電子政務(wù)的安全風(fēng)險精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的電子政務(wù)的安全風(fēng)險主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：電子政務(wù)的安全風(fēng)險范文

【關(guān)鍵詞】電子政務(wù)系統(tǒng)；安全體系結(jié)構(gòu)；分域防護(hù)

信息技術(shù)的普及與應(yīng)用推動著當(dāng)前電子政務(wù)蓬勃發(fā)展，雖然電子政務(wù)有諸多便利，但也承受著巨大的安全威脅，解決威脅其發(fā)展的安全風(fēng)險，對于電子政務(wù)更好的發(fā)揮服務(wù)優(yōu)勢有積極意義。下面我們在分析電子政務(wù)安全風(fēng)險的基礎(chǔ)上，探討基于分域防護(hù)思想安全體系結(jié)構(gòu)的設(shè)計與建立。

一.電子政務(wù)安全風(fēng)險分析

電子政務(wù)是傳統(tǒng)政務(wù)模式的延伸與轉(zhuǎn)化，事關(guān)國家政務(wù)信息安全，政務(wù)系統(tǒng)運(yùn)行中容易受到來自外界的各類風(fēng)險因素的安全威脅，造成有意或無意的破壞，因此必須加強(qiáng)安全體系建設(shè)，保障信息安全與應(yīng)用安全。電子政務(wù)的安全風(fēng)險主要包括通信風(fēng)險、物理風(fēng)險、應(yīng)用風(fēng)險、管理風(fēng)險、區(qū)域邊界風(fēng)險及其他風(fēng)險等。通信風(fēng)險來自于各類重要數(shù)據(jù)的泄露與丟失，來自通信傳輸線路上的監(jiān)聽與阻攔，數(shù)據(jù)本身完整性、安全性受到攻擊威脅。物理風(fēng)險是電子政務(wù)系統(tǒng)遭受來自自然災(zāi)害如風(fēng)雨雷電地震等破壞，硬件設(shè)備受損造成數(shù)據(jù)都是活著損壞，靜電、強(qiáng)磁場與電磁鐳射等損壞存儲介質(zhì)，數(shù)據(jù)被偷竊或監(jiān)聽。應(yīng)用風(fēng)險是不斷動態(tài)變化的，其所遭受的風(fēng)險如程序后門、病毒威脅與惡意代碼攻擊等都是動態(tài)變化著的。電子政務(wù)系統(tǒng)作為一個復(fù)雜的集成系統(tǒng)，除去需要安全技術(shù)手段予以保駕護(hù)航之外，有效得當(dāng)?shù)墓芾聿拍苁掳牍Ρ?，管理不?dāng)包括口令、密鑰管理不當(dāng)，管理制度不完善造成信息無序運(yùn)行，安全崗位設(shè)置及管理不到位，管理環(huán)節(jié)缺失或遺漏，政務(wù)審計系統(tǒng)與制度不到位等，以上這些管理不當(dāng)都會造成安全風(fēng)險[1]。區(qū)域邊界風(fēng)險是電子政務(wù)系統(tǒng)中不同安全等級區(qū)域之間的最易發(fā)生危險的區(qū)域邊界處，區(qū)域邊界不明確會導(dǎo)致高等級數(shù)據(jù)信息泄露，流向低等級造成泄露，或者邊界防護(hù)漏洞導(dǎo)致用戶非法訪問或竊取高等級區(qū)域信息，損壞數(shù)據(jù)完整性、真實(shí)性與可用性。其他安全風(fēng)險諸如安全意識淡漠、系統(tǒng)運(yùn)行風(fēng)險、信息安全戰(zhàn)略認(rèn)識不足等，都會導(dǎo)致電子政務(wù)系統(tǒng)運(yùn)行威脅。

二、基于分域防護(hù)思想的電子政務(wù)系統(tǒng)安全體系結(jié)構(gòu)設(shè)計

圖1電子政務(wù)安全體系結(jié)構(gòu)

電子政務(wù)系統(tǒng)作為服務(wù)于政府公務(wù)的重要支持系統(tǒng)，安全防護(hù)體系建設(shè)必須兼顧到系統(tǒng)本身的應(yīng)用性、開放性等需求，遵循適度安全原則，解除其面臨安全威脅，將政務(wù)系統(tǒng)劃分為不同安全域，并針對各個安全域特點(diǎn)實(shí)施針對性安全舉措。分域防護(hù)的應(yīng)用有利于明確安全責(zé)任，消除政務(wù)互聯(lián)網(wǎng)開放顧慮與障礙，便于科學(xué)組織與安全建設(shè)?；诜钟蚍雷o(hù)思想，電子政務(wù)系統(tǒng)可根據(jù)系統(tǒng)本身特點(diǎn)、安全需求、環(huán)境重要性進(jìn)行劃分，系統(tǒng)方面可分為政務(wù)內(nèi)網(wǎng)、外網(wǎng)與互聯(lián)網(wǎng)，安全需求可分為通信傳輸安全、邊界安全與環(huán)境安全，環(huán)境重要性可劃分為核心域、重要域與一般域[2]。不同安全區(qū)域內(nèi)，根據(jù)防護(hù)要求利用身份認(rèn)證、訪問控制、病毒防護(hù)、安全審計等諸多措施保障信息安全，配合軟硬件基礎(chǔ)設(shè)施與管理平臺共同打造高效運(yùn)行的安全體系。電子政務(wù)安全體系結(jié)構(gòu)見圖1。

分域防護(hù)思想指導(dǎo)下根據(jù)政務(wù)系統(tǒng)職能特點(diǎn)可劃分為政務(wù)內(nèi)網(wǎng)、外網(wǎng)與互聯(lián)網(wǎng)絡(luò)三類。政務(wù)內(nèi)網(wǎng)是政府用于辦公的內(nèi)部局域網(wǎng)，主要處理一些保密等級較高的數(shù)據(jù)業(yè)務(wù)和網(wǎng)上辦公事項，與外網(wǎng)鏈接，主要由信息處理、存儲、傳輸設(shè)備構(gòu)成，是政務(wù)核心處理區(qū)域和主要運(yùn)行平臺，與外網(wǎng)間實(shí)施物理隔離。外網(wǎng)主要服務(wù)政府各類政務(wù)部門，如法院、檢察院、政府、政協(xié)、黨委等，是業(yè)務(wù)專網(wǎng)，運(yùn)行主要面對社會公眾，處理一些無需內(nèi)網(wǎng)處理的低保密等級公物，與互聯(lián)網(wǎng)之間實(shí)施邏輯隔離?；ヂ?lián)網(wǎng)作為公共性質(zhì)的開放網(wǎng)站，向公眾提供各類服務(wù)，比如政務(wù)信息、收集群眾意見反饋及接受公眾監(jiān)督等。

分域防護(hù)安全結(jié)構(gòu)中，根據(jù)環(huán)境重要性分為核心域、重要域與一般域。核心域是安全等級最高的政務(wù)系統(tǒng)核心區(qū)域，需要提供最嚴(yán)密的安全防護(hù)措施以保護(hù)機(jī)密等級最高的數(shù)據(jù)，做好其存儲與安全管理。重要域是次安全等級區(qū)域，是國家政府部門各類政務(wù)信息交雜處理區(qū)域，需實(shí)施嚴(yán)密防護(hù)。一般域是安全等級較低的防護(hù)區(qū)域，公開性顯著，提供各類公開政務(wù)信息與數(shù)據(jù)服務(wù)，防護(hù)關(guān)鍵在于保障數(shù)據(jù)的公開性、真實(shí)性、完整性與可用性。

分域防護(hù)安全結(jié)構(gòu)中，安全方面主要以邊界安全、通信傳輸安全和環(huán)境安全為主。通信傳輸安全關(guān)系到政府內(nèi)網(wǎng)、外網(wǎng)與互聯(lián)網(wǎng)之間的信息傳輸與溝通，安全防護(hù)既要保障數(shù)據(jù)的傳輸通常，又要避免來自外界的惡意攻擊，保證傳輸數(shù)據(jù)的完整性、真實(shí)性與可用性[3]。網(wǎng)絡(luò)環(huán)境安全則是系統(tǒng)自身計算環(huán)境安全域數(shù)據(jù)安全，即處理各個層次數(shù)據(jù)時有不被泄露、攻擊和篡改的風(fēng)險。邊界防護(hù)安全則是不同等級安全域之間數(shù)據(jù)信息交換時不會出現(xiàn)由高向低或者由低向高的安全閥縣漏洞，不會出現(xiàn)數(shù)據(jù)的泄露、流失與非法訪問。

信息安全管理平臺是安全體系結(jié)構(gòu)中技術(shù)得以發(fā)揮作用的基礎(chǔ)，關(guān)系到整個信息平臺能否順利運(yùn)轉(zhuǎn)，是防護(hù)關(guān)鍵，管理平臺上要配備合適人員，加快標(biāo)準(zhǔn)化制度建設(shè)，提供規(guī)范制約、法律支持等，配合各類信息安全基礎(chǔ)設(shè)施在政務(wù)系統(tǒng)保護(hù)中發(fā)揮作用。

綜上所述，電子政務(wù)系統(tǒng)的發(fā)展和應(yīng)用中承受著來自內(nèi)外的眾多安全威脅，利用分域防護(hù)思想可有效劃分不同安全域，針對各個安全域特點(diǎn)實(shí)施針對性安全舉措，解除其面臨的安全威脅，有利于明確安全責(zé)任，消除政務(wù)互聯(lián)網(wǎng)開放顧慮與障礙，便于科學(xué)組織與安全建設(shè)。

參考文獻(xiàn)：

[1]呂欣.信息通信新技術(shù)環(huán)境下電子政務(wù)安全保障[J].信息網(wǎng)絡(luò)安全.2010（02）.

第2篇：電子政務(wù)的安全風(fēng)險范文

1.1安全風(fēng)險評估應(yīng)用模型三階段。

在電子政務(wù)系統(tǒng)設(shè)的實(shí)施過程，主要分為規(guī)劃與設(shè)計階段、建設(shè)與實(shí)施階段、運(yùn)行與管理階段等三個階段。其中，安全風(fēng)險分析主要作用于規(guī)劃與設(shè)計階段，安全等級評估主要作用于建設(shè)與施工階段，安全檢查評估主要作用于運(yùn)行與管理階段。安全風(fēng)險分析，主要是利用風(fēng)險評估工具對系統(tǒng)的安全問題進(jìn)行分析。對于信息資產(chǎn)的風(fēng)險等級的確定，以及其風(fēng)險的優(yōu)先控制順序，可以通過根據(jù)電子政務(wù)系統(tǒng)的需求，采用定性和定量的方法，制定相關(guān)的安全保障方案。安全等級評估，主要由自評估和他評估兩種評估方式構(gòu)成。被評估電子政務(wù)系統(tǒng)的擁有者，通過結(jié)合其自身的力量和相關(guān)的等級保護(hù)標(biāo)準(zhǔn)，進(jìn)行安全等級評估的方式，稱為自評估。而他評估則是指通過第三方權(quán)威專業(yè)評估機(jī)構(gòu)，依據(jù)已頒布的標(biāo)準(zhǔn)或法規(guī)進(jìn)行評估。通過定期或隨機(jī)的安全等級評估，掌握系統(tǒng)動態(tài)、業(yè)務(wù)調(diào)整、網(wǎng)絡(luò)威脅等動向，能夠及時預(yù)防和處理系統(tǒng)中存在的安全漏洞、隱患，提高系統(tǒng)的防御能力，并給予合理的安全防范措施等。若電子政務(wù)網(wǎng)絡(luò)系統(tǒng)需要進(jìn)行較大程度上的更新或變革，則需要重新對系統(tǒng)進(jìn)行安全等級評估工作。安全檢查評估，主要是在對漏洞掃描、模擬攻擊，以及對安全隱患的檢查等方面，對電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)測，并給予解決問題的安全防范措施。

1.2安全風(fēng)險分析的應(yīng)用模型。

在政府網(wǎng)絡(luò)安全風(fēng)險評估工作中，主要是借助安全風(fēng)險評測工具和第三方權(quán)威機(jī)構(gòu)，對安全風(fēng)險分析、安全等級評估和安全檢查評估等三方面進(jìn)行評估工作。在此，本文重點(diǎn)要講述的是安全風(fēng)險分析的應(yīng)用模型。在安全風(fēng)險分析的應(yīng)用模型中，著重需要考慮到的是其主要因素、基本流程和專家評判法。

（1）主要因素。

在資產(chǎn)上，政府的信息資源不但具有經(jīng)濟(jì)價值，還擁有者重要的政治因素。因此，要從關(guān)鍵和敏感度出發(fā)，確定信息資產(chǎn)。在不足上，政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)，存在一定的脆弱性和被利用的潛在性。在威脅上，政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)受到來自內(nèi)、外部的威脅。在影響上，可能致使信息資源泄露，嚴(yán)重時造成重大的資源損失。

