【摘要】電子政務(wù)系統(tǒng)實(shí)現(xiàn)了政府組織結(jié)構(gòu)和工作流程的優(yōu)化，提高政府在行政、經(jīng)濟(jì)和服務(wù)方面的效率，但同時(shí)也面臨著來自自然環(huán)境、物理環(huán)境和社會(huì)環(huán)境等方面的安全風(fēng)險(xiǎn)。電子政務(wù)系統(tǒng)一旦出現(xiàn)問題，就會(huì)對(duì)政府部門和社會(huì)公眾產(chǎn)生危害，嚴(yán)重的還將對(duì)國家安全產(chǎn)生威脅，因此保障電子政務(wù)系統(tǒng)安全具有重大意義。

　　【關(guān)鍵詞】論文發(fā)表最好的網(wǎng)站,電子政務(wù),信息安全,風(fēng)險(xiǎn)評(píng)估

　　一、課題的背景與意義

　　隨著計(jì)算機(jī)技術(shù)、通信技術(shù)以及互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，社會(huì)信息化進(jìn)程逐步加快。為滿足新的全球范圍內(nèi)的數(shù)字化生存與競(jìng)爭(zhēng)環(huán)境下，行政管理現(xiàn)代化的發(fā)展要求，各國都將電子政務(wù)列入了政治工作日程。從上世紀(jì)90年代開始，電子政務(wù)建設(shè)作為今后一個(gè)時(shí)期我國信息化工作的重點(diǎn)，政府先行，帶動(dòng)國民經(jīng)濟(jì)和社會(huì)發(fā)展信息化。電子政務(wù)系統(tǒng)作為政府信息化工作的主要平臺(tái)，其安全性、一致性、穩(wěn)定性等方面，比一般信息系統(tǒng)有著更高的要求。而電子政務(wù)系統(tǒng)上所承載的信息的特殊性，在網(wǎng)絡(luò)開放的條件下，勢(shì)必要解決好信息共享與保密性、完整性的關(guān)系，開放性與保護(hù)隱私的關(guān)系，互聯(lián)性與局部隔離的關(guān)系，才能實(shí)現(xiàn)電子政務(wù)的安全性。

　　2002年，“法輪功”破壞廣播電視網(wǎng)、首都國際機(jī)場(chǎng)離港電腦系統(tǒng)故障等重大安全事故連連發(fā)生后，社會(huì)各界對(duì)信息安全的認(rèn)識(shí)發(fā)生了深刻地變化，政府更是啟動(dòng)了國家信息安全戰(zhàn)略，加強(qiáng)了對(duì)互聯(lián)網(wǎng)內(nèi)容安全、網(wǎng)絡(luò)監(jiān)控、網(wǎng)吧、廣播電視網(wǎng)的專項(xiàng)治理，信息安全的技術(shù)和產(chǎn)品研究得到迅速發(fā)展，在政府投入的拉動(dòng)下，信息安全產(chǎn)業(yè)增長(zhǎng)速度大幅度提高，各級(jí)政府部門都將信息安全工作作為推行電子政務(wù)的重中之重，普遍把信息安全保障系統(tǒng)納入其電子政務(wù)建設(shè)的總體規(guī)劃中。近幾年，我國從政策、安全管理、標(biāo)準(zhǔn)化建設(shè)、法律法規(guī)上對(duì)信息安全工作加大了支持力度。

　　在安全技術(shù)方面，我國經(jīng)歷了從借鑒國外技術(shù)到發(fā)展自主知識(shí)產(chǎn)權(quán)技術(shù)的發(fā)展過程，技術(shù)水平不斷提高，各大安全廠商在提供種類安全產(chǎn)品種類的同時(shí)，也為其客戶全面的信息安全技術(shù)解決方案。近幾年，我國的政務(wù)信息化的程度越來越高，經(jīng)歷了由過去的以文字處理工具為典型的個(gè)人辦公階段，到實(shí)現(xiàn)了部門繳的數(shù)據(jù)處理、公文處理等自動(dòng)化，以 C/S體系結(jié)構(gòu)應(yīng)用為特征的階段，再到如今普遍使用基于Intemet/Extranet/Intranet技術(shù)標(biāo)準(zhǔn)，以B/S體系結(jié)構(gòu)平臺(tái)應(yīng)用階段。其功能從單一的提高個(gè)人工作效率到部門內(nèi)部的協(xié)作，發(fā)展到部門之間、系統(tǒng)內(nèi)部，乃至跨系統(tǒng)、跨行業(yè)服務(wù)于社會(huì)的方方面面。作為國家的關(guān)鍵基礎(chǔ)設(shè)施，電子政務(wù)系統(tǒng)已成為關(guān)系國計(jì)民生的重要信息系統(tǒng)。其安全已經(jīng)嚴(yán)重關(guān)系國家安全和社會(huì)穩(wěn)定，關(guān)系廣大人民群眾切身利益。

