【摘要】電子政務系統(tǒng)實現(xiàn)了政府組織結(jié)構(gòu)和工作流程的優(yōu)化，提高政府在行政、經(jīng)濟和服務方面的效率，但同時也面臨著來自自然環(huán)境、物理環(huán)境和社會環(huán)境等方面的安全風險。電子政務系統(tǒng)一旦出現(xiàn)問題，就會對政府部門和社會公眾產(chǎn)生危害，嚴重的還將對國家安全產(chǎn)生威脅，因此保障電子政務系統(tǒng)安全具有重大意義。

　　【關鍵詞】論文發(fā)表最好的網(wǎng)站,電子政務,信息安全,風險評估

　　一、課題的背景與意義

　　隨著計算機技術(shù)、通信技術(shù)以及互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，社會信息化進程逐步加快。為滿足新的全球范圍內(nèi)的數(shù)字化生存與競爭環(huán)境下，行政管理現(xiàn)代化的發(fā)展要求，各國都將電子政務列入了政治工作日程。從上世紀90年代開始，電子政務建設作為今后一個時期我國信息化工作的重點，政府先行，帶動國民經(jīng)濟和社會發(fā)展信息化。電子政務系統(tǒng)作為政府信息化工作的主要平臺，其安全性、一致性、穩(wěn)定性等方面，比一般信息系統(tǒng)有著更高的要求。而電子政務系統(tǒng)上所承載的信息的特殊性，在網(wǎng)絡開放的條件下，勢必要解決好信息共享與保密性、完整性的關系，開放性與保護隱私的關系，互聯(lián)性與局部隔離的關系，才能實現(xiàn)電子政務的安全性。

　　2002年，“法輪功”破壞廣播電視網(wǎng)、首都國際機場離港電腦系統(tǒng)故障等重大安全事故連連發(fā)生后，社會各界對信息安全的認識發(fā)生了深刻地變化，政府更是啟動了國家信息安全戰(zhàn)略，加強了對互聯(lián)網(wǎng)內(nèi)容安全、網(wǎng)絡監(jiān)控、網(wǎng)吧、廣播電視網(wǎng)的專項治理，信息安全的技術(shù)和產(chǎn)品研究得到迅速發(fā)展，在政府投入的拉動下，信息安全產(chǎn)業(yè)增長速度大幅度提高，各級政府部門都將信息安全工作作為推行電子政務的重中之重，普遍把信息安全保障系統(tǒng)納入其電子政務建設的總體規(guī)劃中。近幾年，我國從政策、安全管理、標準化建設、法律法規(guī)上對信息安全工作加大了支持力度。

　　在安全技術(shù)方面，我國經(jīng)歷了從借鑒國外技術(shù)到發(fā)展自主知識產(chǎn)權(quán)技術(shù)的發(fā)展過程，技術(shù)水平不斷提高，各大安全廠商在提供種類安全產(chǎn)品種類的同時，也為其客戶全面的信息安全技術(shù)解決方案。近幾年，我國的政務信息化的程度越來越高，經(jīng)歷了由過去的以文字處理工具為典型的個人辦公階段，到實現(xiàn)了部門繳的數(shù)據(jù)處理、公文處理等自動化，以 C/S體系結(jié)構(gòu)應用為特征的階段，再到如今普遍使用基于Intemet/Extranet/Intranet技術(shù)標準，以B/S體系結(jié)構(gòu)平臺應用階段。其功能從單一的提高個人工作效率到部門內(nèi)部的協(xié)作，發(fā)展到部門之間、系統(tǒng)內(nèi)部，乃至跨系統(tǒng)、跨行業(yè)服務于社會的方方面面。作為國家的關鍵基礎設施，電子政務系統(tǒng)已成為關系國計民生的重要信息系統(tǒng)。其安全已經(jīng)嚴重關系國家安全和社會穩(wěn)定，關系廣大人民群眾切身利益。

　　由于電子政務系統(tǒng)所承載的信息資源，除了公開發(fā)布的政務信息還涉及大量國家機密，隨著我國電子政務系統(tǒng)網(wǎng)絡化和開放程度的進一步加深，一方面面臨著嚴重的外部威脅，隨著我國經(jīng)濟的持續(xù)發(fā)展和國際地位的不斷提高，我國的基礎信息網(wǎng)絡和重要信息系統(tǒng)正成為敵對勢力、敵對分子進行攻擊、破壞和恐怖活動的重點目標。因此，建立起對電子政務系統(tǒng)的風險評估方法有著重大意義。

　　二、電子政務系統(tǒng)風險評估的關系模型及分析方法

　　電子政務系統(tǒng)風險評估是依據(jù)國家有關的政策法規(guī)及信息技術(shù)標準，對系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學、公正的綜合評估的活動過程。風險評估要求對信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實際負面影響進行評估，并根據(jù)安全事件發(fā)生的可能性和負面影響的程度來識別信息系統(tǒng)的安全風險。

