基于过程的电子政务云安全审计模式研究*

刘国城

（1.南京审计大学审计与会计学院，江苏 南京 211815；2.江苏省金融工程重点实验室，江苏南京 211815）

《国家电子政务“十二五”规划》提出，“大力推进国家电子政务发展是党委、人大、政府、政协、法院、检察院系统各级政务部门政务工作的组成部分，是政务部门提升履行职责能力和水平的重要途径，也是深化行政管理体制改革和建设人民满意的服务型政府的战略举措”。当前，国家电子政务“十三五”规划正在制定中，但是，加快我国电子政务管理体制的创新势在必行，因为大力推进电子政务是国家信息化的重要任务，是网络强国的战略选择。实践证明，电子政务已经成为与信息网络时代高度适应的政府公共管理现代化的产物。然而，在网络安全、信息安全以及云计算安全受到极大威胁的今天，电子政务云的安全问题也应该引发国内专家与学者的高度关注。面对安全威胁，审计是事前免疫监视、事中免疫自稳、事后免疫防御的重要方式[1]。因此，为使电子政务在改进与优化政府组织、提升公共管理效率、创新政府管理方式等方面焕发强盛的生命力，我国应全方位、多层次推进电子政务云安全审计建设。电子政务云安全审计模式是一个动态系统，对其进行构架是一项复杂工程。当前，我国电子政务安全审计正处于发展初期，还尚未形成一套成熟的电子政务云审计规范体系与审计流程模式。为此，我国应该重视电子政务云安全审计模式的顶层设计，开展电子政务云安全审计模式的全局规划，全过程、多维度做好安全威胁的识别、评估、预警与响应工作，以便为“十三五”期间国家电子政务的良性运营提供安全保障，有效推进国家信息化发展战略。

一、相关理论概述与回顾

（一）电子政务云

电子政务是政务部门运用计算机、互联网和通信技术等手段，将政务工作通过网络技术进行集成，超越时间、空间与部门分隔的限制，依附于互联网实现政府机构和政务流程的优化而实施的一种精简、高效、公平的政务运作模式。电子政务云是电子政务的纵向延展，其是以云计算为关键技术，将一个个电子政务“信息孤岛”通过资源整合，实现集中存储、资源共享、调度灵活、统一监管与资源节约而构建的电子政务资源协同互动，并且向用户提供按需服务的大型集约平台。《国家电子政务“十二五”规划》强调，鼓励电子政务向云计算模式迁移、建设完善的电子政务云公共平台，完善以云计算为基础的云平台顶层设计，以及制定电子政务云计算标准规范。当下大数据（Bigdata）时代，电子政务云是我国政府实现“网络一站式服务”目标的必经之路。

2009年11月，法国政府规划政府云战略《Andromede》强调，政务云关乎国家的主权安全；2009年12月，韩国提出《政府发展云计算综合规划》；2010年10月，德国联邦政府宣布实施“云计算行动计划”，把政务云作为信息技术与管理结合的最重要领域；2011年9月，美国发布《联邦政府云战略》；俄罗斯政府在2011—2013年间投资了4.76亿卢布开发政务云。国外，Nir Kshetri（2012）、Dimitrios Zissis（2010）等众多学者从云平台架构、服务资源整合与云安全视角进行了电子政务云的理论研究[2-3]。

