大數據下“互聯網+智慧教育”安全審計模式研究

劉國城，楊麗麗

(1.南京審計大學 會計學院，江蘇 南京 211815；2.安徽財經大學 工商管理學院，安徽 蚌埠 233030)

一、引 言

2008年，IBM公司首次提出“智慧地球”概念，認為智能技術融合于社會各個方面，基于互聯網+、大數據與云計算等技術，人們將以更為動態與精準的方式運營生產與管理生活，進而實現“智慧”狀態。教育也不例外，“智慧教育”(Smart Education)是“智慧地球”的衍生概念。目前我國傳統教育存在著諸多弊端，且逐步同社會進步、教育需求不相適應，智慧教育將成為我國未來教育的發展方向，其是以智慧為目的與手段，以互聯網、大數據、云計算等智能技術作為教育的“道”與“器”，將我國教育信息化的發展推向新臺階，它將成為教育創新時代下引領教育發展的主旋律。有關于“互聯網+智慧教育”的理論研究與實踐應用在我國已經初步開展。理論研究方面，截至2016年11月，中國知網關于“智慧教育”的期刊論文累計146篇，主要集中于近3年。其中，楊現民等分析了智慧教育的內涵、特征、體系架構、關鍵支撐技術、發展戰略與路徑選擇[1]12-19[2]77-84；陳琳等探索了面向智慧教育微課設計的思想與方式[3]127-131；王學嚴等基于技術驅動研究了智慧教育生態環境的構建策略[4]13-18。實踐應用方面，由中國教育學會主辦的“國際智慧教育展覽會”于2016年11月在國家會議中心舉辦，眾多“智慧教育”實務組織展示各具特色的智能化校園管理平臺、智慧教育云協同平臺、智慧教育應用平臺等，且功能顯著。2016年11月，智課教育舉辦以“教育、生態、進化”為題的戰略發布會，大力推進智課網絡、VR等全場景智能教學生態機制建設，實施智慧教育體系標準化，實現個性化教學，為智慧教育繪制了光明的愿景。

“互聯網+智慧教育”實現的關鍵在于智能技術化平臺的建設，大數據下“互聯網+智慧教育”運營平臺體系的架構參見圖1。現今在我國，有關于“互聯網+智慧教育”智能平臺安全審計的理論文獻尚未出現，實踐經驗缺乏，從近年相應的系列安全事故看，智慧教育平臺的安全問題極為嚴重，用戶隱私泄露、網絡癱瘓、內部惡意威脅、黑客攻擊等風險事件呈幾何倍增長，運營平臺的安全及審計問題亟待智慧教育組織關注與重視。2016年9月，“互聯網+智慧教育(西部)高峰論壇”在陜西師范大學召開，與會專家分享了技術創新下智慧教育信息化發展的理論成果，但也對智慧教育平臺的安全性問題一致表示擔憂。智慧教育平臺所依托的全新智能技術是一把雙刃劍，它一方面引領我國教育信息化與個性化的發展方向，而另一方面卻帶來信息泄露、端口掃描、網絡嗅探以及拒絕服務攻擊等嚴峻的平臺安全問題，圖1所屬的物理層、虛擬資源層、邏輯層、展現層、應用層、網絡層以及用戶層都有可能成為內在員工和網絡黑客惡意攻擊的對象。有鑒于此，“互聯網+智慧教育”組織急需建立高水平專業內部審計團隊，或聘請資深外部安全審計機構，加大審計投入，與審計主體一道，基于大數據與云計算的特點，構架有效的安全審計模式，架設科學的動態安全審計平臺，全方位強化對“互聯網+智慧教育”平臺的控制、審計與管理。

