序言：作為思想的載體和知識的探索者，寫作是一種獨特的藝術(shù)，我們?yōu)槟鷾?zhǔn)備了不同風(fēng)格的5篇電子政務(wù)的安全風(fēng)險，期待它們能激發(fā)您的靈感。

篇1

一電子政務(wù)網(wǎng)絡(luò)安全風(fēng)險

一.一網(wǎng)絡(luò)結(jié)構(gòu)難以節(jié)制

最近幾年來跟著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展,網(wǎng)絡(luò)技術(shù)已經(jīng)經(jīng)普及到人們的糊口以及工作之中,網(wǎng)絡(luò)范圍日趨擴(kuò)展,網(wǎng)絡(luò)結(jié)構(gòu)愈來愈繁雜,跟著而來的網(wǎng)絡(luò)安全問題也愈來愈凸起。良多情況下,網(wǎng)絡(luò)系統(tǒng)配置沒有跟著網(wǎng)絡(luò)范圍的擴(kuò)展而及時進(jìn)行優(yōu)化就會致使網(wǎng)絡(luò)機能降落,極易致使網(wǎng)絡(luò)安全隱患,為電子政務(wù)網(wǎng)絡(luò)帶來巨大的損失。

一.二網(wǎng)絡(luò)漏洞不能及時發(fā)現(xiàn)

1般來說,網(wǎng)絡(luò)漏洞是招致網(wǎng)絡(luò)襲擊的首要緣由,電子政務(wù)網(wǎng)絡(luò)擁有范圍龐大、網(wǎng)絡(luò)裝備種類繁多、系統(tǒng)多樣等特色,在沒有完美的網(wǎng)絡(luò)安全防范系統(tǒng)的情況下,單靠網(wǎng)絡(luò)管理員的能力是沒法保證網(wǎng)絡(luò)安全的,特別是最近幾年來網(wǎng)絡(luò)黑客技術(shù)水平不斷提高,電子政務(wù)網(wǎng)絡(luò)的安全問題也愈來愈凸起,如果網(wǎng)絡(luò)漏洞不能被及時發(fā)現(xiàn)就極易成為成為網(wǎng)絡(luò)黑客襲擊的對于象。

一.三信息泄漏、丟失

網(wǎng)絡(luò)信息泄漏、丟失主要是指系統(tǒng)數(shù)據(jù)在未知情況下產(chǎn)生泄漏、丟失,主要是非法入侵著在輸進(jìn)程中通過同搭線技術(shù)樹立引發(fā)隨時盜取首要保密信息,探測用戶賬號以及密碼,此外還包含因為工作人員失誤致使的存儲介質(zhì)丟失信息等情況。

一.四非授權(quán)走訪

通常情況下,用戶只有在被授權(quán)的情況下才能進(jìn)入網(wǎng)絡(luò)并走訪以及利用網(wǎng)絡(luò)資源,如果在沒有授權(quán)的情況下閱讀網(wǎng)絡(luò)資源時稱之為非授權(quán)走訪。非授權(quán)走訪是1種不遵照系統(tǒng)走訪節(jié)制機制的非法行動,包含非法用戶走訪網(wǎng)站并進(jìn)行非法操作,或者者合法用戶進(jìn)行確權(quán)操作等。

一.五內(nèi)部襲擊

網(wǎng)站襲擊是電子政務(wù)網(wǎng)絡(luò)存在的最大安全隱患,包含外來黑客襲擊以及內(nèi)部系統(tǒng)的襲擊,其中來自系統(tǒng)內(nèi)部的襲擊所占比例較大,主要是內(nèi)部員工對于網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)發(fā)起的襲擊。

一.六數(shù)據(jù)交流安全沒法保證

電子政務(wù)網(wǎng)絡(luò)的外網(wǎng)是與Internet互相聯(lián)的,所之外網(wǎng)子在進(jìn)行數(shù)據(jù)交流的進(jìn)程中存在的安全隱患對于內(nèi)網(wǎng)也會造成極大要挾,例如計算機病毒、垃圾郵件等。

二電子政務(wù)網(wǎng)絡(luò)的安全防范措施

二.一加強基礎(chǔ)安全服務(wù)設(shè)施建設(shè)

完美的安全服務(wù)設(shè)施可以為電子政務(wù)網(wǎng)絡(luò)系統(tǒng)提供1個優(yōu)良的網(wǎng)絡(luò)環(huán)境,是實現(xiàn)網(wǎng)絡(luò)安全和保證帶著你政務(wù)網(wǎng)絡(luò)高效、安全運行的基本前提。電子政務(wù)網(wǎng)絡(luò)基礎(chǔ)安全設(shè)施建設(shè)需要做到下列幾點:

二.一.一完美網(wǎng)站走訪身份驗證機制

網(wǎng)站能否知足用戶的走訪需求需要經(jīng)由系統(tǒng)安全措施對于用戶的身份進(jìn)行驗收,只有身份驗證通過才能進(jìn)行走訪,如果用戶身份沒有患上到驗證,則此時的系統(tǒng)防火墻變化施展作用,辨認(rèn)假的用戶信息其實不予服務(wù),所以用戶身份驗證是電子政務(wù)基礎(chǔ)安全策略的1個癥結(jié)問題。

二.一.二加強網(wǎng)絡(luò)裝備管理

網(wǎng)絡(luò)裝備的有效管理對于網(wǎng)絡(luò)安全有側(cè)重要影響,而樹立1個比較容易管理的、可操作性強的網(wǎng)絡(luò)首先要加強網(wǎng)絡(luò)裝備管理,有必要時賦與部份網(wǎng)絡(luò)裝備1些可托的辨認(rèn)碼,以便對于網(wǎng)絡(luò)裝備的走訪權(quán)限以及走訪位置進(jìn)行管控。

