiǎn)由以上三要素組成。關(guān)于電子政務(wù)網(wǎng)絡(luò)安全審計(jì)風(fēng)險(xiǎn)構(gòu)成，見(jiàn)圖2。1.1.1電子政務(wù)網(wǎng)絡(luò)安全固有風(fēng)險(xiǎn)。電子政務(wù)網(wǎng)絡(luò)安全固有風(fēng)險(xiǎn)指的是在排除內(nèi)部因素控制下，基于大數(shù)據(jù)的電子政務(wù)系統(tǒng)受到一定因素引起的重大安全事故，并在該因素影響下造成損失，關(guān)鍵節(jié)點(diǎn)在于該因素所發(fā)生的概率。固有風(fēng)險(xiǎn)主要體現(xiàn)在技術(shù)層面、管理層面以及政策層面等。若其中任何一個(gè)層面出現(xiàn)問(wèn)題，都可能引發(fā)電子政務(wù)下的審計(jì)風(fēng)險(xiǎn)，因此需要對(duì)固有風(fēng)險(xiǎn)的組成部分系統(tǒng)分析，依據(jù)分析評(píng)價(jià)電子政務(wù)網(wǎng)絡(luò)安全固有風(fēng)險(xiǎn)。首先，技術(shù)層面主要涵蓋數(shù)據(jù)、應(yīng)用、主機(jī)系統(tǒng)以及網(wǎng)絡(luò)等，其固有風(fēng)險(xiǎn)表現(xiàn)于SaaS層、PaaS層、IaaS層[3]。SaaS層技術(shù)風(fēng)險(xiǎn)包含數(shù)據(jù)傳輸風(fēng)險(xiǎn)、應(yīng)用隔離風(fēng)險(xiǎn)、應(yīng)用程序和應(yīng)用補(bǔ)丁互不兼容風(fēng)險(xiǎn)以及數(shù)據(jù)泄露風(fēng)險(xiǎn)等；PaaS層技術(shù)風(fēng)險(xiǎn)包含數(shù)據(jù)處理風(fēng)險(xiǎn)和云開(kāi)發(fā)風(fēng)險(xiǎn)，數(shù)據(jù)處理風(fēng)險(xiǎn)是由服務(wù)器頻繁增減、組件失效以及多用戶(hù)并發(fā)訪問(wèn)所引起的一種風(fēng)險(xiǎn)，而云開(kāi)發(fā)風(fēng)險(xiǎn)則是由不確定的編程模型、不安全的開(kāi)發(fā)環(huán)境和復(fù)雜的編程接口等方面所引起的一種風(fēng)險(xiǎn)；IaaS層技術(shù)風(fēng)險(xiǎn)主要來(lái)源于虛擬機(jī)內(nèi)部與外部?jī)煞N風(fēng)險(xiǎn)，內(nèi)部風(fēng)險(xiǎn)來(lái)自虛擬機(jī)的攻擊與沖突，外部風(fēng)險(xiǎn)來(lái)源于虛擬機(jī)與外界系統(tǒng)發(fā)生交集時(shí)，所產(chǎn)生的信息泄露風(fēng)險(xiǎn)。其次，管理層面主要涵蓋制度、人員、組織以及系統(tǒng)建設(shè)等。管理層面的固有風(fēng)險(xiǎn)包括權(quán)限管理混亂、供應(yīng)鏈終端、數(shù)據(jù)歸屬不明、服務(wù)終止、安全邊界不清晰以及內(nèi)部人員惡意操作等。最后，隱私數(shù)據(jù)的保護(hù)與泄露以及責(zé)任界定等所面臨的風(fēng)險(xiǎn)亦屬于固有風(fēng)險(xiǎn)范疇。