關(guān)于數(shù)據(jù)處理安全的審計(jì)研究

■王旭英

自黨的第十八屆五中全會(huì)上首次提出“國(guó)家大數(shù)據(jù)戰(zhàn)略”這個(gè)概念后，我國(guó)就在全面實(shí)施大數(shù)據(jù)戰(zhàn)略計(jì)劃。根據(jù)近期國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布的最新《數(shù)字中國(guó)發(fā)展報(bào)告（2022年）》顯示，數(shù)字經(jīng)濟(jì)成為穩(wěn)增長(zhǎng)促轉(zhuǎn)型的重要引擎。大數(shù)據(jù)作為媒介在一定程度上成為繁榮社會(huì)發(fā)展的新動(dòng)能，已經(jīng)逐漸成熟地應(yīng)用到各行各業(yè)，而數(shù)據(jù)安全也成為近年來(lái)風(fēng)險(xiǎn)控制的重點(diǎn)關(guān)注領(lǐng)域，那么如何發(fā)現(xiàn)數(shù)據(jù)安全風(fēng)險(xiǎn)也成為審計(jì)工作的研究對(duì)象。

一、數(shù)據(jù)處理安全的概念

我國(guó)的《數(shù)據(jù)安全法》明確指出，數(shù)據(jù)安全是指通過(guò)采取必要措施，確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。通俗來(lái)講，就是我們?nèi)绾斡行У胤乐箶?shù)據(jù)在錄入、處理、統(tǒng)計(jì)或打印中由于硬件故障、斷電、死機(jī)、人為的誤操作、程序缺陷、病毒或黑客等造成的數(shù)據(jù)庫(kù)損壞或數(shù)據(jù)丟失的現(xiàn)象，某些敏感或保密數(shù)據(jù)可能由不具備資格的人員或操作員閱讀、處理，造成數(shù)據(jù)泄密或者數(shù)據(jù)被不法分子利用的情況。

鑒于安全風(fēng)險(xiǎn)發(fā)生的情況不具有單一性，因此粗略將數(shù)據(jù)處理安全劃分為兩類(lèi)：一是系統(tǒng)型數(shù)據(jù)處理安全；二是人為型數(shù)據(jù)處理安全。

（一）系統(tǒng)型數(shù)據(jù)處理安全

現(xiàn)階段，具備一定規(guī)模的企業(yè)對(duì)搭建擁有權(quán)限審批、流程合規(guī)平臺(tái)的重要性已達(dá)成共識(shí)，因此一般在系統(tǒng)內(nèi)部設(shè)置“管理員”的賬戶(hù)角色。不僅是開(kāi)通權(quán)限，更重要是通過(guò)算法監(jiān)控每筆業(yè)務(wù)流的處理過(guò)程，設(shè)置必要的風(fēng)險(xiǎn)提示預(yù)警，以及可以對(duì)全部用戶(hù)的操作行為進(jìn)行查詢(xún)，減少人工查證審核時(shí)間，提高數(shù)據(jù)處理安全的質(zhì)效和效率。

（二）人為型數(shù)據(jù)處理安全

軟件平臺(tái)的構(gòu)建一定在企業(yè)內(nèi)部是逐步完善起來(lái)的，隨著需求功能的增強(qiáng)，必然導(dǎo)致一家企業(yè)內(nèi)部至少擁有財(cái)務(wù)系統(tǒng)、電子辦公系統(tǒng)（OA）2 個(gè)以上的獨(dú)立操作系統(tǒng)。那么對(duì)數(shù)據(jù)處理的安全控制也存在于該系統(tǒng)內(nèi)部，在數(shù)據(jù)轉(zhuǎn)移系統(tǒng)交互的過(guò)程中，人工操作的行為占據(jù)主導(dǎo)，因此很多時(shí)候通過(guò)雙方簽章確認(rèn)來(lái)證明交互數(shù)據(jù)的唯一性。這個(gè)過(guò)程最常應(yīng)用在企業(yè)將數(shù)據(jù)提交銀行發(fā)送付款指令，銀行完成指令后發(fā)送需要密碼的簽章版電子回單，通過(guò)簽章保障數(shù)據(jù)處理的結(jié)果。但相較于系統(tǒng)型數(shù)據(jù)處理，人為型數(shù)據(jù)處理的安全防控更隱蔽、更不可控，依靠軟件程序來(lái)防控不能實(shí)現(xiàn)風(fēng)險(xiǎn)控制。