二.一.三保證數(shù)據(jù)的安全性

數(shù)據(jù)安全是電子政務(wù)網(wǎng)絡(luò)安全的核心問題,所以要保證信息數(shù)據(jù)的保密性、完全性,以便用戶可以從系統(tǒng)上獲取可托度高的、未被修改的信息數(shù)據(jù)。

二.二充沛應(yīng)用安全技術(shù)保證平臺安全

電子政務(wù)網(wǎng)絡(luò)安全的防范措施除了了加強基礎(chǔ)安全服務(wù)設(shè)施建設(shè)外還需要充沛應(yīng)用當(dāng)前的安全技術(shù)以及安全產(chǎn)品以進(jìn)1步保證網(wǎng)絡(luò)系統(tǒng)的安全性,例如網(wǎng)絡(luò)襲擊檢測技術(shù)、漏洞檢測技術(shù)、通信加密技術(shù)、走訪節(jié)制技術(shù)等等,各種網(wǎng)絡(luò)安全技術(shù)以及產(chǎn)品的利用可以有效防御網(wǎng)絡(luò)襲擊、節(jié)制用戶權(quán)限、預(yù)防信息泄漏或者者被損壞,可以為電子政務(wù)網(wǎng)絡(luò)創(chuàng)立1個安全的運行環(huán)境。

二.二.一數(shù)據(jù)交流安全性

電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的日常工作中需要進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)交流,不管是外網(wǎng)數(shù)據(jù)交流、專網(wǎng)數(shù)據(jù)交流仍是內(nèi)網(wǎng)數(shù)據(jù)交流都無比頻繁,而數(shù)據(jù)傳輸與交流也是存在極大安全隱患的環(huán)節(jié),所以需要采取有效技術(shù)措施來保證網(wǎng)絡(luò)數(shù)據(jù)交流的安全性,例如采取物理隔離網(wǎng)閘實現(xiàn)不同安全級別網(wǎng)絡(luò)之間的安全隔離,以保證網(wǎng)絡(luò)數(shù)據(jù)的安全交流。

二.二.二網(wǎng)絡(luò)域走訪節(jié)制

電子政務(wù)網(wǎng)絡(luò)系統(tǒng)不但要對于系統(tǒng)內(nèi)部裝備進(jìn)行走訪權(quán)限節(jié)制,同時也要對于遠(yuǎn)程接入裝備進(jìn)行限制,如斯才能最大程度確保網(wǎng)絡(luò)的安全性。例如采取防火墻技術(shù)、VLAN技術(shù)對于網(wǎng)絡(luò)規(guī)模進(jìn)行顧慮,進(jìn)而實現(xiàn)對于網(wǎng)絡(luò)域走訪的節(jié)制。

二.二.三通信加密

電子政務(wù)網(wǎng)絡(luò)系統(tǒng)中包含大量保密性數(shù)據(jù),為了保證數(shù)據(jù)的安全性,在加強網(wǎng)絡(luò)環(huán)境安全防范的同時還需要對于首要數(shù)據(jù)進(jìn)行加密,例如應(yīng)用IPSEC、API等技術(shù)來實現(xiàn)首要數(shù)據(jù)的安全通信。

二.二.四防御網(wǎng)絡(luò)病毒

網(wǎng)絡(luò)病毒是致使網(wǎng)絡(luò)安全風(fēng)險的首要因素,因而電子政務(wù)系統(tǒng)的安全防范更需要作用病毒防御工作,采取防病毒軟件對于整個網(wǎng)絡(luò)環(huán)境進(jìn)行全方位監(jiān)控,所采取的防病毒軟件要與網(wǎng)絡(luò)環(huán)境設(shè)計相兼容,并具備自動進(jìn)級能力,以靈便應(yīng)答病毒的變異。

篇2

關(guān)鍵詞： 電子政務(wù)； 安全風(fēng)險評估； OCTAVE； 自適應(yīng)法

中圖分類號：TP393.08 文獻(xiàn)標(biāo)志碼：A 文章編號：1006-8228（2016）11-38-03

Analysis of information security risk assessment in E-government

Liu Feifei

（Department of Information， Business College of Shanxi University， Taiyuan， Shanxi 030031， China）

Abstract： In view of the security risk assessment in E-government system， the current situation of E-government system and the related concepts of information security risk assessment are introduced； The characteristics of risk assessment methods are analyzed， including OCTAVE method， SSE-CMM method and adaptive method being commonly used in E-government system； And the problems that need to be solved are discussed in order to provide reference for the security risk assessment of E-government.

Key words： E-government； security risk assessment； OCTAVE； adaptive method

0 引言

隨著計算機與網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，我國各行各業(yè)信息化程度提高，電子政務(wù)也不例外。電子政務(wù)系統(tǒng)能夠及時、動態(tài)地對信息進(jìn)行更新，有利于政府信息的公開與共享；同時，建立一個良好的業(yè)務(wù)服務(wù)平臺和信息互動平臺，可以確保信息和服務(wù)的實效性，提高政府服務(wù)的效率和質(zhì)量。電子政務(wù)系統(tǒng)涉及政府敏感或秘密信息，系統(tǒng)的穩(wěn)定性與安全性成為政府工作的必要保障。電子政務(wù)系統(tǒng)安全是一項系統(tǒng)工程，傳統(tǒng)的信息安全技術(shù)及設(shè)備不能帶來真正的安全，因此，對系統(tǒng)進(jìn)行各階段的信息安全風(fēng)險評估和管理是十分必要的。

