電子政務的安全風險精選(五篇)

序言：作為思想的載體和知識的探索者，寫作是一種獨特的藝術，我們?yōu)槟鷾蕚淞瞬煌L格的5篇電子政務的安全風險，期待它們能激發(fā)您的靈感。

篇1

一電子政務網(wǎng)絡安全風險

一.一網(wǎng)絡結構難以節(jié)制

最近幾年來跟著互聯(lián)網(wǎng)技術的快速發(fā)展,網(wǎng)絡技術已經(jīng)經(jīng)普及到人們的糊口以及工作之中,網(wǎng)絡范圍日趨擴展,網(wǎng)絡結構愈來愈繁雜,跟著而來的網(wǎng)絡安全問題也愈來愈凸起。良多情況下,網(wǎng)絡系統(tǒng)配置沒有跟著網(wǎng)絡范圍的擴展而及時進行優(yōu)化就會致使網(wǎng)絡機能降落,極易致使網(wǎng)絡安全隱患,為電子政務網(wǎng)絡帶來巨大的損失。

一.二網(wǎng)絡漏洞不能及時發(fā)現(xiàn)

1般來說,網(wǎng)絡漏洞是招致網(wǎng)絡襲擊的首要緣由,電子政務網(wǎng)絡擁有范圍龐大、網(wǎng)絡裝備種類繁多、系統(tǒng)多樣等特色,在沒有完美的網(wǎng)絡安全防范系統(tǒng)的情況下,單靠網(wǎng)絡管理員的能力是沒法保證網(wǎng)絡安全的,特別是最近幾年來網(wǎng)絡黑客技術水平不斷提高,電子政務網(wǎng)絡的安全問題也愈來愈凸起,如果網(wǎng)絡漏洞不能被及時發(fā)現(xiàn)就極易成為成為網(wǎng)絡黑客襲擊的對于象。

一.三信息泄漏、丟失

網(wǎng)絡信息泄漏、丟失主要是指系統(tǒng)數(shù)據(jù)在未知情況下產生泄漏、丟失,主要是非法入侵著在輸進程中通過同搭線技術樹立引發(fā)隨時盜取首要保密信息,探測用戶賬號以及密碼,此外還包含因為工作人員失誤致使的存儲介質丟失信息等情況。

一.四非授權走訪

通常情況下,用戶只有在被授權的情況下才能進入網(wǎng)絡并走訪以及利用網(wǎng)絡資源,如果在沒有授權的情況下閱讀網(wǎng)絡資源時稱之為非授權走訪。非授權走訪是1種不遵照系統(tǒng)走訪節(jié)制機制的非法行動,包含非法用戶走訪網(wǎng)站并進行非法操作,或者者合法用戶進行確權操作等。

一.五內部襲擊

網(wǎng)站襲擊是電子政務網(wǎng)絡存在的最大安全隱患,包含外來黑客襲擊以及內部系統(tǒng)的襲擊,其中來自系統(tǒng)內部的襲擊所占比例較大,主要是內部員工對于網(wǎng)絡系統(tǒng)、操作系統(tǒng)發(fā)起的襲擊。

一.六數(shù)據(jù)交流安全沒法保證

電子政務網(wǎng)絡的外網(wǎng)是與Internet互相聯(lián)的,所之外網(wǎng)子在進行數(shù)據(jù)交流的進程中存在的安全隱患對于內網(wǎng)也會造成極大要挾,例如計算機病毒、垃圾郵件等。

二電子政務網(wǎng)絡的安全防范措施

二.一加強基礎安全服務設施建設

完美的安全服務設施可以為電子政務網(wǎng)絡系統(tǒng)提供1個優(yōu)良的網(wǎng)絡環(huán)境,是實現(xiàn)網(wǎng)絡安全和保證帶著你政務網(wǎng)絡高效、安全運行的基本前提。電子政務網(wǎng)絡基礎安全設施建設需要做到下列幾點:

二.一.一完美網(wǎng)站走訪身份驗證機制

網(wǎng)站能否知足用戶的走訪需求需要經(jīng)由系統(tǒng)安全措施對于用戶的身份進行驗收,只有身份驗證通過才能進行走訪,如果用戶身份沒有患上到驗證,則此時的系統(tǒng)防火墻變化施展作用,辨認假的用戶信息其實不予服務,所以用戶身份驗證是電子政務基礎安全策略的1個癥結問題。

