探究电子政务信息安全风险的来源、评估及管理办法

时间：2024-05-04

汪欢江苏省高新技术创业服务中心

汪欢江苏省高新技术创业服务中心

电子政务信息能够很好的反映国家行政机关和公众服务的实际信息，信息的可靠性和安全性与国计民生息息相关。信息安全风险评估则是保障电子政务信息安全的重要措施，直接影响到国家各级行政机关的正常运行。对电子政务信息安全风险的来源、评估以及管理办法进行研究，这对于国内电子政务信息安全风险的控制有着好的借鉴意义。

电子政务评估管理办法

1 电子政务信息安全风险的来源

电子政务的建立以互联网为基础，其运作也以互联网为基础。而在互联网中运作本身就存在一定的风险，如信息泄漏、黑客入侵等。由于电子政务对互联网的依赖性，使得电子政务信息安全风险存在着多层次性的特性。要想对其信息安全风险进行有效掌控，就必须从其根源进行控制。

2 电子政务信息安全风险的评估

信息安全风险评估是指依据国家风险评估有关管理要求和技术标准，对信息系统及由其存储、处理和传输信息的机密性、完整性和可用性等安全属性进行科学公正的综合评价过程。它是建立信息安全保障机制的一种科学方法。对信息系统来说，存在风险并不意味着不安全，只要将风险控制在可以接受的范围内就能达到系统稳定、安全运行的目的。在规划阶段，风险评估是安全需求的来源，为系统安全建设提供依据；在运行阶段，信息系统的动态性要求定期进行风险评估以便及时掌握系统安全状态，所以风险评估也是保证系统安全的动态措施。

2.1 风险评估的几种基本方法

目前，电子政务信息安全风险评估常用方法主要有三种：第一，定量评估。指运用数量指标来对风险进行评估。优点是传递信息量大；缺点是量化使本来比较复杂的事物简单化模糊化了，导致某些风险因素被误解或曲解。第二，定性评估。主要依据研究者的知识、经验、历史教训、政策走向及特殊变例等非量化资料对系统风险状况做出判断。优点是可以挖掘一些蕴藏很深的思想，使评估结论更全面深刻；但其主观性很强，对评估者本身的要求很高。第三，定性与定量相结合。风险评估是一个复杂的过程，需要考虑的因素很多，有些可以用量化的形式表达，而对有些要素的量化又是很困难甚至是不可能的，所以应采用定性与定量相结合的评估方法。定量分析是定性分析的基础和前提，定性分析则是灵魂，是形成概念、观点和得出结论所必须依靠的。

2.2 电子政务信息安全风险评估方法

在电子政务风险评估中，OCTAVE方法应用较多，但它不太灵活，实施过程中只提供一种原则，选择一个目标，建立一个工作小组。一旦选取了某种原则，其他工作组也必须使用这个原则去处理它们所面对的问题，但每个小组的运行模式不同，注重点也会不同。杜人杰改进了OCTAVE方法，结合AHP与FTA提出了电子政务信息安全的三元集成方法。汤志伟提出采用“可操作的关键威胁、资产和弱点评估”模型作为理论依据，利用层次分析法确定权数，以主观概率来描述指标的隶属度，建立了电子政务信息系统风险的模糊综合评估方法。

3 电子政务信息安全风险管理办法

3.1 树立政务安全基本观念，避免进入“绝对安全”误区

安全的界定随着时间、地点的不同而变化，信息安全是一种没有底线的风险游戏。对电子政务而言，系统的安全策略不可能保证绝对安全，因为对任何技术或安全策略来讲，给人足够的时间都是可以攻破的。因而，在进行电子政务安全建设和管理中首先要树立相对的安全观，在现有条件下可以保证该保护的系统和信息资源的安全就是最好的安全。盲目追求“绝对的安全”，到头来既会造成投资浪费，也无法发挥安全系统的最好效用。

3.2 加强政府部门管理职能，保障信息安全管理有效性

政府相关部门应联合制订信息化建设的网络与信息安全专项资金政策，保证信息安全投资应占总投资10%左右；同时由政府制定强制性的网络与信息安全装备监督检查政策，全方面地对信息安全服务商的资质能力制订相应标准与监管措施，严格把控信息安全资质认证。

3.3 全面提高用户自身管理水平，减少信息风险入侵

各部门各单位用户是信息化建设的主体，也是信息安全保障体系建设的主体，能否全面提高用户信息安全管理水平，决定着信息安全保障体系能否真正建成。要通过政府引导，有关部门宣传教育和加强管理，促进各类用户建立信息安全管理机构，认真执行国家有关政策法规，培养技术人员，选择合格服务商等，全面提高其安全管理水平。所以，培养大批高素质信息安全人才显得尤其重要。

4 结束语

随着信息化的不断推进和互联网在全球范围的迅速发展和广泛应用，信息安全在信息技术的提高和对抗中不断得到发展和充实，信息安全问题将会伴随着我国信息化发展的不断深入一直客观存在下去。电子政务作为我国信息化发展的重要领域，关系着国家安全、社会稳定和广大群众的切身利益。电子政务风险管理需要从成本效益平衡的角度，从所属保护等级的角度，从政务系统发展程度等多方面综合考虑，以建立适合自身和现状的风险管理体系。

[1]刘瑛,薛刚,徐伟群.电子政务信息安全保障研究[J].江苏通信.2012(04)

[2] 陈江.电子政务信息安全评估与防御研究[J].现代教育. 2012(09)[3] 蒋维梁.信息时代计算机电子商务的安全策略分析[J].中国商贸.2012(31)

[4] 王晓端,王丽.探析电子政务信息安全保障体系的构建[J].中小企业管理与科技(下旬刊). 2011(02)

[5] 王晓梅.浅谈电子政务环境下电子文件信息安全[J].江淮水利科技. 2011(04)