国内相关文献尚缺，截至2015年10月，中国知网有关于“政务云”的全部期刊论文120篇。其中，牛力分析了政务云的构建策略[4]；姜茸等探索了政务云的安全问题[5]；鲍凌云等研究了电子政务云的实践应用[6]。我国学者对“云计算与电子政务”的整合研究于2009年起步，尽管近年来取得了一定成果，但相关积累缺乏一个“去粗取精”、“积淀凝萃”的长期过程，因而，已有成果大多是从宏观层面描述性地阐释了当前我国电子政务云的现状、问题以及建设路径。纵观国内“电子政务云”的研究现状，学者们未来的努力需侧重如下方向：首先，加强对电子政务云平台“顶层设计”的纵深探索，因为它是基于全局视角对电子政务云平台构建所做的科学统筹规划；其次，强化对电子政务云安全控制与风险免疫的纵深研究，这是因为电子政务云是以计算机网络以及信息技术为土壤，它们所面临的内外部风险将会给电子政务云安全带来毁灭性的威胁；最后，拓展对电子政务云基础理论的横向研究，电子政务云从属于计算机科学、信息科学、行政管理等交叉学科，每门学科都有强大的理论基础，因而，将电子政务云的研究根植于各学科背景与学科基础的协同之下，将会使理论研究更为成熟。

（二）安全审计

安全审计是对网上用户的行为进行监督管理，对计算机的工作过程进行详尽的跟踪，记录用户活动，记录系统管理，监控和捕捉各种安全事件，维护管理审计记录和审计日志[7]。安全审计的实施目标主要有：（1）全面记载所有访问活动的信息与数据，检查安全保护机制的实施结果；（2）检测所有具有超越自身规定权限的用户及定位其越权行为；（3）检测和定位用户为越过安全机制而实施的反复性尝试行为，并采取相应的措施；⑷提供证据以表明发生了越过系统安全机制的行为或企图；⑸检测与弥补系统自身的安全漏洞；⑹在系统遭到破坏下，评估损失和修复系统[8]。

有关于安全审计的国外研究，美国起步较早。1969年美国在洛杉矶设立EDPAA（电子信息处理审计师协会），1994年美国将该协会更名为ISACA（国际信息系统审计与控制协会），并发布了基于COBIT模型的信息技术管理与控制的规范体系。此外，自1993年始，美国、加拿大与欧洲四国合作起草单一的信息安全通用准则，1999年正式形成国际标准15408-1999，简称通用准则（CC）。CC准则从安全功能与安全保证两个方面深入阐释了IT安全技术要求；CC准则中的安全功能要求明确了安全审计、用户数据保护、安全管理等11类项；安全审计类包含六个族，分别对审计记录的选择、生成、存储、保护、分析以及相应的入侵响应等功能赋予了不同程度的要求。

多年来，国内对于安全审计的建设不断加强。1994年2月，国务院颁布《计算机信息系统安全保护条例》；1999年9月，国家质量监督检验检疫总局发布《计算机信息系统安全保护等级划分标准》；2012年7月，公安部发布《计算机信息系统安全等级保护通用技术要求》；2007年6月，公安部等四部门联合发布《信息安全等级保护管理办法》；2013年8月，中国内部审计协会发布《第2203号内部审计具体准则——信息系统审计》。系列安全审计方面的法律与规定是基于我国信息技术发展与信息系统建设特定现状，借鉴CC准则，对我国具体国情下信息技术与信息系统的物理安全、运行安全、信息安全及软件安全等方面所确定的总体安排与具体限定。当前，我国有关于安全审计的理论研究成果尚缺，其中，叶晓俊等运用LTS模型提出了DBMS安全审计功能测试用例生成方法[9]，吕桃霞等基于信息熵的攻击检测算法规划出多Agent网络安全审计模型[10]，杨艳等基于VPN技术探索了安全审计系统的设计与实现[11]。安全审计从属于信息管理范畴，纵观已有成果，相关研究仅基于信息管理学科自身对安全审计问题进行学科纵向深入研究。又因为，安全审计横跨审计学、管理学、系统科学等若干学科，而且蕴藏于各行各业，因而，安全审计问题的横向交叉研究在我国还极为匮乏。本文以电子政务为特定依托，基于信息科学与审计学相结合的视角对安全审计模式整合研究，将会为安全审计的标准制定与实践应用提供有效借鉴。

