試論互聯網新技術新業務安全評估技術在電子政務信息安全評估中的應用

摘要：隨著信息時代的到來，將高端的互聯網技術與政府管理理念結合在一起，便推出了電子政務的發展模式，本身能夠為社會大眾提供更加優質的服務，并保障信息安全。與此同時，在電子政務網絡中，涵蓋大量的核心辦公業務數據、高度敏感的內容以及涉及國家機密的信息，需要依托互聯網新技術新業務安全評估技術，對電子政務的信息安全進行有效的評估，提高系統的運行效率，同時保障服務安全，為推動社會的和諧發展提供堅實的基礎。本文主要研究互聯網新技術新業安全評估技術在電子政務信息安全評估中的應用等相關問題。

關鍵詞：互聯網發展;新技術新業務;安全評估技術;電子政府;信息安全評估

一、引言

電子政務信息安全評估的內容主要包括了解電子政務信息系統面臨的威脅以及是否存在脆弱性，科學分析電子政務系統當中資產的重要程度，并檢測系統的潛在風險和已有風險，將高端的互聯網新技術新業務安全評估技術手段，有效應用于電子政務系統信安全評估工作當中，有利于深度檢驗電子政務系統的安全性，保障信息的完整性和科學性，使整個系統能夠隨著環境的變化逐漸更新，提高電子政務系統的應用效率，為廣大群眾提供更加優質且便利的服務內容，推動社會的和諧發展。

二、概念闡述

（一）互聯網新技術新業務安全評估技術

互聯網新技術新業務安全評估技術是基于《互聯網新技術新業務信息安全評估標準》下，有效識別系統風險評估、信息安全事件評估、信息安全保障能力以及發生信息全事件后能否出具合理對策的一種新型的信息安全管理機制。將互聯網新技術新業務安全評估技術，有效應用于信息評估以及信息安全管理的工作中，首先要求技術人員能夠系統識別并分析互聯網業務和互聯網技術，了解傳統互聯網系統當中存在的信息安全風險。其次，要求技術人員能夠科學評估信息安全事件如果發生后，可能對辦公系統和社會造成的影響。再次，要求技術人員能夠基于企業管理的視角，評估企業配套的信息安全保障能力，能否可以實現預先的風險控制，如果出現了信息安全泄露事故，能否在最短的時間內挽回損失，防止企業出現破產或重組的情況。最后，要求技術人員能夠基于信息安全視角，制定管理對策，為有關單位提供細致的參考意見。

（二）電子政務信息安全

首先，將概念拆解開來，電子政務指的是國家機關在落實政務活動的過程中，全面應用辦公自動化技術、網絡技術以及現代信息技術，進行辦公和社會管理的一種新型的管理模式。在分析電子政務管理范疇的時候，從廣義的角度來講，包括所有的國家機構;從狹義的角度來講，包括處理社會事務及管理國家公共事務的各級行政機關。其次，電子政務安全，指的是保護電子政務系統及其服務不被惡意泄露、破壞和修改，防止電子政務的信息資源和系統資源受自然因素的威脅，以及人為因素的迫害。換句話說，電子政務安全，就是指電子政務系統的安全和信息的安全。通常情況下，影響電子政務安全的因素包括人為和非人為兩個方面，其中人為因素是指電子政務信息資源和系統資源受到內部人員的主動攻擊、被動攻擊等;而非人為的威脅，一般以自然威脅為主，包括火災、地震等自然災害發生后，由于技術的局限，使得電子政務的系統遭到了破壞，包括硬件設備失調或軟件設備停止工作等。

三、互聯網新技術新業務安全評估技術在電子政務信息安全評估中的應用內容

（一）業務應用安全

首先，對電子政務系統中的用戶進行分析。電子政務系統中的用戶評估模塊是由身份信息保護、真實身份鑒別、身份真實性、相關性類型和規模六個評估指標構成的。對于一般的電子政務系統來講，使用的用戶數量越多，系統面臨的風險就越高。與此同時，如果需要臨時變更電子政務系統中的用戶數量或用戶身份，需要及時更新配套的安全保障軟件，對用戶的真實身份和信息進行鑒別，保障整個電子政務系統中使用者的身份能在系統的檔案當中被及時保存，防止電子政務系統中的信息或資源被惡意的篡改和盜取[1]。其次，要對電子政務系統中的信息內容進行評估。評估模塊一般體現在相關性、多樣性和審核性三個指標方向。要求技術人員能夠及時評估系統中信息內容主題，是否與電子政務提供的服務息息相關。如果主題相對多，其風險性就較高。與此同時，還需要利用信息識別技術，對電子政務系統中不合規或過時的信息進行剔除和更換，在評估的過程中落實好安全測試檢查，及時過濾不良信息，并做好敏感詞和敏感句的測試處理。再次，要對電子政務系統中的信息載體和信息生成進行評估。信息載體的評估分為語言類型評估和信息呈現方式評估兩大類，要求技術人員能夠查看電子政務系統公眾信息的呈現形式是否合理且科學。必要情況下，可以利用高端的自動識別技術，對非文本形式的信息內容進行審查和搜索，一旦發現敏感詞或違規詞匯，要立即更換或剔除。在評估電子政務系統中信息生成模塊的時候，要對信息生產方式和信息源進行檢查。尤其針對一些非系統管理成員產生的業務信息，需要對其進行集中且高度的檢索和鑒別，確保遵循前端匿名、后臺實名的原則，防止不知名用戶隨意發布、復制或傳播違規信息甚至違法信息。最后，要評估電子政務系統中的信息傳播和信息存儲模塊。就信息傳播模塊來講，需要對信息傳遞的實時性、通信媒介信息傳播方式以及信息傳播內容進行系統的評估。了解電子政務系統的通信媒介和信息傳播方式。必要情況下，可以根據電子政務系統的規模，成立應急管理小組或設置應急處理方案，以便于對突發事件進行集中的管理。在落實信息存儲模塊評估的時候，需要依照法律法規的要求，對不良的信息和不良的資源進行存留處置，同時要保障電子政務系統的備份恢復功能，提高信息審計、檢索和查詢的便捷性[2]。