二、數(shù)據(jù)處理安全審計(jì)

由于審計(jì)線(xiàn)索不足而導(dǎo)致的數(shù)據(jù)泄露和數(shù)據(jù)變更，導(dǎo)致事后無(wú)法追溯，是危害數(shù)據(jù)處理安全的重要因素之一。監(jiān)控整個(gè)數(shù)據(jù)處理操作，分析操作記錄及處理過(guò)程是日常監(jiān)督查證的重要手段。一旦無(wú)法檢視數(shù)據(jù)處理合規(guī)性是否有異常，無(wú)法收集數(shù)據(jù)處理過(guò)程的詳細(xì)信息，數(shù)據(jù)處理安全就會(huì)產(chǎn)生嚴(yán)重的不可控風(fēng)險(xiǎn)，對(duì)事后追蹤溯源查證也會(huì)造成困難，甚至?xí)俅卧斐娠L(fēng)險(xiǎn)。因此，數(shù)據(jù)處理安全審計(jì)，在整體大數(shù)據(jù)審計(jì)中對(duì)查證舞弊、權(quán)責(zé)劃分、風(fēng)險(xiǎn)控制等方面有著很重要的作用。

（一）系統(tǒng)型數(shù)據(jù)處理安全審計(jì)

一般常見(jiàn)的數(shù)據(jù)安全審計(jì)，尤其是在保險(xiǎn)領(lǐng)域中應(yīng)用更為顯著，更多是審查數(shù)據(jù)庫(kù)建立、存儲(chǔ)、傳輸是否安全，系統(tǒng)權(quán)限是否分工明確、是否設(shè)置應(yīng)急預(yù)案，網(wǎng)絡(luò)防火墻是否安全可靠、是否建立必要的操作處理流程及制度等，這些基本都是通過(guò)完善軟件程序來(lái)實(shí)現(xiàn)風(fēng)險(xiǎn)控制，可以歸納為系統(tǒng)型數(shù)據(jù)處理審計(jì)。

在審計(jì)中，通過(guò)逐項(xiàng)審核軟件安全、備份安全、訪問(wèn)安全、應(yīng)急措施、運(yùn)維安全等風(fēng)險(xiǎn)控制要點(diǎn)，基本能達(dá)到對(duì)單個(gè)系統(tǒng)數(shù)據(jù)處理的安全控制，此處我們更多依賴(lài)于操作邏輯縝密的程序優(yōu)化，以及及時(shí)響應(yīng)處理故障的技術(shù)人員。

（二）人為型數(shù)據(jù)處理安全審計(jì)

當(dāng)把技術(shù)層面問(wèn)題解決后，人為因素便成為不可控的主要情況。通過(guò)學(xué)習(xí)和總結(jié)以前年度審計(jì)方式方法，發(fā)現(xiàn)多數(shù)時(shí)候把數(shù)據(jù)處理中的程序和人工環(huán)節(jié)分劈成兩個(gè)審計(jì)方向，成因源于審計(jì)發(fā)現(xiàn)問(wèn)題方式和專(zhuān)業(yè)存在一定跨度。數(shù)據(jù)型數(shù)據(jù)處理審計(jì)基本需要信息工程、計(jì)算機(jī)領(lǐng)域方面的審計(jì)專(zhuān)家，他們更關(guān)注系統(tǒng)本身對(duì)數(shù)據(jù)的處理過(guò)程，是否按照人的意愿多線(xiàn)程高效處理數(shù)據(jù)的同時(shí)維護(hù)安全穩(wěn)定；而人為型數(shù)據(jù)處理審計(jì)更多與內(nèi)部控制審計(jì)相關(guān)聯(lián)，涉及舞弊信息和虛假信息，但從事此方面的審計(jì)人員多數(shù)不會(huì)涉獵對(duì)數(shù)據(jù)處理的全方位分析，因?yàn)閮?nèi)控審計(jì)本身涵蓋范圍也很大。所以雙方容易忽視這個(gè)重要環(huán)節(jié)，即人機(jī)交互處理數(shù)據(jù)過(guò)程的審計(jì)。