（2）基本流程。

根據(jù)安全需求，確定政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險等級和目標(biāo)。根據(jù)政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)和應(yīng)用需求，實(shí)行區(qū)域和安全邊界的劃分。識別并估價安全區(qū)域內(nèi)的信息資產(chǎn)。識別與評價安全區(qū)域內(nèi)的環(huán)境對資產(chǎn)的威脅。識別與分析安全區(qū)域內(nèi)的威脅所對應(yīng)的資產(chǎn)或組織存在的薄弱點(diǎn)。建立政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險評估方法和安全風(fēng)險等級評價原則，并確定其大小與等級。結(jié)合相關(guān)的系統(tǒng)安全需求和等級保護(hù)，以及費(fèi)用應(yīng)當(dāng)與風(fēng)險相平衡的原則，對風(fēng)險控制方法加以探究，從而制定出有效的安全風(fēng)險控制措施和解決方案。

（3）專家評判法。

在建設(shè)政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的前期決策中，由于缺少相關(guān)的數(shù)據(jù)和資料，因此，可以通過專家評判的方法，為政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)提供一個大概的參考數(shù)值和結(jié)果，作為決策前期的基礎(chǔ)。在安全區(qū)域內(nèi)，根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)（即物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、數(shù)據(jù)層、用戶層），應(yīng)用需求和安全需求劃分的安全邊界和安全區(qū)域，建立起風(fēng)險值計算模型。通過列出從物理層到用戶層之間結(jié)構(gòu)所存在的薄弱點(diǎn)，分析其可能為資產(chǎn)所帶來的影響，以及這些薄弱點(diǎn)對系統(tǒng)薄弱環(huán)節(jié)外部可能產(chǎn)生的威脅程度大小，進(jìn)而通過安全風(fēng)險評估專家進(jìn)行評判，得到系統(tǒng)的風(fēng)險值及排序。在不同的安全層次中，每個薄弱環(huán)節(jié)都存在著不同程度的潛在威脅。若是采用多嵌套的計算方法，能夠幫助計算出特定安全區(qū)域下的資產(chǎn)在這些薄弱環(huán)節(jié)中的風(fēng)險值。

2結(jié)語

第3篇：電子政務(wù)的安全風(fēng)險范文

關(guān)鍵詞：政府網(wǎng)絡(luò)安全；網(wǎng)絡(luò)安全；風(fēng)險評估；應(yīng)用模型；電子政務(wù)

中圖分類號：TP393.08

在新的發(fā)展環(huán)境下，開放和互聯(lián)的網(wǎng)絡(luò)時代給各種信息資源的流通帶來了便利的同時，也帶來了安全隱患。尤其是政府部門的電子政務(wù)信息資產(chǎn)，若是受到非法使用，不但會對政府部門造成資源損失，甚至?xí){到國家、單位部門和個人的安全。因此，對政府網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全風(fēng)險評估，不但能夠有效地預(yù)防和解決潛在的威脅，而且能夠保障整個政府網(wǎng)絡(luò)系統(tǒng)的安全，促進(jìn)政府網(wǎng)絡(luò)建設(shè)的發(fā)展。

1 政府網(wǎng)絡(luò)安全風(fēng)險評估的方法

在電子政務(wù)信息系統(tǒng)的建設(shè)和運(yùn)行過程中，需要進(jìn)行網(wǎng)絡(luò)安全防御的相關(guān)措施，以防止系統(tǒng)中存在的漏洞、隱患，以及人為或非人為因素引起的風(fēng)險對系統(tǒng)的影響。因此，采取安全風(fēng)險評估的方法，通過安全風(fēng)險評估的相關(guān)技術(shù)的支持，對系統(tǒng)的設(shè)備及數(shù)據(jù)進(jìn)行分析、確定等級和檢查，是有效防范這些情況發(fā)生的重要措施。

政府網(wǎng)絡(luò)安全風(fēng)險評估的方法主要有安全風(fēng)險分析、安全等級評估和安全檢查評估等三種。

1.1 安全風(fēng)險分析。在進(jìn)行政府網(wǎng)絡(luò)安全風(fēng)險評估的前期工作中，主要是通過建立評估數(shù)據(jù)模型的方式進(jìn)行安全風(fēng)險分析。其中，主要是根據(jù)概率分布、外推法、矩陣圖分析、風(fēng)險發(fā)展趨勢評價方法、假設(shè)前提評價及數(shù)據(jù)準(zhǔn)確度評估等方法，并通過專家評估預(yù)測和相關(guān)歷史數(shù)據(jù)對指標(biāo)的選取和數(shù)據(jù)的采集，估算政府網(wǎng)絡(luò)安全系統(tǒng)所存在的風(fēng)險。

1.2 安全等級評估。在此階段，主要是在政府的電子政務(wù)系統(tǒng)建成或是運(yùn)行的過程中，由第三方權(quán)威機(jī)構(gòu)采取強(qiáng)制或非強(qiáng)制的方式，對政府網(wǎng)絡(luò)安全進(jìn)行定期安全等級評估，從而確定政府網(wǎng)絡(luò)系統(tǒng)在建成后，或是在系統(tǒng)更新后是否達(dá)到防范風(fēng)險的可靠級別。

1.3 安全檢查評估。在此階段，主要采用專門的模擬攻擊、漏洞掃描等方式，對政府電子政務(wù)（包括網(wǎng)絡(luò)設(shè)備、服務(wù)器、客戶機(jī)、數(shù)據(jù)庫和應(yīng)用系統(tǒng)等）進(jìn)行安全檢查，找出其中可能存在的安全隱患并提供掃描后的相關(guān)數(shù)據(jù)，給予政府電子政務(wù)安全檢查評估。在安全檢查評估中，主要運(yùn)用到基于主機(jī)的（硬件系統(tǒng)）和基于網(wǎng)絡(luò)的（軟件系統(tǒng)）兩種技術(shù)。通過安全檢查評估，能夠起到預(yù)防網(wǎng)絡(luò)系統(tǒng)中存在的隱患的作用，并提供科學(xué)有效的解決措施，從而更進(jìn)一步提高網(wǎng)絡(luò)安全的整體水平。

2 政府網(wǎng)絡(luò)安全風(fēng)險評估的模型與應(yīng)用

2.1 安全風(fēng)險評估應(yīng)用模型三階段。在電子政務(wù)系統(tǒng)建設(shè)的實(shí)施過程，主要分為規(guī)劃與設(shè)計階段、建設(shè)與實(shí)施階段、運(yùn)行與管理階段等三個階段。其中，安全風(fēng)險分析主要作用于規(guī)劃與設(shè)計階段，安全等級評估主要作用于建設(shè)與施工階段，安全檢查評估主要作用于運(yùn)行與管理階段。

安全風(fēng)險分析，主要是利用風(fēng)險評估工具對系統(tǒng)的安全問題進(jìn)行分析。對于信息資產(chǎn)的風(fēng)險等級的確定，以及其風(fēng)險的優(yōu)先控制順序，可以通過根據(jù)電子政務(wù)系統(tǒng)的需求，采用定性和定量的方法，制定相關(guān)的安全保障方案。

安全等級評估，主要由自評估和他評估兩種評估方式構(gòu)成。被評估電子政務(wù)系統(tǒng)的擁有者，通過結(jié)合其自身的力量和相關(guān)的等級保護(hù)標(biāo)準(zhǔn)，進(jìn)行安全等級評估的方式，稱為自評估。而他評估則是指通過第三方權(quán)威專業(yè)評估機(jī)構(gòu)，依據(jù)已頒布的標(biāo)準(zhǔn)或法規(guī)進(jìn)行評估。通過定期或隨機(jī)的安全等級評估，掌握系統(tǒng)動態(tài)、業(yè)務(wù)調(diào)整、網(wǎng)絡(luò)威脅等動向，能夠及時預(yù)防和處理系統(tǒng)中存在的安全漏洞、隱患，提高系統(tǒng)的防御能力，并給予合理的安全防范措施等。若電子政務(wù)網(wǎng)絡(luò)系統(tǒng)需要進(jìn)行較大程度上的更新或變革，則需要重新對系統(tǒng)進(jìn)行安全等級評估工作。

安全檢查評估，主要是在對漏洞掃描、模擬攻擊，以及對安全隱患的檢查等方面，對電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)測，并給予解決問題的安全防范措施。

2.2 安全風(fēng)險分析的應(yīng)用模型。在政府網(wǎng)絡(luò)安全風(fēng)險評估工作中，主要是借助安全風(fēng)險評測工具和第三方權(quán)威機(jī)構(gòu)，對安全風(fēng)險分析、安全等級評估和安全檢查評估等三方面進(jìn)行評估工作。在此，本文重點(diǎn)要講述的是安全風(fēng)險分析的應(yīng)用模型。在安全風(fēng)險分析的應(yīng)用模型中，著重需要考慮到的是其主要因素、基本流程和專家評判法。

（1）主要因素

在資產(chǎn)上，政府的信息資源不但具有經(jīng)濟(jì)價值，還擁有者重要的政治因素。因此，要從關(guān)鍵和敏感度出發(fā)，確定信息資產(chǎn)。在不足上，政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)，存在一定的脆弱性和被利用的潛在性。在威脅上，政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)受到來自內(nèi)、外部的威脅。在影響上，可能致使信息資源泄露，嚴(yán)重時造成重大的資源損失。

（2）基本流程

根據(jù)安全需求，確定政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險等級和目標(biāo)。

根據(jù)政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)和應(yīng)用需求，實(shí)行區(qū)域和安全邊界的劃分。

識別并估價安全區(qū)域內(nèi)的信息資產(chǎn)。

識別與評價安全區(qū)域內(nèi)的環(huán)境對資產(chǎn)的威脅。

識別與分析安全區(qū)域內(nèi)的威脅所對應(yīng)的資產(chǎn)或組織存在的薄弱點(diǎn)。

建立政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險評估方法和安全風(fēng)險等級評價原則，并確定其大小與等級。

結(jié)合相關(guān)的系統(tǒng)安全需求和等級保護(hù)，以及費(fèi)用應(yīng)當(dāng)與風(fēng)險相平衡的原則，對風(fēng)險控制方法加以探究，從而制定出有效的安全風(fēng)險控制措施和解決方案。

（3）專家評判法

在建設(shè)政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的前期決策中，由于缺少相關(guān)的數(shù)據(jù)和資料，因此，可以通過專家評判的方法，為政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)提供一個大概的參考數(shù)值和結(jié)果，作為決策前期的基礎(chǔ)。

在安全區(qū)域內(nèi)，根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)（即物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、數(shù)據(jù)層、用戶層），應(yīng)用需求和安全需求劃分的安全邊界和安全區(qū)域，建立起風(fēng)險值計算模型。通過列出從物理層到用戶層之間結(jié)構(gòu)所存在的薄弱點(diǎn)，分析其可能為資產(chǎn)所帶來的影響，以及這些薄弱點(diǎn)對系統(tǒng)薄弱環(huán)節(jié)外部可能產(chǎn)生的威脅程度大小，進(jìn)而通過安全風(fēng)險評估專家進(jìn)行評判，得到系統(tǒng)的風(fēng)險值及排序。

在不同的安全層次中，每個薄弱環(huán)節(jié)都存在著不同程度的潛在威脅。若是采用多嵌套的計算方法，能夠幫助計算出特定安全區(qū)域下的資產(chǎn)在這些薄弱環(huán)節(jié)中的風(fēng)險值。

3 結(jié)語

本文主要通過對政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的建設(shè)中，所進(jìn)行的安全風(fēng)險評估進(jìn)行研究，分析和探討在規(guī)劃與設(shè)計階段、建設(shè)與實(shí)施階段、運(yùn)行與管理階段三個階段中政府網(wǎng)絡(luò)安全建設(shè)的相關(guān)問題。并在各階段分別采用安全風(fēng)險分析、系統(tǒng)建設(shè)完成后的安全等級評估。在系統(tǒng)建成后的運(yùn)行和管理階段，采用的安全檢查評估等方法，保障政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全。此外，在安全風(fēng)險分析中，可操作的方法并不多，需要有關(guān)部門加強(qiáng)力度，加以研究和探析。在等級安全評估和安全檢查評估兩個階段，可以充分利用第三方權(quán)威機(jī)構(gòu)的評測工具，來加強(qiáng)政府網(wǎng)絡(luò)的安全性。

參考文獻(xiàn)：

[1]楊志新.政府網(wǎng)絡(luò)安全風(fēng)險評估[J].系統(tǒng)工程，2005，4.

[2]王繼曄.政府信息網(wǎng)絡(luò)的安全措施及技術(shù)手段[J].交通與計算機(jī)，2003，2.

[3]黃煒.我國政府保護(hù)網(wǎng)絡(luò)經(jīng)濟(jì)信息安全的現(xiàn)狀和對策[J].華南理工大學(xué)，2010，5，6.

[4]夏義，李勇.政府網(wǎng)絡(luò)安全問題分析[J].高校圖書情報論壇，2003，2.