1 電子政務(wù)系統(tǒng)現(xiàn)狀

1.1 網(wǎng)絡(luò)基本結(jié)構(gòu)

電子政務(wù)是一個面向政府職能部門、企業(yè)以及民眾的復(fù)雜的多層次的服務(wù)系統(tǒng)，其結(jié)構(gòu)如圖1所示[1]。內(nèi)網(wǎng)是政府內(nèi)部日常辦公網(wǎng)絡(luò)，實現(xiàn)內(nèi)部信息的交流與處理，如文件傳送、郵件收發(fā)等；專網(wǎng)主要用于實現(xiàn)政府內(nèi)轄的職能部門之間的信息的互通，用以協(xié)作完成相關(guān)的項目申請、審批等主管業(yè)務(wù)；外網(wǎng)也指公眾信息網(wǎng)是面向社會民眾提供信息和服務(wù)的綜合性網(wǎng)站，可以幫助公眾了解最新的政策動態(tài)，提供網(wǎng)絡(luò)服務(wù)等；信息庫，為三網(wǎng)服務(wù)提供數(shù)據(jù)和所需的資源。

1.2 系統(tǒng)安全風(fēng)險

電子政務(wù)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，業(yè)務(wù)繁多，數(shù)據(jù)機密性高，同時具有很大的開放性，所以勢必面臨各型各色的安全風(fēng)險。主要體現(xiàn)在以下幾個方面。

⑴ 物理安全風(fēng)險

由環(huán)境（如水災(zāi)、火災(zāi)、濕度等）或系統(tǒng)自身物理特性（如設(shè)備線路老化、電磁泄漏干擾等）引起的系統(tǒng)不可用的風(fēng)險。物理安全是系統(tǒng)安全的前提和保障，應(yīng)做好相關(guān)的隔離與保護(hù)工作。

⑵ 網(wǎng)絡(luò)安全風(fēng)險

網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃或安全部署不合理會帶來來自內(nèi)部和外部的安全缺陷；路由器、三層交換機、網(wǎng)關(guān)等網(wǎng)絡(luò)設(shè)備自身配置及安全存在漏洞，會影響系統(tǒng)的安全性；另外，網(wǎng)絡(luò)中使用的互連、路由協(xié)議的不健全，也會給網(wǎng)絡(luò)帶來安全威脅。

⑶ 管理安全風(fēng)險

管理是防范網(wǎng)絡(luò)內(nèi)部攻擊的主要手段，是電子政務(wù)網(wǎng)絡(luò)安全的不可或缺的一部分。目前，管理和監(jiān)管機制還不健全，不規(guī)范，缺乏可操作性，都會引起不可避免的安全風(fēng)險。

2 信息安全風(fēng)險評估概述

依據(jù)國際或國內(nèi)的標(biāo)準(zhǔn)，使用相關(guān)的方法技術(shù)，標(biāo)識系統(tǒng)中的核心資產(chǎn)及業(yè)務(wù)，識別存在的安全威脅及脆弱性，估算安全事件發(fā)生的可能性及帶來的損失，同時，制定安全防護(hù)加固策略，這就是信息安全風(fēng)險評估。其中風(fēng)險分析計算是關(guān)鍵，計算原理如圖2所示[2]。

常見的風(fēng)險分析的方法有定量分析和定性分析。定量分析利用財務(wù)評估等手段來測算核心資產(chǎn)的實際價值，使用可量化的數(shù)值來估算系統(tǒng)的損失及風(fēng)險等級，評估結(jié)果直觀有效，但是資產(chǎn)價值的核算和風(fēng)險計算復(fù)雜；常用的定量分析有決策樹、聚類分析等[3]。定性分析通常依據(jù)評估者的知識經(jīng)驗，采用文字或假定的數(shù)值范圍來評定風(fēng)險等級，主觀性強，結(jié)論不夠嚴(yán)密；典型的分析方法有：德爾菲法、歷史比較法等。通常會在定性分析的基礎(chǔ)上，結(jié)合使用定量分析來實施風(fēng)險的分析評估，如層次分析、概率分析等。

3 電子政務(wù)系統(tǒng)風(fēng)險評估方法

目前，電子政務(wù)系統(tǒng)風(fēng)險評估的方法主要有：OCTAVE方法、SSE-CMM方法及基于免疫的自適應(yīng)法。

3.1 OCTAVE評估方法

OCTAVE（Operationally Critical Asset and Vulnerability Evaluation）可操作的關(guān)鍵資產(chǎn)、威脅評估法，它遵循自主的原則，從被評估組織中選調(diào)業(yè)務(wù)及信息技術(shù)人員組建團(tuán)隊，以定性分析為主，提供一個可操作的、規(guī)范的技術(shù)框架[4]。它圍繞關(guān)鍵資產(chǎn)進(jìn)行評估，評估人員要充分認(rèn)識關(guān)鍵資產(chǎn)、資產(chǎn)所受威脅及系統(tǒng)存在脆弱性之間的關(guān)系。OCTAVE方法實施過程如圖3所示。首先，組建評估團(tuán)隊，標(biāo)識關(guān)鍵資產(chǎn)及存在威脅；其次，標(biāo)識與關(guān)鍵資產(chǎn)相關(guān)的子系統(tǒng)及組件存在的脆弱性；最后，進(jìn)行風(fēng)險分析計算，確定風(fēng)險等級，制定防護(hù)策略計劃。

OCTAVE法從組織內(nèi)部調(diào)配人員參與評估，會使得評估的內(nèi)容更加全面，更具有可操作性，不同的組織根據(jù)自身的需求，可以通過多種不同的形式來實踐執(zhí)行。但是它依賴人為因素，只能粗略評估系統(tǒng)可能遭受的風(fēng)險。

