“互聯(lián)網(wǎng)+智慧教育”的安全審計(jì)模式分析

王垚

摘 要：智慧教育作為現(xiàn)代教育在未來(lái)的必然發(fā)展方向，其相關(guān)理論研究與實(shí)踐應(yīng)用雖然已經(jīng)在國(guó)內(nèi)全面展開(kāi)，但由于當(dāng)前的智慧教育平臺(tái)在安全性上仍存在比較明顯的不足，因此其具體應(yīng)用仍然會(huì)受到很大限制，而“互聯(lián)網(wǎng)+智慧教育”安全審計(jì)模式，則正是幫助智慧教育解決這些限制的關(guān)鍵因素。基于此，本文從頂層設(shè)計(jì)、管理的角度出發(fā)，對(duì)“互聯(lián)網(wǎng)+智慧教育”安全審計(jì)模式的構(gòu)建進(jìn)行了分析，同時(shí)圍繞“互聯(lián)網(wǎng)+智慧教育”安全審計(jì)的相關(guān)策略展開(kāi)了探討，希望能夠?qū)χ腔劢逃陌l(fā)展有所促進(jìn)。

關(guān)鍵詞：“互聯(lián)網(wǎng)+”;安全審計(jì)模式;智慧教育

中圖分類號(hào)：F23 ? ? 文獻(xiàn)標(biāo)識(shí)碼：A ? ? ?doi：10.19311/j.cnki.1672-3198.2021.20.044

0 引言

從近些年國(guó)內(nèi)外智慧教育的發(fā)展現(xiàn)狀來(lái)看，在互聯(lián)網(wǎng)、大數(shù)據(jù)、云計(jì)算等諸多先進(jìn)技術(shù)的支持下，智慧教育平臺(tái)雖然能夠?yàn)榻逃虒W(xué)工作的優(yōu)化創(chuàng)新提供巨大助力，但其安全問(wèn)題也同樣是十分重要的，無(wú)論是因網(wǎng)絡(luò)病毒傳播、黑客攻擊所導(dǎo)致的系統(tǒng)癱瘓、用戶隱私信息泄露等問(wèn)題，還是軟件工具、硬件設(shè)施的潛在故障隱患，都會(huì)對(duì)智慧教育平臺(tái)的正常運(yùn)行與使用造成直接影響，而要想解決智慧教育平臺(tái)的安全性問(wèn)題，則需要根據(jù)大數(shù)據(jù)、云計(jì)算等技術(shù)的特點(diǎn)，將動(dòng)態(tài)化的智慧教育平臺(tái)安全審計(jì)模式構(gòu)建起來(lái)，面向“互聯(lián)網(wǎng)+智慧教育”展開(kāi)全方位安全審計(jì)、管理與控制。

1 “互聯(lián)網(wǎng)+智慧教育”的安全審計(jì)模式構(gòu)建

1.1 準(zhǔn)確識(shí)別審計(jì)風(fēng)險(xiǎn)