圖1大數據下“互聯網+智慧教育”運營平臺體系框架

二、大數據下“互聯網+智慧教育”安全審計模式的實現

(一)審計風險的判斷與評價

我國的審計模式經歷三個階段，依次是賬項導向審計、制度導向審計與風險導向審計。傳統風險導向模式下審計風險由固有風險、控制風險與檢查風險構成，現代風險導向模式下審計風險由重大錯報風險與檢查風險構成。沿用傳統風險審計理論，“互聯網+智慧教育”安全審計的風險由教育組織的固有風險與控制風險，以及審計主體的檢查風險組合而成，見圖2。為實現科學審計，智慧教育審計主體必須對審計風險予以準確衡量，并做如下努力：(1)固有風險識別。結合圖2，智慧教育的固有風險體現在身份認證、安全事件監控、安全漏洞與掃描、病毒掃描與檢測、DDoS攻擊防護、安全基線控制、商密云以及安全防護等事項。上述風險事項可歸納為技術與管理兩個層面。管理層面風險隱藏于管理制度、人員配置、管理組織、平臺建設管理、平臺運維管理以及服務協議管理；技術層面風險隱藏于數據安全、信息系統安全、物理安全、網絡安全以及應用安全。每一層面下任何因素若存在安全隱患，都可能造成平臺運行失效，或內外部人為威脅，進而將形成由“風險源”向“脆弱點”再向“安全事故損失”的遞進式轉換。審計主體必須全面感知智慧教育系統平臺的固有風險，在剔除內部控制影響的基礎上，深入識別智慧教育的“天然”劣勢，以便審計主體確定對終極審計風險的影響。(2)控制風險判斷。智慧教育在運行中，大多時候處理程序同相應的控制流程交融并行。當控制制度設計的不正確或不完善，或控制制度執行的不科學或不全面，則控制流程將失效，進而促發智慧教育控制風險產生。智慧教育的控制風險既表現在安全管理、終端安全控制、流量攻擊防御、內容安全防控等方面的約束機制失效風險，還表現在邊界訪問控制、權限訪問控制、電子數據維護等方面的系統數據安全風險。審計主體需要估計智慧教育內控制度有關于設計的科學性以及執行的有效性，進而判斷系統平臺抗擊風險的能力，以滿足審計決策需求。(3)檢查風險評價。圖2中的智慧教育運行系統平臺涵蓋智慧校園、電子書包、虛擬實驗室、智能微格教學系統、智慧教育圖書館以及遠程交互教育平臺等若干模塊，審計主體由于人員、知識、經驗、技能、精力等都有所限制，它們運用實質性測試程序不可能全面發現重大安全隱患，進而審計檢查風險隨之生成。審計檢查風險來自于審計主體的執業水平風險與職業道德風險兩類層面，因為“互聯網+智慧教育”安全審計涉列多方經驗的融合運用，對審計人員的執業能力是一項挑戰，因而，審計主體需要事前客觀評價自身檢查風險，以便合理確定審計范圍，及時調整實質性測試程序。

圖2大數據下“互聯網+智慧教育”安全審計模式的實現

(二)安全審計的全方位籌劃

“互聯網+智慧教育”安全審計遵循信息論、控制論、系統論、協同論及突變論等原則，是一項復雜的工程。智慧教育組織需要關注安全審計的組織管理，有效做好智慧教育系統平臺安全審計的頂層設計與全局規劃，注重標本兼治與重在治本有機結合。審計主體所應布局的方面有：(1)審計目標與審計原則。“互聯網+智慧教育”安全審計的總體目標是保障智慧教育系統運行與平臺運作的可靠性、完整性、一致性、安全性、保密性、正確性與效益性。智慧教育還有專項審計，此時審計主體則應合理制定專項目標，如數據來源安全、數據存儲安全、數據傳輸安全、數據可信、隱私保護機密、服務持續可用以及不可抵賴等。因為在性質和范圍等方面與傳統審計存在巨大差異，智慧教育安全審計除遵守傳統審計的客觀性、獨立性、公正性外，還應恪守整體性、實用性、重要性、相關性等其他原則。審計主體必須事前科學確定目標與原則，進而明確審計的方向與行動。(2)審計指南與人員配備。如今，我國還沒有“互聯網+智慧教育”安全審計方面的規定與指南，關于大數據下“互聯網+”安全管理的規范與標準難成體系，過于零碎化，也缺乏相關經驗積累，這對于審計主體來說，缺少有針對性的理論指導與策略借鑒，一切均在摸索之中?；诖耍瑸榭茖W制定審計規劃，審計主體應該基于圖2的IS審計理論與安全控制思想，明晰各層次下的審計決策需求，并基于需求導向正確引入國內外成熟的安全控制標準，以智慧教育為軸心實施可行性論證，總結規律，歸納經驗，持續建立安全審計指南體系。此外，智慧教育安全審計屬于教育科學、審計科學、信息科學、計算機科學以及安全科學的交叉范域，相關審計人員的配備需要具備知識結構多元化、實務技能分類化等特點，審計主體不但具備“大數據”“云計算”“在線教育”等審計知識，還應精通圖1平臺下各層次的實踐運行機理。(3)總體策略與分項策略。“互聯網+智慧教育”安全審計的總體策略是運用審計手段發現安全風險，評價安全控制、提供整改建議，協同審計防御、持續審計預警、動態審計監測，建立科學的智慧教育安全審計框架與機制。另外，對于具體審計，審計主體還應該在審計全覆蓋的基礎上分類制定分項策略。審計主體可以借鑒ISO/IEC27001的11類控制項制定分項審計方案，也可參照COBIT框架下318個詳細控制目標制定分項審計流程，如圖1中物理層下“網絡設備”資產責任的分項策略應該確定為“檢查是否根據平臺結構和運作流程識別網絡設備以及繪制清單；審核是否指派專人負責網絡設備以及預防其丟失、毀損、誤用與濫用”。

