網(wǎng)絡(luò)安全審計監(jiān)督的著力點

◆趙樹青/山東省莒縣審計局

隨著數(shù)字政府建設(shè)和智慧城市的快速發(fā)展，政府信息化建設(shè)及運行維護投入資金越來越多，同時，信息安全隱患不斷顯現(xiàn)，安全防護愈顯重要，各級黨委要求審計機關(guān)對網(wǎng)絡(luò)安全建設(shè)和績效開展審計。網(wǎng)絡(luò)安全審計專業(yè)性強、綜合性高，成為全新課題擺在各級審計機關(guān)面前，急需針對網(wǎng)絡(luò)安全存在的問題，找準審計監(jiān)督著力點，拓清信息化系統(tǒng)資產(chǎn)底數(shù)，審查日常安全經(jīng)費保障水平，評價信息化建設(shè)項目績效，解決審計監(jiān)督滯后性、局限性的問題，探索監(jiān)管監(jiān)督部門聯(lián)動機制，通過服務(wù)網(wǎng)絡(luò)安全中心大局的新作為，推動網(wǎng)絡(luò)安全建設(shè)行穩(wěn)致遠。

網(wǎng)絡(luò)安全監(jiān)督存在的問題

（一）信息化資產(chǎn)底數(shù)不清

當前，各級各部門部署的信息化系統(tǒng)種類數(shù)量龐大，承載著數(shù)據(jù)信息的重要資產(chǎn)，但未統(tǒng)一登記底數(shù)臺賬。網(wǎng)絡(luò)安全審計采用財務(wù)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)和信息系統(tǒng)測試相結(jié)合的審計方式，運用數(shù)據(jù)分析比對、運行測試等手段，檢測評價信息系統(tǒng)的安全性、可靠性與經(jīng)濟性。前期要收集信息化資產(chǎn)的相關(guān)資料，才能滿足審計工作需要資料。審計發(fā)現(xiàn)，有些單位沒有信息化資產(chǎn)部署清單，未系統(tǒng)掌握網(wǎng)絡(luò)安全相關(guān)法律法規(guī)，對安全性、可靠性和經(jīng)濟性認識不全面，甚至出現(xiàn)安全等級保護未達標還在運行，關(guān)鍵信息基礎(chǔ)設(shè)施的軟件硬件不能做到安全可控。有的機構(gòu)職能改革部門舊業(yè)務(wù)按新職能整合后，原有系統(tǒng)不再使用，但停用系統(tǒng)里存有大量數(shù)據(jù)，未及時下線處理。還有的應(yīng)用系統(tǒng)登陸使用率低，未及時更新安全補丁時，會引起終端遭遇病毒侵害。

（二）日常經(jīng)費人員保障不足

一方面，網(wǎng)絡(luò)安全的監(jiān)管保障工作、宣傳教育培訓、事件監(jiān)測預(yù)警和應(yīng)急處置等需要財力物力支持，應(yīng)當通過現(xiàn)有預(yù)算渠道的日常公用經(jīng)費切實保障。但購置更新網(wǎng)絡(luò)設(shè)備和安全設(shè)施、軟件升級和技術(shù)支持需要大量資金，大量資金投入后，往往看不到直接效果，因此很多部門的負責人不太愿意將資金使用到信息安全保護上，以致投資不能滿足安全和預(yù)防的需求，無法保證更新、升級和運行安全設(shè)備維護的資金需求。政務(wù)信息網(wǎng)絡(luò)安全處于被動阻漏洞打補丁的狀態(tài)，不能從根本上改善網(wǎng)絡(luò)監(jiān)控、保護、響應(yīng)、恢復(fù)和抗擊能力。

另一方面，網(wǎng)絡(luò)安全隊伍專業(yè)水平較低。各單位配備的網(wǎng)絡(luò)安全管理人員大多是辦公室的兼職人員，對網(wǎng)絡(luò)安全要求停留在開會、傳達文件層面，少有自行解決安全問題的專業(yè)人員，且多數(shù)未接受系統(tǒng)性的培訓，將安全責任外包給了第三方技術(shù)人員，過度依賴信息系統(tǒng)開發(fā)商，自主可控的信息化裝備率低，增加了數(shù)據(jù)管理和信息系統(tǒng)安全隱患。