3.2 SSE-CMM評估方法

SSE-CMM（Systems Security Engineering Capability Maturity Model）系統(tǒng)工程能力成熟度模型，在安全工程中，針對不同的安全目標(biāo)，定義了相應(yīng)的模塊化過程，并能夠?qū)M織執(zhí)行特定過程的能力做出量化的評定，從而幫助尋找實現(xiàn)最終目標(biāo)的最優(yōu)途徑。它將信息系統(tǒng)的安全過程分為3個模塊化過程，通過11個過程域PA（Process Area）和5個能力成熟度級別來描述：風(fēng)險評估過程，分析安全系統(tǒng)中存在的威脅；工程實施過程，利用相關(guān)措施解決/處理威脅可能帶來的問題；信任度評估過程，評估執(zhí)行者解決問題的能力。為了實現(xiàn)風(fēng)險評估過程目標(biāo)，SSE-CMM法定義了威脅評估、脆弱性評估、事件影響評估及系統(tǒng)風(fēng)險評估等四個子過程。

SSE-CMM法指出了系統(tǒng)安全評估過程中的關(guān)鍵過程及必需的基本實施，同時能夠量化評定每個過程的可行性，削弱了評估中的主觀性；但是其沒有規(guī)定過程的執(zhí)行流程和步驟，可操作性差。

3.3 自適應(yīng)評估方法

自適應(yīng)評估法的關(guān)鍵在于系統(tǒng)的安全“免疫”子系統(tǒng)（也就是系統(tǒng)中的實時安全監(jiān)控系統(tǒng)），它要求“免疫”系統(tǒng)能夠區(qū)分無害的自體和有害的非自體，并能夠根據(jù)需要及時地清理系統(tǒng)中的非自體；同時可以根據(jù)“免疫”系統(tǒng)受到的破壞實時動態(tài)地進(jìn)行風(fēng)險評估，實施防護(hù)。它要在“免疫”系統(tǒng)中定義“免疫”細(xì)胞，當(dāng)出現(xiàn)黑客攻擊、病毒等外來威脅時，“免疫”系統(tǒng)就會根據(jù)受侵害的程度發(fā)生動態(tài)變化，做出具體的響應(yīng)，如禁止服務(wù)、關(guān)閉端口、關(guān)機等。另外，如果系統(tǒng)中的任意一臺主機被攻擊，都會迅速通知其他主機，使整個系統(tǒng)的安全得到最大的保障。

自適應(yīng)風(fēng)險評估法可以快速地識別系統(tǒng)中現(xiàn)有的風(fēng)險，實施實時防護(hù)，并動態(tài)調(diào)整防護(hù)系統(tǒng)，更好地提高系統(tǒng)的安全性，是未來的發(fā)展趨勢。但是它的實施難度較大，系統(tǒng)成本較高。

電子政務(wù)系統(tǒng)風(fēng)險評估是一項復(fù)雜的大工程，一般采用可操作性較強的OCTAVE方法，但是OCTAVE方法是定性分析的，主觀性較強，評估結(jié)果較為粗略。所以，在實際的評估過程中經(jīng)常將層次分析、模糊數(shù)學(xué)、熵理論、D-S證據(jù)理論及BP神經(jīng)網(wǎng)絡(luò)等應(yīng)用到OCTAVE方法中，來降低對于人為主觀性的依賴，優(yōu)化評估的結(jié)果[5]。

4 結(jié)束語

伴隨各種移動電子政務(wù)業(yè)務(wù)的出現(xiàn)，使得電子政務(wù)系統(tǒng)的安全形勢更加嚴(yán)峻，針對電子政務(wù)系統(tǒng)開展信息安全風(fēng)險評估，我們可以發(fā)現(xiàn)，系統(tǒng)在建設(shè)、實施和運行過程中存在的威脅、脆弱性及風(fēng)險，而部署防護(hù)及加固安全策略，可以為電子政務(wù)提供安全可靠的網(wǎng)絡(luò)環(huán)境。

目前，電子政務(wù)系統(tǒng)信息安全風(fēng)險評估還需要在以下方面加強研究：適應(yīng)電子政務(wù)行業(yè)需求的風(fēng)險評估方法及模型的研究；適用于風(fēng)險評估不同階段的自動化評估工具的開發(fā)；動態(tài)風(fēng)險評估方法的設(shè)計與應(yīng)用。

參考文獻(xiàn)（References）：

[1] 李煜川.電子政務(wù)系統(tǒng)信息安全風(fēng)險評估研究―以數(shù)字檔案

館為例[D].蘇州大學(xué)碩士學(xué)位論文，2011.

[2] 唐作其，陳選文，戴海濤，郭峰.多屬性群決策理論信息安全風(fēng)

險評估方法研究[J].計算機工程與應(yīng)用，2011.47（15）：104-107

[3] 李增鵬，馬春光，李迎濤.基于層次分析信息系統(tǒng)風(fēng)險評

估[J].理論研究，2014.3：80-86

[4] 趙磊.電子政務(wù)網(wǎng)絡(luò)風(fēng)險評估與安全控制[D].上海交通大學(xué)

碩士學(xué)位論文，2011.