(三)審計業務的全過程管理

目前，我國“互聯網+智慧教育”安全問題主要表現為安全技術不成熟、安全標準不規范以及監管體系不健全，審計主體需要以風險為導向，做好安全審計的全過程管理。智慧教育安全審計業務需要經歷如下過程：(1)準備。該過程是審計主體針對受托審計事項，如數據泄露、病毒入侵、密碼漏洞等，初步了解固有風險，初步評價內部控制，確立審計目標與范圍，確定審計技術與方法，規劃審計方案。其中，需要重點準備的有兩項，其一是審計主體應事先界定與描述安全風險等級，將“致使系統癱瘓，業務隨時中斷視為Ⅰ級”，“數據較大損失，難于彌補視為Ⅱ級”，“影響運行，對系統服務信任度降低視為Ⅲ級”，“危害較低，易于彌補視為Ⅳ級”，“危害極小，可以忽略視為Ⅴ級”，并以此為基礎基于圖1各層次對智慧教育系統平臺的固有風險特征以及內部控制設計進行初步分級；其二是智慧教育安全審計不同于傳統審計，其審計技術與方法廣泛拓展，不但涵蓋日志跟蹤、審計數據庫控制、平行模擬、變異檢測、系統文檔審核、聯網審計等IT審計技術，也包括網絡監測、指標監測、統計分析等互聯網監管方法，還包含數據挖掘、BLP模型、專家系統等智能控制技術，審計主體需要對各種技法有所掌握，事先作以優化選擇。(2)實施。它是審計主體進行符合性測試、實質性測試、審計風險評價、審計證據收集、審計可視化以及審計工作底稿編制的過程。審計主體通過符合性測試充分檢測智慧教育系統平臺內控制度設計的完整性與科學性，以及內控制度執行的有效性與實施情況，并以此為基礎，通過實質性測試采用包含入侵檢測、統計抽樣、數據挖掘等系列技術方法對“互聯網+智慧教育”的安全性進行全面審查。該過程下，根據風險等級Ⅰ—Ⅴ描述，審計主體需深入確定固有風險、控制風險與檢查風險的級別，進而評價終極審計風險的程度，且結合事先估計的重要性水平，合理確定審計證據的數量與范圍，充分收集與篩選審計證據，準確編制審計工作底稿。(3)終結。其是審計主體進行審計報告與建議、協同整改與防御，以及建設相關審計監測與預警機制的過程?，F代審計的功能廣泛拓展，其不僅涵蓋鑒證、評價與改善，而且更應涵蓋自穩、防御、監測與預警，因智慧教育依托于諸多智能科技，風險疊加，其所要實現的功能更不例外。為此，審計主體需要深刻揭示智慧教育系統平臺的固有風險與控制風險，協同智慧教育組織實施審計整改以及基于戰略視角做好安全防御，完善安全管理制度，提升安全管理質量，構架審計監測預警的運行實現、知識服務以及決策支持等平臺，完備風險數據的采集、存儲和管理，完善風險可視化與信息預警，推進決策任務的分配以及風險變化的持續反饋。