在現(xiàn)代審計(jì)模式下，安全審計(jì)工作應(yīng)以潛在審計(jì)風(fēng)險(xiǎn)為導(dǎo)向，展開(kāi)針對(duì)性的安全審計(jì)工作，而要想將“互聯(lián)網(wǎng)+智慧教育”安全審計(jì)模式有效構(gòu)建起來(lái)，對(duì)于智慧教育潛在審計(jì)風(fēng)險(xiǎn)的準(zhǔn)確識(shí)別自然也是十分必要的。首先，從固有風(fēng)險(xiǎn)的識(shí)別來(lái)看，智慧教育在現(xiàn)階段的安全問(wèn)題與其他應(yīng)用較為廣泛的網(wǎng)絡(luò)平臺(tái)或信息系統(tǒng)是比較類似的，如身份認(rèn)證、病毒檢測(cè)、網(wǎng)絡(luò)攻擊防護(hù)、安全漏洞掃描都屬于比較明顯的固有審計(jì)風(fēng)險(xiǎn)，雖然從性質(zhì)或原因上來(lái)看，這些風(fēng)險(xiǎn)事項(xiàng)可分為技術(shù)與管理兩個(gè)層面，但卻都能導(dǎo)致平臺(tái)無(wú)法正常運(yùn)行，并帶來(lái)較大的安全事故損失，而對(duì)于這類風(fēng)險(xiǎn)的識(shí)別，則需要從智慧平臺(tái)目前在技術(shù)或管理方面的缺陷入手。其次，在控制風(fēng)險(xiǎn)方面，智慧教育的審計(jì)風(fēng)險(xiǎn)則通常會(huì)包括安全管理、訪問(wèn)權(quán)限控制、電子數(shù)據(jù)維護(hù)等，具體可分為系統(tǒng)數(shù)據(jù)安全風(fēng)險(xiǎn)與約束機(jī)制失效風(fēng)險(xiǎn)兩大類，而要想對(duì)這類風(fēng)險(xiǎn)進(jìn)行準(zhǔn)確判斷，則需要對(duì)智慧教育平臺(tái)的內(nèi)控制度進(jìn)行客觀評(píng)價(jià)，同時(shí)據(jù)此判斷出平臺(tái)的抗風(fēng)險(xiǎn)能力，為審計(jì)決策提供重要參考。最后，在檢查風(fēng)險(xiǎn)方面，智慧教育審計(jì)風(fēng)險(xiǎn)則集中體現(xiàn)在職業(yè)道德與業(yè)務(wù)水兩個(gè)層面，這類風(fēng)險(xiǎn)主要來(lái)自于審計(jì)主體（審計(jì)團(tuán)隊(duì)），關(guān)鍵在于審計(jì)人員能否準(zhǔn)確發(fā)現(xiàn)并指出各種潛在的安全隱患，而對(duì)于這方面風(fēng)險(xiǎn)的識(shí)別則需要通過(guò)審計(jì)主體的事前自我評(píng)價(jià)來(lái)實(shí)現(xiàn)。

1.2 明確安全審計(jì)目標(biāo)

針對(duì)“互聯(lián)網(wǎng)+智慧教育”的安全審計(jì)模式構(gòu)建是一項(xiàng)十分復(fù)雜的系統(tǒng)性工程，除前期的審計(jì)風(fēng)險(xiǎn)識(shí)別外，如安全審計(jì)準(zhǔn)備、審計(jì)團(tuán)隊(duì)建設(shè)、安全審計(jì)實(shí)施等，都具有一定的復(fù)雜性，而要想保證各環(huán)節(jié)安全審計(jì)工作的規(guī)范性，將完善、科學(xué)的安全審計(jì)模式構(gòu)建起來(lái)，自然就需要先將安全審計(jì)的總體目標(biāo)明確下來(lái)，為各項(xiàng)安全審計(jì)工作的具體執(zhí)行提供明確方向與指導(dǎo)。一般來(lái)說(shuō)，“互聯(lián)網(wǎng)+智慧教育”的安全審計(jì)基本都會(huì)以保證智慧教育平臺(tái)安全、可靠運(yùn)行為核心目的，而從實(shí)際應(yīng)用的角度來(lái)看，還需保證智慧教育平臺(tái)的完整性、保密性與效益性。另外，由于智慧教育系統(tǒng)的運(yùn)行安全性、可靠性、效益性等會(huì)受到多方面因素的影響，因此基于安全審計(jì)總體目標(biāo)，還需對(duì)數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)傳輸安全、服務(wù)持續(xù)保護(hù)、隱私信息保護(hù)等分項(xiàng)目標(biāo)進(jìn)行細(xì)化，以明確安全審計(jì)工作的具體方向。

1.3 建立專業(yè)審計(jì)團(tuán)隊(duì)

