探究電子政務(wù)信息安全風(fēng)險(xiǎn)的來源、評估及管理辦法

汪歡 江蘇省高新技術(shù)創(chuàng)業(yè)服務(wù)中心

探究電子政務(wù)信息安全風(fēng)險(xiǎn)的來源、評估及管理辦法

汪歡 江蘇省高新技術(shù)創(chuàng)業(yè)服務(wù)中心

電子政務(wù)信息能夠很好的反映國家行政機(jī)關(guān)和公眾服務(wù)的實(shí)際信息，信息的可靠性和安全性與國計(jì)民生息息相關(guān)。信息安全風(fēng)險(xiǎn)評估則是保障電子政務(wù)信息安全的重要措施，直接影響到國家各級行政機(jī)關(guān)的正常運(yùn)行。對電子政務(wù)信息安全風(fēng)險(xiǎn)的來源、評估以及管理辦法進(jìn)行研究，這對于國內(nèi)電子政務(wù)信息安全風(fēng)險(xiǎn)的控制有著好的借鑒意義。

電子政務(wù) 評估 管理辦法

1 電子政務(wù)信息安全風(fēng)險(xiǎn)的來源

電子政務(wù)的建立以互聯(lián)網(wǎng)為基礎(chǔ)，其運(yùn)作也以互聯(lián)網(wǎng)為基礎(chǔ)。而在互聯(lián)網(wǎng)中運(yùn)作本身就存在一定的風(fēng)險(xiǎn)，如信息泄漏、黑客入侵等。由于電子政務(wù)對互聯(lián)網(wǎng)的依賴性，使得電子政務(wù)信息安全風(fēng)險(xiǎn)存在著多層次性的特性。要想對其信息安全風(fēng)險(xiǎn)進(jìn)行有效掌控，就必須從其根源進(jìn)行控制。

2 電子政務(wù)信息安全風(fēng)險(xiǎn)的評估

信息安全風(fēng)險(xiǎn)評估是指依據(jù)國家風(fēng)險(xiǎn)評估有關(guān)管理要求和技術(shù)標(biāo)準(zhǔn)，對信息系統(tǒng)及由其存儲(chǔ)、處理和傳輸信息的機(jī)密性、完整性和可用性等安全屬性進(jìn)行科學(xué)公正的綜合評價(jià)過程。它是建立信息安全保障機(jī)制的一種科學(xué)方法。對信息系統(tǒng)來說，存在風(fēng)險(xiǎn)并不意味著不安全，只要將風(fēng)險(xiǎn)控制在可以接受的范圍內(nèi)就能達(dá)到系統(tǒng)穩(wěn)定、安全運(yùn)行的目的。在規(guī)劃階段，風(fēng)險(xiǎn)評估是安全需求的來源，為系統(tǒng)安全建設(shè)提供依據(jù)；在運(yùn)行階段，信息系統(tǒng)的動(dòng)態(tài)性要求定期進(jìn)行風(fēng)險(xiǎn)評估以便及時(shí)掌握系統(tǒng)安全狀態(tài)，所以風(fēng)險(xiǎn)評估也是保證系統(tǒng)安全的動(dòng)態(tài)措施。

2.1 風(fēng)險(xiǎn)評估的幾種基本方法

目前，電子政務(wù)信息安全風(fēng)險(xiǎn)評估常用方法主要有三種：第一，定量評估。指運(yùn)用數(shù)量指標(biāo)來對風(fēng)險(xiǎn)進(jìn)行評估。優(yōu)點(diǎn)是傳遞信息量大；缺點(diǎn)是量化使本來比較復(fù)雜的事物簡單化模糊化了，導(dǎo)致某些風(fēng)險(xiǎn)因素被誤解或曲解。第二，定性評估。主要依據(jù)研究者的知識、經(jīng)驗(yàn)、歷史教訓(xùn)、政策走向及特殊變例等非量化資料對系統(tǒng)風(fēng)險(xiǎn)狀況做出判斷。優(yōu)點(diǎn)是可以挖掘一些蘊(yùn)藏很深的思想，使評估結(jié)論更全面深刻；但其主觀性很強(qiáng)，對評估者本身的要求很高。第三，定性與定量相結(jié)合。風(fēng)險(xiǎn)評估是一個(gè)復(fù)雜的過程，需要考慮的因素很多，有些可以用量化的形式表達(dá)，而對有些要素的量化又是很困難甚至是不可能的，所以應(yīng)采用定性與定量相結(jié)合的評估方法。定量分析是定性分析的基礎(chǔ)和前提，定性分析則是靈魂，是形成概念、觀點(diǎn)和得出結(jié)論所必須依靠的。