三、大數據下“互聯網+智慧教育”動態安全審計平臺的實現

(一)審計挖掘子平臺

當前，“互聯網+智慧教育”數據呈現海量化，且以半結構化與非結構化為主導，隨機、噪聲、模糊等數據無法發揮潛在價值。數據挖掘能夠尋找數據關聯，發現規律，值得審計借鑒。結合圖3，審計主體建立安全審計平臺的第一步驟是架構大數據審計挖掘子平臺，且遵循兩個階段：(1)建立“庫”群與預處理。審計挖掘有其特定的應用環境，為實現精準挖掘，審計主體首要任務是建立有關于“互聯網+智慧教育”下安全管理、審計控制及其數據挖掘的系列“庫”，如目標庫、知識庫、規則庫、算法庫、協議庫以及案例庫等，并通過大數據采集、存儲與分類建立日志庫、數據庫與信息庫，“庫”群旨在為審計挖掘提供強有力的方向支撐、依據支撐、證據支撐、源泉支撐以及技術支撐。此后，審計主體需要開展數據挖掘前的預處理工作，提高數據質量。大數據預處理主要實施數據的清洗、集成、變換與規約等過程，清除異常數據，補充缺省數據，數據格式標準化，同質數據通過數據倉庫集中存儲，將特征數據轉換為適于挖掘的模式，并獲取數據集的規約表示。該階段的預處理主要是以MapReduce為基礎，整合傳統預處理方法，融合現代Deep Web集成、多模態實體識別及數據流實時處理等技術，大幅提升數據合并、并行計算與迭代計算等能力[5]103-107。(2)設立模型與測試運行。審計挖掘模型設計需要審計主體綜合考慮智慧教育下審計具體目標、實質性測試性質、數據個性、挖掘算法特征以及審計決策需求等因素，并在預處理基礎上，對數據進行特征提取與進一步過濾，借助特別挖掘原理，將普遍情形和一般規律抽象為一種分析模型[6]49-55。針對特定需求，必須選用切合實際的挖掘算法。大數據挖掘有很多算法可供選擇，如傳統的聚類、分類、關聯規則、異常檢測、序列模式、剪枝算法、離群數據點與相似用戶挖掘等算法，再如現代的分布式數據挖掘、并行數據挖掘、CEP引擎、流式計算與頻繁訪問路徑挖掘等算法。每種算法都有自身的優勢、缺陷與適用條件，審計主體應予做好系列算法的最優化選擇。例如，對于APT攻擊，審計主體建立主題數據庫，獲取攻擊的時間與方式、黑客關注度、系統指紋及行為歷史等特征信息，采納機器學習算法，通過類比學習與事例學習，追蹤Web滲透行為，追溯攻擊源。模型構建后，需要反復測試與深入運行。模型測試的目的是驗證挖掘模型設計的科學性、一致性與延展性，廣泛運行的目標是挖掘智慧教育系統平臺的固有風險與控制風險，查找“脆弱性”，探尋根本性規律。