（二）業務平臺安全

首先要設置位置分布，要求技術人員在利用互聯網新技術新業務安全評估技術的時候，了解電子政務系統內的網絡結構，并分析系統所涉及的設備，包括節點、機房和服務器等具體的位置分布情況，查看這些設備是否在安全的環境中運行，所配備的數據結構和交互系統是否按照規章制度或處理辦法得到了落實。與此同時，也要查看電子政務核心業務系統相關資質信息。其次，要了解電子政務系統的資源調度方式，確切考察電子政務系統的計算、存儲、數據、寬帶、域名和IP等資源的調度形式，了解該系統業務分配的具體情況以及實施監控記錄等，防止由于資源的浪費，導致信息內容的分配不均衡，影響相關人員的判斷。再次，要考察業務合作成效，要求技術人員在落實電子政務安全評估的過程中，利用相應的評估手段，對電子政務系統的業務合作內容進行系統的考察，了解其保障能力和合規性，查看電子政務系統的信息資源、排列方式以及信息構成是否符合法律法規以及行業標準。尤其當電子政務系統與其他外界組織機構合作的時候，要了解組織機構的經營開辦資質是否合規，是否具有信息安全保障能力，檢驗系統所推行的保障措施機制和管理辦法是否合規合理合。最后，要考察電子政務系統的開放接口，是指電子政務系統為第三方組織機構開啟或提供服務的API接口，如果接口開啟，要求技術人員利用高端的評估手段了解接口的功能、類型、技術和權限等，并依照相應的行業規定，設立安全審核機制和技術保障說明等[3]。

四、互聯網新技術新業務安全評估技術在電子政務信息安全評估中的應用方法和流程

（一）評估方法

首先從人員訪談的角度來講，是指評估人員和電子政務系統的管理人員，通過深度的交流和訪談，了解電子政務系統的基本運行情況。例如電子政務系統的安全策略、信息傳播方式、技術實現手段、市場發展情況以及用戶規模等，便于安全評估人員能夠對電子政務系統風險類型以及風險影響性進行有效的識別。其次，在對電子政務系統進行檢測驗證的時候，需要評估單位能夠成立人員充足的安全評估小組，率先向電子政務系統的管理方申請測試賬號，對電子政務系統的功能模塊進行基本的安全測試，了解該系統能否滿足評估的要求。與此同時，要求評估小組能夠對電子政務系統的用戶登錄注冊模塊進行科學的模擬檢驗，了解用戶的身份功能和真實性。必要時還要檢查電子政務系統的弱口令、開放端口、主機漏洞等，一旦發現嚴重的威脅，需要及時與電子政務系統的管理人員報備，并上交相應的檢驗結果，使測評驗證工作符合規定和程序。最后，在落實文檔審查工作的時候，要求安全評估小組能夠依照電子政務系統的特征出具安全保障文檔。評估人員根據文檔材料，對電子政務系統進行逐點驗查，驗查該系統實際的操作情況是否和文檔中的檢驗內容一致或匹配。例如敏感信息詞庫的更新機制是否合理，日常巡查機制是否安全有效等。條件允許的話，需要出具不良信息詞庫更新記錄表和日常巡查記錄表等[4]。