二、电子政务云安全审计模式的设计与规划

电子政务云安全审计模式的设计与规划相对复杂，本文提出一种电子政务云安全审计模式供以参考，见图1，并作如下阐述：

图1 电子政务云安全审计模式的整体设计与宏观规划

（一）电子政务云安全审计规范指南的外来借鉴

电子政务云安全审计从属于信息系统审计与控制的范畴。当前，我国电子政务审计主体亟需借鉴并整合国内外有关信息系统审计与控制的相关规范与指南，以进一步凝练适用于电子政务云自身的安全审计规范体系。电子政务审计主体可借鉴的规范与指南有：

1.COBIT理论、BS7799标准、CC准则与ITIL标准

COBIT(信息及相关技术控制目标)是由美国ISACA自1996年发布的关于IT技术控制的系列规范体系，它将IT过程、IT资源及信息、企业的策略目标三者结合，明确信息技术处理过程，详释具体审计方针。BS7799是英国自1995年系列推出的信息安全体系标准，经历不断修订，如今已演化为更加完善的《信息技术：信息安全管理实施规则》与《信息安全管理体系规范》，BS7799明确了安全管理的注意事项与安全制度，为信息系统的通用控制提供了措施与指南。CC准则是国际信息安全通用准则，它提出了作为系统安全性的基础准则，以及系统所必需监管要求，全面阐释了与信息技术安全性有关的所有因素。ITIL（信息技术基础设施库）由英国自1980年制定并不断完善的IT服务管理标准，包含V1-V3版本，它阐释了以服务支持和服务提供为核心的各环节行为方法与实施过程，目前已成为全球IT服务领域广泛认可的系统而实用的规范化信息技术服务标准[12]。

2.ISACA信息系统审计准则体系

ISACA至今已吸收全世界160余个国家跨越信息安全专家、信息系统审计师、首席信息官以及内部审计师等若干职业的95 000余名组织成员。ISACA信息系统审计准则体系旨在开发信息系统的审计与监控标准，规划信息系统控制的重要原则，释疑相关疑难专业事项[13]。

3.国内信息安全与技术相关管理标准

目前，可供电子政务云审计借鉴的国内管理指南主要有《计算机信息系统安全保护条例》、《计算机信息系统安全保护等级划分标准》、《计算机信息系统安全等级保护通用技术要求》与《信息安全等级保护管理办法》。国内四项管理标准结合中国国情，分别从计算机设备与设施的安全，运行环境的安全，数据信息的安全，计算机功能的正常发挥等方面设定保护条例与等级标准，确立技术要求与管理策略。针对信息系统审计与控制问题，上述国内外相关规范与指南侧重点有所不同，各有千秋，但它们值得借鉴，能够共同承担起构建电子政务云安全审计规范体系的重任。

（二）电子政务云安全审计支撑体系的整体设计

任何模式的建立都需要特定的基础条件与完备的支撑体系，电子政务云安全审计模式的构建也不例外。结合前述国内外信息系统审计相关规范，参照图1，电子政务云安全审计模式运营所需的前提与基础主要有：

1.电子政务云安全审计标准

当前，我国有计算机信息系统安全管理的普遍性规范，但尚未出现仅针对于电子政务云的特定安全控制与审计标准。为此，我国有必要以国家电子政务“十三五”规划为背景，借鉴国内外相关规范与指南，科学制定仅针对于电子政务云的安全控制、审计与管理的特定标准。该标准的制定必须遵循全面性、实用性、整体性以及实时性原则。其内容构成需要涵盖一般原则、基本要求、作业规则、审计条例、技术标准等方方面面，完善的审计标准是查明审计客体的行为规范，是出具审计结论的客观尺度。