　　(一)電子政務系統(tǒng)風險評估的關系模型

　　風險評估的出發(fā)點是對與風險有關的各因素的確認和分析，各因素之間的關系可以用圖1所示的模型來表示。圖1中的箭頭及標示信息對信息安全風險相關的各類因素之間的關系做出了說明，這些因素之間的主要關系對風險評估的實施方法是很重要的，概述如下：

　　從圖中可以看出，威脅和薄弱點仍是導致系統(tǒng)安全風險增加的關鍵位置。資產(chǎn)擁有的價值越大，則它的安全風險也相對越大。風險控制的目的主要是減少安全風險。威脅因素產(chǎn)生和增加安全風險的過程是：利用系統(tǒng)中的薄弱點實施攻擊(或其他破壞)，從而對資產(chǎn)的價值造成不利影響，導致產(chǎn)生和增加安全風險;薄弱點對風險的增加只能通過威脅對其利用的過程來完成。

　　由此可以看出，威脅和薄弱點增加風險的方式是不同的。對于信息系統(tǒng)內(nèi)的資產(chǎn)來說，威脅是外部因素，而脆弱性則為系統(tǒng)自身所有，它們相當于矛盾的外因和內(nèi)因。風險評估的過程就是將這些因素間的關系體現(xiàn)出來，考慮當風險在可以接受的情況下，即使系統(tǒng)面臨威脅，也不需要采取安全措施;如果系統(tǒng)存在某些脆弱點，但還沒有被威脅所利用，這時需要安全措施能夠監(jiān)控威脅環(huán)境，以防止利用該脆弱點的威脅的發(fā)生;被采取的安全措施保護資產(chǎn)、減少威脅發(fā)生所造成的影響，將殘余風險降低到可接受的程度。研究表明，組織機構(gòu)的信息系統(tǒng)的安全程度應該要滿足組織機構(gòu)現(xiàn)在的應用需求;如果顯示組織機構(gòu)的信息系統(tǒng)存在不可接受的風險，那么就應該對該信息系統(tǒng)的安全措施進行改進，以達到第三種情況的要求。

　　(二)電子政務系統(tǒng)的常用風險分析方法及其比較

　　目前，由于我國信息系統(tǒng)風險的安全評估才剛剛起步，因此我國現(xiàn)在所做的評估工作主要以定性評估為主，而定量分析尚處于研究階段。在風險評估過程中，可以采用多種操作方法，包括基于知識的分析方法、基于模型的分析方法、定性分析和定量分析等等。無論采用何種方法，其共同的目標都是找出組織機構(gòu)的信息系統(tǒng)面臨的風險及其影響，以及目前該信息系統(tǒng)安全水平與組織機構(gòu)安全需求之間的差距。

　　1.定量分析方法。定量分析方法的思想是，對構(gòu)成風險的各個要素和潛在損失的水平賦以數(shù)值或貨幣的金額，當度量風險的所有要素(資產(chǎn)價值、威脅可能性、弱點利用程度、安全措施的效率和成本等)都被賦值，風險評估的整個過程和結(jié)果就可以量化。

　　從定量分析的過程中可以發(fā)現(xiàn)，最為關鍵的是對威脅事件發(fā)生的可能性和威脅事件可能引起的損失的量化。從理論上看，通過定量分析可以對安全風險進行準確的分級，能夠獲得很好的風險評估結(jié)果。但是，對安全風險進行準確分級的前提是保證可供參考的數(shù)據(jù)指標正確，而對于信息系統(tǒng)日益復雜多變的今天，這個前提是很難得到保證的。由于數(shù)據(jù)統(tǒng)計缺乏長期性，計算過程又極易出錯，定量分析的細化非常困難，所以目前風險評估分析很少完全只用定量的分析方法進行分析。

　　2.定性分析方法。定性分析方法是目前采用最為廣泛的一種方法，它需要憑借評估分析者的經(jīng)驗、知識和直覺，結(jié)合標準和慣例，為風險評估要素的大小或高低程度定性分級，帶有很強的主觀性。定性分析的操作方法可以多種多樣，包括小組討論(如Del Dhi方法)、檢查列表、問卷、人員訪談、調(diào)查等。定性分析操作起來相對容易，但可能會因為評估分析者在經(jīng)驗和直覺上的偏差而使分析結(jié)果失準。

　　三、結(jié)語

　　電子政務是一個要求高可靠性、高安全性運作的復雜的服務性系統(tǒng)工程。要從系統(tǒng)建設周期全過程角度考慮物理層、網(wǎng)絡層、系統(tǒng)層、應用層、管理層五個層次的弱點、威脅、風險、對策等安全問題。要合理使用多種信息安全策略，力爭在有限的投入下最大限度地降低安全風險。加強技術(shù)安全與安全教育，只有信息安全技術(shù)與安全教育有機結(jié)合，政府信息資源才能被充分而合理地共享，并發(fā)揮其應有的作用。