數字經濟時代加強政府網絡安全審計的探討

劇杰 徐清 （南京審計大學政府審計學院 江蘇南京 211815）

隨著信息技術的飛速發展，網絡已經滲透到生活的方方面面。國家對數字經濟時代的網絡發展也給予了高度重視，先后提出“‘互聯網+’行動計劃”和“大數據計劃”等。《“十四五”數字經濟發展規劃》指出，發展數字經濟是把握新一輪科技革命和產業變革新機遇的戰略選擇，并強調著力強化數字經濟安全體系，包括增強網絡安全防護能力等舉措。總體上來說，依托數字技術，網絡空間與現實世界深度融合，數字化轉型已成大勢所趨，網絡安全問題也成為審計機關關注的重點。

一、加強網絡安全審計的重要意義

（一）加強網絡安全審計，推動網絡安全防護技術的更新迭代

首先，在網絡系統中，設備、軟件、數據等各自的信息相互較獨立，所以被審計單位很可能存在由于技術漏洞導致的重復預警或信息不一致的問題，與此同時，黑客、爬蟲等新型攻擊風險也在加大，亦會直接導致重要信息數據的泄露。其次，各地政府在網絡安全防護技術的資源投入和人員配備上也可能不盡相同，部分單位可能存在內部操作制度與管理不合規而導致的風險。通過網絡安全審計，各地政府能夠明確了解自身在網絡安全防護技術方面的具體缺陷，強化內部人員操作管理的標準及制度要求，加強網絡安全操作的合規性，在此基礎上對防護技術修復升級，如及時升級病毒庫、關閉高危端口、禁止共享訪問等，嚴防病毒攻擊與數據泄露，增強應對新型網絡攻擊的能力。

（二）加強網絡安全審計，防范隱私及數據泄露風險

近年來，我國正加大力度推進政府數字化轉型、打造智慧城市，著重構建覆蓋全國的統一政務數據共享平臺，以期實現政府資源信息共享，減少信息不對稱的情況，為社會公眾提供便利。部分省市已經設立相應的大數據管理部門，各地政府部門比以往更加依賴網絡，大量的機密數據和公民隱私數據往往存儲在云服務器中。云服務器容量大且使用方便，但是一旦存在安全隱患，就增加了機密信息和個人隱私泄露的風險。由于各種政務數據的復雜性，加之各地政府缺少對數字政府網絡安全的規劃設計，導致網絡安全管理方面存在制度缺失和技術上的不足，這也給網絡安全防護系統的運行帶來了不小的風險。網絡安全審計可以從事前、事中和事后發現并預防安全風險，加大對機密信息和隱私數據的保障力度，及時防范或化解信息泄露的重大風險。

（三）加強網絡安全審計，為數字經濟發展保駕護航

我國“十四五”規劃綱要提出要打造數字經濟新優勢，“十四五”時期經濟社會發展主要目標中，“數字經濟核心產業增加值占GDP比重”首次成為體現創新驅動的指標。2021年世界互聯網大會提出的發展重點也是構建網絡空間命運共同體，向數字時代邁進。人工智能、區塊鏈、云計算、物聯網等新興技術的運用大大提高了數字經濟的發展效率，但由于足夠“新”，新興技術的使用標準及規范尚未明確統一，在使用中很可能出現諸如數字信任等危機，所以數字經濟的發展更加需要重視新興技術及網絡安全風險。此外，在智慧城市建設中，地方政府可能會脫離實際制定發展目標、盲目追求數字技術創新，致使地方政府的財政壓力和政策制定壓力加大。通過網絡安全審計，能夠提高政府的政策規劃意識及風險意識，促使政府監督相關部門的職責履行情況，保障技術創新與政策執行并駕齊驅，從而維持數字經濟的平穩發展。

二、我國網絡安全審計工作存在的不足

（一）審計采集的數據不完整或時效性不足

現階段，我國正全力推進政府數字化轉型，充分利用大數據技術及網絡打造政務平臺，各地方政府也在積極參與轉型。政務工作電子化確實提高了工作效率，方便了廣大群眾，然而，由于不同地區在經濟上存在差異，經濟相對落后的地區可能無法投入足夠的資源和技術；各地服務的對象也有所不同，各部門自行開發的信息系統傳輸協議等存在較大差異，所以很可能出現系統中數據無法及時、完整共享的情況，導致政務平臺信息系統存在信息發布滯后、互通性差，數據不完整、共享程度低等問題。對政府信息系統的審計是網絡安全審計工作中的重要一環，審計工作要依托于系統記錄的基本數據，信息系統本身的數據缺失對審計數據的采集造成了一定影響，加上這樣的數字信息過于碎片化，使得審計人員很難做出全面準確的評估；信息系統的數據滯后問題同樣關鍵，數據滯后很容易使審計人員和政府部門之間產生信息不對稱，從而進一步影響了網絡安全評估審計的效率和質量。