第4篇：電子政務(wù)的安全風(fēng)險范文

【關(guān)鍵詞】電子政務(wù) 信息安全 體系建設(shè)

當(dāng)前我國交通電子政務(wù)實(shí)施過程的兩大矛盾的解決，依賴于安全、穩(wěn)定、可靠的交通運(yùn)輸電子政務(wù)平臺信息安全保障體系。對于電子政務(wù)平臺實(shí)施過程中所面臨的信息安全保障問題，我國早在2003年9月頒發(fā)的《關(guān)于加強(qiáng)信息安全保障工作的意見》中明確提出了建立等級保護(hù)制度和風(fēng)險管理體系的要求。2004年11月，公安部等國家四部委聯(lián)合推出信息安全等級保護(hù)要求、測評準(zhǔn)則和實(shí)施指南，為政務(wù)領(lǐng)域進(jìn)一步建立政務(wù)信息系統(tǒng)風(fēng)險管理體系提供了技術(shù)基礎(chǔ)和指導(dǎo)。交通運(yùn)輸部也于2008年12月頒布的《交通運(yùn)輸電子政務(wù)網(wǎng)絡(luò)及業(yè)務(wù)應(yīng)用系統(tǒng)建設(shè)技術(shù)指南》中對交通電子政務(wù)平臺的安全保障體系作了詳細(xì)的技術(shù)規(guī)范。

隨著交通政府機(jī)構(gòu)的信息安全基礎(chǔ)建設(shè)日趨完善，建立一套信息安全管理平臺，既滿足電子政務(wù)平臺的開放性和可訪問性，又保證電子政務(wù)平臺的安全性，也日益迫切。交通電子政務(wù)信息安全保障體系可從以下幾個角度進(jìn)行充分構(gòu)建：

1信息安全保障體系及其基本要求

信息安全保障體系是基于PKI體系而開發(fā)的為多個應(yīng)用系統(tǒng)提供統(tǒng)一認(rèn)證、訪問控制、應(yīng)用審計和遠(yuǎn)程接入的應(yīng)用安全網(wǎng)關(guān)系統(tǒng)，它可以將不同地理位置、不同基礎(chǔ)設(shè)施（主機(jī)、網(wǎng)絡(luò)設(shè)備和安全設(shè)備等）中分散且海量的安全信息進(jìn)行樣式化、匯總、過濾和關(guān)聯(lián)分析，形成基于基礎(chǔ)設(shè)施與域的統(tǒng)一等級的威脅與風(fēng)險管理，并依托安全知識庫和工作流程驅(qū)動，對威脅與風(fēng)險進(jìn)行響應(yīng)和處理。信息安全保障體系的基本要求主要體現(xiàn)在以下幾個方面：

1）保密性。主要體現(xiàn)在誰能擁有信息，如何保證秘密和敏感信息僅為授權(quán)者享有。

2）完整性。主要體現(xiàn)在擁有的信息是否正確以及如何保證信息從真實(shí)的信源發(fā)往真實(shí)的信宿，傳輸、存儲、處理中未被刪改、增添、替換。

3）可用性。主要體現(xiàn)在信息和信息系統(tǒng)是否能夠使用以及如何保證信息和信息系統(tǒng)隨時可為授權(quán)者提供服務(wù)而不被非授權(quán)者濫用。

4）可控性。主要體現(xiàn)在是否能夠監(jiān)控管理信息和系統(tǒng)以及如何保證信息和信息系統(tǒng)的授權(quán)認(rèn)證和監(jiān)控管理。

5）不可否認(rèn)性。主要體現(xiàn)在信息行為人為信息行為承擔(dān)責(zé)任，保證信息行為人不能否認(rèn)其信息行為。

總之，信息安全保障體系的基本要求主要從技術(shù)和管理兩個層面得以實(shí)現(xiàn)。技術(shù)層面在實(shí)現(xiàn)信息資源的公開性、共享性和可訪問性的同時，通過主機(jī)安全、網(wǎng)絡(luò)安全、物理安全、數(shù)據(jù)安全和應(yīng)用安全等技術(shù)要素保障信息的安全性。管理層面則可通過安全管理機(jī)制、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理以及系統(tǒng)運(yùn)營管理等規(guī)范化機(jī)制得以保障信息的安全性。

2交通電子政務(wù)平臺信息安全保障體系的構(gòu)建

交通電子政務(wù)平臺的信息安全保障體系，應(yīng)該由組織體系、技術(shù)體系、運(yùn)營體系、策略體系和保障對象體系等共同組成。

2.1安全組織體系。政府高度重視交通運(yùn)輸信息化工作的同時，堅持把“積極防御，綜合防范”放在優(yōu)先位置，首先要求成立專門的信息安全領(lǐng)導(dǎo)小組。信息安全領(lǐng)導(dǎo)小組可由交通主管領(lǐng)導(dǎo)擔(dān)任領(lǐng)導(dǎo)小組組長主管信息安全工作，下設(shè)信息安全工作組，各管理部門負(fù)責(zé)人、業(yè)務(wù)部門負(fù)責(zé)人為成員。

2.2安全技術(shù)體系。交通電子政務(wù)平臺的安全技術(shù)體系可搭建專業(yè)的安全管理運(yùn)營中心，并從基礎(chǔ)設(shè)施安全和應(yīng)用安全兩個方面去搭建安全技術(shù)支撐體系。

2.3安全運(yùn)營體系。交通電子政務(wù)的安全運(yùn)營體系一般可由安全體系推廣與落實(shí)、項目建設(shè)的安全管理、安全風(fēng)險管理與控制和日常安全運(yùn)行與維護(hù)四個部分組成。安全運(yùn)營體系是一個完整的過程體系，在交通電子政務(wù)平臺的整個過程中，正常的運(yùn)作流程，其信息流遵循自上而下的流程，即交通上級部門根據(jù)電子政務(wù)平臺信息安全需求的目標(biāo)、規(guī)劃和控制要求做計劃，下級交通部門根據(jù)計劃進(jìn)行執(zhí)行、檢查和改進(jìn)。而若交通電子政務(wù)平臺其安全性出現(xiàn)威脅，影響正常的運(yùn)作流程時，此時信息流則遵循自下而上的逆向過程，下級交通部門向上級部門報送安全事件，上級部門根據(jù)其安全事件進(jìn)行分析、總結(jié)和改進(jìn)。

2.4安全策略體系。網(wǎng)絡(luò)安全策略是為了保護(hù)網(wǎng)絡(luò)不受來自網(wǎng)絡(luò)內(nèi)外的各種危害而采取的防范措施的總和，因此信息安全策略是信息安全保障體系建設(shè)和實(shí)施的指導(dǎo)和依據(jù)，全面科學(xué)的安全策略體系應(yīng)貫穿信息安全保障體系建設(shè)的始終。安全策略體系，主要包含安全政策體系、安全組織體系、安全技術(shù)體系和安全運(yùn)行體系四個方面的要素，在采用各種安全技術(shù)控制措施的同時，必須制訂層次化的安全策略，完善安全管理組織機(jī)構(gòu)和人員配備，提高安全管理人員的安全意識和技術(shù)水平，完善各種安全策略和安全機(jī)制，利用多種安全技術(shù)實(shí)施和網(wǎng)絡(luò)安全管理實(shí)現(xiàn)對網(wǎng)絡(luò)的多層保護(hù)，減小網(wǎng)絡(luò)受到攻擊的可能性，防范網(wǎng)絡(luò)安全事件的發(fā)生，提高對安全事件的反應(yīng)處理能力，并在網(wǎng)絡(luò)安全事件發(fā)生時盡量減少事件造成的損失。

第5篇：電子政務(wù)的安全風(fēng)險范文

關(guān)鍵詞：電子政務(wù)；云平臺；信息安全

中圖分類號：TP399 文獻(xiàn)標(biāo)識碼：A 文章編號：1006-8937（2014）2-0074-02

電子政務(wù)云是現(xiàn)代政府辦公理念與大型計算中心系統(tǒng)有機(jī)結(jié)合的產(chǎn)物，其本質(zhì)并非是“電子”而是“政務(wù)”，云計算與網(wǎng)絡(luò)技術(shù)的運(yùn)用僅僅只是服務(wù)型政府精簡工作并實(shí)現(xiàn)其政務(wù)高效與系統(tǒng)化的手段。電子政務(wù)云安全性方面的目標(biāo)是確保各類數(shù)據(jù)在采集、存儲、挖掘處理、共享傳播等過程中不遭到攻擊、竊取或篡改，以保證信息的完整性、真實(shí)性、可用性和可控性。

1 電子政務(wù)云技術(shù)存在的安全問題

當(dāng)前我國電子政務(wù)云平臺的信息安全問題主要可以歸納為以下幾個方面：

①目前國內(nèi)尚缺乏具有自主知識產(chǎn)權(quán)的基礎(chǔ)信息設(shè)備和技術(shù)產(chǎn)品，大量核心技術(shù)設(shè)備依賴于進(jìn)口，其中絕大部分都是美國技術(shù)公司所研發(fā)生產(chǎn)的。例如：VMware“威?！比驍?shù)據(jù)中心虛擬解決方案的領(lǐng)導(dǎo)廠商，Cisco“思科”互聯(lián)網(wǎng)解決方案領(lǐng)導(dǎo)提供者，Microsoft“微軟”世界軟件開發(fā)的先導(dǎo)、Intel“英特爾”全球最大的半導(dǎo)體制造商等。我們從硬件到軟件的諸多技術(shù)方面都受制于人，缺乏自主的設(shè)備和技術(shù)必然會給國家政務(wù)工作帶來極大的安全隱患。一旦真的受到國外的限制，則我國整體計算機(jī)系統(tǒng)隨時都可能面臨崩潰的境地。

②當(dāng)前互聯(lián)網(wǎng)上違法犯罪活動和敵對勢力的破壞事件頻發(fā)，而國內(nèi)相關(guān)部門網(wǎng)絡(luò)安全意識還較為淡薄，也為電子政務(wù)工作瞞下了安全隱患。政府部門僅重視了網(wǎng)絡(luò)的系統(tǒng)建設(shè)，看重網(wǎng)絡(luò)帶來的便利和高效，但往往卻忽視了信息工作的安全性。當(dāng)前，電子政務(wù)云的開放程度有限，主要的行政工作還是以原始的公文形式進(jìn)行處理，而且廣大民眾對網(wǎng)絡(luò)技術(shù)犯罪的認(rèn)識還比較模糊，由于該類犯罪尚未造成較大損失，于是人們對之表現(xiàn)出的態(tài)度也較為“溫和”，政府工作人員和人民群眾對網(wǎng)絡(luò)數(shù)據(jù)信息安全意識還沒有上升到應(yīng)有的高度。

③管理機(jī)制和相關(guān)法規(guī)的不健全也很大程度上限制了電子政務(wù)安全防范的力度。相關(guān)部門往往只將管理的重心集中在對行政人員的人力資源管理方面，而對電子政務(wù)云的技術(shù)結(jié)構(gòu)管理卻存在漏洞或缺陷。云平臺的建設(shè)處于各自為政的狀態(tài)，缺少一個統(tǒng)一的管理機(jī)構(gòu)，項目之間“孤島效應(yīng)”明顯。這方面的工作主要依靠工程承接方來負(fù)責(zé)，且依舊存在各種全責(zé)劃分不明的問題。如果安全措施不落實(shí)到位，網(wǎng)絡(luò)安全沒有從管理制度上建立相應(yīng)的防范機(jī)制，則電子政務(wù)云工作的開展將無法得到最基本的安全制度保障。

2 電子政務(wù)云平臺信息安全的影響因素分析

電子政務(wù)云平臺信息安全的影響因素可分為人為與非人為兩方面。人為原因主要是指個人或團(tuán)體有規(guī)劃性的對網(wǎng)絡(luò)信息進(jìn)行惡意攻擊和破壞的行為，包括有黑客對網(wǎng)絡(luò)的攻擊入侵、對機(jī)密文件的竊取、計算機(jī)病毒的傳播等；而非人為因素主要包括不可抗拒的自然災(zāi)害和現(xiàn)階段受到技術(shù)局限的問題等。

2.1 影響電子政務(wù)云信息安全的人為原因

電子政務(wù)云信息安全的主要威脅來自于人為原因。系統(tǒng)的入侵者可能因?yàn)閻阂鈭髲?fù)、表現(xiàn)自我突破安全技術(shù)、敵對勢力的間諜行為或非法謀取經(jīng)濟(jì)利益等。攻擊者通過編寫病毒代碼入侵電子政務(wù)網(wǎng)絡(luò)系統(tǒng)，而后病毒代碼自我復(fù)制傳播，進(jìn)而導(dǎo)致系統(tǒng)癱瘓或成為僵尸寄宿主機(jī)。這方面的人為原因可以從內(nèi)部因素和外部因素兩個方面具體展開分析：