2.电子政务云风险识别规则

参照图1，电子政务云安全风险分散于实施领域、管理领域与安全领域，并分属于“IT战略规划”等若干要项。不同风险要项，需要有针对性地设计特定的风险识别规则。具体风险要项下的风险识别规则设计应融合“确定风险识别目标”、“识别要项整体特征”、“识别关键风险诱因”、“确定风险事件与概率”、“选择关键风险指标”与“确定风险损失”六个环节。科学设计电子政务云风险识别规则，是电子政务云安全审计有效实施的关键要素之一。

3.电子政务云审计证据获取机制

与传统审计比较，电子政务云安全审计证据获取更为复杂，这是因为电子政务云由浏览器、移动终端设备、应用资源层、平台资源层与基础资源层整合而成，相关审计证明材料隐蔽、抽象且专业。为此，有必要在事前设计完善的电子政务云审计证据获取机制。该机制的设计需要通过建立模型，详细解决两项问题：首先，电子政务云审计证据的搜集方法与手段、整理方法与技巧以及鉴定技术与策略有哪些，它们的特点与优缺点是什么，各自的适用范围如何确定；其次，如何全方位保障所获电子政务云审计证据的客观性、充分性、重要性、相关性、合法性以及时效性。科学的证据获取机制，将会为电子政务云安全审计工作奠定良好的质量基础。

4.电子政务云安全审计技术与方法

传统审计的基本技术有审阅法、复核法、核对法、盘存法、函证法等，辅助技术有分析性复核、推理法、询问法等，一般方法包含顺查法、逆查法、详查法、抽查法等。然而，电子政务云安全审计与传统审计存在本质上的区别，因而，传统审计技术方法体系已经不能全面适用于电子政务云安全审计。为此，需要设计适用于电子政务云自身特色的安全审计技术方法体系。针对图1的电子政务云构成，可以基于不同构成层次组建相应的审计技术方法集合，如客户端可以采用网络监测、审计跟踪、路由控制、流量分析等技术方法，平台资源层可以采用报文鉴别、日志分析、审计数据库控制技术、变异监测技术、专家系统等技术方法。正确的技术方法体系对电子政务云审计工作的开展至关重要，它可使其事半功倍。

5.电子政务云评价与预警指标

电子政务云的评价与预警包括风险评价与审计预警两个方面，有必要从信息安全、软件安全、硬件安全、管理安全与环境安全层面建立全面的评价与预警指标体系[14]。每一层面评价与预警指标的确定务必全面、精炼与实用，并有如下步骤可供遵照：首先，找出该层面下全部风险问题及风险事件；其次，对具体“问题与事件”的严重程度设置“风险等级、具体要求与指标系数”；再次，对特定等级下的“问题与事件”确定相应的“权重”与“解决策略”；最后，编辑审计预警计算公式，确定“预警指标与等级”，并列出相应“策略组合”。

（三）电子政务云安全审计过程模式的宏观规划

2006年，中注协修订的《中国注册会计师审计准则》指出，财务报表的审计风险取决于重大错报风险与检查风险，其中，重大错报风险分为财务报表层次与认定层次的重大错报风险，认定层次的重大错报风险由固有风险与控制风险两部分组成。依据风险导向审计理论，借鉴中注协发布的关于财务报表审计风险控制的思想精髓，可以将电子政务云的安全审计风险演化为重大错报风险与检查风险，其中，电子政务云的重大错报风险包含固有风险与控制风险。推理可知，电子政务云安全审计风险取决于固定风险、控制风险与检查风险。风险导向审计模式下，电子政务云安全审计实质上是一项控制整个审计风险体系的复杂过程，为此，有必要将固定风险、控制风险与检查风险的识别与控制过程寓于电子政务云安全审计模式的顶层设计之中。结合国家电子政务“十三五”规划，参考图1，我国电子政务云安全审计的过程模式应划分为四个步骤：

1.安全控制制度设计的测试

该步骤是针对于电子政务云的固有风险而言的，在不考虑安全控制结构的前提下，安全控制制度设计的科学性与健全性直接影响着固有风险程度。因此，审计主体需要全方位测试电子政务云安全控制制度的设计水平，并挖掘制度设计缺陷的深层次原因，究竟源于电子政务云繁杂结构，管理人员的专业素质，还是源于政务云自身缺陷或外部复杂环境。