二.一.二加強網(wǎng)絡裝備管理

網(wǎng)絡裝備的有效管理對于網(wǎng)絡安全有側重要影響,而樹立1個比較容易管理的、可操作性強的網(wǎng)絡首先要加強網(wǎng)絡裝備管理,有必要時賦與部份網(wǎng)絡裝備1些可托的辨認碼,以便對于網(wǎng)絡裝備的走訪權限以及走訪位置進行管控。

二.一.三保證數(shù)據(jù)的安全性

數(shù)據(jù)安全是電子政務網(wǎng)絡安全的核心問題,所以要保證信息數(shù)據(jù)的保密性、完全性,以便用戶可以從系統(tǒng)上獲取可托度高的、未被修改的信息數(shù)據(jù)。

二.二充沛應用安全技術保證平臺安全

電子政務網(wǎng)絡安全的防范措施除了了加強基礎安全服務設施建設外還需要充沛應用當前的安全技術以及安全產品以進1步保證網(wǎng)絡系統(tǒng)的安全性,例如網(wǎng)絡襲擊檢測技術、漏洞檢測技術、通信加密技術、走訪節(jié)制技術等等,各種網(wǎng)絡安全技術以及產品的利用可以有效防御網(wǎng)絡襲擊、節(jié)制用戶權限、預防信息泄漏或者者被損壞,可以為電子政務網(wǎng)絡創(chuàng)立1個安全的運行環(huán)境。

二.二.一數(shù)據(jù)交流安全性

電子政務網(wǎng)絡系統(tǒng)的日常工作中需要進行網(wǎng)絡數(shù)據(jù)交流,不管是外網(wǎng)數(shù)據(jù)交流、專網(wǎng)數(shù)據(jù)交流仍是內網(wǎng)數(shù)據(jù)交流都無比頻繁,而數(shù)據(jù)傳輸與交流也是存在極大安全隱患的環(huán)節(jié),所以需要采取有效技術措施來保證網(wǎng)絡數(shù)據(jù)交流的安全性,例如采取物理隔離網(wǎng)閘實現(xiàn)不同安全級別網(wǎng)絡之間的安全隔離,以保證網(wǎng)絡數(shù)據(jù)的安全交流。

二.二.二網(wǎng)絡域走訪節(jié)制

電子政務網(wǎng)絡系統(tǒng)不但要對于系統(tǒng)內部裝備進行走訪權限節(jié)制,同時也要對于遠程接入裝備進行限制,如斯才能最大程度確保網(wǎng)絡的安全性。例如采取防火墻技術、VLAN技術對于網(wǎng)絡規(guī)模進行顧慮,進而實現(xiàn)對于網(wǎng)絡域走訪的節(jié)制。

二.二.三通信加密

電子政務網(wǎng)絡系統(tǒng)中包含大量保密性數(shù)據(jù),為了保證數(shù)據(jù)的安全性,在加強網(wǎng)絡環(huán)境安全防范的同時還需要對于首要數(shù)據(jù)進行加密,例如應用IPSEC、API等技術來實現(xiàn)首要數(shù)據(jù)的安全通信。

二.二.四防御網(wǎng)絡病毒

網(wǎng)絡病毒是致使網(wǎng)絡安全風險的首要因素,因而電子政務系統(tǒng)的安全防范更需要作用病毒防御工作,采取防病毒軟件對于整個網(wǎng)絡環(huán)境進行全方位監(jiān)控,所采取的防病毒軟件要與網(wǎng)絡環(huán)境設計相兼容,并具備自動進級能力,以靈便應答病毒的變異。

篇2

關鍵詞： 電子政務； 安全風險評估； OCTAVE； 自適應法

中圖分類號：TP393.08 文獻標志碼：A 文章編號：1006-8228（2016）11-38-03

Analysis of information security risk assessment in E-government

Liu Feifei

（Department of Information， Business College of Shanxi University， Taiyuan， Shanxi 030031， China）

Abstract： In view of the security risk assessment in E-government system， the current situation of E-government system and the related concepts of information security risk assessment are introduced； The characteristics of risk assessment methods are analyzed， including OCTAVE method， SSE-CMM method and adaptive method being commonly used in E-government system； And the problems that need to be solved are discussed in order to provide reference for the security risk assessment of E-government.