2.2 電子政務(wù)信息安全風(fēng)險(xiǎn)評估方法

在電子政務(wù)風(fēng)險(xiǎn)評估中，OCTAVE方法應(yīng)用較多，但它不太靈活，實(shí)施過程中只提供一種原則，選擇一個(gè)目標(biāo)，建立一個(gè)工作小組。一旦選取了某種原則，其他工作組也必須使用這個(gè)原則去處理它們所面對的問題，但每個(gè)小組的運(yùn)行模式不同，注重點(diǎn)也會(huì)不同。杜人杰改進(jìn)了OCTAVE方法，結(jié)合AHP與FTA提出了電子政務(wù)信息安全的三元集成方法。湯志偉提出采用“可操作的關(guān)鍵威脅、資產(chǎn)和弱點(diǎn)評估”模型作為理論依據(jù)，利用層次分析法確定權(quán)數(shù)，以主觀概率來描述指標(biāo)的隸屬度，建立了電子政務(wù)信息系統(tǒng)風(fēng)險(xiǎn)的模糊綜合評估方法。

3 電子政務(wù)信息安全風(fēng)險(xiǎn)管理辦法

3.1 樹立政務(wù)安全基本觀念，避免進(jìn)入“絕對安全”誤區(qū)

安全的界定隨著時(shí)間、地點(diǎn)的不同而變化，信息安全是一種沒有底線的風(fēng)險(xiǎn)游戲。對電子政務(wù)而言，系統(tǒng)的安全策略不可能保證絕對安全，因?yàn)閷θ魏渭夹g(shù)或安全策略來講，給人足夠的時(shí)間都是可以攻破的。因而，在進(jìn)行電子政務(wù)安全建設(shè)和管理中首先要樹立相對的安全觀，在現(xiàn)有條件下可以保證該保護(hù)的系統(tǒng)和信息資源的安全就是最好的安全。盲目追求“絕對的安全”，到頭來既會(huì)造成投資浪費(fèi)，也無法發(fā)揮安全系統(tǒng)的最好效用。

3.2 加強(qiáng)政府部門管理職能，保障信息安全管理有效性

政府相關(guān)部門應(yīng)聯(lián)合制訂信息化建設(shè)的網(wǎng)絡(luò)與信息安全專項(xiàng)資金政策，保證信息安全投資應(yīng)占總投資10%左右；同時(shí)由政府制定強(qiáng)制性的網(wǎng)絡(luò)與信息安全裝備監(jiān)督檢查政策，全方面地對信息安全服務(wù)商的資質(zhì)能力制訂相應(yīng)標(biāo)準(zhǔn)與監(jiān)管措施，嚴(yán)格把控信息安全資質(zhì)認(rèn)證。

3.3 全面提高用戶自身管理水平，減少信息風(fēng)險(xiǎn)入侵

各部門各單位用戶是信息化建設(shè)的主體，也是信息安全保障體系建設(shè)的主體，能否全面提高用戶信息安全管理水平，決定著信息安全保障體系能否真正建成。要通過政府引導(dǎo)，有關(guān)部門宣傳教育和加強(qiáng)管理，促進(jìn)各類用戶建立信息安全管理機(jī)構(gòu)，認(rèn)真執(zhí)行國家有關(guān)政策法規(guī)，培養(yǎng)技術(shù)人員，選擇合格服務(wù)商等，全面提高其安全管理水平。所以，培養(yǎng)大批高素質(zhì)信息安全人才顯得尤其重要。

4 結(jié)束語

隨著信息化的不斷推進(jìn)和互聯(lián)網(wǎng)在全球范圍的迅速發(fā)展和廣泛應(yīng)用，信息安全在信息技術(shù)的提高和對抗中不斷得到發(fā)展和充實(shí)，信息安全問題將會(huì)伴隨著我國信息化發(fā)展的不斷深入一直客觀存在下去。電子政務(wù)作為我國信息化發(fā)展的重要領(lǐng)域，關(guān)系著國家安全、社會(huì)穩(wěn)定和廣大群眾的切身利益。電子政務(wù)風(fēng)險(xiǎn)管理需要從成本效益平衡的角度，從所屬保護(hù)等級的角度，從政務(wù)系統(tǒng)發(fā)展程度等多方面綜合考慮，以建立適合自身和現(xiàn)狀的風(fēng)險(xiǎn)管理體系。

[1]劉瑛,薛剛,徐偉群.電子政務(wù)信息安全保障研究[J].江蘇通信.2012(04)

[2] 陳江.電子政務(wù)信息安全評估與防御研究[J].現(xiàn)代教育. 2012(09)[3] 蔣維梁.信息時(shí)代計(jì)算機(jī)電子商務(wù)的安全策略分析[J].中國商貿(mào).2012(31)

[4] 王曉端,王麗.探析電子政務(wù)信息安全保障體系的構(gòu)建[J].中小企業(yè)管理與科技(下旬刊). 2011(02)

[5] 王曉梅.淺談電子政務(wù)環(huán)境下電子文件信息安全[J].江淮水利科技. 2011(04)