2.安全控制制度执行的测试

该步骤是针对于电子政务云的控制风险而言的，安全控制制度执行的有效性与及时性直接影响着控制风险程度，被审政务云是否严格执行安全控制制度对电子政务云控制风险的产生具有正向直接作用关系。审计主体需要多视角测试电子政务云安全控制制度的执行效果，基于信息表现层、业务应用层、应用支撑与基础应用层、信息资源层以及技术基础设施层等方面各项制度的执行态势跟踪监测，并全面记录控制制度执行中问题的表现与危害。

3.安全控制综合体系的评价

安全控制评价是针对电子政务云的检查风险而言的，它主要是对第一步骤控制制度设计的科学性与全面性，以及对第二步骤制度执行的有效性与效率性依据特定的审计标准进行判断、分析、衡量与评定，并推出结论的系列过程。该步骤不仅涉及拨号用户接入、防火墙设置、防病毒与黑客、与公网互联以及网络安全管理等网络安全控制评价问题，而且还要考虑完整性、保密性、真实性、不可抵赖性、可靠性、可用性及可控性等信息安全控制评价问题。该步骤专业要求高，重要性强，直接影响着审计主体对实质性测试范围的确定，以及对审计证据的鉴定。

4.安全审计预警机制的建立

该步骤建立在前述步骤基础之上，当经过测试发现电子政务云的制度设计漏洞，以及制度执行缺陷并予以评价后，将积累有关于电子政务云安全问题的系列资料，结合电子政务云的外在环境与行业特征，审计主体有必要对电子政务云的“风险源”集中标识，归纳“脆弱点”集合，估判“风险承受力”，总结与提炼“风险预警”规律，建立完善的安全审计预警机制，以便对常规“风险事故”与异常“灾难事件”及时发出信号，快速预防与控制。上述四个步骤是一个动态循环过程，它们的演绎将在电子政务云审计过程平台中得以实现。

三、电子政务云安全审计过程平台的建立与运行

（一）电子政务云安全控制的诊断与测试

电子政务云安全控制的诊断与测试是在“过程平台-1”中实现的（见图2），其任务是“挖掘”与“发现”电子政务云安全控制在制度设计方面的“缺陷”与制度执行方面的“问题”。结合某行政服务中心的电子政务系统A，政务云安全控制的诊断与测试需完成如下事项：

1.原始日志预处理

电子政务云的日志预处理包括数据清洗、数据集成、数据变换与数据归约。假设政务系统A拥有“网上办事”、“市民服务”、“企业服务”、“信访咨询”与“用户中心”等一站式服务板块，它将会形成海量的web日志文件。为此，审计主体首先应该删除无关数据，填充数据缺失值，对用户请求页面的错误修补处理，修正编码与字段的不一致，以完成数据的清洗；其次，根据“用户匹配”等若干属性，将多个数据源的数据合并到特定的具有一致性的“数据仓库”中，实现对数据的集约；再次，采用数据泛化、规范化与属性构造等方法，完成数据的格式化，实现数据转换；然后，通过属性子集选择或离散化等方法，构造基于时间与空间的适量立方结构数据集，实现数据集约[15]。