Key words： E-government； security risk assessment； OCTAVE； adaptive method

0 引言

隨著計算機與網(wǎng)絡技術的飛速發(fā)展，我國各行各業(yè)信息化程度提高，電子政務也不例外。電子政務系統(tǒng)能夠及時、動態(tài)地對信息進行更新，有利于政府信息的公開與共享；同時，建立一個良好的業(yè)務服務平臺和信息互動平臺，可以確保信息和服務的實效性，提高政府服務的效率和質量。電子政務系統(tǒng)涉及政府敏感或秘密信息，系統(tǒng)的穩(wěn)定性與安全性成為政府工作的必要保障。電子政務系統(tǒng)安全是一項系統(tǒng)工程，傳統(tǒng)的信息安全技術及設備不能帶來真正的安全，因此，對系統(tǒng)進行各階段的信息安全風險評估和管理是十分必要的。

1 電子政務系統(tǒng)現(xiàn)狀

1.1 網(wǎng)絡基本結構

電子政務是一個面向政府職能部門、企業(yè)以及民眾的復雜的多層次的服務系統(tǒng)，其結構如圖1所示[1]。內網(wǎng)是政府內部日常辦公網(wǎng)絡，實現(xiàn)內部信息的交流與處理，如文件傳送、郵件收發(fā)等；專網(wǎng)主要用于實現(xiàn)政府內轄的職能部門之間的信息的互通，用以協(xié)作完成相關的項目申請、審批等主管業(yè)務；外網(wǎng)也指公眾信息網(wǎng)是面向社會民眾提供信息和服務的綜合性網(wǎng)站，可以幫助公眾了解最新的政策動態(tài)，提供網(wǎng)絡服務等；信息庫，為三網(wǎng)服務提供數(shù)據(jù)和所需的資源。

1.2 系統(tǒng)安全風險

電子政務系統(tǒng)網(wǎng)絡結構復雜，業(yè)務繁多，數(shù)據(jù)機密性高，同時具有很大的開放性，所以勢必面臨各型各色的安全風險。主要體現(xiàn)在以下幾個方面。

⑴ 物理安全風險

由環(huán)境（如水災、火災、濕度等）或系統(tǒng)自身物理特性（如設備線路老化、電磁泄漏干擾等）引起的系統(tǒng)不可用的風險。物理安全是系統(tǒng)安全的前提和保障，應做好相關的隔離與保護工作。

⑵ 網(wǎng)絡安全風險

網(wǎng)絡結構規(guī)劃或安全部署不合理會帶來來自內部和外部的安全缺陷；路由器、三層交換機、網(wǎng)關等網(wǎng)絡設備自身配置及安全存在漏洞，會影響系統(tǒng)的安全性；另外，網(wǎng)絡中使用的互連、路由協(xié)議的不健全，也會給網(wǎng)絡帶來安全威脅。

⑶ 管理安全風險

管理是防范網(wǎng)絡內部攻擊的主要手段，是電子政務網(wǎng)絡安全的不可或缺的一部分。目前，管理和監(jiān)管機制還不健全，不規(guī)范，缺乏可操作性，都會引起不可避免的安全風險。

2 信息安全風險評估概述

依據(jù)國際或國內的標準，使用相關的方法技術，標識系統(tǒng)中的核心資產及業(yè)務，識別存在的安全威脅及脆弱性，估算安全事件發(fā)生的可能性及帶來的損失，同時，制定安全防護加固策略，這就是信息安全風險評估。其中風險分析計算是關鍵，計算原理如圖2所示[2]。

常見的風險分析的方法有定量分析和定性分析。定量分析利用財務評估等手段來測算核心資產的實際價值，使用可量化的數(shù)值來估算系統(tǒng)的損失及風險等級，評估結果直觀有效，但是資產價值的核算和風險計算復雜；常用的定量分析有決策樹、聚類分析等[3]。定性分析通常依據(jù)評估者的知識經(jīng)驗，采用文字或假定的數(shù)值范圍來評定風險等級，主觀性強，結論不夠嚴密；典型的分析方法有：德爾菲法、歷史比較法等。通常會在定性分析的基礎上，結合使用定量分析來實施風險的分析評估，如層次分析、概率分析等。

3 電子政務系統(tǒng)風險評估方法

目前，電子政務系統(tǒng)風險評估的方法主要有：OCTAVE方法、SSE-CMM方法及基于免疫的自適應法。

3.1 OCTAVE評估方法

OCTAVE（Operationally Critical Asset and Vulnerability Evaluation）可操作的關鍵資產、威脅評估法，它遵循自主的原則，從被評估組織中選調業(yè)務及信息技術人員組建團隊，以定性分析為主，提供一個可操作的、規(guī)范的技術框架[4]。它圍繞關鍵資產進行評估，評估人員要充分認識關鍵資產、資產所受威脅及系統(tǒng)存在脆弱性之間的關系。OCTAVE方法實施過程如圖3所示。首先，組建評估團隊，標識關鍵資產及存在威脅；其次，標識與關鍵資產相關的子系統(tǒng)及組件存在的脆弱性；最后，進行風險分析計算，確定風險等級，制定防護策略計劃。