圖3大數據下“互聯網+智慧教育”動態安全審計平臺的實現

(二)審計可視化子平臺

可視化涵蓋數據可視化、科學計算可視化、信息可視化與知識可視化四類，圖3中審計可視化子平臺所融合的主要是可視化的后兩類理論，且該子平臺是審計主體建立智慧教育安全審計平臺的第二步驟。審計可視化子平臺承載的職能有兩項，其一是基于信息可視化進行知識發現，即快速辨別數據之間的關聯邏輯及其發展趨勢，并評價相關“疑點”的重要程度與期望損失；其二是基于知識可視化重構既有可行的審計挖掘路徑，進行流程再現?？梢暬軌蚣铀賹徲嬐诰蛑幸幝傻陌l現，為有效發揮該子平臺的功能，促進審計知識創造，審計主體應做如下努力：(1)可視化準備?？梢暬瘻蕚涔ぷ靼M件設計與服務規劃。可視化組件設計要求審計主體事先明確可視化應用方法，并借助于地理數據、圖形數據、圖像數據、多維、趨勢、多元、關聯以及社會網絡等諸多分析工具，布局可視化的方法組合；可視化服務規劃要求審計主體事先考量可視化的動力因素，并分析知識可視化、信息可視化、挖掘算法、人機交互、可視建模、數理統計、人工智能、過程建模、圖形處理以及圖像處理等若干引擎的驅動機理。(2)知識發現可視化。信息可視化是知識發現的理論根基，其采用直觀交互的方式為審計主體瀏覽與觀測審計挖掘全過程提供極大便利，它對知識發現的貢獻經歷信息調度、靜態可視化、過程模擬與探索性分析等階段。針對智慧教育下該子平臺的特征，審計主體首先需要對挖掘測試所輸出的龐雜信息快速調度，其次通過靜態可視化解決利用符號系統所反映信息的關聯特征與關系模式[7]91-102，再次依托過程模擬對測試過程進行可視化跟蹤、引導與監控，此后借助多維分析、交互建模分析等技術，以及引擎驅動，發現智慧教育系統平臺下大數據中隱含的關系、特征與模式，最后依賴于大數據之間異常、矛盾、離群、關聯等規律發現“風險源”，采用趨勢、多元等分析工具衡量“疑點”的風險等級，運用數理統計等引擎估推“風險損失”期望值，進而發現審計證據以及強化相關證據的價值性。(3)流程再現可視化。知識可視化是流程再現的理論根基，其是指一切能夠傳輸與建構復雜知識的圖解方法，它的目標在于傳輸經驗、見解、預測與期望。流程再現的職責是記憶已有挖掘經歷，積累與創新挖掘規范。為此，審計主體應該在安全需求基礎上，選擇知識圖譜、思維導圖、語義網絡等合適的可視化分析工具組件[8]6-11，明確挖掘測試下各類算法在解決問題過程中各個節點的屬性、特征、狀態與動作，深度聚合各個節點間的關聯邏輯，基于視覺表征實現流程再塑，以求提升審計未來防御的水平。

(三)審計監測子平臺

審計監測子平臺承載的功能是發現“互聯網+智慧教育”系統平臺事故的預兆或現實故障，并對其既有“風險源”、潛在“脆弱點”以及非正常狀態提前發出警報，該子平臺是審計主體建立智慧教育安全審計平臺的第三步驟。為有效搭建該子平臺，審計主體應重視如下工作：(1)梳理與規劃。風險是監測預警的基本對象，審計主體需要對固有風險與控制風險進行整體認知，如圖3，能夠明晰數據管理、技術缺陷、數據可信度、個人隱私意識、黑客攻擊以及內控缺陷等風險漏洞的屬性與產生條件。此外，以風險梳理為背景，審計主體還需基于信息安全與虛擬化安全對該子平臺作以監測規劃。信息安全上，應該完善網絡、數據庫、服務器、應用系統、日志以及數據等方向的監控引擎設計；虛擬化安全上，應予完備平臺異常、平臺漏洞、黑客攻擊以及平臺任務配置等方面的監測模塊設計。(2)監測與檢驗。審計主體需要通過業務建模開展該子平臺下的終端狀態監控、非法終端識別、終端應用監控、外設接口監控、用戶行為監控以及網絡行為監控等各類活動，并相應做好任務調度、數據管理與策略配置等各項監測服務[9]17-23。智慧教育系統平臺下各類監測經歷兩個過程：其一是監測運行，即利用多源多模態信息集成、異構數據智能轉化與自動容錯映射等方式實現監測數據的采集，采用超高并發訪問數據持續服務交付等手段實現危機數據的存儲，運用數據容災、高效元數據管理以及系統彈性拓展等技術實現風險數據的管理[10]23-25；其二是監測決策，即進行“疑點”發現，實施風險可視化，風險挖掘以及感知風險程度。為保障審計證據的科學性，監測所發現的“疑點”需要審計主體獨立進行實質性測試，重新驗證其客觀性、重要性及危害程度。(3)預警與響應。通過監測或流程記憶，如果發現“異常預兆”，該子平臺則應向審計主體發布緊急信號，預告危險等級。審計監測子平臺下預警機制建設需要關注兩個方面：其一是預警級別設置。同前述風險等級“Ⅰ—Ⅴ”相一致，審計主體需要相應界定審計的預警級別“Ⅰ—Ⅴ”，并作以描述。顯然，預警Ⅰ級等級最高，需立即全面補救，預警Ⅴ級等級最低，暫不考慮；其二是預警指標建立。審計主體需要設計系列預警指標進而確認“風險”預警等級，指標設計應基于多方考慮，涵蓋警度評估與風險狀態分析，定性與定量相結合，橫向與縱向相融合，安全管理與審計控制相整合。預警后，審計主體需要在該子平臺下作出積極響應，利用聯動工具與技術，阻斷風險入侵，運用交換機端口控制進行聯動等模式，隔離攻擊源，借用密網、蜜罐等技術，抑制攻擊行為，采用網絡拓撲結構調整、數據加密等手段，加固智慧教育系統平臺安全。