篇3

【關(guān)鍵詞】電子政務(wù)系統(tǒng)；安全體系結(jié)構(gòu)；分域防護(hù)

信息技術(shù)的普及與應(yīng)用推動著當(dāng)前電子政務(wù)蓬勃發(fā)展，雖然電子政務(wù)有諸多便利，但也承受著巨大的安全威脅，解決威脅其發(fā)展的安全風(fēng)險，對于電子政務(wù)更好的發(fā)揮服務(wù)優(yōu)勢有積極意義。下面我們在分析電子政務(wù)安全風(fēng)險的基礎(chǔ)上，探討基于分域防護(hù)思想安全體系結(jié)構(gòu)的設(shè)計與建立。

一.電子政務(wù)安全風(fēng)險分析

電子政務(wù)是傳統(tǒng)政務(wù)模式的延伸與轉(zhuǎn)化，事關(guān)國家政務(wù)信息安全，政務(wù)系統(tǒng)運行中容易受到來自外界的各類風(fēng)險因素的安全威脅，造成有意或無意的破壞，因此必須加強安全體系建設(shè)，保障信息安全與應(yīng)用安全。電子政務(wù)的安全風(fēng)險主要包括通信風(fēng)險、物理風(fēng)險、應(yīng)用風(fēng)險、管理風(fēng)險、區(qū)域邊界風(fēng)險及其他風(fēng)險等。通信風(fēng)險來自于各類重要數(shù)據(jù)的泄露與丟失，來自通信傳輸線路上的監(jiān)聽與阻攔，數(shù)據(jù)本身完整性、安全性受到攻擊威脅。物理風(fēng)險是電子政務(wù)系統(tǒng)遭受來自自然災(zāi)害如風(fēng)雨雷電地震等破壞，硬件設(shè)備受損造成數(shù)據(jù)都是活著損壞，靜電、強磁場與電磁鐳射等損壞存儲介質(zhì)，數(shù)據(jù)被偷竊或監(jiān)聽。應(yīng)用風(fēng)險是不斷動態(tài)變化的，其所遭受的風(fēng)險如程序后門、病毒威脅與惡意代碼攻擊等都是動態(tài)變化著的。電子政務(wù)系統(tǒng)作為一個復(fù)雜的集成系統(tǒng)，除去需要安全技術(shù)手段予以保駕護(hù)航之外，有效得當(dāng)?shù)墓芾聿拍苁掳牍Ρ叮芾聿划?dāng)包括口令、密鑰管理不當(dāng)，管理制度不完善造成信息無序運行，安全崗位設(shè)置及管理不到位，管理環(huán)節(jié)缺失或遺漏，政務(wù)審計系統(tǒng)與制度不到位等，以上這些管理不當(dāng)都會造成安全風(fēng)險[1]。區(qū)域邊界風(fēng)險是電子政務(wù)系統(tǒng)中不同安全等級區(qū)域之間的最易發(fā)生危險的區(qū)域邊界處，區(qū)域邊界不明確會導(dǎo)致高等級數(shù)據(jù)信息泄露，流向低等級造成泄露，或者邊界防護(hù)漏洞導(dǎo)致用戶非法訪問或竊取高等級區(qū)域信息，損壞數(shù)據(jù)完整性、真實性與可用性。其他安全風(fēng)險諸如安全意識淡漠、系統(tǒng)運行風(fēng)險、信息安全戰(zhàn)略認(rèn)識不足等，都會導(dǎo)致電子政務(wù)系統(tǒng)運行威脅。

二、基于分域防護(hù)思想的電子政務(wù)系統(tǒng)安全體系結(jié)構(gòu)設(shè)計

圖1電子政務(wù)安全體系結(jié)構(gòu)

電子政務(wù)系統(tǒng)作為服務(wù)于政府公務(wù)的重要支持系統(tǒng)，安全防護(hù)體系建設(shè)必須兼顧到系統(tǒng)本身的應(yīng)用性、開放性等需求，遵循適度安全原則，解除其面臨安全威脅，將政務(wù)系統(tǒng)劃分為不同安全域，并針對各個安全域特點實施針對性安全舉措。分域防護(hù)的應(yīng)用有利于明確安全責(zé)任，消除政務(wù)互聯(lián)網(wǎng)開放顧慮與障礙，便于科學(xué)組織與安全建設(shè)。基于分域防護(hù)思想，電子政務(wù)系統(tǒng)可根據(jù)系統(tǒng)本身特點、安全需求、環(huán)境重要性進(jìn)行劃分，系統(tǒng)方面可分為政務(wù)內(nèi)網(wǎng)、外網(wǎng)與互聯(lián)網(wǎng)，安全需求可分為通信傳輸安全、邊界安全與環(huán)境安全，環(huán)境重要性可劃分為核心域、重要域與一般域[2]。不同安全區(qū)域內(nèi)，根據(jù)防護(hù)要求利用身份認(rèn)證、訪問控制、病毒防護(hù)、安全審計等諸多措施保障信息安全，配合軟硬件基礎(chǔ)設(shè)施與管理平臺共同打造高效運行的安全體系。電子政務(wù)安全體系結(jié)構(gòu)見圖1。

分域防護(hù)思想指導(dǎo)下根據(jù)政務(wù)系統(tǒng)職能特點可劃分為政務(wù)內(nèi)網(wǎng)、外網(wǎng)與互聯(lián)網(wǎng)絡(luò)三類。政務(wù)內(nèi)網(wǎng)是政府用于辦公的內(nèi)部局域網(wǎng)，主要處理一些保密等級較高的數(shù)據(jù)業(yè)務(wù)和網(wǎng)上辦公事項，與外網(wǎng)鏈接，主要由信息處理、存儲、傳輸設(shè)備構(gòu)成，是政務(wù)核心處理區(qū)域和主要運行平臺，與外網(wǎng)間實施物理隔離。外網(wǎng)主要服務(wù)政府各類政務(wù)部門，如法院、檢察院、政府、政協(xié)、黨委等，是業(yè)務(wù)專網(wǎng)，運行主要面對社會公眾，處理一些無需內(nèi)網(wǎng)處理的低保密等級公物，與互聯(lián)網(wǎng)之間實施邏輯隔離。互聯(lián)網(wǎng)作為公共性質(zhì)的開放網(wǎng)站，向公眾提供各類服務(wù)，比如政務(wù)信息、收集群眾意見反饋及接受公眾監(jiān)督等。