①內(nèi)部因素主要是指內(nèi)部擁有政務(wù)云的合法訪問權(quán)及管理權(quán)限的工作人員對其施予的直接影響。由內(nèi)部因素引發(fā)的信息安全問題可分為惡意和無意兩種。惡意是指帶有現(xiàn)實(shí)目的有規(guī)劃的對電子政務(wù)云平臺實(shí)施的攻擊；無意指的是工作人員因疏忽大意或工作能力的欠缺而造成的危害，如未經(jīng)授權(quán)的連接、權(quán)限欺騙等情況的發(fā)生。政府重要數(shù)據(jù)泄露的隱患往往都?xì)w結(jié)為無意的數(shù)據(jù)破壞和損壞造成的，工作人員不謹(jǐn)慎的操作、或因技術(shù)經(jīng)驗(yàn)欠缺等原因造成的錯誤操作，都可能導(dǎo)致一系列的安全問題。

在電子政務(wù)云信息化的過程中，行政機(jī)構(gòu)主要關(guān)注的是技術(shù)、設(shè)備的效能，但是對其安全問題影響因素進(jìn)行安全管理的作用尚缺乏應(yīng)有的重視。管理人員工作不嚴(yán)謹(jǐn)、制度法規(guī)不健全或執(zhí)行力度不夠都是電子政務(wù)安全工作中的嚴(yán)重問題。為確保電子政務(wù)信息化的和諧發(fā)展，管理部門務(wù)必要建立嚴(yán)密的制度保障體系，實(shí)時監(jiān)控檢測系統(tǒng)運(yùn)行狀況，并努力提高工作人員的職業(yè)素養(yǎng)，最大限度的保障電子政務(wù)云的安全運(yùn)行。

②基于網(wǎng)絡(luò)攻擊、入侵事件的報告顯示：國外政府入侵的安全風(fēng)險指數(shù)為21%，黑客入侵的安全風(fēng)險指數(shù)為48%，競爭對手入侵的安全風(fēng)險指數(shù)為72%，對組織不滿的內(nèi)部雇員入侵的安全風(fēng)險指數(shù)為89%。以上數(shù)據(jù)充分說明電子政務(wù)云的安全并不僅僅表現(xiàn)為技術(shù)方面的問題。不完善的管理制度、安全檢查措施欠缺等，都可能導(dǎo)致看似堅固的堡壘出現(xiàn)各式各樣的問題，尤其是日常管理中的疏忽，比如，機(jī)房重地沒有設(shè)立嚴(yán)格的等級制度與劃分，而是隨意的進(jìn)行操作，管理監(jiān)控人員擅離崗位或未按照標(biāo)準(zhǔn)執(zhí)行操作，機(jī)要信息隨意存放在電腦磁盤上，這都為政務(wù)云的安全埋下了隱患。如果攻擊者偽裝IP地址或者利用僵尸主機(jī)對政務(wù)云實(shí)施攻擊，篡改政務(wù)網(wǎng)站信息，勢必造成極其惡劣的社會影響。而且，在現(xiàn)實(shí)世界中，內(nèi)部潛在的安全威脅更大，由于內(nèi)部人員熟知系統(tǒng)的整體構(gòu)造與細(xì)則，且能掌握各級人員的工作規(guī)律，可能攻擊者自己就具有管理員權(quán)限，對某些信息具有一定的操作權(quán)限，對內(nèi)部系統(tǒng)能進(jìn)行更深入的網(wǎng)絡(luò)刺探、暴力破解等都更為便利，于是對系統(tǒng)可能造成更加深層次的破壞。

2.2 影響電子政務(wù)信息安全的非人為因素

危害信息系統(tǒng)安全的非人為因素主要來自自然災(zāi)害和技術(shù)上的局限，其中由于受到技術(shù)局限導(dǎo)致的漏洞所帶來的威脅表現(xiàn)得更為頻繁且嚴(yán)重，具體而言，當(dāng)前物理自然環(huán)境涉及網(wǎng)絡(luò)系統(tǒng)的可用性、完整性和保密性，其對信息處理設(shè)備構(gòu)成的威脅主要包括：未經(jīng)授權(quán)的訪問和資源竊取、電源干擾、電磁輻射、化學(xué)影響、爆炸、火災(zāi)、灰塵、振動等。另一方面，技術(shù)受限將導(dǎo)致系統(tǒng)的漏洞和缺陷，如系統(tǒng)、硬件、軟件的設(shè)計等。典型的漏洞包括軟硬件的總體設(shè)計漏洞、配置漏洞、實(shí)現(xiàn)漏洞、系統(tǒng)漏洞等。

3 提升電子政務(wù)云信息安全性的對策

政務(wù)云系統(tǒng)的高度復(fù)雜性和技術(shù)的高速發(fā)展變化，決定了政務(wù)系統(tǒng)的安全技術(shù)問題必然越來越受到重視。提升電子政務(wù)信息安全性的對策好比指導(dǎo)進(jìn)行電子政務(wù)信息安全之戰(zhàn)的戰(zhàn)略方針，需要負(fù)責(zé)組織、協(xié)調(diào)、指揮各方面的力量來共同維護(hù)電子政務(wù)信息系統(tǒng)的安全。加強(qiáng)網(wǎng)絡(luò)通信技術(shù)的安全性、降低政務(wù)信息系統(tǒng)的風(fēng)險，需要從以下幾個方面著手。

3.1 提升電子政務(wù)工作人員信息安全意識

提高培養(yǎng)政府政務(wù)工作人員對網(wǎng)絡(luò)安全的意識，在日常工作中能自覺地按照標(biāo)準(zhǔn)政務(wù)信息安全規(guī)范的執(zhí)行各項操作，使其具備良好的信息安全意識。在培養(yǎng)過程中應(yīng)注意：首先，應(yīng)充分利用當(dāng)前先進(jìn)的科技力量，并通過各種媒介途徑媒體積極地宣傳信息安全的重要性，如報刊，雜志，網(wǎng)絡(luò)等。其次，邀請相關(guān)專業(yè)導(dǎo)師對工作人員加以多種形式的指導(dǎo)培訓(xùn)。再次，制定研究周密的安全策略，使責(zé)任明確且細(xì)化，將安全工作落實(shí)到人，且做到權(quán)責(zé)清晰和權(quán)責(zé)一致。

3.2 建立健全完善的電子政務(wù)云信息安全管理機(jī)制

首先，政務(wù)云平臺應(yīng)嚴(yán)格按照國家法律法規(guī)對機(jī)密事件實(shí)行分級分類保護(hù)，確保重要信息安全責(zé)任具體化、細(xì)致化，做好數(shù)據(jù)的隔離控制，進(jìn)一步保障數(shù)據(jù)的完善安全。其次，為減少對電子政務(wù)信息系統(tǒng)安全構(gòu)成危害的物理自然安全因素，就應(yīng)當(dāng)創(chuàng)造一個良好的環(huán)境，滿足系統(tǒng)適宜的物理條件，并且做好異地的容災(zāi)備份工作，從而將這些危害因素降至最低。此外，還需要不斷完善加密技術(shù)，并充分利用與政務(wù)云相適應(yīng)的技術(shù)（包括用戶身份的驗(yàn)證、網(wǎng)絡(luò)的安全認(rèn)證、主機(jī)的物理隔離、內(nèi)容信息的分級管理、底層操作系統(tǒng)的安全、通訊線路的安全等），以便為政務(wù)云平臺的安全運(yùn)行提供有力的保障。

3.3 大力發(fā)展擁有自主知識產(chǎn)權(quán)的安全產(chǎn)業(yè)

網(wǎng)絡(luò)通信產(chǎn)品的自主研發(fā)已成為信息安全防范的核心。目前，我國的主要軟硬件技術(shù)主要依賴西方國家，這極大的威脅了我國的信息安全利益。于是，有必要投入科技發(fā)展資金，積極推進(jìn)國內(nèi)軟硬件技術(shù)水平，使國內(nèi)自主研發(fā)產(chǎn)品能逐步替換國外同類產(chǎn)品，信息安全產(chǎn)業(yè)的發(fā)展已成為關(guān)乎國計民生的大問題。我們可以積極朝這樣幾個方面去努力：一是能改善信息安全的現(xiàn)狀、使用大眾化的關(guān)鍵技術(shù)；二是努力增強(qiáng)國有創(chuàng)造性實(shí)力，從而實(shí)現(xiàn)技術(shù)上的突破；三是要能獨(dú)立研發(fā)核心戰(zhàn)略性技術(shù)設(shè)備，如CPU和數(shù)據(jù)加密芯片等。在不斷提升技術(shù)研發(fā)實(shí)力的同時，還需要做到信息技術(shù)的多元化與綜合化，以更好的保障電子政務(wù)云的安全和穩(wěn)定。

當(dāng)前，我國電子政務(wù)云正以驚人的速度發(fā)展，特別是發(fā)達(dá)地區(qū)。公安、工商、物價局等多種部門對電子政務(wù)云的使用已相當(dāng)普遍。電子政務(wù)云是政府信息資源建設(shè)的組成部分，是對政府信息資源進(jìn)行深度開發(fā)和廣泛利用，促進(jìn)政府體制改革和職能轉(zhuǎn)變的一個有效手段。于是我們應(yīng)在這個過程中我們更應(yīng)該注意政務(wù)信息的保密與安全問題，提升對信息安全方面的人力與財力的投入，始終堅持獨(dú)立自主的研發(fā)路線，增強(qiáng)國家電子政務(wù)工作的信息安全性，打造健全穩(wěn)定的電子政務(wù)云平臺，提高公眾的滿意度。

參考文獻(xiàn)：

[1] 劉菡.電子政務(wù)的規(guī)劃與實(shí)踐[M].北京：中國時代經(jīng)濟(jì)出版社，2006，（5）：127.

第6篇：電子政務(wù)的安全風(fēng)險范文

【關(guān)鍵詞】電子政務(wù)；信息安全；策略

一般來說，電子政務(wù)是政府機(jī)構(gòu)為了適應(yīng)經(jīng)濟(jì)全球化和信息網(wǎng)絡(luò)化的需要，應(yīng)用現(xiàn)代信息技術(shù)，將政務(wù)處理、政府管理、政府服務(wù)等各項職能通過網(wǎng)絡(luò)實(shí)現(xiàn)有機(jī)結(jié)合，并通過流程優(yōu)化創(chuàng)新，實(shí)現(xiàn)提高政府管理效能，降低管理成本，改進(jìn)政府服務(wù)水平，以適應(yīng)信息化時代需要的現(xiàn)代政府公共管理實(shí)務(wù)中關(guān)于政務(wù)信息和管理的平臺。為了打造服務(wù)型政務(wù)，實(shí)現(xiàn)政務(wù)公開，接受各方面的監(jiān)督，必然要求在政務(wù)管理中推行電子政務(wù)，達(dá)到最大限度降低政府運(yùn)作成本，提高了政府行政效率。

電子政務(wù)推行過程中的信息安全問題是政務(wù)運(yùn)行的中心問題。這里的信息安全主要是指各類政務(wù)信息不得遭受偶然和惡意原因而受到破壞、更改、泄露。信息安全要求嚴(yán)格保護(hù)政務(wù)系統(tǒng)中信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)，切實(shí)做到系統(tǒng)連續(xù)、穩(wěn)定、可靠正常地運(yùn)行。

在當(dāng)前信息技術(shù)飛速發(fā)展，各類黑客等破解軟件系統(tǒng)的技術(shù)層出不窮，各級政府和商務(wù)網(wǎng)站收到攻擊并導(dǎo)致癱瘓的事件時有發(fā)生，政務(wù)系統(tǒng)中的信息安全問題越來越尖銳，信息保護(hù)和防范的要求也越來越高。信息安全問題直接關(guān)系到政務(wù)信息及時和有效共享、政令暢通等，有些甚至更深層次地關(guān)系到國家的信息安全與穩(wěn)定。

一、我國電子政務(wù)信息安全存在的問題

電子政務(wù)是一種全新的基于網(wǎng)絡(luò)技術(shù)的綜合性政府管理方式，其系統(tǒng)運(yùn)行中的信息安全問題主要表現(xiàn)為管理和技術(shù)兩個方面。電子政務(wù)運(yùn)行過程中信息的技術(shù)問題是根本性問題，管理問題是基礎(chǔ)和保障方面的問題，二者共同作用于電子政務(wù)平臺的建設(shè)和發(fā)展。

1、管理方面問題

電子政務(wù)是利用先進(jìn)的信息技術(shù)作為工具，幫助政府更好地履行管理職能。就具體運(yùn)行過程看來，政府電子政務(wù)信息管理存在的問題主要包括以下幾個方面：

（1）信息安全意思薄弱。電子政務(wù)在我國發(fā)展的起點(diǎn)低，很多政府工作人員對電子政務(wù)沒科學(xué)、正確的認(rèn)識，不適應(yīng)信息化辦公的要求。很多人將網(wǎng)絡(luò)用于學(xué)習(xí)、工作和娛樂等，無暇顧及網(wǎng)絡(luò)信息的安全性，安全意識薄弱。