四、大數據下“互聯網+智慧教育”安全審計的策略拓展

2016年7月，教育部審議《國家教育事業發展第十三個五年規劃》，提出加快推進教育信息化，強化信息技術安全和教育信息化標準。“互聯網+智慧教育”是教育信息化的創新，安全審計是其創新的保障。為促進智慧教育良性運作，審計主體應關注如下策略探索：

(一)重視網絡信息安全的管理與控制

近年來，網絡泄密、網絡詐騙等安全事故頻發，其根本原因在于互聯網組織忽視大數據下的網絡信息安全問題?！盎ヂ摼W+智慧教育”組織需要正確把握安全與發展之間的辯證關系，切實加強對自身網絡安全以及用戶隱私保護的重視，確保智慧教育功能的安全實現?；诎踩珜徲嬕暯牵腔劢逃M織所應重視的方面包括：(1)安全理念。理念是一種思想或觀念，智慧教育安全審計模式的建立與運行是以智慧教育領導層的安全理念為依托的，領導者對安全觀念的認知，直接決定著智慧教育安全審計工作的廣度與深度，安全理念是安全審計指導思想，有助于促進安全審計價值觀的形成。智慧教育組織必須在觀念與思想方面強化對網絡信息安全管理與控制的持續關注，運用核心安全理念、安全目標、安全原則、安全方針、安全任務、安全使命與安全愿景等模塊構建適用于自身的一系列安全理念體系。依據科學的安全理念，智慧教育組織應基于戰略層面優化安全管理思想，對大數據下“互聯網+智慧教育”的安全審計模式構建實施多視角跟蹤指導，對動態安全審計平臺的實現進行全方位統籌布局，進而促進圖2與圖3的相融相生，為智慧教育安全審計培育土壤與根基，孕育創新源泉。(2)質量管理。Bowen與Dean(1994)認為，全面質量管理是由系列相互促進的質量理論所組成的管理方法[11]390-419?！盎ヂ摼W+”時代，一所學校、一批教師、一間實體教室的教育模式將成為過去，英特網、移動終端、千百學生，課程與教師任選，視頻反復視聽，智慧圖書館等全新教育理念快速呈現，微課、慕課、彈幕教學以及翻轉課堂等新穎教學平臺持續涌現。由此，智慧教育組織應予廣泛借鑒全面質量管理方法，基于質量領導、標準設計、過程控制、質量保證、質量文化、技術研發、人員管理、多方參與、安全成熟度以及用戶滿意度等多項內容實現與安全審計過程的多層次交融，明確管理者的安全管理領導職責，建立科學的安全質量管理體系，強化質量管理考核機制，力爭運用安全審計手段促進對智慧教育系統平臺安全的全過程免疫控制。

