電子政務系統風險評估措施研究

可敬

摘 要 信息安全風險評估作為判定信息系統安全風險的重要手段，在電子政務信息安全保障體系建設中發揮著重要作用。電子政務系統的特殊性使其對安全性提出了嚴格要求，如何鑒別系統的安全風險以防范于未然，其重要性不言而喻。安全風險評估是進行風險減緩的基礎，是風險管理的關鍵過程，本論文通過研究電子政務系統安全風險評估的模型、分析方法，提出具有很強邏輯性和可操作性的評估流程。

關鍵詞 電子政務 信息安全 風險評估

中圖分類號：C931 文獻標識碼：A

1 課題的研究背景與意義

風險管理是信息系統安全運行的必要保證，是運行維護體系中最重要的環節，而風險評估則是風險管理的基礎。首先，風險評估是電子政務系統的安全需求。信息安全風險評估是電子政務系統安全保障體系建立過程中的重要評價和決策依據。信息系統安全是相對的，沒有絕對的安全系統。因此，為了實現電子政務系統的安全、穩定運行這一目標，就必須采取一系列的安全制度和技術保障方法，對電子政務系統風險進行事先防患、事中控制、事后監督及糾正，以化解因電子政務系統的脆弱性所造成的風險。其次，電子政務系統的脆弱性需要風險評估。電子政務系統軟硬件本身存在著很大的脆弱性，一方面表現在設備的自然損耗、制造缺陷和不可預測的自然環境因素，如火災、水災、地震、戰爭等不可抗拒的自然災難；另一方面表現在由于技術發展的局限和人類的能力限制，在設計龐大的操作系統、復雜的應用程序之初人們不能認識所有的問題，失誤和考慮不周在所難免。再次，安全技術保障手段的欠缺需要風險評估。當前我國電子政務系統信息安全建設，在整體安全系統、內部網絡安全監控與防范、智能與主動性安全防范體系、全面集中安全管理策略平臺定制等方面，都有很多不足之處，迫切需要進行信息系統風險評估來發現弱點彌補不足。

2 電子政務系統風險評估要素的提取原則和方法

電子政務系統安全的風險評估是一個復雜的過程，它涉及系統中物理環境、管理體系、主機安全、網絡安全和應急體系等方面。要在這么廣泛的范圍內對一個復雜的系統進行全面的風險評估，就需要對系統有一個非常全面的了解，對系統構架和運行模式有一個清醒的認識。可見，要做到這一點就需要進行廣泛的調研和實踐調查，深入系統內部，運用多種科學手段來獲得信息。

2.1評估要素的提取原則

評估要素提取是指通過各種方式獲取風險評估所需要的信息。評估要素提取是保證風險評估得以正常運行的基礎和前提。評估要素提取成功與否，直接關系到整個風險評估工作和安全信息管理工作的質量。為了保證所獲取信息的質量，應堅持以下原則：

一是準確性原則。該原則要求所收集到的信息要真實、可靠，這是信息收集工作的最基本要求；二是全面性原則。該原則要求所搜集到的信息要廣泛、全面完整；三是時效性原則。信息的利用價值取決于該信息是否能及時地提供，即具備時性。

2.2 評估要素提取的方法

信息系統風險評估中涉及到的多種因素包括資產、威脅、漏洞和安全措施。信息系統的資產包括數據資產、軟件、人員、硬件和服務資產等。資產的價值由固有價值、它所受傷害的近期影響和長期結果所組成。目前使用的風險評估方法大多需要對多種形式資產進行綜合評估，所獲取的信息范圍應包含全部的上述內容，只有這樣，其結果才是有效全面的。同時，評估時還要考慮：考慮業務中的關鍵部分，將其重點考慮起來。第二，哪些關于資產的重要決定取決于信息的準確度、完整性或可用性，以及要對那些資產信息加以重點保護。第三必須要考慮安全時間會對業務或者組織的資產產生哪些影響，如信息資產的購買價值，信息資產的損毀對政府形象的負面影響程度，信息資產的損毀程度對政府長期規劃和遠景發展的影響等等。

2.3 電子政務系統安全風險評估的流程及實施

2.3.1電子政務系統安全的評估流程

電子政務系統安全的風險評估是組織機構確定信息安全需求的過程，包括環境特性評估、資產識別與評價、威脅和弱點評估、控制措施評估、風險認定等在內的一系列活動。

2.3.2 電子政務系統安全風險評估的實施

電子政務系統安全的風險評估是一項復雜的工程，除了應遵循一定的流程外，選擇合理的方法也很重要。為了使風險評估全面、準確、真實地反映系統的安全狀態，在實施風險評估過程中需要采用多種方法。評估流程實施過程如信息網絡安全技術測評是電子政務系統安全測評的重要手段，許多安全控制項都必須借助于技術手段來實現，但是單獨依靠技術測評還不能全面系統的分析電子政務系統的安全。實踐經驗證明，僅有安全技術防范，而無嚴格的安全管理體系是難以保障系統的安全的。因此在測評中我們必須對被測評方制訂的一系列安全管理制度進行測評。信息安全管理的測評可以單獨進行也可以穿插到技術測評當中。隨著信息技術的發展，信息安全測評工程師面臨越來越多的挑戰，為提高測評能力和效率，應充分的發揮主觀能動性，利用各種現有的各種安全測試工具，開發安全測試工具、報告生成工具等。信息安全測評機構以及電子政務系統的運行、維護方必須共同努力，為我國的信息化發展保駕護航。

第一，參與系統實踐。系統實踐是獲得信息系統真實可靠信息的最重要手段。系統實踐是指深入信息系統內部，親自參與系統的運行，并運用觀察、操作等方法直接從信息系統中了解情況，收集資料和數據的活動。第二，問卷調查。問卷調查表是通過問題表的形式，事先將需要了解的問題列舉出來，通過讓信息系統相關人員回答相關問題而獲取信息的一種有效方式。現在的信息獲取經常利用這種方式，它具有實施方便，操作方便，所需費用少，分析簡潔、明快等特點，所以得到了廣泛的應用。但是它的靈活性較少，得到的信息有時不太清楚，具有一定的模糊性，信息深度不夠等；還需要其他的方式來配合和補充。第三，輔助工具的使用，在信息系統中，網絡安全狀況、主機安全狀況等難以用眼睛觀察出來，需要借助優秀的網絡和系統檢測工具來監測。輔助工具能夠發現系統的某些內在的弱點，以及在配置上可能存在的威脅系統安全的錯誤，這些因素很可能就是破壞目標主機安全性的關鍵性因素。輔助工具能幫助發現系統中的安全隱患，但并不能完全代替人做所有的工作，而且掃描的結果往往是不全面的。

參考文獻

[1] 閆強，陳鐘，段云所，等.信息安全評估標準、技術及其進展[J].計算機工程，2003

[2] 王英梅，等.信息安全風險評估[M].北京：電子工業出版社，2007

[3] 陸寶華，T楠.信息系統安全原理與應用.北京：清華大學出版社，2007