（2）規(guī)范化信息安全管理制度嚴(yán)重缺乏。一直以來，各級政府為了保證信息安全，各級政府在電子政務(wù)的信息安全方面只從技術(shù)方面上采取了保障措施，嚴(yán)重缺乏規(guī)范的管理體制的建設(shè)。電子政務(wù)的信息安全要求制定并落實(shí)安全責(zé)任制，并且配備相應(yīng)的完備的信息安全管理和認(rèn)證機(jī)制等。而我國目前的電子政務(wù)系統(tǒng)在信息安全管理方面缺乏統(tǒng)一協(xié)調(diào)性，對故障定位不夠準(zhǔn)確，對安全責(zé)任的追查更加困難，一旦造成信息泄露的安全事故就無法應(yīng)對。

（3）信息安全立法滯后。發(fā)達(dá)國家的經(jīng)驗(yàn)表明，政府電子政務(wù)的快速發(fā)展必須要有健全的法制保障。當(dāng)前，我國與電子政務(wù)相關(guān)的信息安全方面的相關(guān)法律法規(guī)非常欠缺。在全球范圍內(nèi)縱橫交錯的信息網(wǎng)絡(luò)中，考慮到國內(nèi)的電子政務(wù)系統(tǒng)與國際互聯(lián)網(wǎng)直接連接，各種信息安全問題都會發(fā)生，即使有全面的技術(shù)規(guī)范，也難以避免各種不法侵害。當(dāng)前，我國在電子政務(wù)信息安全方面立法滯后，也非常不完備，急需一些保障電子政務(wù)信息安全的配套的法律法規(guī)，以推動電子政務(wù)的普及，減少各類造成電子政務(wù)信息信息安全問題的障礙。

2、技術(shù)方面

電子政務(wù)發(fā)展的實(shí)踐表明，技術(shù)是電子政務(wù)發(fā)展的最關(guān)鍵而又受到制約的重要因素。在電子中，盡管有著　“三分技術(shù)、七分管理”的說法，但是沒有先進(jìn)的技術(shù)做支撐，管理問題無從談起，沒有技術(shù)就更無從談其發(fā)展問題。一旦技術(shù)出了問題，電子政務(wù)的發(fā)展就會面臨重大困難。當(dāng)前，電子政務(wù)的技術(shù)方面的問題主要表現(xiàn)在以下幾個方面。

（1）不成熟的網(wǎng)絡(luò)技術(shù)導(dǎo)致安全隱患。政府運(yùn)用電子政務(wù)進(jìn)行網(wǎng)絡(luò)化辦公，必然導(dǎo)致政府工作對網(wǎng)絡(luò)具有很強(qiáng)的依賴性，這些依賴性必然產(chǎn)生脆弱性，包括技術(shù)的脆弱性、社會的脆弱性、人的脆弱性等等。這些脆弱性更多是由于網(wǎng)絡(luò)技術(shù)不成熟，加上網(wǎng)絡(luò)設(shè)置不科學(xué)導(dǎo)致的。網(wǎng)絡(luò)技術(shù)自身不成熟，加上電子政務(wù)系統(tǒng)采用的網(wǎng)絡(luò)設(shè)置不夠科學(xué)，在信息安全技術(shù)方面存在很多安全弱點(diǎn)或隱患，例如，網(wǎng)絡(luò)硬件設(shè)備的弱點(diǎn)、操作平臺的弱點(diǎn)等各種安全問題。這些安全弱點(diǎn)迫切需要我們努力利用先進(jìn)的網(wǎng)絡(luò)技術(shù)來消除這些威脅。

（2）網(wǎng)絡(luò)安全規(guī)劃不到位導(dǎo)致網(wǎng)絡(luò)結(jié)構(gòu)的不合理性。由于信息技術(shù)發(fā)展過快，政府電子政務(wù)網(wǎng)絡(luò)建設(shè)經(jīng)常缺乏資金，加上網(wǎng)絡(luò)建設(shè)規(guī)劃缺少安全設(shè)計，更缺少前瞻性的系統(tǒng)規(guī)劃。在電子政務(wù)的具體運(yùn)行中，由于多個瓶頸限制網(wǎng)絡(luò)流量，缺乏統(tǒng)一規(guī)劃的IP　地址，更嚴(yán)重的是子網(wǎng)故障隔離性差，重要政務(wù)信息因流量缺乏，缺少服務(wù)質(zhì)量保證等系列問題。在處理信息安全問題過程，不能立即收到應(yīng)有的效果，只能修修補(bǔ)補(bǔ)的解決。

（3）未掌握關(guān)鍵核心技術(shù)，基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)存在安全隱患。我國對發(fā)達(dá)國家信息設(shè)備和信息技術(shù)存在很強(qiáng)的依賴性，信息化核心設(shè)備嚴(yán)重依賴國外，對引進(jìn)的技術(shù)和設(shè)備缺乏必要的信息管理和技術(shù)改造。尤其是在系統(tǒng)安全和安全協(xié)議的研究和應(yīng)用方面與發(fā)達(dá)國家的差距很大。目前組成我國電子政務(wù)網(wǎng)絡(luò)的計算機(jī)網(wǎng)絡(luò)系統(tǒng)所用各種硬件、軟件、網(wǎng)絡(luò)設(shè)備、服務(wù)器等基本上都是國外公司的產(chǎn)品，完全具有自主知識產(chǎn)權(quán)的產(chǎn)品基本沒有。這些因素使我國的電子政務(wù)網(wǎng)絡(luò)安全性能大大降低，使我國的經(jīng)濟(jì)和社會發(fā)展面臨著重大風(fēng)險。

二、政府電子政務(wù)信息安全管理工作的具體要求

電子政務(wù)在技術(shù)和管理上對信息安全提出了較高要求，具體而言，要求政府在電子政務(wù)信息安全管理方面，具體做好以下幾點(diǎn)工作。

1、在政府機(jī)關(guān)內(nèi)部加強(qiáng)電子政務(wù)信息安全和保密工程項目審批、監(jiān)督和管理

政府部門在實(shí)施重大電子中由相關(guān)保密主管部門嚴(yán)格執(zhí)行電子政務(wù)信息管理的安全和保密工作，具體包括使用登記后認(rèn)可的專用密碼，密碼管理必須征求主管部門的審批和授權(quán)；涉及國家秘密的電子政務(wù)系統(tǒng)，接受有關(guān)主管部門的保密檢查和信息安全檢查。若發(fā)生重大問題，如泄密、遭到入侵、受到病毒攻擊等，必須向有關(guān)主管部門報告。

2、遵守國家有關(guān)信息安全的技術(shù)標(biāo)準(zhǔn)和管理規(guī)范

相關(guān)信息安全技術(shù)、設(shè)備和應(yīng)用系統(tǒng)的使用必須經(jīng)過嚴(yán)格認(rèn)證和測評，信息安全方案必須和國家總體方案和確定的技術(shù)標(biāo)準(zhǔn)相融合。

3、從事電子政務(wù)應(yīng)用系統(tǒng)研發(fā)的單位，必須具有資質(zhì)認(rèn)證

對于開發(fā)涉及國家秘密的電子政務(wù)系統(tǒng)，還應(yīng)具有國家保密主管部門頒發(fā)的特殊資質(zhì)認(rèn)證。

4、建立嚴(yán)格的內(nèi)部電子政務(wù)系統(tǒng)運(yùn)行管理制度

電子政務(wù)系統(tǒng)涉及的計算機(jī)設(shè)備的維護(hù)、電子政務(wù)信息和與數(shù)據(jù)有關(guān)的網(wǎng)絡(luò)管理等必須符合國家有關(guān)主管部門的管理制度。關(guān)于電子政務(wù)信息處理設(shè)備的采購、運(yùn)行、維修、報廢、銷毀等管理工作，必須按該設(shè)備所處理的電子政務(wù)信息的密級，并遵循最高密級的原則實(shí)施管理。對外托管等必須得到國家有關(guān)主管部門的審批，符合國家有關(guān)主管部門的安全、保密管理要求。

三、電子政務(wù)信息安全的應(yīng)對策略

針對電子政務(wù)在管理和技術(shù)兩方面問題，切實(shí)保障電子政務(wù)的信息安全，促進(jìn)電子政務(wù)健康發(fā)展，結(jié)合政府在電子政務(wù)實(shí)際運(yùn)行過程和信息安全管理中的問題，可采取以下策略。

1、建立功能完善的電子政務(wù)網(wǎng)絡(luò)安全體系

建立功能完善的電子政務(wù)網(wǎng)絡(luò)安全體系，首先要建立有完善的安全管理保障體系，穩(wěn)固的基礎(chǔ)安全服務(wù)設(shè)施；其次，還必須要有強(qiáng)大的科學(xué)合理的安全技術(shù)響應(yīng)與恢復(fù)機(jī)制與安全技術(shù)支撐平臺，這些安全技術(shù)的實(shí)現(xiàn)可以通過設(shè)置網(wǎng)絡(luò)域訪問控制，設(shè)置身份識別/認(rèn)證機(jī)制，設(shè)置內(nèi)部網(wǎng)的Internet訪問策略，通訊加密，防病毒設(shè)置等等。

2、完善和規(guī)范信息安全的體制機(jī)制

通過明確責(zé)任、強(qiáng)化制度約束和規(guī)范從業(yè)人員的操作規(guī)范等形式，建立嚴(yán)格的、可操作性強(qiáng)的安全管理制度，在政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)內(nèi)部建立體系化的安全防御策略，另外加強(qiáng)工作人員的安全意識、信息素養(yǎng)和業(yè)務(wù)培訓(xùn)，保證安全管理制度的良好貫徹和執(zhí)行。

3、加強(qiáng)網(wǎng)絡(luò)核心技術(shù)研發(fā)，培養(yǎng)電子政務(wù)專業(yè)人才

當(dāng)前，我國電子政務(wù)的信息設(shè)備和技術(shù)對發(fā)達(dá)國家的依賴性較強(qiáng)，為了提高電子政務(wù)系統(tǒng)的安全，必須組成核心攻堅團(tuán)隊，成立專門的電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的技術(shù)研發(fā)機(jī)構(gòu)，及時解決各種信息安全問題。另外，還急需培養(yǎng)大批的電子政務(wù)專業(yè)人才，從事電子政務(wù)系統(tǒng)安全的診斷、預(yù)防和處理。

4、實(shí)施電子政務(wù)系統(tǒng)的風(fēng)險評估和等級保護(hù)制度

針對電子政務(wù)系統(tǒng)的信息安全問題，必須營造縱深防御的安全保護(hù)環(huán)境，切合實(shí)際的開展電子政務(wù)信息系統(tǒng)安全風(fēng)險評估，加強(qiáng)安全等級保護(hù)，有針對性的采取一整套切實(shí)有效的應(yīng)對措施來保障電子政務(wù)信息系統(tǒng)的安全。

四、結(jié)語

電子政務(wù)信息安全的保障是一項關(guān)系多領(lǐng)域的綜合工程，管理和技術(shù)兩個層面是最根本的要達(dá)到絕對的安全是不可能的，應(yīng)該從實(shí)際出發(fā)，從綜合的角度出發(fā)，根據(jù)具體問題采取切實(shí)有效的措施，將電子政務(wù)信息安全隱患會降到最低。

第7篇：電子政務(wù)的安全風(fēng)險范文

關(guān)鍵詞:電子政務(wù)信息安全PKI

一、綜合電子政務(wù)平臺概述

電子政務(wù)是指政府機(jī)構(gòu)應(yīng)用信息技術(shù)提高政府事務(wù)處理的信息流效率，對政府機(jī)構(gòu)和職能進(jìn)行優(yōu)化，改善政府組織和公共管理能力。通常由核心網(wǎng)絡(luò)、接人網(wǎng)絡(luò)及訪問網(wǎng)絡(luò)三部分組成。建設(shè)內(nèi)容一般包括:電子政務(wù)網(wǎng)絡(luò)平臺、政府門戶網(wǎng)站、電子政務(wù)主站點(diǎn)、“一站式”行政審批系統(tǒng)、視頻會議系統(tǒng)、公文交換和信息報送系統(tǒng)、電子郵件系統(tǒng)、辦公自動化系統(tǒng)等。

電子政務(wù)網(wǎng)絡(luò)平臺網(wǎng)絡(luò)結(jié)構(gòu)中，核心網(wǎng)絡(luò)擁有重要的信息資源，并處理政府部門間的核心業(yè)務(wù)。政府部門間的數(shù)據(jù)交換流程是閉環(huán)的，即任何一個節(jié)點(diǎn)既是用戶又是數(shù)據(jù)源。因此，核心網(wǎng)絡(luò)節(jié)點(diǎn)之間的業(yè)務(wù)流程應(yīng)該是高速、嚴(yán)密、安全的，并且有嚴(yán)格的審核機(jī)制。核心網(wǎng)絡(luò)與接人網(wǎng)絡(luò)形成上下級關(guān)系的協(xié)同工作平臺，進(jìn)行信息、數(shù)據(jù)的交換。它們之間的信息往來必須具備信任安全體系。政府核心網(wǎng)絡(luò)面向社會公眾提供信息服務(wù)，對外宣傳政府信息，與訪問網(wǎng)絡(luò)建立連接。

