汪歡 江蘇省高新技術創(chuàng)業(yè)服務中心

探究電子政務信息安全風險的來源、評估及管理辦法

汪歡 江蘇省高新技術創(chuàng)業(yè)服務中心

電子政務信息能夠很好的反映國家行政機關和公眾服務的實際信息，信息的可靠性和安全性與國計民生息息相關。信息安全風險評估則是保障電子政務信息安全的重要措施，直接影響到國家各級行政機關的正常運行。對電子政務信息安全風險的來源、評估以及管理辦法進行研究，這對于國內(nèi)電子政務信息安全風險的控制有著好的借鑒意義。

電子政務 評估 管理辦法

1 電子政務信息安全風險的來源

電子政務的建立以互聯(lián)網(wǎng)為基礎，其運作也以互聯(lián)網(wǎng)為基礎。而在互聯(lián)網(wǎng)中運作本身就存在一定的風險，如信息泄漏、黑客入侵等。由于電子政務對互聯(lián)網(wǎng)的依賴性，使得電子政務信息安全風險存在著多層次性的特性。要想對其信息安全風險進行有效掌控，就必須從其根源進行控制。

2 電子政務信息安全風險的評估

信息安全風險評估是指依據(jù)國家風險評估有關管理要求和技術標準，對信息系統(tǒng)及由其存儲、處理和傳輸信息的機密性、完整性和可用性等安全屬性進行科學公正的綜合評價過程。它是建立信息安全保障機制的一種科學方法。對信息系統(tǒng)來說，存在風險并不意味著不安全，只要將風險控制在可以接受的范圍內(nèi)就能達到系統(tǒng)穩(wěn)定、安全運行的目的。在規(guī)劃階段，風險評估是安全需求的來源，為系統(tǒng)安全建設提供依據(jù)；在運行階段，信息系統(tǒng)的動態(tài)性要求定期進行風險評估以便及時掌握系統(tǒng)安全狀態(tài)，所以風險評估也是保證系統(tǒng)安全的動態(tài)措施。

2.1 風險評估的幾種基本方法

目前，電子政務信息安全風險評估常用方法主要有三種：第一，定量評估。指運用數(shù)量指標來對風險進行評估。優(yōu)點是傳遞信息量大；缺點是量化使本來比較復雜的事物簡單化模糊化了，導致某些風險因素被誤解或曲解。第二，定性評估。主要依據(jù)研究者的知識、經(jīng)驗、歷史教訓、政策走向及特殊變例等非量化資料對系統(tǒng)風險狀況做出判斷。優(yōu)點是可以挖掘一些蘊藏很深的思想，使評估結論更全面深刻；但其主觀性很強，對評估者本身的要求很高。第三，定性與定量相結合。風險評估是一個復雜的過程，需要考慮的因素很多，有些可以用量化的形式表達，而對有些要素的量化又是很困難甚至是不可能的，所以應采用定性與定量相結合的評估方法。定量分析是定性分析的基礎和前提，定性分析則是靈魂，是形成概念、觀點和得出結論所必須依靠的。

2.2 電子政務信息安全風險評估方法

在電子政務風險評估中，OCTAVE方法應用較多，但它不太靈活，實施過程中只提供一種原則，選擇一個目標，建立一個工作小組。一旦選取了某種原則，其他工作組也必須使用這個原則去處理它們所面對的問題，但每個小組的運行模式不同，注重點也會不同。杜人杰改進了OCTAVE方法，結合AHP與FTA提出了電子政務信息安全的三元集成方法。湯志偉提出采用“可操作的關鍵威脅、資產(chǎn)和弱點評估”模型作為理論依據(jù)，利用層次分析法確定權數(shù)，以主觀概率來描述指標的隸屬度，建立了電子政務信息系統(tǒng)風險的模糊綜合評估方法。

3 電子政務信息安全風險管理辦法

3.1 樹立政務安全基本觀念，避免進入“絕對安全”誤區(qū)

安全的界定隨著時間、地點的不同而變化，信息安全是一種沒有底線的風險游戲。對電子政務而言，系統(tǒng)的安全策略不可能保證絕對安全，因為對任何技術或安全策略來講，給人足夠的時間都是可以攻破的。因而，在進行電子政務安全建設和管理中首先要樹立相對的安全觀，在現(xiàn)有條件下可以保證該保護的系統(tǒng)和信息資源的安全就是最好的安全。盲目追求“絕對的安全”，到頭來既會造成投資浪費，也無法發(fā)揮安全系統(tǒng)的最好效用。

3.2 加強政府部門管理職能，保障信息安全管理有效性

政府相關部門應聯(lián)合制訂信息化建設的網(wǎng)絡與信息安全專項資金政策，保證信息安全投資應占總投資10%左右；同時由政府制定強制性的網(wǎng)絡與信息安全裝備監(jiān)督檢查政策，全方面地對信息安全服務商的資質(zhì)能力制訂相應標準與監(jiān)管措施，嚴格把控信息安全資質(zhì)認證。

3.3 全面提高用戶自身管理水平，減少信息風險入侵

各部門各單位用戶是信息化建設的主體，也是信息安全保障體系建設的主體，能否全面提高用戶信息安全管理水平，決定著信息安全保障體系能否真正建成。要通過政府引導，有關部門宣傳教育和加強管理，促進各類用戶建立信息安全管理機構，認真執(zhí)行國家有關政策法規(guī)，培養(yǎng)技術人員，選擇合格服務商等，全面提高其安全管理水平。所以，培養(yǎng)大批高素質(zhì)信息安全人才顯得尤其重要。

4 結束語

隨著信息化的不斷推進和互聯(lián)網(wǎng)在全球范圍的迅速發(fā)展和廣泛應用，信息安全在信息技術的提高和對抗中不斷得到發(fā)展和充實，信息安全問題將會伴隨著我國信息化發(fā)展的不斷深入一直客觀存在下去。電子政務作為我國信息化發(fā)展的重要領域，關系著國家安全、社會穩(wěn)定和廣大群眾的切身利益。電子政務風險管理需要從成本效益平衡的角度，從所屬保護等級的角度，從政務系統(tǒng)發(fā)展程度等多方面綜合考慮，以建立適合自身和現(xiàn)狀的風險管理體系。

[1]劉瑛,薛剛,徐偉群.電子政務信息安全保障研究[J].江蘇通信.2012(04)

[2] 陳江.電子政務信息安全評估與防御研究[J].現(xiàn)代教育. 2012(09)[3] 蔣維梁.信息時代計算機電子商務的安全策略分析[J].中國商貿(mào).2012(31)

[4] 王曉端,王麗.探析電子政務信息安全保障體系的構建[J].中小企業(yè)管理與科技(下旬刊). 2011(02)

[5] 王曉梅.淺談電子政務環(huán)境下電子文件信息安全[J].江淮水利科技. 2011(04)