（二）網絡安全審計隊伍的專業能力需要培養與優化

傳統網絡安全審計工作主要以資金真實性、制度合規性審計為主。例如，通過走訪、座談和查閱相關文件的方式，審查被審計單位是否制定完整的規章制度，是否根據規章制度嚴格落實網絡安全防護工作，對網絡安全項目建設的資金使用是否真實合規等。數字經濟時代下，審計內容不斷豐富，審計領域不同于以往傳統的業務活動。面對海量的網絡數據，審計人員需要判斷采集何種數據、用什么方法采集、如何對數據關系進行深層挖掘分析等，這對審計人員的專業素質能力提出了更高的要求。然而，目前審計隊伍中從事數據采集及分析的專業技術人員相對較少，審計人員運用新興審計軟件與技術的能力有待提高，進而影響了審計的質量與效率。

（三）審計準則不夠明確，審計覆蓋范圍不廣

目前我國還沒有出臺一套標準化的網絡安全管理流程，最新通過的《數據安全法》也缺少對微觀層面的詳細指導，各單位對網絡安全防護的應對方法不盡相同。在審計方式上，國家審計機關尚未建立標準統一的大數據審計平臺，因此與被審計單位的數據庫接口很可能不一致，導致在網絡安全審計工作中很難獲取完整信息。對于審計機關來說，沒有網絡安全風險審計準則作為指導，在確定審計范圍時，有可能出現遺漏的情況。例如對教育、醫療等關鍵基礎設施的審計，審計人員會從宏觀制度層面進行評價，同時落實單位領導責任履行情況，審查領導是否發揮帶頭作用，有效推動單位網絡安全管理，而在微觀的風險管理流程層面，對網絡基礎設施的風險識別、分析和應對環節可能審計不全面。此外， 5G、物聯網、供應鏈等新技術若運用不當也會存在較大的網絡安全風險，但在審計過程中有些審計人員并未將新技術納入網絡安全審計的范圍。

三、英國審計署（NAO）網絡安全審計實踐借鑒

（一）英國審計署網絡安全審計概況

與我國相比，英國互聯網起步早、普及率高，所以英國審計署（NAO）對網絡安全審計的研究也比較早，相關的體系和制度更完善。早在1994年，英國政府就提出建設“電子政府”，開始政府數字化轉型，2012年，英國開設單一政府網站www.gov.uk，從這一入口人們可以查詢到自己想要的所有公開政務信息，不僅如此，人們還可以在網站上納稅、繳費、申請貸款、辦理駕照等。一站式服務方便了社會公眾，由于數據信息的集中和權威性，也保證了審計人員對數據獲取的效率和質量。隨著電子政務的發展，NAO于2002年開始對網絡安全進行審計，重點審查內閣辦公室、國防部等是否有效地協調實施了國家網絡安全計劃及戰略，包括評估政府在網絡安全方面的做法、內閣辦公室對計劃及戰略的管理、計劃實施的進展并對計劃的最終成果進行預測。通過多次審計，國防部完成了至少80%的網絡安全項目，英國政府各部門遭遇的網絡攻擊數也大大下降。

（二）英國審計署數字政府建設中網絡安全審計的特點

1.始終關注網絡安全項目資金的管理使用情況。制定切實有效的網絡安全防護項目計劃是保護網絡運行的關鍵，因此，以網絡安全行動中心、網絡安全和信息保障辦公室為代表的相關部門對網絡安全防護項目的資金投入較多。資金的使用效率決定了該項目是否能夠成功運行，NAO審計的重點便是項目資金，首先調查各部門在制定項目計劃前，是否充分了解實際網絡規模、所需資金規模，是否充分預估項目實施各階段情況以及制定相應的資金投入預算安排；在實施過程中，各部門是否嚴格按照規章制度使用資金，有無挪用項目資金的情況；項目完成時，各部門是否詳細記錄每筆資金的實際用途，確認與原先預算安排是否存在較大差異，尋找差異原因并判斷合理性等。通過審計，促使各部門優化對網絡安全項目資金的分配使用，有效保障項目運行。

2.制定標準，注重網絡安全計劃的績效情況。2011年，為了提高對網絡攻擊的抵御能力，英國國防部制定了英國網絡安全戰略，并出資8.6億英鎊實施了《2011—2016年國家網絡安全計劃》（NCSP1），而后又投入13億英鎊推進《2016—2021年國家網絡安全戰略》，成立國家網絡安全中心（NCSC）。NAO重點關注網絡安全計劃和戰略實施的績效情況，通過審計，評估各部門績效框架涵蓋的內容是否全面，衡量指標是否科學公正，促使各部門完善績效框架、制定具體的績效衡量指標，同時，引入專業人員對績效衡量進行監督，保障網絡安全計劃和戰略實施的經濟性和效率性。NAO還對各部門提交的網絡安全報告進行審查，包括項目評估報告、進度報告等，及時了解計劃的進展程度，并且重點評估計劃是否涵蓋國家網絡安全戰略中威懾、防御和發展的三大主題內容，通過審查報告，督促各部門強化職責履行意識，加強內部管理。