分域防護(hù)安全結(jié)構(gòu)中，根據(jù)環(huán)境重要性分為核心域、重要域與一般域。核心域是安全等級最高的政務(wù)系統(tǒng)核心區(qū)域，需要提供最嚴(yán)密的安全防護(hù)措施以保護(hù)機密等級最高的數(shù)據(jù)，做好其存儲與安全管理。重要域是次安全等級區(qū)域，是國家政府部門各類政務(wù)信息交雜處理區(qū)域，需實施嚴(yán)密防護(hù)。一般域是安全等級較低的防護(hù)區(qū)域，公開性顯著，提供各類公開政務(wù)信息與數(shù)據(jù)服務(wù)，防護(hù)關(guān)鍵在于保障數(shù)據(jù)的公開性、真實性、完整性與可用性。

分域防護(hù)安全結(jié)構(gòu)中，安全方面主要以邊界安全、通信傳輸安全和環(huán)境安全為主。通信傳輸安全關(guān)系到政府內(nèi)網(wǎng)、外網(wǎng)與互聯(lián)網(wǎng)之間的信息傳輸與溝通，安全防護(hù)既要保障數(shù)據(jù)的傳輸通常，又要避免來自外界的惡意攻擊，保證傳輸數(shù)據(jù)的完整性、真實性與可用性[3]。網(wǎng)絡(luò)環(huán)境安全則是系統(tǒng)自身計算環(huán)境安全域數(shù)據(jù)安全，即處理各個層次數(shù)據(jù)時有不被泄露、攻擊和篡改的風(fēng)險。邊界防護(hù)安全則是不同等級安全域之間數(shù)據(jù)信息交換時不會出現(xiàn)由高向低或者由低向高的安全閥縣漏洞，不會出現(xiàn)數(shù)據(jù)的泄露、流失與非法訪問。

信息安全管理平臺是安全體系結(jié)構(gòu)中技術(shù)得以發(fā)揮作用的基礎(chǔ)，關(guān)系到整個信息平臺能否順利運轉(zhuǎn)，是防護(hù)關(guān)鍵，管理平臺上要配備合適人員，加快標(biāo)準(zhǔn)化制度建設(shè)，提供規(guī)范制約、法律支持等，配合各類信息安全基礎(chǔ)設(shè)施在政務(wù)系統(tǒng)保護(hù)中發(fā)揮作用。

綜上所述，電子政務(wù)系統(tǒng)的發(fā)展和應(yīng)用中承受著來自內(nèi)外的眾多安全威脅，利用分域防護(hù)思想可有效劃分不同安全域，針對各個安全域特點實施針對性安全舉措，解除其面臨的安全威脅，有利于明確安全責(zé)任，消除政務(wù)互聯(lián)網(wǎng)開放顧慮與障礙，便于科學(xué)組織與安全建設(shè)。

參考文獻(xiàn)：

[1]呂欣.信息通信新技術(shù)環(huán)境下電子政務(wù)安全保障[J].信息網(wǎng)絡(luò)安全.2010（02）.

篇4

關(guān)鍵詞 電子政務(wù) 信息安全 風(fēng)險評估

中圖分類號：C931 文獻(xiàn)標(biāo)識碼：A

1 課題的研究背景與意義

風(fēng)險管理是信息系統(tǒng)安全運行的必要保證，是運行維護(hù)體系中最重要的環(huán)節(jié)，而風(fēng)險評估則是風(fēng)險管理的基礎(chǔ)。首先，風(fēng)險評估是電子政務(wù)系統(tǒng)的安全需求。信息安全風(fēng)險評估是電子政務(wù)系統(tǒng)安全保障體系建立過程中的重要評價和決策依據(jù)。信息系統(tǒng)安全是相對的，沒有絕對的安全系統(tǒng)。因此，為了實現(xiàn)電子政務(wù)系統(tǒng)的安全、穩(wěn)定運行這一目標(biāo)，就必須采取一系列的安全制度和技術(shù)保障方法，對電子政務(wù)系統(tǒng)風(fēng)險進(jìn)行事先防患、事中控制、事后監(jiān)督及糾正，以化解因電子政務(wù)系統(tǒng)的脆弱性所造成的風(fēng)險。其次，電子政務(wù)系統(tǒng)的脆弱性需要風(fēng)險評估。電子政務(wù)系統(tǒng)軟硬件本身存在著很大的脆弱性，一方面表現(xiàn)在設(shè)備的自然損耗、制造缺陷和不可預(yù)測的自然環(huán)境因素，如火災(zāi)、水災(zāi)、地震、戰(zhàn)爭等不可抗拒的自然災(zāi)難；另一方面表現(xiàn)在由于技術(shù)發(fā)展的局限和人類的能力限制，在設(shè)計龐大的操作系統(tǒng)、復(fù)雜的應(yīng)用程序之初人們不能認(rèn)識所有的問題，失誤和考慮不周在所難免。再次，安全技術(shù)保障手段的欠缺需要風(fēng)險評估。當(dāng)前我國電子政務(wù)系統(tǒng)信息安全建設(shè)，在整體安全系統(tǒng)、內(nèi)部網(wǎng)絡(luò)安全監(jiān)控與防范、智能與主動性安全防范體系、全面集中安全管理策略平臺定制等方面，都有很多不足之處，迫切需要進(jìn)行信息系統(tǒng)風(fēng)險評估來發(fā)現(xiàn)弱點彌補不足。