　　由于電子政務(wù)系統(tǒng)所承載的信息資源，除了公開發(fā)布的政務(wù)信息還涉及大量國家機(jī)密，隨著我國電子政務(wù)系統(tǒng)網(wǎng)絡(luò)化和開放程度的進(jìn)一步加深，一方面面臨著嚴(yán)重的外部威脅，隨著我國經(jīng)濟(jì)的持續(xù)發(fā)展和國際地位的不斷提高，我國的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)正成為敵對(duì)勢(shì)力、敵對(duì)分子進(jìn)行攻擊、破壞和恐怖活動(dòng)的重點(diǎn)目標(biāo)。因此，建立起對(duì)電子政務(wù)系統(tǒng)的風(fēng)險(xiǎn)評(píng)估方法有著重大意義。

　　二、電子政務(wù)系統(tǒng)風(fēng)險(xiǎn)評(píng)估的關(guān)系模型及分析方法

　　電子政務(wù)系統(tǒng)風(fēng)險(xiǎn)評(píng)估是依據(jù)國家有關(guān)的政策法規(guī)及信息技術(shù)標(biāo)準(zhǔn)，對(duì)系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行科學(xué)、公正的綜合評(píng)估的活動(dòng)過程。風(fēng)險(xiǎn)評(píng)估要求對(duì)信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實(shí)際負(fù)面影響進(jìn)行評(píng)估，并根據(jù)安全事件發(fā)生的可能性和負(fù)面影響的程度來識(shí)別信息系統(tǒng)的安全風(fēng)險(xiǎn)。

　　(一)電子政務(wù)系統(tǒng)風(fēng)險(xiǎn)評(píng)估的關(guān)系模型

　　風(fēng)險(xiǎn)評(píng)估的出發(fā)點(diǎn)是對(duì)與風(fēng)險(xiǎn)有關(guān)的各因素的確認(rèn)和分析，各因素之間的關(guān)系可以用圖1所示的模型來表示。圖1中的箭頭及標(biāo)示信息對(duì)信息安全風(fēng)險(xiǎn)相關(guān)的各類因素之間的關(guān)系做出了說明，這些因素之間的主要關(guān)系對(duì)風(fēng)險(xiǎn)評(píng)估的實(shí)施方法是很重要的，概述如下：

　　從圖中可以看出，威脅和薄弱點(diǎn)仍是導(dǎo)致系統(tǒng)安全風(fēng)險(xiǎn)增加的關(guān)鍵位置。資產(chǎn)擁有的價(jià)值越大，則它的安全風(fēng)險(xiǎn)也相對(duì)越大。風(fēng)險(xiǎn)控制的目的主要是減少安全風(fēng)險(xiǎn)。威脅因素產(chǎn)生和增加安全風(fēng)險(xiǎn)的過程是：利用系統(tǒng)中的薄弱點(diǎn)實(shí)施攻擊(或其他破壞)，從而對(duì)資產(chǎn)的價(jià)值造成不利影響，導(dǎo)致產(chǎn)生和增加安全風(fēng)險(xiǎn);薄弱點(diǎn)對(duì)風(fēng)險(xiǎn)的增加只能通過威脅對(duì)其利用的過程來完成。

　　由此可以看出，威脅和薄弱點(diǎn)增加風(fēng)險(xiǎn)的方式是不同的。對(duì)于信息系統(tǒng)內(nèi)的資產(chǎn)來說，威脅是外部因素，而脆弱性則為系統(tǒng)自身所有，它們相當(dāng)于矛盾的外因和內(nèi)因。風(fēng)險(xiǎn)評(píng)估的過程就是將這些因素間的關(guān)系體現(xiàn)出來，考慮當(dāng)風(fēng)險(xiǎn)在可以接受的情況下，即使系統(tǒng)面臨威脅，也不需要采取安全措施;如果系統(tǒng)存在某些脆弱點(diǎn)，但還沒有被威脅所利用，這時(shí)需要安全措施能夠監(jiān)控威脅環(huán)境，以防止利用該脆弱點(diǎn)的威脅的發(fā)生;被采取的安全措施保護(hù)資產(chǎn)、減少威脅發(fā)生所造成的影響，將殘余風(fēng)險(xiǎn)降低到可接受的程度。研究表明，組織機(jī)構(gòu)的信息系統(tǒng)的安全程度應(yīng)該要滿足組織機(jī)構(gòu)現(xiàn)在的應(yīng)用需求;如果顯示組織機(jī)構(gòu)的信息系統(tǒng)存在不可接受的風(fēng)險(xiǎn)，那么就應(yīng)該對(duì)該信息系統(tǒng)的安全措施進(jìn)行改進(jìn)，以達(dá)到第三種情況的要求。