1.1.2電子政務(wù)網(wǎng)絡(luò)安全控制風(fēng)險(xiǎn)。電子政務(wù)網(wǎng)絡(luò)安全控制風(fēng)險(xiǎn)被定義為內(nèi)部控制未及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全事件以及沒(méi)有同時(shí)對(duì)即將發(fā)生的安全事故進(jìn)行防御與處理的概率。大數(shù)據(jù)背景下的控制風(fēng)險(xiǎn)分別涵蓋審計(jì)系統(tǒng)的設(shè)計(jì)與控制，以保證科學(xué)有效的安全控制為前提[4]。由于目前電子政務(wù)網(wǎng)絡(luò)安全管理只重視業(yè)務(wù)流程以及安全硬件建設(shè)，對(duì)電子政務(wù)系統(tǒng)內(nèi)部控制建設(shè)方面重視度不足，當(dāng)審計(jì)應(yīng)用層內(nèi)控系統(tǒng)出現(xiàn)混亂、模糊或者錯(cuò)誤時(shí)，意味著其在執(zhí)行力以及運(yùn)算力方面表現(xiàn)不足，容易引發(fā)電子政務(wù)網(wǎng)絡(luò)安全控制風(fēng)險(xiǎn)，因此，關(guān)于審計(jì)應(yīng)用層中的內(nèi)部控制建設(shè)問(wèn)題，應(yīng)由建設(shè)方、開(kāi)發(fā)方、運(yùn)營(yíng)方和服務(wù)方等主體機(jī)構(gòu)共同參與并引起重視，時(shí)刻檢查內(nèi)部控制設(shè)計(jì)與執(zhí)行是否存在重大缺陷，降低控制風(fēng)險(xiǎn)。1.1.3電子政務(wù)網(wǎng)絡(luò)安全檢查風(fēng)險(xiǎn)。電子政務(wù)網(wǎng)絡(luò)安全檢查風(fēng)險(xiǎn)被定義為，安全事故即將引發(fā)的安全風(fēng)險(xiǎn)沒(méi)有被檢測(cè)到的概率。檢查風(fēng)險(xiǎn)因素包含多種維度：（1）工作人員的素養(yǎng)，比如審計(jì)員的工作能力；（2）審計(jì)環(huán)節(jié)的規(guī)范，如審計(jì)方案和技術(shù)等是否具備科學(xué)合理性；（3）檢測(cè)環(huán)節(jié)的合規(guī)，如在檢測(cè)中技術(shù)手段是否恰當(dāng)；（4）審查環(huán)節(jié)的合理，如在審計(jì)抽樣時(shí)是否合理。大數(shù)據(jù)背景下電子政務(wù)網(wǎng)絡(luò)安全審計(jì)不僅要求審計(jì)主體擁有計(jì)算機(jī)技術(shù)、審計(jì)技術(shù)、安全管理學(xué)等多領(lǐng)域知識(shí)，還應(yīng)對(duì)這些學(xué)科具備精通能力。由于培養(yǎng)復(fù)合型審計(jì)人才需要長(zhǎng)期過(guò)程，目前又沒(méi)有較為成熟的安全審計(jì)體系與規(guī)范可以借鑒，所以，如何降低電子政務(wù)網(wǎng)絡(luò)安全審計(jì)檢查風(fēng)險(xiǎn)是現(xiàn)階段需要高度重視的問(wèn)題，有待審計(jì)主體多舉措并施和統(tǒng)籌規(guī)劃等。