很多時(shí)候我們認(rèn)為在審查程序權(quán)限合規(guī)性的過(guò)程中，在對(duì)照人員分工查驗(yàn)賬戶(hù)信息的時(shí)候已對(duì)人機(jī)交互做出審計(jì)，但實(shí)際是并不能保證數(shù)據(jù)在推送到下一個(gè)環(huán)節(jié)后，數(shù)據(jù)的內(nèi)容是否發(fā)生過(guò)變化。即便在數(shù)據(jù)高度電子智能化的現(xiàn)在，數(shù)據(jù)依舊需要經(jīng)過(guò)人的操作才能實(shí)現(xiàn)流轉(zhuǎn)，數(shù)據(jù)本身并不能確定自己的應(yīng)用范疇，因此操作行為風(fēng)險(xiǎn)可以歸納為人為型數(shù)據(jù)處理審計(jì)。

三、構(gòu)建案例模型分析

以成立線(xiàn)上打車(chē)平臺(tái)公司為例，假設(shè)公司初創(chuàng)時(shí)期僅存在3 款操作系統(tǒng)，分別為：對(duì)外交互的打車(chē)應(yīng)用程序、財(cái)務(wù)處理程序、企業(yè)內(nèi)部電子化辦公程序，以處理日常產(chǎn)生的基本數(shù)據(jù)維持公司運(yùn)轉(zhuǎn)。那么對(duì)數(shù)據(jù)處理安全審計(jì)來(lái)講，主要圍繞上述兩個(gè)分類(lèi)來(lái)開(kāi)展現(xiàn)場(chǎng)審計(jì)工作：

（一）系統(tǒng)型數(shù)據(jù)處理安全的審計(jì)開(kāi)展

在了解公司運(yùn)營(yíng)模式及操作分工后，重點(diǎn)應(yīng)對(duì)自建系統(tǒng)進(jìn)行審查。對(duì)軟件安全、備份安全、訪問(wèn)安全、應(yīng)急措施、運(yùn)維安全等方面需要實(shí)現(xiàn)的技術(shù)手段及算法邏輯進(jìn)行查證，審核數(shù)據(jù)處理在系統(tǒng)內(nèi)部的安全可靠性。

例如：系統(tǒng)對(duì)用戶(hù)信息的抓取是否都能有效進(jìn)入數(shù)據(jù)庫(kù)中，這其中對(duì)數(shù)據(jù)處理的算法是否存在邏輯錯(cuò)誤；數(shù)據(jù)庫(kù)的建立、存儲(chǔ)、傳輸安全是否得到必要保障，對(duì)構(gòu)建網(wǎng)絡(luò)防護(hù)采用的措施是否通過(guò)了測(cè)試和演習(xí)，對(duì)選用第三方作為服務(wù)機(jī)構(gòu)的安全性是否得到有效評(píng)估；系統(tǒng)權(quán)限是否分工明確，系統(tǒng)后臺(tái)對(duì)前端操作記錄是否設(shè)置查詢(xún)和監(jiān)測(cè)；是否設(shè)置應(yīng)急預(yù)案，對(duì)數(shù)據(jù)的備份處理以及突發(fā)斷電等突發(fā)事件能應(yīng)對(duì)有效；是否存在隱藏接口造成數(shù)據(jù)誤刪或泄露等，通過(guò)在程序中反復(fù)測(cè)試數(shù)據(jù)處理過(guò)程以及推敲流程的合理性和必要性，發(fā)表系統(tǒng)中數(shù)據(jù)處理安全相關(guān)的審計(jì)意見(jiàn)和建議。

（二）人為型數(shù)據(jù)處理安全的審計(jì)開(kāi)展

由于人工操作的不可控，在審計(jì)過(guò)程中就需要獲取更為全面的審計(jì)資料。

首先，通過(guò)3 個(gè)系統(tǒng)管理員權(quán)限獲取后臺(tái)操作記錄表單。對(duì)獲取的操作數(shù)據(jù)進(jìn)行排序，篩選出：刪除、覆蓋記錄；間隔過(guò)短的登錄信息中存在業(yè)務(wù)提交與審核獲批記錄；非常規(guī)工作時(shí)間登錄以及節(jié)假日登錄的記錄。通過(guò)系統(tǒng)IP 作為標(biāo)識(shí)進(jìn)行審核，由此推斷相關(guān)情況及證據(jù)。