OCTAVE法從組織內部調配人員參與評估，會使得評估的內容更加全面，更具有可操作性，不同的組織根據(jù)自身的需求，可以通過多種不同的形式來實踐執(zhí)行。但是它依賴人為因素，只能粗略評估系統(tǒng)可能遭受的風險。

3.2 SSE-CMM評估方法

SSE-CMM（Systems Security Engineering Capability Maturity Model）系統(tǒng)工程能力成熟度模型，在安全工程中，針對不同的安全目標，定義了相應的模塊化過程，并能夠對組織執(zhí)行特定過程的能力做出量化的評定，從而幫助尋找實現(xiàn)最終目標的最優(yōu)途徑。它將信息系統(tǒng)的安全過程分為3個模塊化過程，通過11個過程域PA（Process Area）和5個能力成熟度級別來描述：風險評估過程，分析安全系統(tǒng)中存在的威脅；工程實施過程，利用相關措施解決/處理威脅可能帶來的問題；信任度評估過程，評估執(zhí)行者解決問題的能力。為了實現(xiàn)風險評估過程目標，SSE-CMM法定義了威脅評估、脆弱性評估、事件影響評估及系統(tǒng)風險評估等四個子過程。

SSE-CMM法指出了系統(tǒng)安全評估過程中的關鍵過程及必需的基本實施，同時能夠量化評定每個過程的可行性，削弱了評估中的主觀性；但是其沒有規(guī)定過程的執(zhí)行流程和步驟，可操作性差。

3.3 自適應評估方法

自適應評估法的關鍵在于系統(tǒng)的安全“免疫”子系統(tǒng)（也就是系統(tǒng)中的實時安全監(jiān)控系統(tǒng)），它要求“免疫”系統(tǒng)能夠區(qū)分無害的自體和有害的非自體，并能夠根據(jù)需要及時地清理系統(tǒng)中的非自體；同時可以根據(jù)“免疫”系統(tǒng)受到的破壞實時動態(tài)地進行風險評估，實施防護。它要在“免疫”系統(tǒng)中定義“免疫”細胞，當出現(xiàn)黑客攻擊、病毒等外來威脅時，“免疫”系統(tǒng)就會根據(jù)受侵害的程度發(fā)生動態(tài)變化，做出具體的響應，如禁止服務、關閉端口、關機等。另外，如果系統(tǒng)中的任意一臺主機被攻擊，都會迅速通知其他主機，使整個系統(tǒng)的安全得到最大的保障。

自適應風險評估法可以快速地識別系統(tǒng)中現(xiàn)有的風險，實施實時防護，并動態(tài)調整防護系統(tǒng)，更好地提高系統(tǒng)的安全性，是未來的發(fā)展趨勢。但是它的實施難度較大，系統(tǒng)成本較高。

電子政務系統(tǒng)風險評估是一項復雜的大工程，一般采用可操作性較強的OCTAVE方法，但是OCTAVE方法是定性分析的，主觀性較強，評估結果較為粗略。所以，在實際的評估過程中經(jīng)常將層次分析、模糊數(shù)學、熵理論、D-S證據(jù)理論及BP神經(jīng)網(wǎng)絡等應用到OCTAVE方法中，來降低對于人為主觀性的依賴，優(yōu)化評估的結果[5]。

4 結束語

伴隨各種移動電子政務業(yè)務的出現(xiàn)，使得電子政務系統(tǒng)的安全形勢更加嚴峻，針對電子政務系統(tǒng)開展信息安全風險評估，我們可以發(fā)現(xiàn)，系統(tǒng)在建設、實施和運行過程中存在的威脅、脆弱性及風險，而部署防護及加固安全策略，可以為電子政務提供安全可靠的網(wǎng)絡環(huán)境。

目前，電子政務系統(tǒng)信息安全風險評估還需要在以下方面加強研究：適應電子政務行業(yè)需求的風險評估方法及模型的研究；適用于風險評估不同階段的自動化評估工具的開發(fā)；動態(tài)風險評估方法的設計與應用。

參考文獻（References）：

[1] 李煜川.電子政務系統(tǒng)信息安全風險評估研究―以數(shù)字檔案

館為例[D].蘇州大學碩士學位論文，2011.

[2] 唐作其，陳選文，戴海濤，郭峰.多屬性群決策理論信息安全風

險評估方法研究[J].計算機工程與應用，2011.47（15）：104-107

[3] 李增鵬，馬春光，李迎濤.基于層次分析信息系統(tǒng)風險評

估[J].理論研究，2014.3：80-86

[4] 趙磊.電子政務網(wǎng)絡風險評估與安全控制[D].上海交通大學

碩士學位論文，2011.