2 電子政務(wù)系統(tǒng)風(fēng)險評估要素的提取原則和方法

電子政務(wù)系統(tǒng)安全的風(fēng)險評估是一個復(fù)雜的過程，它涉及系統(tǒng)中物理環(huán)境、管理體系、主機安全、網(wǎng)絡(luò)安全和應(yīng)急體系等方面。要在這么廣泛的范圍內(nèi)對一個復(fù)雜的系統(tǒng)進(jìn)行全面的風(fēng)險評估，就需要對系統(tǒng)有一個非常全面的了解，對系統(tǒng)構(gòu)架和運行模式有一個清醒的認(rèn)識。可見，要做到這一點就需要進(jìn)行廣泛的調(diào)研和實踐調(diào)查，深入系統(tǒng)內(nèi)部，運用多種科學(xué)手段來獲得信息。

2.1評估要素的提取原則

評估要素提取是指通過各種方式獲取風(fēng)險評估所需要的信息。評估要素提取是保證風(fēng)險評估得以正常運行的基礎(chǔ)和前提。評估要素提取成功與否，直接關(guān)系到整個風(fēng)險評估工作和安全信息管理工作的質(zhì)量。為了保證所獲取信息的質(zhì)量，應(yīng)堅持以下原則：

一是準(zhǔn)確性原則。該原則要求所收集到的信息要真實、可靠，這是信息收集工作的最基本要求；二是全面性原則。該原則要求所搜集到的信息要廣泛、全面完整；三是時效性原則。信息的利用價值取決于該信息是否能及時地提供，即具備時性。

2.2 評估要素提取的方法

信息系統(tǒng)風(fēng)險評估中涉及到的多種因素包括資產(chǎn)、威脅、漏洞和安全措施。信息系統(tǒng)的資產(chǎn)包括數(shù)據(jù)資產(chǎn)、軟件、人員、硬件和服務(wù)資產(chǎn)等。資產(chǎn)的價值由固有價值、它所受傷害的近期影響和長期結(jié)果所組成。目前使用的風(fēng)險評估方法大多需要對多種形式資產(chǎn)進(jìn)行綜合評估，所獲取的信息范圍應(yīng)包含全部的上述內(nèi)容，只有這樣，其結(jié)果才是有效全面的。同時，評估時還要考慮：考慮業(yè)務(wù)中的關(guān)鍵部分，將其重點考慮起來。第二，哪些關(guān)于資產(chǎn)的重要決定取決于信息的準(zhǔn)確度、完整性或可用性，以及要對那些資產(chǎn)信息加以重點保護(hù)。第三必須要考慮安全時間會對業(yè)務(wù)或者組織的資產(chǎn)產(chǎn)生哪些影響，如信息資產(chǎn)的購買價值，信息資產(chǎn)的損毀對政府形象的負(fù)面影響程度，信息資產(chǎn)的損毀程度對政府長期規(guī)劃和遠(yuǎn)景發(fā)展的影響等等。

2.3 電子政務(wù)系統(tǒng)安全風(fēng)險評估的流程及實施

2.3.1電子政務(wù)系統(tǒng)安全的評估流程

電子政務(wù)系統(tǒng)安全的風(fēng)險評估是組織機構(gòu)確定信息安全需求的過程，包括環(huán)境特性評估、資產(chǎn)識別與評價、威脅和弱點評估、控制措施評估、風(fēng)險認(rèn)定等在內(nèi)的一系列活動。

2.3.2 電子政務(wù)系統(tǒng)安全風(fēng)險評估的實施

電子政務(wù)系統(tǒng)安全的風(fēng)險評估是一項復(fù)雜的工程，除了應(yīng)遵循一定的流程外，選擇合理的方法也很重要。為了使風(fēng)險評估全面、準(zhǔn)確、真實地反映系統(tǒng)的安全狀態(tài)，在實施風(fēng)險評估過程中需要采用多種方法。評估流程實施過程如信息網(wǎng)絡(luò)安全技術(shù)測評是電子政務(wù)系統(tǒng)安全測評的重要手段，許多安全控制項都必須借助于技術(shù)手段來實現(xiàn)，但是單獨依靠技術(shù)測評還不能全面系統(tǒng)的分析電子政務(wù)系統(tǒng)的安全。實踐經(jīng)驗證明，僅有安全技術(shù)防范，而無嚴(yán)格的安全管理體系是難以保障系統(tǒng)的安全的。因此在測評中我們必須對被測評方制訂的一系列安全管理制度進(jìn)行測評。信息安全管理的測評可以單獨進(jìn)行也可以穿插到技術(shù)測評當(dāng)中。隨著信息技術(shù)的發(fā)展，信息安全測評工程師面臨越來越多的挑戰(zhàn)，為提高測評能力和效率，應(yīng)充分的發(fā)揮主觀能動性，利用各種現(xiàn)有的各種安全測試工具，開發(fā)安全測試工具、報告生成工具等。信息安全測評機構(gòu)以及電子政務(wù)系統(tǒng)的運行、維護(hù)方必須共同努力，為我國的信息化發(fā)展保駕護(hù)航。