3.從防范網絡安全風險角度，提高對勞動力和新技術的關注。在不斷推進公共服務數字化轉型的過程中，對網絡問題的深入理解對于保護公共服務及用戶至關重要。擁有高水平網絡技術人員對保障部門網絡安全、推動網絡安全項目實施具有重要作用，為此，NAO對各部門是否有足夠的工作人員處理網絡安全問題的能力、是否有積極的計劃去招聘和保留現有專業安全技能人員、對員工是否提供培訓來提高風險意識和合規意識等開展評估。此外，新技術的出現不僅帶來了網絡安全風險，也威脅到個人數據隱私安全，NAO將新技術納入審計范圍，以供應鏈為例，評估各部門是否充分了解供應鏈和對應的服務、是否有針對個人數據隱私的明確規定，以及是否有持續改進和發展網絡安全和信息風險的流程。

四、數字經濟時代我國加強網絡安全審計的建議

（一）以資金為主線，重點關注網絡關鍵基礎設施

與英國類似，我國的網絡關鍵基礎設施也不斷遭受威脅。從中國國家互聯網應急中心報告可以看出，2020年，超5萬個惡意程序控制服務器控制了我國境內約531萬臺主機，新冠肺炎疫情期間，醫療系統更是頻頻遭受攻擊。因此，各地政府亟需加大對網絡安全項目建設的資金投入，強化對網絡關鍵基礎設施的安全風險管控。2008年以來，全國各地、各級政府都在全力推動數字政府的建設，但是建設程度、標準無法統一，我國可以參考借鑒英國的一站式政務平臺，在政府信息管理系統中集中、統一、及時地公開建設網絡安全項目的相關數據，例如各項目的資金投入數額、資金使用具體流向、適用的政策等，為審計人員采集網絡安全審計所需的數據減少阻力。網絡安全項目資金的使用效率直接影響著風險防護的有效程度，因此，對項目資金使用真實合規性的審查仍然是審計工作的重點，審計機關應重點關注保護網絡關鍵基礎設施科研項目的資金使用情況，規范科研資金管理，提高資金使用效率，促使各地政府提高安全防范意識，從而有效保障關鍵基礎設施的正常運行。

（二）完善網絡安全審計準則，聚焦網絡安全計劃實施部門的職責履行情況

在網絡安全審計準則方面，英國審計署于2017發布了《網絡安全和信息風險良好實踐指南》的第一版，2021年又發布第二版，列明審計主題和重點，提供了對網絡安全審計標準的指導。目前，我國關于網絡安全的法律法規主要有《國家安全法》《網絡安全法》《數據安全法》等。這些法律法規是從宏觀層面制定的，對于相關部門具體職責劃分及如何實施沒有詳細的規定，盡管各地網信、工信、公安等部門都自行制定了規章制度，但制度的履行情況難以明確掌握。為此，我國需要通過審計促進網絡安全制度的健全完善，另外，也需制定完善網絡安全審計的相關準則或指南。在審計準則的指導下，審計機關應對網絡相關的管理部門、實施部門等開展審計，審查各部門是否嚴格、有效落實法律的相關規定及配套制度文件；是否制定了完整、詳細的管理制度來保障部門數據和網絡的安全；網絡安全項目是否有序實施、能否達到預期效果等。在此過程中，審計機關應積極發揮監督作用，充分關注部門責任履行情況，促使相關部門事先做好對網絡安全的風險評估；必要時可根據部門實際情況，制定網絡安全項目績效評價框架。

（三）加強問責力度，關注相關網絡安全計劃、項目實施等重大風險

黨的十八大以來，中央高度重視網絡安全工作。2014年，中央成立網絡安全和信息化領導小組，表明我國網絡安全工作又邁上了一個新臺階。審計機關作為國家監督體系的重要組成部分，要重點審查國家層面重大戰略及計劃的執行情況，保障頂層設計的領導力。在教育、醫療、新興技術等關鍵基礎設施方面，審計機關應結合國家網絡安全重大戰略，從面臨的風險入手，通過風險識別、分析和應對等環節，對涉及網絡安全的項目充分評估，防范、發現并化解重大風險。同時，通過審計問責整改，各級網絡安全計劃落實部門、項目實施部門要分清責任主體，不僅依據查出的問題來定責，更要深入問題根源，提高審計整改成效。

（四）創新審計方法，發揮協同作用

數字經濟時代，審計方法應有所創新。可以充分利用大數據技術，建立網絡安全信息共享平臺，密切審計機關與相關部門內部審計之間的聯系，掌握相關部門的計劃或項目實施的信息，識別分析和控制可能存在的風險，從而提高風險防范的有效性。此外，審計機關也可與社會審計協同工作，對于專業性較強的問題可聘請專家，參考專家的建議，使得網絡安全審計工作更具有科學性、針對性。審計機關應加大對網絡安全計劃的實施和監管力度，必要時對計劃、政策等進行跟蹤審計，提出有針對性的審計建議，促進相關法律的完善，從而積極推動國家層面網絡安全的建設。