1.2電子政務(wù)網(wǎng)絡(luò)安全審計(jì)風(fēng)險(xiǎn)評(píng)價(jià)

風(fēng)險(xiǎn)分析視域下電子政務(wù)網(wǎng)絡(luò)安全審計(jì)應(yīng)用層的設(shè)計(jì)模型應(yīng)涵蓋固有風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)、檢查風(fēng)險(xiǎn)因素，分別通過(guò)感知、調(diào)查、審核三方面功能來(lái)完成應(yīng)用層的構(gòu)建，同時(shí)挖掘?qū)е玛P(guān)鍵風(fēng)險(xiǎn)出現(xiàn)的因素，判斷其能否被轉(zhuǎn)化，并建立風(fēng)險(xiǎn)模型以及做好風(fēng)險(xiǎn)識(shí)別，評(píng)估風(fēng)險(xiǎn)出現(xiàn)的概率，對(duì)可能發(fā)生的安全事故進(jìn)行風(fēng)險(xiǎn)評(píng)價(jià)。根據(jù)工程學(xué)相關(guān)理論，電子政務(wù)網(wǎng)絡(luò)安全審計(jì)風(fēng)險(xiǎn)因素來(lái)源于審計(jì)人員、電腦系統(tǒng)以及環(huán)境三方面，其中，審計(jì)人員風(fēng)險(xiǎn)因素指的是相關(guān)參與者在審計(jì)環(huán)節(jié)中因其心理、生理和可靠性等原因造成的電子政務(wù)網(wǎng)絡(luò)安全審計(jì)風(fēng)險(xiǎn)；電腦系統(tǒng)因素指的是，在電子政務(wù)網(wǎng)絡(luò)安全硬件與軟件設(shè)計(jì)時(shí)可能產(chǎn)生的安全事故；環(huán)境因素則是指除人員風(fēng)險(xiǎn)因素和電腦系統(tǒng)因素以外的業(yè)務(wù)因素所造成的風(fēng)險(xiǎn)問(wèn)題，如邏輯管理方面和法律法規(guī)方面等。因此，審計(jì)主體需要針對(duì)各項(xiàng)風(fēng)險(xiǎn)要素，審計(jì)人員、電腦系統(tǒng)以及環(huán)境因素三個(gè)角度為切入點(diǎn)，檢測(cè)與審查潛在風(fēng)險(xiǎn)事件發(fā)生的概率問(wèn)題，及時(shí)防范因電子政務(wù)系統(tǒng)瑕疵被可利用的信息漏洞引發(fā)的安全事故。由于安全風(fēng)險(xiǎn)誘發(fā)原因不同，造成后果會(huì)產(chǎn)生差異性?；诖?，審查主體可利用三種方式進(jìn)行鑒定：（1）模塊分解，在進(jìn)行審計(jì)時(shí)，可根據(jù)造成安全風(fēng)險(xiǎn)的原因和后果進(jìn)行分類(lèi)并建立對(duì)應(yīng)模塊，如將誘發(fā)風(fēng)險(xiǎn)的因素分解成大小不等的模塊；（2）圖解描述，將誘發(fā)風(fēng)險(xiǎn)的因素以圖解的方式進(jìn)行形象描述，便于相關(guān)審計(jì)人員做出更好的理解；（3）動(dòng)態(tài)分析，借助數(shù)據(jù)圖表的技術(shù)手段，對(duì)安全審計(jì)風(fēng)險(xiǎn)進(jìn)行分析，結(jié)合圖表中的關(guān)鍵數(shù)據(jù)變化，做出風(fēng)險(xiǎn)預(yù)判。風(fēng)險(xiǎn)評(píng)估注重網(wǎng)絡(luò)安全審計(jì)風(fēng)險(xiǎn)事件發(fā)生過(guò)程，指的是審計(jì)主體對(duì)安全事件發(fā)生概率進(jìn)行定量評(píng)估，在安全風(fēng)險(xiǎn)可能造成損失時(shí)，以歷史資料為依據(jù)，通過(guò)概率統(tǒng)計(jì)等方式預(yù)估，無(wú)論是評(píng)估范圍的確定，還是評(píng)估方法和方案的制定，評(píng)估步驟需以安全審計(jì)為中心。在面對(duì)造成安全風(fēng)險(xiǎn)的多種要素相互疊加時(shí)，審計(jì)主體可通過(guò)對(duì)應(yīng)的數(shù)學(xué)公式對(duì)風(fēng)險(xiǎn)評(píng)估進(jìn)行運(yùn)算，例如采取交叉相乘的方式方法進(jìn)行。風(fēng)險(xiǎn)評(píng)價(jià)則是風(fēng)險(xiǎn)評(píng)估在進(jìn)行過(guò)程中的進(jìn)一步深化措施，在此過(guò)程中，審計(jì)主體需要采取風(fēng)險(xiǎn)誘因、風(fēng)險(xiǎn)結(jié)果、風(fēng)險(xiǎn)監(jiān)督措施三方面的等級(jí)劃分。需要注意的是，當(dāng)對(duì)安全風(fēng)險(xiǎn)事件進(jìn)行發(fā)生概略評(píng)價(jià)時(shí)，應(yīng)圍繞攻擊軟硬件基礎(chǔ)設(shè)施與資產(chǎn)力誘因等方面綜合考量；當(dāng)對(duì)安全事故所造成的損失進(jìn)行風(fēng)險(xiǎn)評(píng)價(jià)時(shí)，應(yīng)圍繞資產(chǎn)本身和社會(huì)影響程度等方面進(jìn)行綜合考量。所以，在審計(jì)主體進(jìn)行風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)評(píng)價(jià)時(shí)，應(yīng)注意對(duì)此過(guò)程所發(fā)生的成本進(jìn)行權(quán)衡，確立可接受安全風(fēng)險(xiǎn)防控范圍。對(duì)于可接受的安全風(fēng)險(xiǎn)防控范圍，則保持原有風(fēng)險(xiǎn)防控措施；當(dāng)安全風(fēng)險(xiǎn)防控成本超出時(shí)，需要采取新的防控安全風(fēng)險(xiǎn)策略或者在原有防控措施基礎(chǔ)上做出修改，以便于及時(shí)完成對(duì)審計(jì)環(huán)節(jié)中所出現(xiàn)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)問(wèn)題進(jìn)行全程實(shí)時(shí)監(jiān)控。