(二)完善相關安全審計的標準與規范

大數據與云計算背景下，加強對“互聯網+”的安全保護與監管控制是一項極為迫切的任務，未來一段時期，審計主體亟需協同“互聯網+”組織，盡快建立與完善相關安全審計的條例、規范、制度、標準或指南，以便于“互聯網+”安全審計工作有據可依，有章可循。在“互聯網+智慧教育”安全審計標準及其規范的構架中，審計主體首先需要借鑒的是國內信息安全與技術管理標準[12]28-35，如《信息系統審計指南—計算機審計實務公告第34號》《互聯網信息服務管理辦法》《計算機信息系統安全保護條例》《計算機信息網絡國際聯網安全保護管理辦法》《大數據標準化白皮書》《計算機信息系統安全等級保護通用技術要求》《內部審計具體準則第28號—信息系統審計》《信息安全技術云計算服務安全能力要求》《信息安全等級保護管理辦法》《計算機信息系統安全保護等級劃分標準》以及《信息安全技術云計算服務安全指南》等，國內系列規范符合我國國情，是基于我國網絡信息安全管理現狀所設立的具體要求；其次，審計主體需要參照的是國外先進的網絡信息安全控制理念，如ISACA頒布的《信息系統審計準則》、COBIT控制框架、ITIL信息技術管理標準、SC27信息安全國際標準、BS7799信息安全管理體系標準以及CC信息安全通用準則等，國外諸多理論明確了網絡信息安全管理的控制方法與技術標準，闡釋了安全控制的關鍵因素，能夠為智慧教育安全審計提供測試依據；再次，審計主體還需融合COSO內部控制框架、風險管理與評估以及教育信息化管理等其他理論，畢竟智慧教育安全審計同教育信息化以及風險控制等對象密不可分。需要強調的是，審計主體在審計規范與標準的制定中，對于上述外來經驗的汲取，不是簡單的疊加，而是有序的整合，因為它們各有側重，功能各異，只有物盡其用，深度融合，才能基于具體標準、審計指南與實踐手冊三層結構逐步完善智慧教育安全審計規范體系。

(三)加強安全審計團隊的組織與建設

當前，審計團隊合作常見的問題表現在臨時組合、授權與角色定位不規范以及缺乏會議溝通等方面，這些都將對智慧教育安全審計團隊組織帶來嚴重的負面影響?！盎ヂ摼W+智慧教育”安全審計并非傳統審計，其跨越智能科學與技術、網絡安全科學、信息安全科學、計算機安全科學、審計科學、教育科學等多門學科，是多元知識的跨學科有機融合。為此，智慧教育組織在安全審計團隊建設中，務必要將具備上述學科背景的各方人才集合于一體，而且需要聘請相關學科的專家與顧問定期開展會議研討與經驗交流，鞏固審計成果，豐富審計經歷。智慧教育安全審計團隊的建設需要關注兩方面的問題：其一是跨學科異質性知識的耦合。團隊內不同類型的知識，審計主體應予采用差異化知識分享方式進行跨學科串并，對于單一學科顯性知識，應該選用認知學習方式；對于多學科顯性知識，應該選用協作互補方式；對于經驗類隱性知識，應該選用啟發借鑒方式；對于跨學科深度隱性知識，應該選用深度融合與協同探索相結合的方式。智慧教育審計團隊需要遵循開放、創新、共享與協作的原則，致力為產、學、研、用搭建一個勤于互動、責權利分明、協同創新的跨學科知識服務支持平臺[13]76-80，實現審計跨學科成員之間的經驗發掘、技能整合、知識服務、理論交融與實務創新；其二是審計團隊文化的塑造。審計文化決定著審計團隊的價值取向、思維方式和行為規范，智慧教育審計主體應予關注團隊文化建設，優秀的文化可以促進審計成員之間的引導、凝聚、約束、激勵與調適?？鐚W科背景下，審計團隊需要基于精神文化、制度文化、行為文化與物質文化等層面構筑團隊文化理論，基于團隊溝通、團隊信任、團隊協作、工作沖突、人際沖突、目標愿景、經驗分享與模式創新等因素開展團隊文化實踐，設計科學的激勵評價機制，樹立長遠的人才成長規劃。相信，審計團隊和諧的氛圍，審計成員強大的創新效能感，必將為智慧教育的信息化建設及其安全保障提供源泉與動力。