二、綜合電子政務(wù)平臺的安全風(fēng)險

2.1網(wǎng)絡(luò)安全域的劃分和控制問題

電子政務(wù)中的信息涉及國家秘密、國家安全，因此它需要絕對的安全。但是同時電子政務(wù)現(xiàn)在很重要的發(fā)展方向是要為社會提供行政監(jiān)管的渠道，為社會提供公共服務(wù)，如社保醫(yī)保、大量的公眾咨詢、投訴等等，它同時又需要一定程度的開放。因此如何合理地劃分安全域顯得非常重要。

2.2內(nèi)部監(jiān)控、審核問題

目前絕大部分單位都沒有系統(tǒng)可以實(shí)時地對內(nèi)部人員除個人隱私以外的各項具體操作進(jìn)行監(jiān)控和記錄，更不用談對一些非法操作進(jìn)行屏蔽和阻斷了。

2.3電子政務(wù)的信任體系問題

電子政務(wù)要做到比較完善的安全保障體系，第三方認(rèn)證是必不可少的。只有通過一定級別的第三方認(rèn)證，才能說建立了一套完善的信任體系。

2.4數(shù)字簽名(簽發(fā))問題

在電子政務(wù)中，要真正實(shí)行無紙化辦公，很重要的一點(diǎn)是實(shí)現(xiàn)電子公文的流轉(zhuǎn)，而在這之中，數(shù)字簽名(簽發(fā))問題又是重中之重。

2.5電子政務(wù)的災(zāi)難響應(yīng)和應(yīng)急處理問題

很多單位在進(jìn)行網(wǎng)絡(luò)規(guī)劃的時候，沒有考慮到作為系統(tǒng)核心部分一一數(shù)據(jù)庫本身的安全問題，完全依賴干整個網(wǎng)絡(luò)的防護(hù)能力，一旦網(wǎng)絡(luò)的安全體系被穿破或者直接由內(nèi)部人員利用內(nèi)網(wǎng)用戶的優(yōu)勢進(jìn)行破壞，“數(shù)據(jù)”可以說無任何招架之力。

三、綜合電子政務(wù)平臺安全體系建設(shè)方案

3.1技術(shù)保障體系

技術(shù)保障體系是安全管理體系的重要組成部分。它涉及兩個層面的問題，一是信息安全的核心技術(shù)和基本理論的研究與開發(fā)，二是信息安全產(chǎn)品和系統(tǒng)構(gòu)建綜合防護(hù)系統(tǒng)。

信息安全技術(shù)。信息安全的核心技術(shù)主要包括數(shù)據(jù)加密技術(shù)、信息隱藏技術(shù)和信息認(rèn)證技術(shù)。數(shù)據(jù)加密是把有意義的信息編碼為偽隨機(jī)性的亂碼，以實(shí)現(xiàn)信息保護(hù)的目的。數(shù)字簽名是指只有發(fā)送者才能產(chǎn)生的別人無法偽造的一段數(shù)字串，這段數(shù)字串同時也是對發(fā)送者信息真實(shí)性的證明。

信息安全防護(hù)體系。目前，主要的信息安全的產(chǎn)品和系統(tǒng)包括防病毒軟件、防火墻、入侵檢測系統(tǒng)、漏洞掃描、安全審計系統(tǒng)、物理隔離系統(tǒng)等。我們可采用屏蔽子網(wǎng)體系結(jié)構(gòu)保證核心網(wǎng)絡(luò)的安全。屏蔽子網(wǎng)體系結(jié)構(gòu)通過添加額外的安全層到被屏蔽主機(jī)體系結(jié)構(gòu)，即通過添加周邊網(wǎng)絡(luò)更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與Internet隔離開。在這種結(jié)構(gòu)下，即使攻破了堡壘主機(jī)，也不能直接侵人內(nèi)部網(wǎng)絡(luò)，它將仍然必須通過內(nèi)部路由器。

3.2運(yùn)行管理體系

安全行政管理。電子政務(wù)的安全行政管理應(yīng)包括建立安全組織機(jī)構(gòu)、安全人事管理、制定和落實(shí)安全制度。

安全技術(shù)管理。電子政務(wù)的安全技術(shù)管理可以從三個方面著手:硬件實(shí)體、軟件系統(tǒng)、密鑰。

風(fēng)險管理。風(fēng)險管理是對項目風(fēng)險的識別、分析和應(yīng)對過程。它包括對正面事件效果的最大化及對負(fù)面事件影響的最小化。

3.3社會服務(wù)體系

安全管理服務(wù)。目前，一些信息安全管理服務(wù)提供商(ManagedSecurityServiceProviders,MSSP)正在逐步形成，它們有的是專門從事安全管理服務(wù)達(dá)到增值目的的，有的是一些軟件廠商為彌補(bǔ)其軟件系統(tǒng)的不足而附加一些服務(wù)的，有的是一些從IT集成或咨詢商發(fā)展而來提供信息安全咨詢的。

安全測評服務(wù)。測評認(rèn)證的實(shí)質(zhì)是由一個中立的權(quán)威機(jī)構(gòu)，通過科學(xué)、規(guī)范、公正的測試和評估向消費(fèi)者、購買者即需方，證實(shí)生產(chǎn)者或供方所提供的產(chǎn)品和服務(wù)，符合公開、客觀和先進(jìn)的標(biāo)準(zhǔn)。

應(yīng)急響應(yīng)服務(wù)。應(yīng)急響應(yīng)是計算機(jī)或網(wǎng)絡(luò)系統(tǒng)遇到安全事件如黑客人侵、網(wǎng)絡(luò)惡意攻擊、病毒感染和破壞等時，所能夠提供的緊急的響應(yīng)和快速的救援與恢復(fù)服務(wù)。:

3.4基礎(chǔ)設(shè)施平臺

法規(guī)基礎(chǔ)建設(shè)。主要有以下幾方面:在國家憲法和各部門法中對各類法律主體的有關(guān)信息活動涉及國家安全的權(quán)利和義務(wù)進(jìn)行規(guī)范，形成國家關(guān)于信息及信息安全的總則性、普適性的法規(guī)體系;針對各類計算機(jī)和網(wǎng)絡(luò)犯罪，制訂直接約束各社會成員的信息活動的行為規(guī)范，形成計算機(jī)、網(wǎng)絡(luò)犯罪監(jiān)察嶼防范體系;對信息安全技術(shù)、信息安全產(chǎn)品(系統(tǒng))的授權(quán)審批應(yīng)制訂相應(yīng)的規(guī)定，形成信息安全審批與監(jiān)控體系;針對信息內(nèi)容的安全與保密問題，制訂相應(yīng)規(guī)定，形成信息內(nèi)容的審批、監(jiān)控、保密體系;從國家安全的角度，制訂網(wǎng)絡(luò)信息預(yù)警與反擊體系等。

第8篇：電子政務(wù)的安全風(fēng)險范文

關(guān)鍵詞：ITIL方法 電子政務(wù)服務(wù) 外包服務(wù)

中圖分類號：TP311.52 文獻(xiàn)標(biāo)識碼：A 文章編號：1674-098X（2014）06（a）-0215-02

1 電子政務(wù)服務(wù)外包方式與分析

“自建”、“政府采購”、“服務(wù)外包”是政府部門信息化建設(shè)的三種普遍方式，“自建”是指政府自行投資、建設(shè)、管理的信息系統(tǒng)，系統(tǒng)的產(chǎn)權(quán)屬于建設(shè)單位―― 政府部門[1]；“政府采購”是指各級國家機(jī)關(guān)、事業(yè)單位和團(tuán)體組織，使用財政性資金采購依法制定的集中采購目錄以內(nèi)的或者采購限額標(biāo)準(zhǔn)以上的貨物、工程和服務(wù)的行為[2]，“政府采購”的方式包括：公開招標(biāo)、邀請招標(biāo)、競爭性談判、單一來源等。“服務(wù)外包”則是以政府采購方式將政務(wù)信息系統(tǒng)建設(shè)和運(yùn)維中的某些環(huán)節(jié)交由社會機(jī)構(gòu)完成，建設(shè)完成的系統(tǒng)產(chǎn)權(quán)可能會發(fā)生轉(zhuǎn)移?！罢少彙笔恰白越ā焙汀胺?wù)外包”的一種商業(yè)形式[3]。

目前較為普遍的政府服務(wù)外包分為：過程型外包、混合型外包、產(chǎn)權(quán)轉(zhuǎn)移型外包。

1.1 過程型外包

過程型外包服務(wù)是較普遍的傳統(tǒng)外包服務(wù)模式，將政府信息化過程中的基本環(huán)節(jié)（規(guī)劃、建設(shè)、運(yùn)維等）均交由一個或多個社會的專業(yè)機(jī)構(gòu)完成，政府只是承擔(dān)建設(shè)和管理的責(zé)任。商務(wù)部的“公共商務(wù)信息服務(wù)”就是這種服務(wù)模式的典范。

這種外包服務(wù)方式的優(yōu)勢在于：能夠匯集社會力量承辦政府信息服務(wù)，大力促進(jìn)了政務(wù)信息服務(wù)的有效運(yùn)轉(zhuǎn)。不足之處在于：主要業(yè)務(wù)信息的安全性在某種程度上存在一定的失控風(fēng)險，對社會專業(yè)機(jī)構(gòu)的責(zé)任約束缺乏第三方的評估機(jī)制。過程型外包服務(wù)較適用于一般性的信息化項目管理，采用這種方式進(jìn)行行業(yè)電子政務(wù)規(guī)劃與建設(shè)，則存在較大的風(fēng)險，其主要原因在于專業(yè)機(jī)構(gòu)屬于市場化管理，專業(yè)技術(shù)人員流動性強(qiáng)，不利于電子政務(wù)項目的信息安全和可持續(xù)發(fā)展。

1.2 混合型外包

所謂混合型外包服務(wù)是指由政府部門下屬的事業(yè)單位，承擔(dān)本行業(yè)的電子政務(wù)規(guī)劃、建設(shè)、運(yùn)維等全過程的組織與管理，在管理過程中將部分環(huán)節(jié)交由社會專業(yè)機(jī)構(gòu)進(jìn)行建設(shè)、維護(hù)。

這種外包服務(wù)方式主要存在于信息化人才隊伍較強(qiáng)、市場運(yùn)作機(jī)制較為靈活的政府部門?；旌闲屯獍绞降膬?yōu)勢在于充分發(fā)揮政府電子政務(wù)管理部門的人力資源的優(yōu)勢，結(jié)合社會專業(yè)機(jī)構(gòu)的技術(shù)力量，采用此種方式實(shí)施的電子政務(wù)項目成功率較高，并且在信息資源安全性等方面規(guī)避了過程型外包的風(fēng)險?；旌闲屯獍牟蛔阍谟冢阂恍┱碾娮诱?wù)管理實(shí)施機(jī)構(gòu)與政府部門之間的協(xié)調(diào)難度較大，電子政務(wù)項目建設(shè)過程中責(zé)任邊界難于界定?；旌闲屯獍绞饺舨捎孟冗M(jìn)的管理制度，將會在行業(yè)電子政務(wù)中起到十分積極的促進(jìn)作用。

1.3 產(chǎn)權(quán)轉(zhuǎn)移型外包

產(chǎn)權(quán)轉(zhuǎn)移型外包服務(wù)是近年來剛剛興起的創(chuàng)新型外包方式，旨在電子政務(wù)規(guī)劃、投資、建設(shè)、管理、運(yùn)維等全部環(huán)節(jié)交由一個或多個企業(yè)負(fù)責(zé)，政府部門只是提出需求，由企業(yè)提供業(yè)務(wù)系統(tǒng)硬件平臺和軟件平臺的系統(tǒng)建設(shè)、運(yùn)維和管理。

這種模式是政府以租用方式購買企業(yè)服務(wù)，與前兩種外包服務(wù)的根本區(qū)別在于電子政務(wù)項目的產(chǎn)權(quán)發(fā)生轉(zhuǎn)移，由政府轉(zhuǎn)移到企業(yè)。這一特點(diǎn)使得這種模式的外包服務(wù)在技術(shù)風(fēng)險、管理風(fēng)險、短期財政壓力等方面取得很大優(yōu)勢，此種模式的外包服務(wù)適合較大型的、通用型的電子政務(wù)建設(shè)項目。這種外包方式將隨著我國云計算技術(shù)的不斷發(fā)展成為主流的外包方式。

2 ITIL管理在混合型外包服務(wù)中的應(yīng)用

ITIL（Information Technology Infrastructure Library）是CCTA（英國國家計算機(jī)和電信局）于20世紀(jì)80年代末開發(fā)的一套IT服務(wù)管理標(biāo)準(zhǔn)庫，旨在提高IT資源的利用率和服務(wù)質(zhì)量。

電子政務(wù)混合型外包服務(wù)框架與服務(wù)體系：

圖1是一個較為理想的電子政務(wù)混合型外包服務(wù)基本框架。本節(jié)重點(diǎn)分析如何利用ITIL方法建立電子政務(wù)外包服務(wù)管理體系。

