大數據時代互聯網安全審計問題探析

■劉文靜 榮慶嬌 王淵

2021 年11 月，我國出臺《“十四五”信息通信行業發展規劃》（簡稱《規劃》），其重在強調在“十四五”期間，深化互聯網安全保護?！兑巹潯穼⑿袠I關鍵信息基礎設施及新型數字基礎設施的安全保障提到新的戰略高度，通過深化網絡安全防護和風險管理、防范遏制重大網絡安全事件，提升行業關鍵信息基礎設施及新型數字基礎設施保障水平。此外，《規劃》首次將創新發展網絡安全產業作為重要任務之一。大數據時代，中國針對互聯網安全方面的審計工作迫切需要進一步提高?；ヂ摼W安全審計不同于傳統審計，取證范圍極為廣泛，審計對象可能涉及互聯網、計算機科學以及安全科學等。鑒于此，本文通過對已有文獻進行回顧的基礎上，探討了大數據時代下審計發展的趨勢，梳理了互聯網安全審計可能存在的風險，最后分析了互聯網安全審計過程建模的理論與模塊如何進行分解，本文的研究旨在為互聯網安全審計理論的發展提供建設性基本思路。

一、文獻綜述

現有大數據下互聯網安全審計的研究極為匱乏，學術界對該領域的理論研究還處于起步階段，文獻過于零散，呈現零碎化的狀態。

關于安全審計的研究。王文娟等（2017）從云計算安全審計面臨的挑戰、框架建議、機制等三個方面對云計算安全審計進行了文獻綜述分析。楊宇婷（2018）借鑒美國審計署網絡安全審計經驗分析了中國網絡安全審計未來如何實施。崔慧敏（2021）從云電子商務視角探討了安全審計問題，進行了風險的梳理。

關于大數據時代安全審計的研究。劉國城（2018、2020）結合大數據背景，以“互聯網+”領域的過程安全為對象，從理論、例證、評價、策略四個方面探討了如何進行互聯網安全審計過程建模。王會金等（2021）結合大數據背景，從政務云角度分析了安全審計。認為應該基于風險導向開展安全審計，從而降低政務云面臨的安全隱患問題。并從理論上探討了如何構建電子政務云安全審計策略體系。

從已有文獻分析，可知結合“大數據”＋“互聯網安全審計”研究，目前還比較匱乏，最近幾年才開始受到關注，早期基本都是關注云數據安全審計，電子政務、電子商務等具體方面的安全審計問題，精準研究互聯網安全審計的文章相對還是較少。本文結合大數據時代的背景，探討互聯網安全審計問題是對本領域相關研究的適當改進。聚焦于互聯網安全審計的研究對我國大數據發展中的安全問題具有一定意義上的理論參考價值。

二、大數據發展下審計演化趨勢

在大數據時代下審計未來的發展趨勢會有以下幾個方面的變化：

1.從抽樣分析轉向全數據分析。隨著大數據的發展，數據的獲取會相對簡單易行，且成本低。新的技術條件的改善，使得計算機能夠處理海量的數據，這使得未來審計師可以收集和處理全部的數據，建立總體審計的思維模式。

2.從發現事物的因果關系轉向運用事物的相關關系。大數據下，審計資源的豐富，通過過程建?？梢詫Μ嵥榈臄祿M行相關性分析，從而發現事物之間的相關關系，預測一些事物的發展規律，建立關聯機理。

3.從追求數據的精確度轉向提高數據的使用效率。隨著大數據的發展，在審計互聯網安全時獲取的數據，存在瑣碎無序，優劣摻雜，精準度低的特點，如何更好的挖掘出這些混雜數據背后的價值，提升數據的及時性和使用效率，這是未來審計師需要實現的思維跨越。另外，為了提高審計質量，審計工作人員應學會使用一些新方法、新技術、數學模型，如新的大數據儲存、處置和查找方法、分布式拓撲結構、過程建模等。

