探究電子政務信息安全風險的來源、評估及管理辦法

汪歡 江蘇省高新技術創業服務中心

探究電子政務信息安全風險的來源、評估及管理辦法

汪歡 江蘇省高新技術創業服務中心

電子政務信息能夠很好的反映國家行政機關和公眾服務的實際信息，信息的可靠性和安全性與國計民生息息相關。信息安全風險評估則是保障電子政務信息安全的重要措施，直接影響到國家各級行政機關的正常運行。對電子政務信息安全風險的來源、評估以及管理辦法進行研究，這對于國內電子政務信息安全風險的控制有著好的借鑒意義。

電子政務 評估 管理辦法

1 電子政務信息安全風險的來源

電子政務的建立以互聯網為基礎，其運作也以互聯網為基礎。而在互聯網中運作本身就存在一定的風險，如信息泄漏、黑客入侵等。由于電子政務對互聯網的依賴性，使得電子政務信息安全風險存在著多層次性的特性。要想對其信息安全風險進行有效掌控，就必須從其根源進行控制。

2 電子政務信息安全風險的評估

信息安全風險評估是指依據國家風險評估有關管理要求和技術標準，對信息系統及由其存儲、處理和傳輸信息的機密性、完整性和可用性等安全屬性進行科學公正的綜合評價過程。它是建立信息安全保障機制的一種科學方法。對信息系統來說，存在風險并不意味著不安全，只要將風險控制在可以接受的范圍內就能達到系統穩定、安全運行的目的。在規劃階段，風險評估是安全需求的來源，為系統安全建設提供依據；在運行階段，信息系統的動態性要求定期進行風險評估以便及時掌握系統安全狀態，所以風險評估也是保證系統安全的動態措施。

2.1 風險評估的幾種基本方法

目前，電子政務信息安全風險評估常用方法主要有三種：第一，定量評估。指運用數量指標來對風險進行評估。優點是傳遞信息量大；缺點是量化使本來比較復雜的事物簡單化模糊化了，導致某些風險因素被誤解或曲解。第二，定性評估。主要依據研究者的知識、經驗、歷史教訓、政策走向及特殊變例等非量化資料對系統風險狀況做出判斷。優點是可以挖掘一些蘊藏很深的思想，使評估結論更全面深刻；但其主觀性很強，對評估者本身的要求很高。第三，定性與定量相結合。風險評估是一個復雜的過程，需要考慮的因素很多，有些可以用量化的形式表達，而對有些要素的量化又是很困難甚至是不可能的，所以應采用定性與定量相結合的評估方法。定量分析是定性分析的基礎和前提，定性分析則是靈魂，是形成概念、觀點和得出結論所必須依靠的。

2.2 電子政務信息安全風險評估方法

在電子政務風險評估中，OCTAVE方法應用較多，但它不太靈活，實施過程中只提供一種原則，選擇一個目標，建立一個工作小組。一旦選取了某種原則，其他工作組也必須使用這個原則去處理它們所面對的問題，但每個小組的運行模式不同，注重點也會不同。杜人杰改進了OCTAVE方法，結合AHP與FTA提出了電子政務信息安全的三元集成方法。湯志偉提出采用“可操作的關鍵威脅、資產和弱點評估”模型作為理論依據，利用層次分析法確定權數，以主觀概率來描述指標的隸屬度，建立了電子政務信息系統風險的模糊綜合評估方法。

3 電子政務信息安全風險管理辦法

3.1 樹立政務安全基本觀念，避免進入“絕對安全”誤區

安全的界定隨著時間、地點的不同而變化，信息安全是一種沒有底線的風險游戲。對電子政務而言，系統的安全策略不可能保證絕對安全，因為對任何技術或安全策略來講，給人足夠的時間都是可以攻破的。因而，在進行電子政務安全建設和管理中首先要樹立相對的安全觀，在現有條件下可以保證該保護的系統和信息資源的安全就是最好的安全。盲目追求“絕對的安全”，到頭來既會造成投資浪費，也無法發揮安全系統的最好效用。

3.2 加強政府部門管理職能，保障信息安全管理有效性

政府相關部門應聯合制訂信息化建設的網絡與信息安全專項資金政策，保證信息安全投資應占總投資10%左右；同時由政府制定強制性的網絡與信息安全裝備監督檢查政策，全方面地對信息安全服務商的資質能力制訂相應標準與監管措施，嚴格把控信息安全資質認證。

3.3 全面提高用戶自身管理水平，減少信息風險入侵

各部門各單位用戶是信息化建設的主體，也是信息安全保障體系建設的主體，能否全面提高用戶信息安全管理水平，決定著信息安全保障體系能否真正建成。要通過政府引導，有關部門宣傳教育和加強管理，促進各類用戶建立信息安全管理機構，認真執行國家有關政策法規，培養技術人員，選擇合格服務商等，全面提高其安全管理水平。所以，培養大批高素質信息安全人才顯得尤其重要。

4 結束語

隨著信息化的不斷推進和互聯網在全球范圍的迅速發展和廣泛應用，信息安全在信息技術的提高和對抗中不斷得到發展和充實，信息安全問題將會伴隨著我國信息化發展的不斷深入一直客觀存在下去。電子政務作為我國信息化發展的重要領域，關系著國家安全、社會穩定和廣大群眾的切身利益。電子政務風險管理需要從成本效益平衡的角度，從所屬保護等級的角度，從政務系統發展程度等多方面綜合考慮，以建立適合自身和現狀的風險管理體系。

[1]劉瑛,薛剛,徐偉群.電子政務信息安全保障研究[J].江蘇通信.2012(04)

[2] 陳江.電子政務信息安全評估與防御研究[J].現代教育. 2012(09)[3] 蔣維梁.信息時代計算機電子商務的安全策略分析[J].中國商貿.2012(31)

[4] 王曉端,王麗.探析電子政務信息安全保障體系的構建[J].中小企業管理與科技(下旬刊). 2011(02)

[5] 王曉梅.淺談電子政務環境下電子文件信息安全[J].江淮水利科技. 2011(04)