篇3

【關鍵詞】電子政務系統(tǒng)；安全體系結構；分域防護

信息技術的普及與應用推動著當前電子政務蓬勃發(fā)展，雖然電子政務有諸多便利，但也承受著巨大的安全威脅，解決威脅其發(fā)展的安全風險，對于電子政務更好的發(fā)揮服務優(yōu)勢有積極意義。下面我們在分析電子政務安全風險的基礎上，探討基于分域防護思想安全體系結構的設計與建立。

一.電子政務安全風險分析

電子政務是傳統(tǒng)政務模式的延伸與轉化，事關國家政務信息安全，政務系統(tǒng)運行中容易受到來自外界的各類風險因素的安全威脅，造成有意或無意的破壞，因此必須加強安全體系建設，保障信息安全與應用安全。電子政務的安全風險主要包括通信風險、物理風險、應用風險、管理風險、區(qū)域邊界風險及其他風險等。通信風險來自于各類重要數(shù)據(jù)的泄露與丟失，來自通信傳輸線路上的監(jiān)聽與阻攔，數(shù)據(jù)本身完整性、安全性受到攻擊威脅。物理風險是電子政務系統(tǒng)遭受來自自然災害如風雨雷電地震等破壞，硬件設備受損造成數(shù)據(jù)都是活著損壞，靜電、強磁場與電磁鐳射等損壞存儲介質，數(shù)據(jù)被偷竊或監(jiān)聽。應用風險是不斷動態(tài)變化的，其所遭受的風險如程序后門、病毒威脅與惡意代碼攻擊等都是動態(tài)變化著的。電子政務系統(tǒng)作為一個復雜的集成系統(tǒng)，除去需要安全技術手段予以保駕護航之外，有效得當?shù)墓芾聿拍苁掳牍Ρ叮芾聿划敯诹睢⒚荑€管理不當，管理制度不完善造成信息無序運行，安全崗位設置及管理不到位，管理環(huán)節(jié)缺失或遺漏，政務審計系統(tǒng)與制度不到位等，以上這些管理不當都會造成安全風險[1]。區(qū)域邊界風險是電子政務系統(tǒng)中不同安全等級區(qū)域之間的最易發(fā)生危險的區(qū)域邊界處，區(qū)域邊界不明確會導致高等級數(shù)據(jù)信息泄露，流向低等級造成泄露，或者邊界防護漏洞導致用戶非法訪問或竊取高等級區(qū)域信息，損壞數(shù)據(jù)完整性、真實性與可用性。其他安全風險諸如安全意識淡漠、系統(tǒng)運行風險、信息安全戰(zhàn)略認識不足等，都會導致電子政務系統(tǒng)運行威脅。

二、基于分域防護思想的電子政務系統(tǒng)安全體系結構設計

圖1電子政務安全體系結構

電子政務系統(tǒng)作為服務于政府公務的重要支持系統(tǒng)，安全防護體系建設必須兼顧到系統(tǒng)本身的應用性、開放性等需求，遵循適度安全原則，解除其面臨安全威脅，將政務系統(tǒng)劃分為不同安全域，并針對各個安全域特點實施針對性安全舉措。分域防護的應用有利于明確安全責任，消除政務互聯(lián)網(wǎng)開放顧慮與障礙，便于科學組織與安全建設。基于分域防護思想，電子政務系統(tǒng)可根據(jù)系統(tǒng)本身特點、安全需求、環(huán)境重要性進行劃分，系統(tǒng)方面可分為政務內網(wǎng)、外網(wǎng)與互聯(lián)網(wǎng)，安全需求可分為通信傳輸安全、邊界安全與環(huán)境安全，環(huán)境重要性可劃分為核心域、重要域與一般域[2]。不同安全區(qū)域內，根據(jù)防護要求利用身份認證、訪問控制、病毒防護、安全審計等諸多措施保障信息安全，配合軟硬件基礎設施與管理平臺共同打造高效運行的安全體系。電子政務安全體系結構見圖1。