三、互聯網安全審計風險的梳理與分析

本文沿用傳統審計風險理論（被審單位的固有風險、控制風險、審計主體的檢查風險）對互聯網安全審計風險進行分析。互聯網安全審計風險的構成體系闡述如下（見圖1）：

圖1 互聯網安全審計風險構成

1.互聯網安全審計固有風險。

互聯網安全審計固有風險定義為若被審計對象沒有內部控制，受內部要素與客觀環境的干擾，互聯網發生重要安全事件以及促成重大安全損失的可能性?；ヂ摼W下固有風險涵蓋技術（如數據、應用、網絡、主機系統等）與管理（組織、制度、系統建設、人員等）兩個層面。每個層面上的任意環節出現問題，都可能產生互聯網安全隱患，因此，審計主體需要充分了解固有風險的構成，系統、透徹的分析數據，評估風險發生的概率，依據分析評價固有風險。

2.互聯網安全審計控制風險。

互聯網安全審計控制風險定義為被審計對象的內部控制系統沒有及時進行防御或發現互聯網安全事件與損失的可能性?；ヂ摼W安全審計控制風險涵蓋兩個層面：（1） 內部控制設計的健全性評價；（2）內部控制執行的有效性評價。因此，針對控制風險，需要審計主體重點關注互聯網安全的內部控制是否在制度設計與執行方面存在缺陷，以便對有關審計流程及早進行布局，將控制風險降低到可以承受的范圍之內。

3.互聯網安全審計檢查風險。

互聯網安全審計檢查風險定義為因審計主體方面使用了不合適的審計流程，導致未能及時發現互聯網存在重大安全事件與損失的可能性。由定義可知檢查風險源于審計主體，原因分成以下2 個方面：（1）互聯網安全審計缺乏相關的法規、條例，審計主體因缺乏客觀的參考依據，這無形中增加審計主體對互聯網安全誤判的可能性；（2）互聯網安全審計領域嚴重缺少復合型人才，很難找到既懂網絡工程科學，又熟悉審計學的復合型人才。審計主體知識的不全面性，在依據經驗判斷時，無形中會導致審計人員出錯概率的大幅增加。為此，新一代的審計師需要有IT 相關的知識以及傳統的財務審計能力，同時國家也需要繼續完善互聯網安全審計相關法律條文，讓審計人員有客觀參考依據。

四、互聯網安全審計過程建模的理論分析與模塊分解

1.互聯網安全審計過程建模的理論分析。

大數據時代下，開展互聯網安全審計的思維方式將發生“質”的改變。審計過程建模將成為新一代審計思維模式的主導方式，從應用隨機抽樣方式轉為建構全體數據模型；從探尋精確數據取證轉為建構混雜數據模型；從追求因果關系思維轉為構建相關關系模型；從利用審計職業預測轉為借助技術工具建模?；诖髷祿夹g的建模工具可以大大減少審計師在工作中的主觀性失誤，有助于提高互聯網安全審計監測數據與預警機制的科學性。

2.互聯網安全審計過程建模的模塊分解。

本文借鑒前人研究，選取互聯網安全審計的若干核心過程，將互聯網安全審計過程建模分解為以下四個模塊進行分析。

（1）風險評估模塊。

風險評估可以對大數據時代互聯網安全涉及的每一個節點進行評估，以便能夠評估互聯網安全威脅、攻擊和危害發生的概率。互聯網安全風險評估過程可以分為風險識別、風險分析、風險應對三個環節。大數據時代下，互聯網安全風險評估領域將會廣泛采用傳統的互聯網風險估計模型，并結合人工智能經典模型進行風險評估。

（2）過程挖掘模塊。

互聯網安全過程挖掘建模理論涉及網絡安全挖掘和大數據挖掘兩個方面?；ヂ摼W安全過程挖掘工作可以分為過程挖掘準備、過程挖掘實施、過程挖掘終結三個環節。過程挖掘準備工作包括數據采集和數據預處理；過程挖掘實施包括模型發現、模型構建、一致性檢查、模型評估、隱性知識顯性化；過程挖掘終結包括知識評估、挖掘評價、任務策略思考。

（3）過程取證模塊。

大數據下互聯網安全審計取證區別于傳統審計取證側重關注過去的事實，而是全方位關注，不僅關注過去，還聚焦未來，利用大數據可以進行鑒定預測證據，及時發現互聯網將受到怎樣的威脅。互聯網安全審計過程取證包括符合性測試、建模工具的廣泛運用、取證建模實施三個步驟。

（4）監測預警模塊。

監測預警已成為審計范疇下的重要組成。學術界在理論和領域應用兩方面對互聯網監測預警建模都進行了深入研究。互聯網安全審計下監測預警模塊分為任務與需求、平臺搭建、過程建模三個構建步驟。