“互聯網+智慧教育”的安全審計模式分析

王垚

摘 要：智慧教育作為現代教育在未來的必然發展方向，其相關理論研究與實踐應用雖然已經在國內全面展開，但由于當前的智慧教育平臺在安全性上仍存在比較明顯的不足，因此其具體應用仍然會受到很大限制，而“互聯網+智慧教育”安全審計模式，則正是幫助智慧教育解決這些限制的關鍵因素。基于此，本文從頂層設計、管理的角度出發，對“互聯網+智慧教育”安全審計模式的構建進行了分析，同時圍繞“互聯網+智慧教育”安全審計的相關策略展開了探討，希望能夠對智慧教育的發展有所促進。

關鍵詞：“互聯網+”;安全審計模式;智慧教育

中圖分類號：F23 ? ? 文獻標識碼：A ? ? ?doi：10.19311/j.cnki.1672-3198.2021.20.044

0 引言

從近些年國內外智慧教育的發展現狀來看，在互聯網、大數據、云計算等諸多先進技術的支持下，智慧教育平臺雖然能夠為教育教學工作的優化創新提供巨大助力，但其安全問題也同樣是十分重要的，無論是因網絡病毒傳播、黑客攻擊所導致的系統癱瘓、用戶隱私信息泄露等問題，還是軟件工具、硬件設施的潛在故障隱患，都會對智慧教育平臺的正常運行與使用造成直接影響，而要想解決智慧教育平臺的安全性問題，則需要根據大數據、云計算等技術的特點，將動態化的智慧教育平臺安全審計模式構建起來，面向“互聯網+智慧教育”展開全方位安全審計、管理與控制。

1 “互聯網+智慧教育”的安全審計模式構建

1.1 準確識別審計風險

在現代審計模式下，安全審計工作應以潛在審計風險為導向，展開針對性的安全審計工作，而要想將“互聯網+智慧教育”安全審計模式有效構建起來，對于智慧教育潛在審計風險的準確識別自然也是十分必要的。首先，從固有風險的識別來看，智慧教育在現階段的安全問題與其他應用較為廣泛的網絡平臺或信息系統是比較類似的，如身份認證、病毒檢測、網絡攻擊防護、安全漏洞掃描都屬于比較明顯的固有審計風險，雖然從性質或原因上來看，這些風險事項可分為技術與管理兩個層面，但卻都能導致平臺無法正常運行，并帶來較大的安全事故損失，而對于這類風險的識別，則需要從智慧平臺目前在技術或管理方面的缺陷入手。其次，在控制風險方面，智慧教育的審計風險則通常會包括安全管理、訪問權限控制、電子數據維護等，具體可分為系統數據安全風險與約束機制失效風險兩大類，而要想對這類風險進行準確判斷，則需要對智慧教育平臺的內控制度進行客觀評價，同時據此判斷出平臺的抗風險能力，為審計決策提供重要參考。最后，在檢查風險方面，智慧教育審計風險則集中體現在職業道德與業務水兩個層面，這類風險主要來自于審計主體（審計團隊），關鍵在于審計人員能否準確發現并指出各種潛在的安全隱患，而對于這方面風險的識別則需要通過審計主體的事前自我評價來實現。

1.2 明確安全審計目標

針對“互聯網+智慧教育”的安全審計模式構建是一項十分復雜的系統性工程，除前期的審計風險識別外，如安全審計準備、審計團隊建設、安全審計實施等，都具有一定的復雜性，而要想保證各環節安全審計工作的規范性，將完善、科學的安全審計模式構建起來，自然就需要先將安全審計的總體目標明確下來，為各項安全審計工作的具體執行提供明確方向與指導。一般來說，“互聯網+智慧教育”的安全審計基本都會以保證智慧教育平臺安全、可靠運行為核心目的，而從實際應用的角度來看，還需保證智慧教育平臺的完整性、保密性與效益性。另外，由于智慧教育系統的運行安全性、可靠性、效益性等會受到多方面因素的影響，因此基于安全審計總體目標，還需對數據存儲安全、數據傳輸安全、服務持續保護、隱私信息保護等分項目標進行細化，以明確安全審計工作的具體方向。

1.3 建立專業審計團隊

智慧教育在我國的發展較晚，不僅相關應用實踐相對較少，對于“互聯網+智慧教育”的安全審計工作也非常缺乏經驗，如安全管理規范、標準化工作體系等都尚未完全建立起來，在實際工作的推進過程中，基本都只能依靠審計人員的個人專業素養及工作經驗來進行摸索，而在這樣的工作現狀下，要想構建出科學的安全審計模式，則還需將專業化的高素質審計團隊建立起來。例如從審計規劃的角度來看，為制定出科學的審計規劃，審計人員應對各種審計理論及安全控制思想擁有足夠的了解，同時準確把握不同維度下的審計決策需求，從而實現智慧教育平臺安全控制標準的有效借鑒與改進。而在知識結構方面，由于智慧教育的安全審計工作涉及了審計科學、教育學、信息科學等多個學科領域的知識內技能，因此審計人員也同樣需要對這些學科的理論知識及實務技能進行全面學習。

1.4 做好安全審計準備

在針對“互聯網+智慧教育”的安全審計模式下，審計主體應嚴格遵循全過程管理原則，對審計工作的全過程進行嚴格管理，尤其是在安全審計工作正式開始之前，面對復雜的審計工作內容，對于固有風險了解、內部控制評價、審計方案規劃等安全審計準備工作的規范與落實更是顯得極為關鍵。例如對各項安全審計風險，應根據各項風險的特征及智慧教育平臺內部控制設計情況來對其進行合理分級，將不同安全風險的風險等級確定下來，以實現對風險嚴重程度的有效評價與對比。而審計技術方面，則需要根據“互聯網+智慧教育”的安全審計工作需求來選擇合適的審計技術與審計方法，并將不同審計工作所需的審計技術、方法一一對應，以提升審計工作的有效性與規范性。例如在面對身份認證、病毒檢測等風險時，可選擇系統文檔審核、變異檢測等IT審計技術，而面對來自于審計主體的檢查風險，則可以利用BLP模型、專家系統等職能控制技術。

1.5 落實安全審計措施

從全過程管理的角度來看，“互聯網+智慧教育”的安全審計模式構建還需要保證各項安全審計措施的有效落實，使審計主體能夠將安全審計工作持續推進下去。例如在實質性測試階段，應利用入侵檢測、統計抽樣等專業技術及方法來展開安全性審查，確定智慧教育平臺在各個方面實際存在的風險，并將風險級別確定下來。而在審計風險評價結束后，則需要根據不同風險的重要性程度來確定審計證據范圍及數量，同時據此開始收集審計證據，編制審計工作底稿。