分域防護思想指導下根據(jù)政務系統(tǒng)職能特點可劃分為政務內網(wǎng)、外網(wǎng)與互聯(lián)網(wǎng)絡三類。政務內網(wǎng)是政府用于辦公的內部局域網(wǎng)，主要處理一些保密等級較高的數(shù)據(jù)業(yè)務和網(wǎng)上辦公事項，與外網(wǎng)鏈接，主要由信息處理、存儲、傳輸設備構成，是政務核心處理區(qū)域和主要運行平臺，與外網(wǎng)間實施物理隔離。外網(wǎng)主要服務政府各類政務部門，如法院、檢察院、政府、政協(xié)、黨委等，是業(yè)務專網(wǎng)，運行主要面對社會公眾，處理一些無需內網(wǎng)處理的低保密等級公物，與互聯(lián)網(wǎng)之間實施邏輯隔離。互聯(lián)網(wǎng)作為公共性質的開放網(wǎng)站，向公眾提供各類服務，比如政務信息、收集群眾意見反饋及接受公眾監(jiān)督等。

分域防護安全結構中，根據(jù)環(huán)境重要性分為核心域、重要域與一般域。核心域是安全等級最高的政務系統(tǒng)核心區(qū)域，需要提供最嚴密的安全防護措施以保護機密等級最高的數(shù)據(jù)，做好其存儲與安全管理。重要域是次安全等級區(qū)域，是國家政府部門各類政務信息交雜處理區(qū)域，需實施嚴密防護。一般域是安全等級較低的防護區(qū)域，公開性顯著，提供各類公開政務信息與數(shù)據(jù)服務，防護關鍵在于保障數(shù)據(jù)的公開性、真實性、完整性與可用性。

分域防護安全結構中，安全方面主要以邊界安全、通信傳輸安全和環(huán)境安全為主。通信傳輸安全關系到政府內網(wǎng)、外網(wǎng)與互聯(lián)網(wǎng)之間的信息傳輸與溝通，安全防護既要保障數(shù)據(jù)的傳輸通常，又要避免來自外界的惡意攻擊，保證傳輸數(shù)據(jù)的完整性、真實性與可用性[3]。網(wǎng)絡環(huán)境安全則是系統(tǒng)自身計算環(huán)境安全域數(shù)據(jù)安全，即處理各個層次數(shù)據(jù)時有不被泄露、攻擊和篡改的風險。邊界防護安全則是不同等級安全域之間數(shù)據(jù)信息交換時不會出現(xiàn)由高向低或者由低向高的安全閥縣漏洞，不會出現(xiàn)數(shù)據(jù)的泄露、流失與非法訪問。

信息安全管理平臺是安全體系結構中技術得以發(fā)揮作用的基礎，關系到整個信息平臺能否順利運轉，是防護關鍵，管理平臺上要配備合適人員，加快標準化制度建設，提供規(guī)范制約、法律支持等，配合各類信息安全基礎設施在政務系統(tǒng)保護中發(fā)揮作用。

綜上所述，電子政務系統(tǒng)的發(fā)展和應用中承受著來自內外的眾多安全威脅，利用分域防護思想可有效劃分不同安全域，針對各個安全域特點實施針對性安全舉措，解除其面臨的安全威脅，有利于明確安全責任，消除政務互聯(lián)網(wǎng)開放顧慮與障礙，便于科學組織與安全建設。

參考文獻：

[1]呂欣.信息通信新技術環(huán)境下電子政務安全保障[J].信息網(wǎng)絡安全.2010（02）.

篇4

關鍵詞 電子政務 信息安全 風險評估

中圖分類號：C931 文獻標識碼：A

1 課題的研究背景與意義

風險管理是信息系統(tǒng)安全運行的必要保證，是運行維護體系中最重要的環(huán)節(jié)，而風險評估則是風險管理的基礎。首先，風險評估是電子政務系統(tǒng)的安全需求。信息安全風險評估是電子政務系統(tǒng)安全保障體系建立過程中的重要評價和決策依據(jù)。信息系統(tǒng)安全是相對的，沒有絕對的安全系統(tǒng)。因此，為了實現(xiàn)電子政務系統(tǒng)的安全、穩(wěn)定運行這一目標，就必須采取一系列的安全制度和技術保障方法，對電子政務系統(tǒng)風險進行事先防患、事中控制、事后監(jiān)督及糾正，以化解因電子政務系統(tǒng)的脆弱性所造成的風險。其次，電子政務系統(tǒng)的脆弱性需要風險評估。電子政務系統(tǒng)軟硬件本身存在著很大的脆弱性，一方面表現(xiàn)在設備的自然損耗、制造缺陷和不可預測的自然環(huán)境因素，如火災、水災、地震、戰(zhàn)爭等不可抗拒的自然災難；另一方面表現(xiàn)在由于技術發(fā)展的局限和人類的能力限制，在設計龐大的操作系統(tǒng)、復雜的應用程序之初人們不能認識所有的問題，失誤和考慮不周在所難免。再次，安全技術保障手段的欠缺需要風險評估。當前我國電子政務系統(tǒng)信息安全建設，在整體安全系統(tǒng)、內部網(wǎng)絡安全監(jiān)控與防范、智能與主動性安全防范體系、全面集中安全管理策略平臺定制等方面，都有很多不足之處，迫切需要進行信息系統(tǒng)風險評估來發(fā)現(xiàn)弱點彌補不足。