（三）信息化建設(shè)項目績效不佳

信息化建設(shè)項目以應(yīng)用現(xiàn)代信息技術(shù)和網(wǎng)絡(luò)通信技術(shù)為核心，包括基礎(chǔ)設(shè)施、應(yīng)用系統(tǒng)、信息資源、技術(shù)服務(wù)的綜合性建設(shè)項目，有著技術(shù)先進、覆蓋領(lǐng)域廣、全面性強的顯著特點。其在客觀上存在全面規(guī)劃不統(tǒng)籌，設(shè)計要求目標模糊，應(yīng)用需求無限擴充等問題，給規(guī)范管理建設(shè)項目帶來困難；在主觀上存在缺乏節(jié)約意識、績效理念，造成項目投資伸縮性大，有的建設(shè)內(nèi)容在施工合同中未明確約定，工程造價頻繁變更增加。突出問題有新建信息化項目無網(wǎng)絡(luò)安全預(yù)算，信息化建設(shè)不統(tǒng)籌，信息系統(tǒng)不聯(lián)通，建設(shè)程序不合規(guī)，項目經(jīng)費使用不規(guī)范，資產(chǎn)驗收不嚴格，造成建設(shè)項目投資巨大但功能薄弱，設(shè)計全面但應(yīng)用程度低，形成資金績效低下。

（四）部門聯(lián)合監(jiān)管監(jiān)督不力

在網(wǎng)絡(luò)安全監(jiān)管過程中，網(wǎng)信、公安、工信等部門均有管理職責，日常多頭監(jiān)管或重疊監(jiān)管，影響監(jiān)管效率。發(fā)生網(wǎng)絡(luò)安全問題時，多部門各自調(diào)度，重復(fù)調(diào)度卻沒有“統(tǒng)管”合力，缺乏權(quán)威性和協(xié)調(diào)性。特別是已遷云的非涉密自建政務(wù)信息系統(tǒng)，各方安全職責不清，云平臺服務(wù)商重點監(jiān)管平臺安全，用戶單位重點監(jiān)管系統(tǒng)安全，但平臺與系統(tǒng)銜接的安全監(jiān)管存在盲區(qū)。同時，審計機關(guān)受人員、技術(shù)、資金等限制，導致網(wǎng)絡(luò)安全審計監(jiān)督滯后，查處問題有局限性。

開展網(wǎng)絡(luò)安全審計監(jiān)督工作的著力點

（一）建立健全信息化資產(chǎn)臺賬

設(shè)計本地信息化資產(chǎn)審計監(jiān)督臺賬，全面調(diào)查各部門信息系統(tǒng)資產(chǎn)、政務(wù)信息資源等情況，不僅能夠快速分析網(wǎng)絡(luò)安全的重點內(nèi)容和環(huán)節(jié)，提高審計效率，還能滿足長期網(wǎng)絡(luò)安全審計需要，持續(xù)促進政務(wù)信息系統(tǒng)和資源的清理、整合和共享工作。

臺賬內(nèi)容應(yīng)當包括基本情況、項目投資情況、運行情況、數(shù)據(jù)庫情況、管理人員情況等?；厩闆r包括數(shù)量、名稱、功能、主管單位、應(yīng)用范圍、使用群體。應(yīng)用范圍分為國家、省、市、縣級系統(tǒng)內(nèi)部、本單位內(nèi)部；使用群體分為部門工作人員、社會公眾、特定人群。項目投資情況包括立項審批部門、日期、資金來源、投資額、運維費用，其中，審批部門分為發(fā)改、財政、工信、未立項。網(wǎng)絡(luò)運行情況包括網(wǎng)絡(luò)運行環(huán)境、部署位置、自主可控設(shè)備、開發(fā)運維情況、安全協(xié)議、使用頻度、系統(tǒng)狀態(tài)。運行環(huán)境分為互聯(lián)網(wǎng)、專網(wǎng)、互聯(lián)網(wǎng)+專網(wǎng)。開發(fā)運維情況分為上級部署、本單位委托廠商。系統(tǒng)狀態(tài)分為在建、在用、停用。數(shù)據(jù)庫情況包括數(shù)據(jù)庫品牌、數(shù)據(jù)存儲量、云服務(wù)安全評估、登記保護定級情況、容災(zāi)備份、日志留存等。管理人員情況包括信息系統(tǒng)負責人姓名、年齡、職務(wù)、畢業(yè)院校、所學專業(yè)或職稱、崗位、兼職或?qū)Ｂ毜惹闆r。