其次，根據(jù)上述記錄查證結(jié)果推導(dǎo)下一步查證要點(diǎn)。（1）權(quán)限審批類(lèi)。查證是否存在未經(jīng)領(lǐng)導(dǎo)同意私用賬號(hào)過(guò)審的情況；查證是否存在審核通過(guò)后對(duì)發(fā)送的信息進(jìn)行修改刪除的情況，上述均存在數(shù)據(jù)處理安全的泄露和舞弊風(fēng)險(xiǎn)。（2）跨系統(tǒng)報(bào)出類(lèi)。通過(guò)其他系統(tǒng)對(duì)現(xiàn)有報(bào)出數(shù)據(jù)的勾稽關(guān)系進(jìn)行核實(shí)，篩選查證是否存在總數(shù)不變但數(shù)據(jù)包中內(nèi)容有增減變動(dòng)的情況，常見(jiàn)于工資薪酬及報(bào)銷(xiāo)款項(xiàng)分發(fā)至個(gè)人后與應(yīng)發(fā)數(shù)據(jù)不符，通過(guò)金額小，批量抽逃資金，獲取不法收入，這里存在數(shù)據(jù)處理安全的舞弊風(fēng)險(xiǎn)；查證是否存在同一數(shù)據(jù)向多口徑報(bào)出的情況，這里存在數(shù)據(jù)處理安全的泄露風(fēng)險(xiǎn)。

最后，依據(jù)數(shù)據(jù)推導(dǎo)結(jié)果，查閱相關(guān)往來(lái)憑證及回單材料，落實(shí)證據(jù)材料的可靠性和真實(shí)性，防范人為操作將數(shù)據(jù)在不同系統(tǒng)間交互過(guò)程中變動(dòng)，有效解決不可控的安全風(fēng)險(xiǎn)。

（三）案例分析

由上述對(duì)數(shù)據(jù)處理的安全審計(jì)過(guò)程可以得出，系統(tǒng)型數(shù)據(jù)處理的安全審計(jì)旨在搭建可控風(fēng)險(xiǎn)的效益最大化，甚至不能涵蓋人工操作的全過(guò)程；而人為型數(shù)據(jù)處理的安全審計(jì)，也只能將系統(tǒng)數(shù)據(jù)轉(zhuǎn)化為分析工具來(lái)判斷不可控風(fēng)險(xiǎn)，某種程度上對(duì)企業(yè)的價(jià)值并不大，企業(yè)內(nèi)部控制不只體現(xiàn)在數(shù)據(jù)當(dāng)中。因此，將二者關(guān)聯(lián)審計(jì)對(duì)數(shù)據(jù)處理來(lái)講是最有效的數(shù)據(jù)處理審計(jì)手段。

系統(tǒng)型數(shù)據(jù)處理安全與人為型數(shù)據(jù)處理安全其實(shí)本就為一體，依托于共享型網(wǎng)絡(luò)操作系統(tǒng)，我們無(wú)法拋開(kāi)系統(tǒng)型技術(shù)談操作，也不能單一的專(zhuān)注于系統(tǒng)自身風(fēng)險(xiǎn)把控。如何有效地規(guī)范數(shù)據(jù)處理活動(dòng)，保障數(shù)據(jù)安全，促進(jìn)數(shù)據(jù)開(kāi)發(fā)利用，保護(hù)個(gè)人、組織的合法權(quán)益，本就是需要系統(tǒng)行為和人工行為共同構(gòu)建完成的安全話(huà)題。所以在日常中將二者關(guān)聯(lián)結(jié)合進(jìn)行審計(jì)，不僅節(jié)約專(zhuān)項(xiàng)審計(jì)時(shí)效，而且對(duì)于審計(jì)行業(yè)的專(zhuān)業(yè)拓展和思維開(kāi)拓也有一定作用。