2.基于模塊取證的電子政務(wù)網(wǎng)絡(luò)安全審計(jì)應(yīng)用層探析

2.1電子政務(wù)基礎(chǔ)設(shè)備網(wǎng)絡(luò)安全審計(jì)分析

2.1.1物理基礎(chǔ)設(shè)備安全。電子政務(wù)系統(tǒng)基礎(chǔ)設(shè)備分別由物理基礎(chǔ)設(shè)備資源與虛擬基礎(chǔ)設(shè)備資源構(gòu)成。關(guān)于物理基礎(chǔ)設(shè)備安全，其包括設(shè)備與設(shè)施安全、介質(zhì)安全和環(huán)境安全，審計(jì)主體從自然要素和人為要素角度出發(fā)，對(duì)設(shè)備與設(shè)施、介質(zhì)以及環(huán)境狀態(tài)進(jìn)行評(píng)價(jià)，結(jié)合真實(shí)有效性、合法合規(guī)性、科學(xué)正確性對(duì)審查意見(jiàn)進(jìn)行客觀公正發(fā)布。首先，對(duì)于物理基礎(chǔ)設(shè)備與設(shè)施的安全性應(yīng)從以下四方面進(jìn)行考慮：（1）為防止相關(guān)設(shè)備與設(shè)施的日常損壞，審查主體應(yīng)遵循定期檢查原則，例如對(duì)監(jiān)控、設(shè)備等安全基礎(chǔ)設(shè)施進(jìn)行日常巡查；（2）為防止電磁泄漏等情況發(fā)生，需定期對(duì)干擾、濾波等方面進(jìn)行安全防護(hù)與安全審查；（3）基于操作規(guī)范、UPS和調(diào)整器等電源保護(hù)狀況進(jìn)行審查；（4）基于設(shè)備轉(zhuǎn)移、設(shè)備處置和設(shè)備維護(hù)等方面對(duì)設(shè)備保護(hù)狀態(tài)進(jìn)行巡查。其次，關(guān)于介質(zhì)安全設(shè)計(jì)，要從防范自然損害狀況，對(duì)建立的相關(guān)權(quán)限與級(jí)別進(jìn)行查看，并核驗(yàn)介質(zhì)的清除、銷(xiāo)毀、備份等是否在遵循合理制度下進(jìn)行的，同時(shí)還需查驗(yàn)涉密存儲(chǔ)介質(zhì)是否采取有效技術(shù)防范。最后，環(huán)境因素決定著物理基礎(chǔ)設(shè)備的安全，后者能在安全環(huán)境下全面運(yùn)行是審查的主要因素之一。此外，大數(shù)據(jù)背景下，審計(jì)主體還應(yīng)做出科學(xué)化安全部署，以合理性原則來(lái)決定機(jī)房與電能的選擇，同時(shí)測(cè)試防火、防水、防靜電工作是否到位，根據(jù)規(guī)定對(duì)濕度、清潔度和溫度進(jìn)行審驗(yàn)，對(duì)方案提出進(jìn)一步整改。2.1.2虛擬基礎(chǔ)設(shè)備安全。虛擬基礎(chǔ)設(shè)備安全指的是通過(guò)虛擬化技術(shù)構(gòu)建虛擬資源安全中心，包含虛擬機(jī)、客戶(hù)機(jī)、主機(jī)以及虛擬機(jī)監(jiān)控器等組件。虛擬基礎(chǔ)設(shè)備安全問(wèn)題來(lái)源于多方面風(fēng)險(xiǎn)，一方面面臨虛擬機(jī)之間、虛擬機(jī)與宿主機(jī)之間、虛擬機(jī)控制中心的威脅，另一方面面臨虛擬機(jī)安全管理疏漏風(fēng)險(xiǎn)[5]。關(guān)于電子政務(wù)網(wǎng)絡(luò)虛擬基礎(chǔ)設(shè)備安全審計(jì)需要從以下三方面入手：（1）宿主機(jī)安全，審計(jì)主體在測(cè)試宿主機(jī)安全過(guò)程中，優(yōu)先檢查制度方面的合理性以及嚴(yán)謹(jǐn)程度，再?gòu)闹鳈C(jī)資源的使用頻率為切入點(diǎn)，對(duì)相關(guān)文件進(jìn)行全面分析與檢查，綜合判斷下來(lái)確保虛擬機(jī)是否能被網(wǎng)絡(luò)攻擊；（2）審計(jì)主體應(yīng)采用取證思維對(duì)虛擬機(jī)進(jìn)行防控，通過(guò)虛擬機(jī)的取證過(guò)程，判斷其是否存在干擾現(xiàn)象，關(guān)注其監(jiān)控框架中的固有缺陷，判斷虛擬機(jī)之間的二層流量交換是否為合法訪問(wèn)以及是否存在惡意攻擊；（3）審計(jì)主體應(yīng)查看虛擬機(jī)監(jiān)控器的安全機(jī)制是否健全，安全體系的搭建需要建立在技術(shù)層面以及制度層面，例如對(duì)防火墻進(jìn)行加強(qiáng)保護(hù)，制度管理層面需要及時(shí)更新規(guī)范操作等。

