【摘要】電子政務系統實現了政府組織結構和工作流程的優化，提高政府在行政、經濟和服務方面的效率，但同時也面臨著來自自然環境、物理環境和社會環境等方面的安全風險。電子政務系統一旦出現問題，就會對政府部門和社會公眾產生危害，嚴重的還將對國家安全產生威脅，因此保障電子政務系統安全具有重大意義。

　　【關鍵詞】論文發表最好的網站,電子政務,信息安全,風險評估

　　一、課題的背景與意義

　　隨著計算機技術、通信技術以及互聯網技術的飛速發展，社會信息化進程逐步加快。為滿足新的全球范圍內的數字化生存與競爭環境下，行政管理現代化的發展要求，各國都將電子政務列入了政治工作日程。從上世紀90年代開始，電子政務建設作為今后一個時期我國信息化工作的重點，政府先行，帶動國民經濟和社會發展信息化。電子政務系統作為政府信息化工作的主要平臺，其安全性、一致性、穩定性等方面，比一般信息系統有著更高的要求。而電子政務系統上所承載的信息的特殊性，在網絡開放的條件下，勢必要解決好信息共享與保密性、完整性的關系，開放性與保護隱私的關系，互聯性與局部隔離的關系，才能實現電子政務的安全性。

　　2002年，“法輪功”破壞廣播電視網、首都國際機場離港電腦系統故障等重大安全事故連連發生后，社會各界對信息安全的認識發生了深刻地變化，政府更是啟動了國家信息安全戰略，加強了對互聯網內容安全、網絡監控、網吧、廣播電視網的專項治理，信息安全的技術和產品研究得到迅速發展，在政府投入的拉動下，信息安全產業增長速度大幅度提高，各級政府部門都將信息安全工作作為推行電子政務的重中之重，普遍把信息安全保障系統納入其電子政務建設的總體規劃中。近幾年，我國從政策、安全管理、標準化建設、法律法規上對信息安全工作加大了支持力度。

　　在安全技術方面，我國經歷了從借鑒國外技術到發展自主知識產權技術的發展過程，技術水平不斷提高，各大安全廠商在提供種類安全產品種類的同時，也為其客戶全面的信息安全技術解決方案。近幾年，我國的政務信息化的程度越來越高，經歷了由過去的以文字處理工具為典型的個人辦公階段，到實現了部門繳的數據處理、公文處理等自動化，以 C/S體系結構應用為特征的階段，再到如今普遍使用基于Intemet/Extranet/Intranet技術標準，以B/S體系結構平臺應用階段。其功能從單一的提高個人工作效率到部門內部的協作，發展到部門之間、系統內部，乃至跨系統、跨行業服務于社會的方方面面。作為國家的關鍵基礎設施，電子政務系統已成為關系國計民生的重要信息系統。其安全已經嚴重關系國家安全和社會穩定，關系廣大人民群眾切身利益。

　　由于電子政務系統所承載的信息資源，除了公開發布的政務信息還涉及大量國家機密，隨著我國電子政務系統網絡化和開放程度的進一步加深，一方面面臨著嚴重的外部威脅，隨著我國經濟的持續發展和國際地位的不斷提高，我國的基礎信息網絡和重要信息系統正成為敵對勢力、敵對分子進行攻擊、破壞和恐怖活動的重點目標。因此，建立起對電子政務系統的風險評估方法有著重大意義。

　　二、電子政務系統風險評估的關系模型及分析方法

　　電子政務系統風險評估是依據國家有關的政策法規及信息技術標準，對系統及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學、公正的綜合評估的活動過程。風險評估要求對信息系統的脆弱性、信息系統面臨的威脅以及脆弱性被威脅源利用后所產生的實際負面影響進行評估，并根據安全事件發生的可能性和負面影響的程度來識別信息系統的安全風險。