第一，參與系統(tǒng)實踐。系統(tǒng)實踐是獲得信息系統(tǒng)真實可靠信息的最重要手段。系統(tǒng)實踐是指深入信息系統(tǒng)內(nèi)部，親自參與系統(tǒng)的運行，并運用觀察、操作等方法直接從信息系統(tǒng)中了解情況，收集資料和數(shù)據(jù)的活動。第二，問卷調(diào)查。問卷調(diào)查表是通過問題表的形式，事先將需要了解的問題列舉出來，通過讓信息系統(tǒng)相關(guān)人員回答相關(guān)問題而獲取信息的一種有效方式。現(xiàn)在的信息獲取經(jīng)常利用這種方式，它具有實施方便，操作方便，所需費用少，分析簡潔、明快等特點，所以得到了廣泛的應(yīng)用。但是它的靈活性較少，得到的信息有時不太清楚，具有一定的模糊性，信息深度不夠等；還需要其他的方式來配合和補充。第三，輔助工具的使用，在信息系統(tǒng)中，網(wǎng)絡(luò)安全狀況、主機安全狀況等難以用眼睛觀察出來，需要借助優(yōu)秀的網(wǎng)絡(luò)和系統(tǒng)檢測工具來監(jiān)測。輔助工具能夠發(fā)現(xiàn)系統(tǒng)的某些內(nèi)在的弱點，以及在配置上可能存在的威脅系統(tǒng)安全的錯誤，這些因素很可能就是破壞目標(biāo)主機安全性的關(guān)鍵性因素。輔助工具能幫助發(fā)現(xiàn)系統(tǒng)中的安全隱患，但并不能完全代替人做所有的工作，而且掃描的結(jié)果往往是不全面的。

參考文獻(xiàn)

[1] 閆強，陳鐘，段云所，等.信息安全評估標(biāo)準(zhǔn)、技術(shù)及其進(jìn)展[J].計算機工程，2003

篇5

隨著現(xiàn)代化科學(xué)技術(shù)在電子政務(wù)系統(tǒng)中的應(yīng)用，電子政務(wù)得到了一定的完善，可是依然存在相應(yīng)的問題需要解決。所以本文主要針對電子政務(wù)里面信息安全保密管理相關(guān)問題，從電子政務(wù)安全保密管理的需求、面臨的威脅以及特性等進(jìn)行系統(tǒng)地剖析，同時借鑒國外的一些安全保密管理具體理論經(jīng)驗，從信息安全的角度，找出可以解決電子政務(wù)安全保密管理問題的一些有效途徑。 

2 電子政務(wù)發(fā)展現(xiàn)狀以及概念 

2.1 電子政務(wù)信息安全保密管理階段 

目前，可以將我國電子政務(wù)中的信息安全保密管理分成三個階段：（1）實現(xiàn)全自動化辦公，應(yīng)用的工具主要是Office軟件以及臺式計算機，把原來的手寫形式變成了電子輸入，使辦公操作能夠更加快捷和方便；（2）把Internet當(dāng)做主要客戶端，不同用戶、不同行業(yè)以及不同終端等都可以貫通交互，使信息交換以及資源共用范圍可以更加廣泛，顯著提升了以前的工作效率；（3）以外部網(wǎng)絡(luò)以及內(nèi)部網(wǎng)絡(luò)共同建立的電子政務(wù)信息為中心。 

2.2 電子政務(wù)具體概念和相應(yīng)的保密要求 

所謂電子政務(wù)就是指國家政府機構(gòu)通過現(xiàn)代信息技術(shù)以及通信功能進(jìn)行政務(wù)信息交流的手段，利用網(wǎng)絡(luò)技術(shù)使管理工作以及服務(wù)在這一領(lǐng)域更加深化，從而產(chǎn)生的一種信息交流方式，就是為了優(yōu)化重組政府內(nèi)部具體工作流程以及組織結(jié)構(gòu)，使其不再受到時間以及部門和空間的分隔限制，讓政府能夠有效地和更加誠信地進(jìn)行行政管理，使管理環(huán)節(jié)更加精簡，為社會提供更加優(yōu)質(zhì)、透明、規(guī)范、全面的管理以及服務(wù)。我國《保密法》是在2010 年重新修訂并且正式實施的，其中就進(jìn)行了規(guī)定，以保證國家秘密安全為工作前提，合理應(yīng)用相應(yīng)的電子網(wǎng)絡(luò)信息。和發(fā)達(dá)國家相比，我國信息產(chǎn)業(yè)發(fā)展以及信息技術(shù)水平還比較落后，雖然有些安全軟件可以對電子政務(wù)起到一定的防御作用，同時，也必須考慮安全軟件所具有的性能是否與電子政務(wù)的國情相符。 

3 電子政務(wù)信息具體安全保密風(fēng)險和相應(yīng)的防范措施 

3.1 網(wǎng)絡(luò)技術(shù)安全所具有的脆弱性 

如果基礎(chǔ)設(shè)施沒有達(dá)到國家標(biāo)準(zhǔn)，那么網(wǎng)絡(luò)就不能夠正常運行，所以對電子政務(wù)中的基礎(chǔ)設(shè)施進(jìn)行完善是非常關(guān)鍵的。網(wǎng)絡(luò)平臺里面的數(shù)據(jù)傳輸具有非常大的風(fēng)險，所以應(yīng)該進(jìn)行加密管理，比如，如果不可以有效阻攔黑客竊聽，就會導(dǎo)致內(nèi)部信息泄露。正常運行中，如果沒有安全軟件進(jìn)行防護(hù)，就一定會被入侵，而終端數(shù)據(jù)庫以及網(wǎng)絡(luò)邊界業(yè)也均會面臨非常大的風(fēng)險，所以應(yīng)該通過安全保密措施來對這些風(fēng)險進(jìn)行防范。