2.2電子政務(wù)數(shù)據(jù)信息網(wǎng)絡(luò)安全審計(jì)分析

電子政務(wù)系統(tǒng)數(shù)據(jù)信息網(wǎng)絡(luò)安全審計(jì)的任務(wù)是對(duì)數(shù)據(jù)信息的完成性以及可用性等進(jìn)行取證，基于安全生命周期下發(fā)現(xiàn)薄弱位置并提出改進(jìn)意見(jiàn)。其安全生命周期階段涵蓋多個(gè)階段，從生成到銷(xiāo)毀、從共享到存檔等，各個(gè)階段面臨的安全問(wèn)題也不盡相同。例如：關(guān)于數(shù)據(jù)的存儲(chǔ)，審計(jì)主體要考慮數(shù)據(jù)存放位置、安全區(qū)域劃分、網(wǎng)絡(luò)傳輸服務(wù)以及靜態(tài)和動(dòng)態(tài)存儲(chǔ)等是否合理安全；關(guān)于數(shù)據(jù)的使用，身份信息和訪問(wèn)制度等環(huán)節(jié)是需要審查主體進(jìn)行認(rèn)真審查的環(huán)節(jié)，與此同時(shí)，還需甄別是否存在安全漏洞以及非法操作的存在，如跨站點(diǎn)腳本、未經(jīng)驗(yàn)證的重定向和轉(zhuǎn)發(fā)、偽造的跨站點(diǎn)請(qǐng)求等。