2.业务过程挖掘与取证

该事项可细分为下列步骤：第一，模式发现与模型构建。模式发现要求审计主体采用分类、聚类等技术，通过观测与预测，从集约后的电子政务web数据仓库中找出事物的规则与本质[16]。通过模式发现，可以正确识别正常模式与异常模式，进而为后续的模型构建提供丰厚的条件。模型构建要求审计主体对已有web数据进行特征提取与过滤，将逻辑规则与普遍规律抽象为一种分析模型，以实现特定数据子集的形式化描述。政务系统A下web日志挖掘过程模型的构建形式因“模式发现”所监测数据的特征不同而有所不同，当然，其所应用的挖掘算法也相应有所差异。基于政务云特征与web日志属性分析，PageRank算法、HITS算法、离群数据点算法、分类与聚类算法、频繁访问路径挖掘算法更加适用于政务系统A安全控制下的过程发现。第二，一致性检查与模型评估。一致性检查要求审计主体将新建的日志挖掘过程模型与相同过程的历史事件日志相互比对，验证过程模型的特征属性是否与真实事件相一致，进而对模型不断修正。模型评估要求审计主体对过程挖掘的结果进行全面测试，剔除重复、不全面或不具价值的结论，并引入未来数据对过程模型再次评价，判断挖掘程序是否有偏差，特定细节是否远离决策需求。第三，隐性知识显性化。隐性知识显性化是知识的一种“非平凡”创造过程，它要求审计主体以电子政务云“过程模型”为基础，通过文字、数字、图形或其它能够清楚表达的象征物（如手册或流程）等方式，将抽象、高度个性化的、不可编码的隐性挖掘知识，转化成正式化、可编码的、通俗易懂、具有普遍特性的显性挖掘结论。

3.动态持续监测

该步骤要求审计主体借助显性化结论，持续性“嵌入”电子政务云安全审计活动之中，对于电子政务云内部控制体系进行连续的、系统的、动态的监督与检测，不断完善“过程挖掘模型”的结论，为科学估计电子政务云的重大错报风险奠定理论基础。

图2 电子政务云安全审计过程平台的实现

（二）电子政务云安全审计的评价与预警

电子政务云安全审计的评价工作是在“过程平台-2”中实现的，此过程要求审计主体建立电子政务云安全控制的制度设计指标评价体系M与制度执行指标评价体系N。评价体系设计如下：

首先，依据图2设定一级评价指标Si、二级指标Sij、抑或三级指标Sijr；其次，针对Sijr设置“指标内涵与要求”菜单栏；再次，对Sijr的控制实况确立量化标准。量化标准满分为5分，分为良好、一般与较差三个等级，每级确定不同的标准分值。M与N初步设计后，借助“过程平台-1”的终极结论，正确判断Si、Sij、Sijr三级指标相对于“指标内涵与要求”的符合情况，客观评定各级指标的量化等级与实际量化分值Bi、Bij、Bijr。此外，审计主体需要根据各级指标对重大错报风险的影响程度，全面确定Si、Sij、Sijr在整体评价中的权重Wi、Wij与Wijr。然后，采用加权平均法通过B与W相乘计算上一层级Si与Sij的权值MSi（j）与NSi（j）。2010 年 4 月，我国制定了《企业内部控制评价指引》，该指引按影响程度将内部控制的缺陷认定为重大缺陷、重要缺陷与一般缺陷，并赋予内涵。为此，引用上述认定方法，且假定重大缺陷、重要缺陷与一般缺陷的标准分值处于0～2.5、2.5～3.5、3.5～4.5之间。于是，将各层级的MSi（j）、NSi（j）与缺陷认定的标准分值相比较，将进一步推断各层级控制因素的缺陷程度。结合Sijr的实际量化等级与各层级控制的缺陷程度，审计主体则可以对被审政务云的重大错报风险做出整体评价，进而估计检查风险，合理确定后续审计程序的性质、时间与范围。

电子政务云安全审计预警是在“过程平台-3”中实施的，其作用不仅可以为审计主体提供审计证据，合理评价审计风险，还可为被审政务云指出风险威胁点与系统脆弱点，并有针对性提出完善政务云的建议与措施。它的构建应遵照安全性、可靠性与绩效性的目标，并恪守科学性与全面性的原则。电子政务云安全审计预警机制的构建需做如下努力：