智慧教育在我國(guó)的發(fā)展較晚，不僅相關(guān)應(yīng)用實(shí)踐相對(duì)較少，對(duì)于“互聯(lián)網(wǎng)+智慧教育”的安全審計(jì)工作也非常缺乏經(jīng)驗(yàn)，如安全管理規(guī)范、標(biāo)準(zhǔn)化工作體系等都尚未完全建立起來(lái)，在實(shí)際工作的推進(jìn)過(guò)程中，基本都只能依靠審計(jì)人員的個(gè)人專業(yè)素養(yǎng)及工作經(jīng)驗(yàn)來(lái)進(jìn)行摸索，而在這樣的工作現(xiàn)狀下，要想構(gòu)建出科學(xué)的安全審計(jì)模式，則還需將專業(yè)化的高素質(zhì)審計(jì)團(tuán)隊(duì)建立起來(lái)。例如從審計(jì)規(guī)劃的角度來(lái)看，為制定出科學(xué)的審計(jì)規(guī)劃，審計(jì)人員應(yīng)對(duì)各種審計(jì)理論及安全控制思想擁有足夠的了解，同時(shí)準(zhǔn)確把握不同維度下的審計(jì)決策需求，從而實(shí)現(xiàn)智慧教育平臺(tái)安全控制標(biāo)準(zhǔn)的有效借鑒與改進(jìn)。而在知識(shí)結(jié)構(gòu)方面，由于智慧教育的安全審計(jì)工作涉及了審計(jì)科學(xué)、教育學(xué)、信息科學(xué)等多個(gè)學(xué)科領(lǐng)域的知識(shí)內(nèi)技能，因此審計(jì)人員也同樣需要對(duì)這些學(xué)科的理論知識(shí)及實(shí)務(wù)技能進(jìn)行全面學(xué)習(xí)。

1.4 做好安全審計(jì)準(zhǔn)備

在針對(duì)“互聯(lián)網(wǎng)+智慧教育”的安全審計(jì)模式下，審計(jì)主體應(yīng)嚴(yán)格遵循全過(guò)程管理原則，對(duì)審計(jì)工作的全過(guò)程進(jìn)行嚴(yán)格管理，尤其是在安全審計(jì)工作正式開(kāi)始之前，面對(duì)復(fù)雜的審計(jì)工作內(nèi)容，對(duì)于固有風(fēng)險(xiǎn)了解、內(nèi)部控制評(píng)價(jià)、審計(jì)方案規(guī)劃等安全審計(jì)準(zhǔn)備工作的規(guī)范與落實(shí)更是顯得極為關(guān)鍵。例如對(duì)各項(xiàng)安全審計(jì)風(fēng)險(xiǎn)，應(yīng)根據(jù)各項(xiàng)風(fēng)險(xiǎn)的特征及智慧教育平臺(tái)內(nèi)部控制設(shè)計(jì)情況來(lái)對(duì)其進(jìn)行合理分級(jí)，將不同安全風(fēng)險(xiǎn)的風(fēng)險(xiǎn)等級(jí)確定下來(lái)，以實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)嚴(yán)重程度的有效評(píng)價(jià)與對(duì)比。而審計(jì)技術(shù)方面，則需要根據(jù)“互聯(lián)網(wǎng)+智慧教育”的安全審計(jì)工作需求來(lái)選擇合適的審計(jì)技術(shù)與審計(jì)方法，并將不同審計(jì)工作所需的審計(jì)技術(shù)、方法一一對(duì)應(yīng)，以提升審計(jì)工作的有效性與規(guī)范性。例如在面對(duì)身份認(rèn)證、病毒檢測(cè)等風(fēng)險(xiǎn)時(shí)，可選擇系統(tǒng)文檔審核、變異檢測(cè)等IT審計(jì)技術(shù)，而面對(duì)來(lái)自于審計(jì)主體的檢查風(fēng)險(xiǎn)，則可以利用BLP模型、專家系統(tǒng)等職能控制技術(shù)。

1.5 落實(shí)安全審計(jì)措施

從全過(guò)程管理的角度來(lái)看，“互聯(lián)網(wǎng)+智慧教育”的安全審計(jì)模式構(gòu)建還需要保證各項(xiàng)安全審計(jì)措施的有效落實(shí)，使審計(jì)主體能夠?qū)踩珜徲?jì)工作持續(xù)推進(jìn)下去。例如在實(shí)質(zhì)性測(cè)試階段，應(yīng)利用入侵檢測(cè)、統(tǒng)計(jì)抽樣等專業(yè)技術(shù)及方法來(lái)展開(kāi)安全性審查，確定智慧教育平臺(tái)在各個(gè)方面實(shí)際存在的風(fēng)險(xiǎn)，并將風(fēng)險(xiǎn)級(jí)別確定下來(lái)。而在審計(jì)風(fēng)險(xiǎn)評(píng)價(jià)結(jié)束后，則需要根據(jù)不同風(fēng)險(xiǎn)的重要性程度來(lái)確定審計(jì)證據(jù)范圍及數(shù)量，同時(shí)據(jù)此開(kāi)始收集審計(jì)證據(jù)，編制審計(jì)工作底稿。