傳統(tǒng)ITIL的管理體系包括：服務(wù)臺管理、事故管理、問題管理、變更管理、財務(wù)管理、服務(wù)持續(xù)性管理等12項管理功能，在電子政務(wù)外包服務(wù)管理體系中將此12項管理進(jìn)行相應(yīng)簡化，并按照用戶角色進(jìn)行重新分工，從而更好的服務(wù)于政務(wù)部門。

（1）服務(wù)臺管理

傳統(tǒng)ITIL服務(wù)臺是外包服務(wù)供應(yīng)商和用戶之間的聯(lián)系點(diǎn)。主要負(fù)責(zé)接收服務(wù)請求，但不參與服務(wù)過程。

在混合型外包服務(wù)電子政務(wù)項目中，服務(wù)臺管理由政府部門的電子政務(wù)管理機(jī)構(gòu)完成，電子政務(wù)管理機(jī)構(gòu)直接面對行業(yè)政務(wù)工作人員，一定意義上擔(dān)當(dāng)了傳統(tǒng)IT中部分供應(yīng)商的角色。這種角色的轉(zhuǎn)變規(guī)避不必要的信息安全風(fēng)險，由于政府電子政務(wù)管理機(jī)構(gòu)人員相對穩(wěn)定，熟悉行業(yè)知識和信息技術(shù)，因此服務(wù)臺的服務(wù)質(zhì)量相對較高，服務(wù)反應(yīng)速度大幅提升。

（2）事故管理

在政務(wù)系統(tǒng)運(yùn)行過程中，一旦出現(xiàn)事故，電子政務(wù)管理機(jī)構(gòu)的管理人員（以下簡稱系統(tǒng)管理員），需要對事故進(jìn)行記錄和歸類，并安排監(jiān)督相應(yīng)的供應(yīng)商進(jìn)行事故的處理。

事故管理的目的是在盡可能最小地影響政務(wù)服務(wù)人員對系統(tǒng)的應(yīng)用，以最短的時間使系統(tǒng)恢復(fù)正常狀態(tài)。

（3）問題管理

問題管理是指在政務(wù)系統(tǒng)運(yùn)行過程中，系統(tǒng)管理員與供應(yīng)商協(xié)調(diào)對問題（事故）進(jìn)行調(diào)查，分析系統(tǒng)基礎(chǔ)架構(gòu)的薄弱環(huán)節(jié)，查明事故產(chǎn)生問題（事故）的潛在原因，與供應(yīng)商共同制定解決問題的方案和防止問題再次發(fā)生的措施，將由于問題和事故對業(yè)務(wù)產(chǎn)生的負(fù)面影響減小到最低的服務(wù)管理流程。

（4）變更管理

隨著電子政務(wù)系統(tǒng)的不斷深化應(yīng)用，系統(tǒng)變更是不可避免的，變更管理是指對系統(tǒng)的基礎(chǔ)架構(gòu)或服務(wù)產(chǎn)生變更進(jìn)行控制的管理流程。變更管理的目標(biāo)是確保在變更實(shí)施過程中，對變更項進(jìn)行記錄與控制，從而對業(yè)務(wù)工作的影響減小到最低。

（5）財務(wù)管理

傳統(tǒng)的ITIL服務(wù)財務(wù)管理是負(fù)責(zé)預(yù)算和核算IT服務(wù)提供方提供IT服務(wù)所需的成本，它包括投資預(yù)算、服務(wù)成本核算和服務(wù)計費(fèi)三個子流程，目標(biāo)是通過量化服務(wù)成本減少成本超支的風(fēng)險、減少不必要的浪費(fèi)、從而最終保證所提供的服務(wù)符合成本效益的原則。

混合型外包服務(wù)的財務(wù)管理是由政府電子政務(wù)管理機(jī)構(gòu)，根據(jù)行業(yè)電子政務(wù)規(guī)劃和發(fā)展需求，按年度制定行業(yè)電子政務(wù)的預(yù)算，同時跟蹤預(yù)算執(zhí)行情況。

（6）可用性管理

傳統(tǒng)的ITIL可用性管理是外包服務(wù)商通過分析用戶業(yè)務(wù)的可用性需求，依此優(yōu)化和設(shè)計IT基礎(chǔ)架構(gòu)的可用性，確保以合理的成本滿足不斷增長的業(yè)務(wù)需求的管理流程。

可用性管理在電子政務(wù)混合型外包服務(wù)管理中，是一個前瞻性的管理流程，系統(tǒng)管理員通過對業(yè)務(wù)和政府工作的可用性需求定位，使系統(tǒng)設(shè)計在真實(shí)需求的基礎(chǔ)上，適當(dāng)予以擴(kuò)充。

（7）績效評估管理

績效評估管理主要從電子政務(wù)系統(tǒng)的功能性、綜合性、技術(shù)性三方面確立評估指標(biāo)，功能性涵蓋系統(tǒng)的功能實(shí)現(xiàn)、系統(tǒng)可靠性、系統(tǒng)業(yè)務(wù)邏輯性和系統(tǒng)界面，綜合性涵蓋系統(tǒng)社會效益、用戶滿意度、資源整合成效、可持續(xù)發(fā)展能力，系統(tǒng)技術(shù)性指標(biāo)涵蓋性能情況、質(zhì)量情況、擴(kuò)展性、資源管理等。

近年來隨著外包服務(wù)的發(fā)展，政府的資源逐漸集中到提升公共服務(wù)管理的能力上，但由于外包過程暗藏著業(yè)務(wù)控制權(quán)的轉(zhuǎn)移，使得政府信息化主管部門的邊緣化和空殼化，筆者認(rèn)為以ITIL方法進(jìn)行混合型外包管理，適當(dāng)調(diào)整電子政務(wù)建設(shè)、運(yùn)維中的管理分工，將使各級政府的電子政務(wù)建設(shè)與運(yùn)維工作取得可持續(xù)性發(fā)展。

參考文獻(xiàn)

[1] 李冠軍.電子政務(wù)服務(wù)理論及其支撐技術(shù)研究.

第9篇：電子政務(wù)的安全風(fēng)險范文

［關(guān)鍵詞］信息安全;等級保護(hù);云平臺

［中圖分類號］TP39［文獻(xiàn)標(biāo)志碼］A［文章編號］1009－8054(2015)12－0116－04

0引言

國家對非信息系統(tǒng)實(shí)行等級保護(hù)制度，等級保護(hù)測評的目的在于提高國家重要信息系統(tǒng)的信息安全保障能力和水平，維護(hù)國家安全、社會穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)［1］。伴隨著信息安全等級保護(hù)制度的貫徹實(shí)施，信息系統(tǒng)的安全保護(hù)能力有了普遍提升，相關(guān)人員的信息安全意識同樣有了提高。等級保護(hù)測評工作是查找信息系統(tǒng)安全問題的重要手段，國家相繼出臺了相關(guān)的標(biāo)準(zhǔn)，來規(guī)范和指導(dǎo)信息安全等級保護(hù)測評，例如GB/T22239－2008、GB/T22240－2008、GB/T28449－2012等標(biāo)準(zhǔn)。筆者在對電子政務(wù)系統(tǒng)信息安全等級保護(hù)定級以及系統(tǒng)測評方面，根據(jù)在實(shí)際工作中遇到的問題，結(jié)合工程實(shí)踐，對測評中遇到的這些問題進(jìn)行分析，并給出了具體的解決方法。這些問題包括:電子政務(wù)外網(wǎng)定級與測評、測評中常見的重要問題分析，以及云平臺下開展等級保護(hù)測評工作應(yīng)關(guān)注的附加測評項等內(nèi)容。

1電子政務(wù)外網(wǎng)定級與測評

對于電子政務(wù)外網(wǎng)的定級，對剛剛接觸等級保護(hù)測評的機(jī)構(gòu)或測評人員來說，可能相對陌生。以往我們開展信息系統(tǒng)等級保護(hù)的定級和測評，都是以信息系統(tǒng)為測評單位，要對整個電子政務(wù)外網(wǎng)進(jìn)行定級，是否可行，定級范圍又是如何界定，下文將給出具體的分析。對一個信息化平臺是可以定級的，下面就以電子政務(wù)外網(wǎng)為例，來說明具體情況。電子政務(wù)外網(wǎng)是國家電子政務(wù)重要基礎(chǔ)設(shè)施，是承載各級政務(wù)部門用于經(jīng)濟(jì)調(diào)節(jié)、市場監(jiān)管、社會管理和公共服務(wù)等非涉及國家秘密的業(yè)務(wù)應(yīng)用系統(tǒng)的政務(wù)公用網(wǎng)絡(luò)。電子政務(wù)外網(wǎng)的定級對象為本級政務(wù)外網(wǎng)管轄范圍內(nèi)(由邊界設(shè)備確定)的所有網(wǎng)絡(luò)、計算、存儲和安全防護(hù)等各類設(shè)備、各種用于網(wǎng)絡(luò)運(yùn)維管理、安全保障的應(yīng)用系統(tǒng)、各種通信線路及支持所有軟硬件正常運(yùn)行的機(jī)房等基礎(chǔ)設(shè)施環(huán)境等。門戶網(wǎng)站系統(tǒng)、跨部門的數(shù)據(jù)共享與交換系統(tǒng)、數(shù)據(jù)中心內(nèi)的各業(yè)務(wù)應(yīng)用系統(tǒng)以及各級政務(wù)部門的各類應(yīng)用系統(tǒng)不包括在政務(wù)外網(wǎng)的等級保護(hù)范圍內(nèi)，這些系統(tǒng)的的定級標(biāo)準(zhǔn)依據(jù)GB/T2224－2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南》，測評標(biāo)準(zhǔn)依據(jù)GB/T22239－2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》。在《國家電子政務(wù)外網(wǎng)安全等級保護(hù)實(shí)施指南》中，分別給出了等級保護(hù)二級和等級保護(hù)三級的定級范圍圖。其中，等級保護(hù)二級的定級范圍圖如圖1所示。圖中標(biāo)識為紫色的區(qū)域，就是電子政務(wù)外網(wǎng)的定級范圍。對于電子政務(wù)外網(wǎng)的測評，要依據(jù)兩個方面的標(biāo)準(zhǔn)，其一是《國家電子政務(wù)外網(wǎng)安全保護(hù)等級基本要求》，在該標(biāo)準(zhǔn)中對IP承載網(wǎng)、業(yè)務(wù)區(qū)域網(wǎng)絡(luò)和管理區(qū)域網(wǎng)絡(luò)等方面提出了具體要求，包括結(jié)構(gòu)安全、訪問控制等具體要求項;其二是GB/T22239－2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》。電子政務(wù)外網(wǎng)按照功能區(qū)域劃分可以劃分出6個安全區(qū)域，即公用網(wǎng)絡(luò)區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)、專用網(wǎng)絡(luò)區(qū)、用戶接入?yún)^(qū)、網(wǎng)絡(luò)和安全管理區(qū)、電子認(rèn)證區(qū)。在實(shí)際的測評工作工作中，要理解各個功能區(qū)域作用:互聯(lián)網(wǎng)接入?yún)^(qū):是政務(wù)部門通過邏輯隔離安全接入互聯(lián)網(wǎng)的網(wǎng)絡(luò)區(qū)域，滿足政務(wù)部門連接互聯(lián)網(wǎng)的需求。網(wǎng)絡(luò)管理區(qū):網(wǎng)絡(luò)管理區(qū)主要承載網(wǎng)絡(luò)管理信息系統(tǒng)，通過網(wǎng)絡(luò)管理系統(tǒng)實(shí)現(xiàn)對管轄區(qū)內(nèi)網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備的狀態(tài)監(jiān)控及相關(guān)管理等功能;安全管理區(qū):安全管理區(qū)主要承載安全管理信息系統(tǒng)，通過安全管理區(qū)實(shí)現(xiàn)對管轄區(qū)內(nèi)安全設(shè)備進(jìn)行日志采集、實(shí)現(xiàn)對網(wǎng)絡(luò)中的攻擊行為進(jìn)行報警等功能;公用網(wǎng)絡(luò)區(qū):采用統(tǒng)一分配的公共IP地址，實(shí)現(xiàn)各部門、各地區(qū)之間的互聯(lián)互通，為跨地區(qū)、跨部門的業(yè)務(wù)應(yīng)用提供數(shù)據(jù)共享與交換的網(wǎng)絡(luò)平臺。