2 電子政務系統(tǒng)風險評估要素的提取原則和方法

電子政務系統(tǒng)安全的風險評估是一個復雜的過程，它涉及系統(tǒng)中物理環(huán)境、管理體系、主機安全、網(wǎng)絡安全和應急體系等方面。要在這么廣泛的范圍內對一個復雜的系統(tǒng)進行全面的風險評估，就需要對系統(tǒng)有一個非常全面的了解，對系統(tǒng)構架和運行模式有一個清醒的認識。可見，要做到這一點就需要進行廣泛的調研和實踐調查，深入系統(tǒng)內部，運用多種科學手段來獲得信息。

2.1評估要素的提取原則

評估要素提取是指通過各種方式獲取風險評估所需要的信息。評估要素提取是保證風險評估得以正常運行的基礎和前提。評估要素提取成功與否，直接關系到整個風險評估工作和安全信息管理工作的質量。為了保證所獲取信息的質量，應堅持以下原則：

一是準確性原則。該原則要求所收集到的信息要真實、可靠，這是信息收集工作的最基本要求；二是全面性原則。該原則要求所搜集到的信息要廣泛、全面完整；三是時效性原則。信息的利用價值取決于該信息是否能及時地提供，即具備時性。

2.2 評估要素提取的方法

信息系統(tǒng)風險評估中涉及到的多種因素包括資產、威脅、漏洞和安全措施。信息系統(tǒng)的資產包括數(shù)據(jù)資產、軟件、人員、硬件和服務資產等。資產的價值由固有價值、它所受傷害的近期影響和長期結果所組成。目前使用的風險評估方法大多需要對多種形式資產進行綜合評估，所獲取的信息范圍應包含全部的上述內容，只有這樣，其結果才是有效全面的。同時，評估時還要考慮：考慮業(yè)務中的關鍵部分，將其重點考慮起來。第二，哪些關于資產的重要決定取決于信息的準確度、完整性或可用性，以及要對那些資產信息加以重點保護。第三必須要考慮安全時間會對業(yè)務或者組織的資產產生哪些影響，如信息資產的購買價值，信息資產的損毀對政府形象的負面影響程度，信息資產的損毀程度對政府長期規(guī)劃和遠景發(fā)展的影響等等。

2.3 電子政務系統(tǒng)安全風險評估的流程及實施

2.3.1電子政務系統(tǒng)安全的評估流程

電子政務系統(tǒng)安全的風險評估是組織機構確定信息安全需求的過程，包括環(huán)境特性評估、資產識別與評價、威脅和弱點評估、控制措施評估、風險認定等在內的一系列活動。

2.3.2 電子政務系統(tǒng)安全風險評估的實施

電子政務系統(tǒng)安全的風險評估是一項復雜的工程，除了應遵循一定的流程外，選擇合理的方法也很重要。為了使風險評估全面、準確、真實地反映系統(tǒng)的安全狀態(tài)，在實施風險評估過程中需要采用多種方法。評估流程實施過程如信息網(wǎng)絡安全技術測評是電子政務系統(tǒng)安全測評的重要手段，許多安全控制項都必須借助于技術手段來實現(xiàn)，但是單獨依靠技術測評還不能全面系統(tǒng)的分析電子政務系統(tǒng)的安全。實踐經(jīng)驗證明，僅有安全技術防范，而無嚴格的安全管理體系是難以保障系統(tǒng)的安全的。因此在測評中我們必須對被測評方制訂的一系列安全管理制度進行測評。信息安全管理的測評可以單獨進行也可以穿插到技術測評當中。隨著信息技術的發(fā)展，信息安全測評工程師面臨越來越多的挑戰(zhàn)，為提高測評能力和效率，應充分的發(fā)揮主觀能動性，利用各種現(xiàn)有的各種安全測試工具，開發(fā)安全測試工具、報告生成工具等。信息安全測評機構以及電子政務系統(tǒng)的運行、維護方必須共同努力，為我國的信息化發(fā)展保駕護航。