2.3電子政務(wù)應(yīng)用服務(wù)網(wǎng)絡(luò)安全審計(jì)分析

電子政務(wù)系統(tǒng)應(yīng)用服務(wù)是云計(jì)算技術(shù)在應(yīng)用層的具體表現(xiàn)，是以完成特定運(yùn)算任務(wù)的一種應(yīng)用措施，涵蓋軟件與硬件的應(yīng)用安全、系統(tǒng)服務(wù)的完善程度等方面。關(guān)于系統(tǒng)服務(wù)網(wǎng)絡(luò)安全審計(jì)，審計(jì)主體在開(kāi)展時(shí)是電子政務(wù)系統(tǒng)基于平臺(tái)功能、性能以及架構(gòu)等方面進(jìn)行審計(jì)取證，運(yùn)用回歸測(cè)試技術(shù)對(duì)電子政務(wù)平臺(tái)的兼容性、連通性、可擴(kuò)展性、隱私性以及安全性進(jìn)行保護(hù)監(jiān)測(cè)。軟件應(yīng)用安全審計(jì)則主要聚焦于三方面：第一，軟件功能審計(jì)，審計(jì)主體采用并發(fā)測(cè)試、容量測(cè)試以及負(fù)載測(cè)試等方法，同時(shí)選取響應(yīng)時(shí)間、聚合寬帶、資源使用率等評(píng)價(jià)指標(biāo)，運(yùn)用云環(huán)境對(duì)實(shí)際用戶(hù)負(fù)載和整體性能等情況進(jìn)行模擬；第二，軟件安全審計(jì)，由于網(wǎng)絡(luò)安全事件未發(fā)生時(shí)的不確定性，審計(jì)主體用多種手段進(jìn)行測(cè)試，如故障分析、模糊測(cè)試等技術(shù)手段對(duì)軟件可能存在的漏洞進(jìn)行甄別，并檢測(cè)軟件保護(hù)機(jī)制是否被破壞、軟件口令是否被截取等非法入侵行為；第三，軟件維護(hù)審計(jì)，軟件服務(wù)是否達(dá)標(biāo)，要從持續(xù)力和適應(yīng)力等角度進(jìn)行綜合評(píng)價(jià)，當(dāng)審計(jì)主體發(fā)現(xiàn)軟件故障可引起安全事故的發(fā)生，此時(shí)能在規(guī)定時(shí)間內(nèi)快速修復(fù)相關(guān)漏洞，是評(píng)價(jià)軟件維護(hù)審計(jì)能力的重要因素。3結(jié)語(yǔ)通過(guò)研究發(fā)現(xiàn)，未來(lái)電子政務(wù)網(wǎng)絡(luò)安全審計(jì)應(yīng)用層應(yīng)遵循科學(xué)化設(shè)計(jì)框架，審計(jì)主體需要構(gòu)建網(wǎng)絡(luò)審計(jì)相關(guān)法律及章程，增強(qiáng)安全風(fēng)險(xiǎn)意識(shí)，借助大數(shù)據(jù)技術(shù)，合理遴選審計(jì)模式，在優(yōu)化電子政務(wù)網(wǎng)絡(luò)安全審計(jì)體系的同時(shí)，建立從全局視角解決審計(jì)問(wèn)題的意識(shí)。

參考文獻(xiàn)：

[1]王曉彥.大數(shù)據(jù)背景下鄂爾多斯市政府電子政務(wù)平臺(tái)建設(shè)研究[D].內(nèi)蒙古農(nóng)業(yè)大學(xué),2021.

[2]安創(chuàng)文,劉峰,李炯彬.電子政務(wù)信息系統(tǒng)質(zhì)量監(jiān)督中的網(wǎng)絡(luò)安全檢測(cè)[J].質(zhì)量與認(rèn)證,2022,(2):66-68.

[3]武乾,陳燕玲.電子政務(wù)領(lǐng)域個(gè)人信息的法律保護(hù)[J].西南石油大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版),2022,24(1):86-96.

[4]蔣洪杰,劉云朋.大數(shù)據(jù)環(huán)境下的河南省電子政務(wù)信息安全管理體系構(gòu)建研究[J].焦作大學(xué)學(xué)報(bào),2021,35(4):59-62.

[5]高亞楠.電子政務(wù)數(shù)據(jù)安全治理框架研究[J].信息安全研究,2021,7(10):962-968.

作者:周水波 單位:北京華創(chuàng)方舟科技集團(tuán)有限公司