2測評中常見的問題分析

2．1網(wǎng)絡(luò)結(jié)構(gòu)方面根據(jù)調(diào)研，筆者發(fā)現(xiàn)目前一些單位的二級系統(tǒng)由于應(yīng)用架構(gòu)簡單，面對互聯(lián)網(wǎng)提供服務(wù)的應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器被部署在一個網(wǎng)段，而且部署在內(nèi)網(wǎng)區(qū)域。很顯然，該種拓?fù)浣Y(jié)構(gòu)存在的問題主要體現(xiàn)在:1)應(yīng)用服務(wù)器和數(shù)據(jù)庫部署在一個網(wǎng)段，存在安全隱患，一旦面對互聯(lián)網(wǎng)的應(yīng)用服務(wù)器被惡意入侵，同網(wǎng)段的數(shù)據(jù)庫服務(wù)器將面臨很大的安全風(fēng)險。2)面對互聯(lián)網(wǎng)的應(yīng)用服務(wù)器部署在內(nèi)網(wǎng)區(qū)域，一旦該服務(wù)器被惡意入侵，將給內(nèi)網(wǎng)安全帶來安全風(fēng)險。對于該類網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，應(yīng)將應(yīng)用服務(wù)器設(shè)置在互聯(lián)網(wǎng)邊界防火墻的DMZ區(qū)域。在實(shí)際的測評工作中，我們也發(fā)現(xiàn)了個別單位擬對電子政務(wù)外網(wǎng)平臺進(jìn)行網(wǎng)絡(luò)結(jié)構(gòu)的改造，但往往又不清楚如何下手。據(jù)調(diào)研，現(xiàn)有的網(wǎng)絡(luò)拓?fù)鋱D互聯(lián)網(wǎng)出口過多，安全域劃分不合理，網(wǎng)絡(luò)區(qū)域的劃分非常分散，都是當(dāng)前網(wǎng)絡(luò)結(jié)構(gòu)方面面臨的問題。筆者建議這些單位負(fù)責(zé)網(wǎng)絡(luò)平臺運(yùn)維的相關(guān)人員要仔細(xì)閱讀《國家電子政務(wù)外網(wǎng)安全等級保護(hù)等級基本要求》和《國家電子政務(wù)外網(wǎng)安全等級保護(hù)實(shí)施指南》這兩個標(biāo)準(zhǔn)，這個標(biāo)準(zhǔn)對電子政務(wù)外網(wǎng)功能區(qū)域的劃分，已經(jīng)給出了明確的說明。在不了解上述標(biāo)準(zhǔn)的前提下，對現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行盲目的調(diào)整，調(diào)整的結(jié)果仍然是網(wǎng)絡(luò)區(qū)域分散，互聯(lián)網(wǎng)出口過多、系統(tǒng)化不強(qiáng)。《國家電子政務(wù)外網(wǎng)安全等級保護(hù)實(shí)施指南》中給出的網(wǎng)絡(luò)功能區(qū)域的劃分圖如圖2所示。2．2重要網(wǎng)段防止地址欺騙為了做好重要網(wǎng)段防止地址欺騙工作?？梢詮碾p向IP/MAC綁定入手。例如:重要的管理終端與該管理終端的接入網(wǎng)關(guān)之間，要實(shí)現(xiàn)雙向綁定。在管理終端上設(shè)置網(wǎng)關(guān)的靜態(tài)ARP信息，在網(wǎng)關(guān)上將管理終端的IP－MAC輸入到靜態(tài)表中。在實(shí)際的測評中發(fā)現(xiàn)，重要網(wǎng)段防止地址欺騙在網(wǎng)絡(luò)設(shè)置中做的不多。2．3訪問控制信息安全等級保護(hù)的兩個目的，其一是保護(hù)信息系統(tǒng)數(shù)據(jù)的安全性，其二是保證信息系統(tǒng)的業(yè)務(wù)連續(xù)性。顯然，對服務(wù)器的保護(hù)顯得重之又重。在具體的測評中，我們發(fā)現(xiàn)，在服務(wù)器區(qū)域邊界防火墻的訪問控制策略中，源地址范圍過大是常見的一類問題，而且該策略中，對應(yīng)的端口限制粒度也往往過大。2．4單點(diǎn)故障問題在測評中時常發(fā)現(xiàn)，一些三級系統(tǒng)未采用冗余技術(shù)設(shè)計網(wǎng)絡(luò)拓?fù)鋱D，因而造成關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)故障。避免單點(diǎn)故障就是為了保障系統(tǒng)的高可用性。2．5非法外聯(lián)的問題在等保測評的技術(shù)要求中，要求采用技術(shù)手段限制非法外聯(lián)行為。一些剛剛邁進(jìn)等級保護(hù)測評大門的相關(guān)人員可能會有如下錯誤的認(rèn)識:“待評測的信息系統(tǒng)面向互聯(lián)網(wǎng)提供服務(wù)，而且被測評單位的所有計算機(jī)終端設(shè)備均允許連接互聯(lián)網(wǎng)，該測評項因此可以判定為不適用”。實(shí)際上，上面的理解是不正確的，盡管該單位所有的終端都可以連接互聯(lián)網(wǎng)，但是這些終端都是通過該單位統(tǒng)一的互聯(lián)網(wǎng)出口出去的，而且在互聯(lián)網(wǎng)邊界必定部署了相關(guān)安全設(shè)備，如放火墻、入侵防御設(shè)備等等。如果該單位某個終端用戶采用一個3G上網(wǎng)卡連接了互聯(lián)網(wǎng)，這等于就打開了一個新的通路，而且這條通路上沒有任何的安全防護(hù)設(shè)備，這就破壞了網(wǎng)絡(luò)的邊界完整性，給內(nèi)網(wǎng)安全帶來了隱患。因此，限制終端用戶的非法外聯(lián)行為是十分必要的。2．6密碼加密的問題在測評中發(fā)現(xiàn)，一些數(shù)據(jù)庫的用戶表中，密碼字段仍然是明文存儲，顯然這是非常不安全的，建議對密碼字段進(jìn)行加密，加密可采用md5(用戶名+密碼+隨機(jī)字符串)加密方式。2．7驗(yàn)證碼繞過的問題在應(yīng)用安全測評中，我們發(fā)現(xiàn)一些應(yīng)用系統(tǒng)仍然存在admin這樣的管理員用戶，這就給密碼猜測提供了可能，建議重命名ad-min或administrator，此外，為了避免驗(yàn)證碼繞過的問題，應(yīng)及時更新驗(yàn)證碼(在登錄失敗時也要更新驗(yàn)證碼)，防止出現(xiàn)驗(yàn)證碼被繞過問題的發(fā)生。2．8信息系統(tǒng)精確定級在進(jìn)行信息系統(tǒng)等級保護(hù)定級時，信息系統(tǒng)的使用單位一般都做到了信息系統(tǒng)定級，但是沒有做到準(zhǔn)確定級，也就是說沒有根據(jù)數(shù)據(jù)的安全性等級和業(yè)務(wù)連續(xù)性的安全等級來最終定位系統(tǒng)的安全保護(hù)等級。在一個三級系統(tǒng)的等級保護(hù)測評咨詢項目中，用戶將信息系統(tǒng)定為三級(S3G3A3)，根據(jù)我們實(shí)際的調(diào)研發(fā)現(xiàn)，該系統(tǒng)僅僅是一個數(shù)據(jù)備份系統(tǒng)，對數(shù)據(jù)安全性要求可以達(dá)到三級要求，但對于業(yè)務(wù)連續(xù)性的要求是不需要定為三級的，因此就建議用戶對信息系統(tǒng)定級為三級(S3G3A2)，這樣一來，既保證了信息系統(tǒng)安全性，也為使用單位設(shè)計、改造該系統(tǒng)的信息安全保護(hù)能力提供了準(zhǔn)確的指導(dǎo)建議。

3云平臺環(huán)境下的信息系統(tǒng)信息安全測評

隨著云平臺的發(fā)展，一些單位將應(yīng)用部署在云服務(wù)器上，當(dāng)前云應(yīng)用存在四個方面的安全風(fēng)險，一是共享技術(shù)漏洞引入的虛擬化安全風(fēng)險;二是云服務(wù)不可信帶來的信息安全風(fēng)險;三是多租戶模式帶來的數(shù)據(jù)泄露風(fēng)險;四是云平臺惡意使用帶來的運(yùn)營安全風(fēng)險?！疤摂M化”和“分散處理”是云平臺下兩項關(guān)鍵技術(shù)，而云平臺是以虛擬機(jī)系統(tǒng)作為底層架構(gòu)，因此虛擬機(jī)系統(tǒng)的安全是云安全的核心。這就給開展等級保護(hù)測評工作引入了新的要求。圖3給出了虛擬化環(huán)境層次分析模型［2］。圖中所示的Hypervisor為管理控制程序，負(fù)責(zé)對硬件資源的調(diào)度、管理VM(虛擬機(jī))、響應(yīng)VM。在該模型中，信息系統(tǒng)采用虛擬化技術(shù)，用戶使用的服務(wù)器資源、網(wǎng)絡(luò)設(shè)備資源、安全設(shè)備資源等資源，均被放置在云端。用戶通過客戶端的瀏覽器頁面訪問信息系統(tǒng)的WEB頁面，由云端的虛擬化管理層對用戶進(jìn)行身份驗(yàn)證，并分配相應(yīng)的資源。結(jié)合圖3所示，在進(jìn)行信息安全等級保護(hù)測評時，應(yīng)充分考慮三個層次存在的安全風(fēng)險［2］:對于用戶接入層:要關(guān)注終端安全、身份認(rèn)證、通信加密、連接安全等安全風(fēng)險點(diǎn);虛擬化管理層:要關(guān)注Hypervisor自身的安全性、Hypervisor特權(quán)威脅、計算資源虛擬化等安全威脅;VM層:要關(guān)注數(shù)據(jù)集中風(fēng)險、逃逸威脅、VM鏡像的安全性、殘余信息保護(hù)等。針對云平臺下的信息系統(tǒng)信息安全測評，筆者認(rèn)為除了要依據(jù)GB/T22239－2008標(biāo)準(zhǔn)的基本要求對信息系統(tǒng)進(jìn)行測評外，還應(yīng)增加相應(yīng)的附加要求。這些附加要求包括:3．1網(wǎng)絡(luò)安全(1)結(jié)構(gòu)安全云服務(wù)提供商應(yīng)能提供完整的虛擬網(wǎng)絡(luò)環(huán)境說明，包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備的部署情況及作用說明，并提供給云平臺用戶備案;云服務(wù)提供商應(yīng)能對虛擬網(wǎng)絡(luò)的運(yùn)行狀況進(jìn)行監(jiān)控。(2)訪問控制應(yīng)在虛擬網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，并啟用訪問控制功能;應(yīng)在客戶端到虛擬機(jī)之間部署訪問控制設(shè)備，并啟用訪問控制功能。3．2主機(jī)安全(1)身份鑒別對虛擬服務(wù)器進(jìn)行遠(yuǎn)程管理時，應(yīng)采取必要措施，防止用戶鑒別信息在網(wǎng)絡(luò)傳輸中被竊聽。(2)訪問控制應(yīng)采用技術(shù)手段控制虛擬機(jī)與物理主機(jī)之間、虛擬機(jī)之間的互訪。(3)剩余信息保護(hù)應(yīng)采取技術(shù)措施保證虛擬資源回收時，對數(shù)據(jù)進(jìn)行清除。(4)入侵防范物理主機(jī)中應(yīng)采用監(jiān)測技術(shù)，對同一物理主機(jī)上各虛擬主機(jī)之間的通信進(jìn)行監(jiān)測。(5)資源控制應(yīng)限制每臺虛擬機(jī)資源使用的上限。(6)惡意代碼防范應(yīng)采用技術(shù)手段對虛擬機(jī)鏡像文件進(jìn)行保護(hù);在物理機(jī)和虛擬機(jī)中均應(yīng)安裝惡意代碼防范軟件，并及時更新惡意代碼軟件版本和惡意代碼庫。(7)剩余信息保護(hù)應(yīng)采取技術(shù)措施保證虛擬資源回收時，對數(shù)據(jù)進(jìn)行清除。3．3數(shù)據(jù)安全(1)數(shù)據(jù)完整性應(yīng)采用技術(shù)手段對虛擬機(jī)鏡像文件進(jìn)行完整性保護(hù)。(2)數(shù)據(jù)保密性應(yīng)采用加密或者其他保護(hù)措施實(shí)現(xiàn)虛擬鏡像文件的保密性。(3)備份和恢復(fù)對VMM(即Hypervisor)的安全配置、訪問控制策略進(jìn)行備份。

4結(jié)語

信息系統(tǒng)的等級保護(hù)測評工作是實(shí)踐性非常強(qiáng)的一項工作，由于新技術(shù)、新產(chǎn)品的應(yīng)用都將給測評工作帶來新的挑戰(zhàn)。本文結(jié)合具體的工程實(shí)踐，對電子政務(wù)外網(wǎng)的定級進(jìn)行了闡述，對測評中發(fā)現(xiàn)的一些重要問題進(jìn)行了分析，并結(jié)合當(dāng)前云應(yīng)用的情況，對信息安全等級保護(hù)測評的基本要求進(jìn)行補(bǔ)充。筆者也將在今后的文章中，對信息安全等級測評標(biāo)準(zhǔn)的理解與實(shí)踐，做更加詳細(xì)地陳述。

參考文獻(xiàn):

［1］孫鐵．云環(huán)境下開展等級保護(hù)工作的思考［J］．信息網(wǎng)絡(luò)安全，2011(6):11－13．