論電子政務信息安全風險的來源、評估及管理

摘要：電子政務信息安全風險既來源于網絡本身，也滋生于電子政務的特殊性。這些風險對政務運行、信息傳遞以及電子文檔的存儲都構成了威脅，因此，對電子政務信息安全風險進行科學評估，從多方面進行有效的防御顯得非常重要。

關鍵詞：電子信息安全；電子政務；風險評估；風險管理

一、電子政務信息安全風險的來源

以Internet為代表的計算機網絡本身就存在安全隱患是毋庸置疑的，加之電子政務系統對Internet的依賴性及其自身的特殊性決定了其安全問題的多層次性、重要性和迫切性。

二、電子政務信息安全風險的評估

（一）風險評估的幾種基本方法

第一，定量評估方法。定量的評估方法是指運用數量指標來對風險進行評估。定量方法的優點是，傳遞的信息量大。其缺點是，量化使本來比較復雜的事物簡單化、模糊化了，有的風險因素被量化以后還可能被誤解和曲解。第二，定性評估方法。定性的評估方法主要依據研究者的知識、經驗、歷史教訓、政策走向及特殊變例等非量化資料對系統風險狀況做出判斷的過程。定性評估方法的優點是可以挖掘出一些蘊藏很深的思想，使評估的結論更全面、更深刻；但它的主觀性很強，對評估者本身的要求很高。第三，定性與定量相結合的綜合評估方法。風險評估是一個復雜的過程，需要考慮的因素很多，有些評估要素是可以用量化的形式來表達，而對有些要素的量化又是很困難甚至是不可能的，所以應采用定性與定量相結合的評估方法。定量分析是定性分析的基礎和前提，定性分析則是靈魂，是形成概念、觀點和得出結論所必須依靠的。

三種風險評估的分析方法如下圖所示：

（二）電子政務信息安全風險評估方法

在電子政務風險評估中，OCTAVE方法得到較多應用。然而，OCTAVE是一個相對不太靈活的評估方法。在此方法的實施過程中，只提供一種原則，選擇一個目標，建立一個工作小組。一旦選取了原則，其他的工作組也必須使用已經存在的原則去處理他們所面對的問題。然而每一個小組的運行模式也許是不同的，一些會注重數量，而另一些會注重質量。杜人杰以改進的OCTAVE方法為起點，結合AHP與FTA提出了電子政務信息安全的三元集成方法，對單純的OCTAVE方法進行了改進。湯志偉提出采用“可操作的關鍵威脅、資產和弱點評估”模型作為理論依據，利用層次分析法確定權數，以主觀概率來描述指標的隸屬度，建立了電子政務信息系統風險的模糊綜合評估方法。

此外，應用集成的風險研究方法也被應用到電子政務中。此方法將網絡系統中的安全防護分為兩個方面：一是網絡系統中存儲和傳輸的信息數據；二是網絡系統中的各類設備。這樣，既保證了政務業務的正常運行，同時又防止信息數據被非授權訪問者的竊取、篡改和破壞。應用集成的研究方法只是從微觀上進行了評估，將絕大部分注意力主要集中在來自硬件等技術層面的風險，沒有把重點放在管理上。

三、電子政務信息安全風險的管理策略

（一）樹立政務安全的基本觀念，避免進入“絕對安全”的誤區

安全的界定隨著時間、地點的不同而變化，信息安全是一種沒有底線的風險游戲。對電子政務而言，系統的安全策略總不可能保證絕對的安全，因為對任何技術或安全策略來講，給人足夠的時間都是可以攻破的。因而，我們在進行電子政務安全建設和管理中首先要樹立相對的安全觀，在現有條件下可以保證該保護的系統和信息資源的安全就是最好的安全。盲目追求“絕對的安全”，到頭來既會造成投資的浪費，也會使該保護的沒有保護好，無法發揮安全系統的最好效用。

（二）加強政府部門的管理職能，保障信息安全管理的有效性

政府相關部門應當聯合制訂信息化建設的網絡與信息安全專項資金政策，保證信息安全投資應占總投資的 15%-25%之間；同時由政府制定強制性的網絡與信息安全裝備監督檢查政策并進行監督檢查。要全方面地對信息安全服務商的資質能力制訂相應標準與行政監管措施，推行安全服務資質和進入市場的信息安全產品和集成的信息化項目的強制性安全認證。

（三）全面提高用戶自身管理水平，減少信息風險的入侵

各部門、各行業、各單位等用戶是信息化建設的主體，也是網絡與信息安全保障體系建設的主體，能否全面提高用戶信息安全管理的意識和水平，決定著網絡與信息安全保障體系能否真正建成。要通過政府引導，有關執法部門加強管理和宣傳教育，促進各類用戶建立信息安全管理機構，認真執行國家有關政策法規，推行標準化，采用技術措施，制定規章制度，配備和培養有關人員，選擇合格服務商等，全面提高其安全管理水平。鑒于此，建立高水平的研究教育環境，加強信息安全基礎理論研究，培養大批高素質的信息安全人才顯得尤其重要。

（四）重視安全風險分析評估，做到“早發現早治療”

安全利益與風險是整個網絡與信息安全保障體系的核心。只有了解、分析、評估和確定各部門、各行業、各單位的安全利益與風險，包括確定其安全利益與風險的大小，才能有效合理地配置有關技術、管理、人員等資源去實施保護，才能合理確定所利用資源的多少和保護強度的高低等。因此，網絡與信息安全保障體系中最基礎的工作是建立信息安全利益與風險分析評估體制。

參考文獻：

[1]杜人杰.電子政務系統安全風險分析研究[D].電子科技大學，2006.28

[2]湯志偉，高天鵬.采用OCTAVE模型的電子政務信息系統風險評估[J].電子科技大學學報，2009.1