第一，參與系統(tǒng)實踐。系統(tǒng)實踐是獲得信息系統(tǒng)真實可靠信息的最重要手段。系統(tǒng)實踐是指深入信息系統(tǒng)內部，親自參與系統(tǒng)的運行，并運用觀察、操作等方法直接從信息系統(tǒng)中了解情況，收集資料和數(shù)據(jù)的活動。第二，問卷調查。問卷調查表是通過問題表的形式，事先將需要了解的問題列舉出來，通過讓信息系統(tǒng)相關人員回答相關問題而獲取信息的一種有效方式。現(xiàn)在的信息獲取經(jīng)常利用這種方式，它具有實施方便，操作方便，所需費用少，分析簡潔、明快等特點，所以得到了廣泛的應用。但是它的靈活性較少，得到的信息有時不太清楚，具有一定的模糊性，信息深度不夠等；還需要其他的方式來配合和補充。第三，輔助工具的使用，在信息系統(tǒng)中，網(wǎng)絡安全狀況、主機安全狀況等難以用眼睛觀察出來，需要借助優(yōu)秀的網(wǎng)絡和系統(tǒng)檢測工具來監(jiān)測。輔助工具能夠發(fā)現(xiàn)系統(tǒng)的某些內在的弱點，以及在配置上可能存在的威脅系統(tǒng)安全的錯誤，這些因素很可能就是破壞目標主機安全性的關鍵性因素。輔助工具能幫助發(fā)現(xiàn)系統(tǒng)中的安全隱患，但并不能完全代替人做所有的工作，而且掃描的結果往往是不全面的。

參考文獻

[1] 閆強，陳鐘，段云所，等.信息安全評估標準、技術及其進展[J].計算機工程，2003

篇5

隨著現(xiàn)代化科學技術在電子政務系統(tǒng)中的應用，電子政務得到了一定的完善，可是依然存在相應的問題需要解決。所以本文主要針對電子政務里面信息安全保密管理相關問題，從電子政務安全保密管理的需求、面臨的威脅以及特性等進行系統(tǒng)地剖析，同時借鑒國外的一些安全保密管理具體理論經(jīng)驗，從信息安全的角度，找出可以解決電子政務安全保密管理問題的一些有效途徑。 

2 電子政務發(fā)展現(xiàn)狀以及概念 

2.1 電子政務信息安全保密管理階段 

目前，可以將我國電子政務中的信息安全保密管理分成三個階段：（1）實現(xiàn)全自動化辦公，應用的工具主要是Office軟件以及臺式計算機，把原來的手寫形式變成了電子輸入，使辦公操作能夠更加快捷和方便；（2）把Internet當做主要客戶端，不同用戶、不同行業(yè)以及不同終端等都可以貫通交互，使信息交換以及資源共用范圍可以更加廣泛，顯著提升了以前的工作效率；（3）以外部網(wǎng)絡以及內部網(wǎng)絡共同建立的電子政務信息為中心。 

2.2 電子政務具體概念和相應的保密要求 

所謂電子政務就是指國家政府機構通過現(xiàn)代信息技術以及通信功能進行政務信息交流的手段，利用網(wǎng)絡技術使管理工作以及服務在這一領域更加深化，從而產生的一種信息交流方式，就是為了優(yōu)化重組政府內部具體工作流程以及組織結構，使其不再受到時間以及部門和空間的分隔限制，讓政府能夠有效地和更加誠信地進行行政管理，使管理環(huán)節(jié)更加精簡，為社會提供更加優(yōu)質、透明、規(guī)范、全面的管理以及服務。我國《保密法》是在2010 年重新修訂并且正式實施的，其中就進行了規(guī)定，以保證國家秘密安全為工作前提，合理應用相應的電子網(wǎng)絡信息。和發(fā)達國家相比，我國信息產業(yè)發(fā)展以及信息技術水平還比較落后，雖然有些安全軟件可以對電子政務起到一定的防御作用，同時，也必須考慮安全軟件所具有的性能是否與電子政務的國情相符。 

3 電子政務信息具體安全保密風險和相應的防范措施 

3.1 網(wǎng)絡技術安全所具有的脆弱性 

如果基礎設施沒有達到國家標準，那么網(wǎng)絡就不能夠正常運行，所以對電子政務中的基礎設施進行完善是非常關鍵的。網(wǎng)絡平臺里面的數(shù)據(jù)傳輸具有非常大的風險，所以應該進行加密管理，比如，如果不可以有效阻攔黑客竊聽，就會導致內部信息泄露。正常運行中，如果沒有安全軟件進行防護，就一定會被入侵，而終端數(shù)據(jù)庫以及網(wǎng)絡邊界業(yè)也均會面臨非常大的風險，所以應該通過安全保密措施來對這些風險進行防范。