　　(二)電子政務(wù)系統(tǒng)的常用風(fēng)險(xiǎn)分析方法及其比較

　　目前，由于我國信息系統(tǒng)風(fēng)險(xiǎn)的安全評(píng)估才剛剛起步，因此我國現(xiàn)在所做的評(píng)估工作主要以定性評(píng)估為主，而定量分析尚處于研究階段。在風(fēng)險(xiǎn)評(píng)估過程中，可以采用多種操作方法，包括基于知識(shí)的分析方法、基于模型的分析方法、定性分析和定量分析等等。無論采用何種方法，其共同的目標(biāo)都是找出組織機(jī)構(gòu)的信息系統(tǒng)面臨的風(fēng)險(xiǎn)及其影響，以及目前該信息系統(tǒng)安全水平與組織機(jī)構(gòu)安全需求之間的差距。

　　1.定量分析方法。定量分析方法的思想是，對(duì)構(gòu)成風(fēng)險(xiǎn)的各個(gè)要素和潛在損失的水平賦以數(shù)值或貨幣的金額，當(dāng)度量風(fēng)險(xiǎn)的所有要素(資產(chǎn)價(jià)值、威脅可能性、弱點(diǎn)利用程度、安全措施的效率和成本等)都被賦值，風(fēng)險(xiǎn)評(píng)估的整個(gè)過程和結(jié)果就可以量化。

　　從定量分析的過程中可以發(fā)現(xiàn)，最為關(guān)鍵的是對(duì)威脅事件發(fā)生的可能性和威脅事件可能引起的損失的量化。從理論上看，通過定量分析可以對(duì)安全風(fēng)險(xiǎn)進(jìn)行準(zhǔn)確的分級(jí)，能夠獲得很好的風(fēng)險(xiǎn)評(píng)估結(jié)果。但是，對(duì)安全風(fēng)險(xiǎn)進(jìn)行準(zhǔn)確分級(jí)的前提是保證可供參考的數(shù)據(jù)指標(biāo)正確，而對(duì)于信息系統(tǒng)日益復(fù)雜多變的今天，這個(gè)前提是很難得到保證的。由于數(shù)據(jù)統(tǒng)計(jì)缺乏長(zhǎng)期性，計(jì)算過程又極易出錯(cuò)，定量分析的細(xì)化非常困難，所以目前風(fēng)險(xiǎn)評(píng)估分析很少完全只用定量的分析方法進(jìn)行分析。

　　2.定性分析方法。定性分析方法是目前采用最為廣泛的一種方法，它需要憑借評(píng)估分析者的經(jīng)驗(yàn)、知識(shí)和直覺，結(jié)合標(biāo)準(zhǔn)和慣例，為風(fēng)險(xiǎn)評(píng)估要素的大小或高低程度定性分級(jí)，帶有很強(qiáng)的主觀性。定性分析的操作方法可以多種多樣，包括小組討論(如Del Dhi方法)、檢查列表、問卷、人員訪談、調(diào)查等。定性分析操作起來相對(duì)容易，但可能會(huì)因?yàn)樵u(píng)估分析者在經(jīng)驗(yàn)和直覺上的偏差而使分析結(jié)果失準(zhǔn)。

　　三、結(jié)語

　　電子政務(wù)是一個(gè)要求高可靠性、高安全性運(yùn)作的復(fù)雜的服務(wù)性系統(tǒng)工程。要從系統(tǒng)建設(shè)周期全過程角度考慮物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、管理層五個(gè)層次的弱點(diǎn)、威脅、風(fēng)險(xiǎn)、對(duì)策等安全問題。要合理使用多種信息安全策略，力爭(zhēng)在有限的投入下最大限度地降低安全風(fēng)險(xiǎn)。加強(qiáng)技術(shù)安全與安全教育，只有信息安全技術(shù)與安全教育有機(jī)結(jié)合，政府信息資源才能被充分而合理地共享，并發(fā)揮其應(yīng)有的作用。