【摘要】電子政務(wù)系統(tǒng)實現(xiàn)了政府組織結(jié)構(gòu)和工作流程的優(yōu)化，提高政府在行政、經(jīng)濟和服務(wù)方面的效率，但同時也面臨著來自自然環(huán)境、物理環(huán)境和社會環(huán)境等方面的安全風(fēng)險。電子政務(wù)系統(tǒng)一旦出現(xiàn)問題，就會對政府部門和社會公眾產(chǎn)生危害，嚴重的還將對國家安全產(chǎn)生威脅，因此保障電子政務(wù)系統(tǒng)安全具有重大意義。

　　【關(guān)鍵詞】論文發(fā)表最好的網(wǎng)站,電子政務(wù),信息安全,風(fēng)險評估

　　一、課題的背景與意義

　　隨著計算機技術(shù)、通信技術(shù)以及互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，社會信息化進程逐步加快。為滿足新的全球范圍內(nèi)的數(shù)字化生存與競爭環(huán)境下，行政管理現(xiàn)代化的發(fā)展要求，各國都將電子政務(wù)列入了政治工作日程。從上世紀90年代開始，電子政務(wù)建設(shè)作為今后一個時期我國信息化工作的重點，政府先行，帶動國民經(jīng)濟和社會發(fā)展信息化。電子政務(wù)系統(tǒng)作為政府信息化工作的主要平臺，其安全性、一致性、穩(wěn)定性等方面，比一般信息系統(tǒng)有著更高的要求。而電子政務(wù)系統(tǒng)上所承載的信息的特殊性，在網(wǎng)絡(luò)開放的條件下，勢必要解決好信息共享與保密性、完整性的關(guān)系，開放性與保護隱私的關(guān)系，互聯(lián)性與局部隔離的關(guān)系，才能實現(xiàn)電子政務(wù)的安全性。

　　2002年，“法輪功”破壞廣播電視網(wǎng)、首都國際機場離港電腦系統(tǒng)故障等重大安全事故連連發(fā)生后，社會各界對信息安全的認識發(fā)生了深刻地變化，政府更是啟動了國家信息安全戰(zhàn)略，加強了對互聯(lián)網(wǎng)內(nèi)容安全、網(wǎng)絡(luò)監(jiān)控、網(wǎng)吧、廣播電視網(wǎng)的專項治理，信息安全的技術(shù)和產(chǎn)品研究得到迅速發(fā)展，在政府投入的拉動下，信息安全產(chǎn)業(yè)增長速度大幅度提高，各級政府部門都將信息安全工作作為推行電子政務(wù)的重中之重，普遍把信息安全保障系統(tǒng)納入其電子政務(wù)建設(shè)的總體規(guī)劃中。近幾年，我國從政策、安全管理、標準化建設(shè)、法律法規(guī)上對信息安全工作加大了支持力度。

　　在安全技術(shù)方面，我國經(jīng)歷了從借鑒國外技術(shù)到發(fā)展自主知識產(chǎn)權(quán)技術(shù)的發(fā)展過程，技術(shù)水平不斷提高，各大安全廠商在提供種類安全產(chǎn)品種類的同時，也為其客戶全面的信息安全技術(shù)解決方案。近幾年，我國的政務(wù)信息化的程度越來越高，經(jīng)歷了由過去的以文字處理工具為典型的個人辦公階段，到實現(xiàn)了部門繳的數(shù)據(jù)處理、公文處理等自動化，以 C/S體系結(jié)構(gòu)應(yīng)用為特征的階段，再到如今普遍使用基于Intemet/Extranet/Intranet技術(shù)標準，以B/S體系結(jié)構(gòu)平臺應(yīng)用階段。其功能從單一的提高個人工作效率到部門內(nèi)部的協(xié)作，發(fā)展到部門之間、系統(tǒng)內(nèi)部，乃至跨系統(tǒng)、跨行業(yè)服務(wù)于社會的方方面面。作為國家的關(guān)鍵基礎(chǔ)設(shè)施，電子政務(wù)系統(tǒng)已成為關(guān)系國計民生的重要信息系統(tǒng)。其安全已經(jīng)嚴重關(guān)系國家安全和社會穩(wěn)定，關(guān)系廣大人民群眾切身利益。

　　由于電子政務(wù)系統(tǒng)所承載的信息資源，除了公開發(fā)布的政務(wù)信息還涉及大量國家機密，隨著我國電子政務(wù)系統(tǒng)網(wǎng)絡(luò)化和開放程度的進一步加深，一方面面臨著嚴重的外部威脅，隨著我國經(jīng)濟的持續(xù)發(fā)展和國際地位的不斷提高，我國的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)正成為敵對勢力、敵對分子進行攻擊、破壞和恐怖活動的重點目標。因此，建立起對電子政務(wù)系統(tǒng)的風(fēng)險評估方法有著重大意義。

　　二、電子政務(wù)系統(tǒng)風(fēng)險評估的關(guān)系模型及分析方法

　　電子政務(wù)系統(tǒng)風(fēng)險評估是依據(jù)國家有關(guān)的政策法規(guī)及信息技術(shù)標準，對系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學(xué)、公正的綜合評估的活動過程。風(fēng)險評估要求對信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實際負面影響進行評估，并根據(jù)安全事件發(fā)生的可能性和負面影響的程度來識別信息系統(tǒng)的安全風(fēng)險。