（二）審查日常經(jīng)費人員保障能力

結(jié)合網(wǎng)絡(luò)安全資產(chǎn)臺賬，檢查被審計單位相關(guān)會計資料，關(guān)注是否安排網(wǎng)絡(luò)安全相關(guān)預(yù)算。核查網(wǎng)絡(luò)安全監(jiān)管和保障、宣傳教育培訓、事件監(jiān)測預(yù)警、應(yīng)急處置等支出的真實性，現(xiàn)場核實聯(lián)網(wǎng)聯(lián)機使用情況、安全設(shè)備運行情況、信息系統(tǒng)運行日志，查看機房數(shù)據(jù)管理、日常維護維修情況等。重點審查安全管理制度落實情況和全員信息安全防護知識專業(yè)培訓情況，是否按要求對信息系統(tǒng)進行定級、備案和測評，權(quán)限保密管理是否合規(guī)，信息系統(tǒng)是否按要求進行容災(zāi)備份、留存網(wǎng)絡(luò)日志、制定開展網(wǎng)絡(luò)安全應(yīng)急預(yù)案，應(yīng)急物資保障是否到位，物理環(huán)境是否存在安全隱患。

（三）評價信息化建設(shè)項目績效

政府信息化建設(shè)是政府投資項目，審計內(nèi)容不僅要按照政府投資項目的標準進行審查，還要根據(jù)信息化系統(tǒng)建設(shè)的特點進行評價。項目管理和資金使用等審計事項，重點關(guān)注立項審批、預(yù)算、招標采購、變更項目、竣工結(jié)算等內(nèi)容?？冃徲嬕Y(jié)合預(yù)期目標實現(xiàn)度和數(shù)據(jù)融合度進行評價，重點關(guān)注網(wǎng)絡(luò)安全預(yù)算是否達到項目總預(yù)算的5%，評價安全與信息系統(tǒng)同步規(guī)劃、建設(shè)和運營。關(guān)注信息化建設(shè)的統(tǒng)籌規(guī)劃與頂層設(shè)計的銜接，數(shù)據(jù)資源共享應(yīng)用與系統(tǒng)間業(yè)務(wù)協(xié)同應(yīng)用能力等，揭示項目建設(shè)中存在的“數(shù)據(jù)煙囪”和“信息孤島”等問題，推動“僵尸系統(tǒng)”清理，促進信息系統(tǒng)整合共享。檢查信息系統(tǒng)的軟硬件實際應(yīng)用情況，比較系統(tǒng)設(shè)計目標與系統(tǒng)實際功能，結(jié)合云資源使用率，重點查處設(shè)備閑置、系統(tǒng)應(yīng)用效率低、模塊功能空缺等問題。結(jié)合超概算投資情況，檢查是否存在盲目追求高標、高配問題。

（四）健全網(wǎng)絡(luò)安全監(jiān)管監(jiān)督聯(lián)動機制

審計機關(guān)加強與網(wǎng)信、公安、工信部門聯(lián)動協(xié)同，可以準確把握當前網(wǎng)絡(luò)安全熱點和薄弱環(huán)節(jié)，明確重點單位范圍和重要事項，同時借助各單位的經(jīng)驗、技術(shù)，增強審計力量。網(wǎng)信部門可以借助審計機關(guān)審查財力物力支持和保障力，推動網(wǎng)絡(luò)安全責任制量化考核評估，公安、工信部門可以依托審計機關(guān)項目績效評價優(yōu)勢，協(xié)同推進信息化建設(shè)項目的安全性和經(jīng)濟性。多部門監(jiān)管信息共享，明確合作領(lǐng)域和工作要求，通過組織聯(lián)合現(xiàn)場檢查機制，聚焦專業(yè)技術(shù)難點和監(jiān)管痛點，既能夠發(fā)現(xiàn)典型隱患和突出問題，又可以查找人、財、物的運行管理缺陷，共同研究提出改進措施。網(wǎng)信辦牽頭定期聯(lián)合匯報黨委政府研究決策，夯實網(wǎng)絡(luò)安全責任制，推動數(shù)字政府和網(wǎng)絡(luò)安全共同發(fā)展。