1.正确设计预警分级标准体系

参照图2，同前文所述的指标评价体系M、N设计方法相类似，将安全影响因素S与风险环境D相结合，构造二维矩阵SijrDk，然后，对矩阵SijrDk中的每一元素分别赋予相应的安全内涵及要求。此外，审计主体还需界定安全审计预警等级，可以将预警等级以“红、橙、黄、蓝”，或“Ⅰ级、Ⅱ级、……”等方式表达，并赋予相应的等级标准内涵。再次，审计主体需要会同有关专家对矩阵SijrDk中每一特定列项下的具体列元素针对于该列整体的重要程度Prk进行赋值。

2.科学架构安全威胁的识别、评估、预警与响应模型

电子政务云安全威胁识别与评估模型应该采用自动为主、手动为辅的方式予以构建。所谓自动识别与评估是指审计主体应该将“过程平台-1”下的“诊断与测试”过程与“过程平台-2”下的“安全控制评价”过程进行流程梳理与体系整合，并开发“安全威胁识别与评估”软件，审计主体持续将日志数据输入软件，进而得出SijrDk矩阵每一元素的“实际运营状况”与相应“安全要求”的符合程度Crk。手动为辅是指在软件应用导出结论的基础上，审计主体还需运用主观判断对SijrDk矩阵进行全局检测，查找异常与漏洞，进一步完善评价结论。电子政务云安全威胁预警模型的构建目的是依据评价结果，对可能的攻击做出预警。该模型构建的第一步骤是选择Crk数值较低者发出警报，第二步骤是运用熵权法[17]、层次分析法等多目标综合评价方法对Sijr的较高层次进行实证分析，通过Prk与Crk等数据实施一致性检验与赋值排序，并连续推导Sij、Si两层级下相应具体安全因素的预警等级，以及最高层级S下的预警等级，对危险等级予以层级预警。对于电子政务云安全威胁的响应模型，则是针对预警模型发布的警险，运用特定的技术方法，限制攻击的扩散，并进一步消除与排除电子政务云的安全威胁。

四、电子政务云安全审计模式的构建策略拓展

电子政务云是由内网（核心数据层与办公业务层）、外网（公众服务层）与专网（数据交换层）交织而成的有机信息系统，因而，其安全审计模式的构建是一个动态、持续、复杂与多变的过程。为此，审计主体在安全审计模式构建中应关注如下策略。

（一）整合多门学科

电子政务云安全审计模式的建立与运行，不仅仅涉及审计学科、政府公共管理学科、电子信息学科以及计算机科学与技术学科，而且还涉及数学学科（数据挖掘）与系统科学学科，其是交叉学科理论的综合性应用，因而具有较高的专业性与技术性。鉴于此，对于安全审计模式的顶层设计与过程实施，审计主体应该充分关注多门学科理论的一致性、互补性与融合性，以审计为主线，以电子政务云安全与有效为目标，以动态过程挖掘为手段，组建学科互补的高水平审计专业团队，筹划切合实际的审计流程，基于学科交融的特点收集翔实的审计证据。

（二）寓于特定环境

电子政务云安全审计的模式构建必须寓于特定的内外部环境之中，仅有如此，模式的运行才会健康且高效。电子政务云安全审计的环境影响因素很多，至于关键环境因素，外部应该是“云依托”，内部应该是“云数据”。依托农业领域，将产生农业电子政务云，它承担着农业检测预警、农产品市场监管等任务；依托国土资源领域，将产生国土资源电子政务云，它承载着耕地保护管理、矿产资源管理和地质环境管理等集成业务的应用。不同的外在依托，政务云发挥着不同的功能，进而不同依托下的审计活动将需要与之完全相适应的模式架构。此外，“云数据”是“云审计”得以实施的内在土壤，因此，审计主体还需要重点关注特定领域电子政务下云数据的采集与云平台的培育，这是因为它们能够将任务分布于“云”中，并根据需要获取额外的计算能力、存储空间与软件服务。