　　(一)電子政務系統風險評估的關系模型

　　風險評估的出發點是對與風險有關的各因素的確認和分析，各因素之間的關系可以用圖1所示的模型來表示。圖1中的箭頭及標示信息對信息安全風險相關的各類因素之間的關系做出了說明，這些因素之間的主要關系對風險評估的實施方法是很重要的，概述如下：

　　從圖中可以看出，威脅和薄弱點仍是導致系統安全風險增加的關鍵位置。資產擁有的價值越大，則它的安全風險也相對越大。風險控制的目的主要是減少安全風險。威脅因素產生和增加安全風險的過程是：利用系統中的薄弱點實施攻擊(或其他破壞)，從而對資產的價值造成不利影響，導致產生和增加安全風險;薄弱點對風險的增加只能通過威脅對其利用的過程來完成。

　　由此可以看出，威脅和薄弱點增加風險的方式是不同的。對于信息系統內的資產來說，威脅是外部因素，而脆弱性則為系統自身所有，它們相當于矛盾的外因和內因。風險評估的過程就是將這些因素間的關系體現出來，考慮當風險在可以接受的情況下，即使系統面臨威脅，也不需要采取安全措施;如果系統存在某些脆弱點，但還沒有被威脅所利用，這時需要安全措施能夠監控威脅環境，以防止利用該脆弱點的威脅的發生;被采取的安全措施保護資產、減少威脅發生所造成的影響，將殘余風險降低到可接受的程度。研究表明，組織機構的信息系統的安全程度應該要滿足組織機構現在的應用需求;如果顯示組織機構的信息系統存在不可接受的風險，那么就應該對該信息系統的安全措施進行改進，以達到第三種情況的要求。

　　(二)電子政務系統的常用風險分析方法及其比較

　　目前，由于我國信息系統風險的安全評估才剛剛起步，因此我國現在所做的評估工作主要以定性評估為主，而定量分析尚處于研究階段。在風險評估過程中，可以采用多種操作方法，包括基于知識的分析方法、基于模型的分析方法、定性分析和定量分析等等。無論采用何種方法，其共同的目標都是找出組織機構的信息系統面臨的風險及其影響，以及目前該信息系統安全水平與組織機構安全需求之間的差距。

　　1.定量分析方法。定量分析方法的思想是，對構成風險的各個要素和潛在損失的水平賦以數值或貨幣的金額，當度量風險的所有要素(資產價值、威脅可能性、弱點利用程度、安全措施的效率和成本等)都被賦值，風險評估的整個過程和結果就可以量化。

　　從定量分析的過程中可以發現，最為關鍵的是對威脅事件發生的可能性和威脅事件可能引起的損失的量化。從理論上看，通過定量分析可以對安全風險進行準確的分級，能夠獲得很好的風險評估結果。但是，對安全風險進行準確分級的前提是保證可供參考的數據指標正確，而對于信息系統日益復雜多變的今天，這個前提是很難得到保證的。由于數據統計缺乏長期性，計算過程又極易出錯，定量分析的細化非常困難，所以目前風險評估分析很少完全只用定量的分析方法進行分析。

　　2.定性分析方法。定性分析方法是目前采用最為廣泛的一種方法，它需要憑借評估分析者的經驗、知識和直覺，結合標準和慣例，為風險評估要素的大小或高低程度定性分級，帶有很強的主觀性。定性分析的操作方法可以多種多樣，包括小組討論(如Del Dhi方法)、檢查列表、問卷、人員訪談、調查等。定性分析操作起來相對容易，但可能會因為評估分析者在經驗和直覺上的偏差而使分析結果失準。

　　三、結語

　　電子政務是一個要求高可靠性、高安全性運作的復雜的服務性系統工程。要從系統建設周期全過程角度考慮物理層、網絡層、系統層、應用層、管理層五個層次的弱點、威脅、風險、對策等安全問題。要合理使用多種信息安全策略，力爭在有限的投入下最大限度地降低安全風險。加強技術安全與安全教育，只有信息安全技術與安全教育有機結合，政府信息資源才能被充分而合理地共享，并發揮其應有的作用。