（二）評估流程

在電子政務信息安全評估工作中，有效地運用互聯網新技術新業務安全評估技術，要求評估人員能夠將細致的評估流程分為三個階段，包括準備階段、實施階段和總結階段。首先，準備階段要求安全評估小組能夠及時了解電子政務系統的基本業務運行情況，收集與電子政務系統運行相關的制度資料，包括總體說明資料、技術資料、管理資料等。其中總體說明資料，要切實介紹電子政務平臺的信息內容、系統的基本結構、對外接口能力以及安全設備手段等。技術資料則包括電子政務系統的安全技術規范、接口規范、業務規范、設備規范和總體技術要求等。管理資料包括電子政務系統的應急管理辦法和不良信息管理辦法等。在評估實施階段，要求安全評估小組能夠對電子政務系統的管理人員，進行系統的調研，通過測評驗證、系統查看和人員訪談等方式，對電子政務的業務風險等級進行多次且深入的識別，了解電子政務系統的安全保障能力和業務對接能力。最后在評估總結階段，要求安全評估小組能夠針對電子政務系統中的安全風險進行系統的識別，了解其安全保障能力，將評估的結果發放給上級監管部門以及電子政務系統的管理人員，然后針對電子政務系統中存在的漏洞進行重點的改良和更新。在必要情況下，可以與電子政務系統的管理組織召開會議，進行風險確認，整理成有效的評估報告材料，并出具科學的風險防控措施和風險防范機制[5]。

五、電子政務信息安全評估工作中互聯網新技術新業務安全評估技術的應用流程

（一）成立電子政務信息安全評估小組

根據電子政務系統業務發展的具體情況，由有關部門選派專業的評估人員成立安全評估小組，負責電子政務系統安全評估的全過程，從最初的預案設計到中期的評估工作實施，再到后期的安全評估總結，需要評估小組能夠全權負責，具體包括第三方合作單位客服部、市場部、業務運營維護部以及業務開發部等。

（二）落實電子政務信息安全評估機制

在對電子政務系統進行業務風險評估的時候，首先有關部門需要準備相應的材料，在召開安全評估會議的基礎上，由評估小組共同對電子政務系統中的信息業務風險進行評判，包括系統的發展運行情況、技術實現方式、信息服務功能等。除此之外，還要了解電子政務系統的安全保障情況，包括應急保障機制是否合理、日常保障機制是否運行得當、制度管理文件是否存在缺失的問題等。

根據電子政務系統具體的業務分布情況，要求安全評估小組能夠制定與業務或服務相適用的安全評估體系，重點考察電子政務系統業務運行安全、業務平臺安全和業務應用安全三方面的信息安全風險。具體來講，需要切實關注電子政務系統設備的分布情況、資源的調度情況以及開放接口的情況等。同時，對電子政務系統的信息存儲方式、信息接收方式、信息傳播方式、信息生成方式等進行科學的管控，了解其業務邏輯構成，一旦發現風險要及時管控并上報，出具合理的評估結果。

（三）評估電子政務系統的安全保障能力

電子政務系統信息評估的每一項指標，都要求安全評估小組能夠通過系統測試、人員訪談和文檔分析的方式，了解系統具體的業務構成和服務運行情況，判斷系統中可能存在的信息安全風險。與此同時，也要求安全評估小組能夠對電子政務系統的安全風險進行匯總和歸類，出具科學有效的分析報告。例如針對每一項細致的評估指標，要求安全評估小組可以通過文檔分析的方式，了解電子政務系統的運行情況。如果發現人為篡改信息，導致信息失真，需要對電子政務系統的安全保障能力進行分析和匯總，并形成評估報告。

（四）推進安全管理體系以及評估技術的創新升級

針對電子政務信息安全問題，需要有關單位依托互聯網新技術新業務安全評估技術，設立完善的安全評估管理體系，并明確其中的管理細則和實施辦法，使安全評估工作能夠朝著規范化和制度化的方向發展。例如，建立以互聯網新業務新技術為基準的線上保障機制，對電子政務系統運行過程中具體的業務內容進行非定期考察，一旦發現問題要出具明確的評估結果，懲處有關的負責人，將安全評估理念納入到電子政務系統開發和運行的實際工作當中，并完善相應的獎懲機制。有關單位在落實互聯網新技術新業務安全評估技術的時候，需要充分了解電子政務信息安全評估的細則內容，推進安全評估技術的創新。

六、結束語

互聯網新技術新業務安全評估技術，在電子政務信息安全評估工作中的有效應用，不僅能夠提高電子政務系統的安全運行，同時也可以為廣大群眾提供更貼心、便利的服務。在實踐中，需要有關單位能夠成立相應的安全評估小組，明確電子政務系統中的信息評估內容，落實好平臺評估和應用評估，選擇準確的評估方法、評估流程，一方面保障電子政務系統的安全運行，另一方面要落實電子政務信息安全評估機制，提高電子政務系統的運行效率。

作者單位：宋光信? ? 浙江安防職業技術學院

參? 考? 文? 獻

[1]胡祥.淺談互聯網新技術新業務安全評估技術在電子政務信息安全評估中的應用[J].科技風，2019（18）：92.

[2]寇金鋒，張云勇，陶冶，等.互聯網新技術新業務安全評估在電信運營商的探索實踐[J].信息通信技術，2018，12（06）：7-11+17.

[3]黎艷青，張賀勛，陳遠平，等互聯網新技術新業務安全評估[J].電子技術與軟件工程，2017（24）：11-12.

[4]熊艷，陳松.淺析互聯網新技術新業務安全風險及安全評估方法[J].科技廣場，2017（05）：108-110.