　　(一)電子政務(wù)系統(tǒng)風(fēng)險評估的關(guān)系模型

　　風(fēng)險評估的出發(fā)點是對與風(fēng)險有關(guān)的各因素的確認和分析，各因素之間的關(guān)系可以用圖1所示的模型來表示。圖1中的箭頭及標示信息對信息安全風(fēng)險相關(guān)的各類因素之間的關(guān)系做出了說明，這些因素之間的主要關(guān)系對風(fēng)險評估的實施方法是很重要的，概述如下：

　　從圖中可以看出，威脅和薄弱點仍是導(dǎo)致系統(tǒng)安全風(fēng)險增加的關(guān)鍵位置。資產(chǎn)擁有的價值越大，則它的安全風(fēng)險也相對越大。風(fēng)險控制的目的主要是減少安全風(fēng)險。威脅因素產(chǎn)生和增加安全風(fēng)險的過程是：利用系統(tǒng)中的薄弱點實施攻擊(或其他破壞)，從而對資產(chǎn)的價值造成不利影響，導(dǎo)致產(chǎn)生和增加安全風(fēng)險;薄弱點對風(fēng)險的增加只能通過威脅對其利用的過程來完成。

　　由此可以看出，威脅和薄弱點增加風(fēng)險的方式是不同的。對于信息系統(tǒng)內(nèi)的資產(chǎn)來說，威脅是外部因素，而脆弱性則為系統(tǒng)自身所有，它們相當于矛盾的外因和內(nèi)因。風(fēng)險評估的過程就是將這些因素間的關(guān)系體現(xiàn)出來，考慮當風(fēng)險在可以接受的情況下，即使系統(tǒng)面臨威脅，也不需要采取安全措施;如果系統(tǒng)存在某些脆弱點，但還沒有被威脅所利用，這時需要安全措施能夠監(jiān)控威脅環(huán)境，以防止利用該脆弱點的威脅的發(fā)生;被采取的安全措施保護資產(chǎn)、減少威脅發(fā)生所造成的影響，將殘余風(fēng)險降低到可接受的程度。研究表明，組織機構(gòu)的信息系統(tǒng)的安全程度應(yīng)該要滿足組織機構(gòu)現(xiàn)在的應(yīng)用需求;如果顯示組織機構(gòu)的信息系統(tǒng)存在不可接受的風(fēng)險，那么就應(yīng)該對該信息系統(tǒng)的安全措施進行改進，以達到第三種情況的要求。

　　(二)電子政務(wù)系統(tǒng)的常用風(fēng)險分析方法及其比較

　　目前，由于我國信息系統(tǒng)風(fēng)險的安全評估才剛剛起步，因此我國現(xiàn)在所做的評估工作主要以定性評估為主，而定量分析尚處于研究階段。在風(fēng)險評估過程中，可以采用多種操作方法，包括基于知識的分析方法、基于模型的分析方法、定性分析和定量分析等等。無論采用何種方法，其共同的目標都是找出組織機構(gòu)的信息系統(tǒng)面臨的風(fēng)險及其影響，以及目前該信息系統(tǒng)安全水平與組織機構(gòu)安全需求之間的差距。

　　1.定量分析方法。定量分析方法的思想是，對構(gòu)成風(fēng)險的各個要素和潛在損失的水平賦以數(shù)值或貨幣的金額，當度量風(fēng)險的所有要素(資產(chǎn)價值、威脅可能性、弱點利用程度、安全措施的效率和成本等)都被賦值，風(fēng)險評估的整個過程和結(jié)果就可以量化。

　　從定量分析的過程中可以發(fā)現(xiàn)，最為關(guān)鍵的是對威脅事件發(fā)生的可能性和威脅事件可能引起的損失的量化。從理論上看，通過定量分析可以對安全風(fēng)險進行準確的分級，能夠獲得很好的風(fēng)險評估結(jié)果。但是，對安全風(fēng)險進行準確分級的前提是保證可供參考的數(shù)據(jù)指標正確，而對于信息系統(tǒng)日益復(fù)雜多變的今天，這個前提是很難得到保證的。由于數(shù)據(jù)統(tǒng)計缺乏長期性，計算過程又極易出錯，定量分析的細化非常困難，所以目前風(fēng)險評估分析很少完全只用定量的分析方法進行分析。

　　2.定性分析方法。定性分析方法是目前采用最為廣泛的一種方法，它需要憑借評估分析者的經(jīng)驗、知識和直覺，結(jié)合標準和慣例，為風(fēng)險評估要素的大小或高低程度定性分級，帶有很強的主觀性。定性分析的操作方法可以多種多樣，包括小組討論(如Del Dhi方法)、檢查列表、問卷、人員訪談、調(diào)查等。定性分析操作起來相對容易，但可能會因為評估分析者在經(jīng)驗和直覺上的偏差而使分析結(jié)果失準。

　　三、結(jié)語

　　電子政務(wù)是一個要求高可靠性、高安全性運作的復(fù)雜的服務(wù)性系統(tǒng)工程。要從系統(tǒng)建設(shè)周期全過程角度考慮物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、管理層五個層次的弱點、威脅、風(fēng)險、對策等安全問題。要合理使用多種信息安全策略，力爭在有限的投入下最大限度地降低安全風(fēng)險。加強技術(shù)安全與安全教育，只有信息安全技術(shù)與安全教育有機結(jié)合，政府信息資源才能被充分而合理地共享，并發(fā)揮其應(yīng)有的作用。