電子政務(wù)網(wǎng)信息安全風(fēng)險(xiǎn)評(píng)估研究論文

　　內(nèi)容摘要：電子政務(wù)網(wǎng)對(duì)提高政府行政效能具有重要意義，其網(wǎng)絡(luò)信息安全要求更高;目前國(guó)內(nèi)外在風(fēng)險(xiǎn)評(píng)估的標(biāo)準(zhǔn)和方法上都有大量研究成果;在評(píng)估標(biāo)準(zhǔn)不斷完善的基礎(chǔ)上，未來(lái)研究應(yīng)更加在改進(jìn)評(píng)估模型上進(jìn)行創(chuàng)新。

　　關(guān)鍵詞：電子政務(wù)網(wǎng);信息安全評(píng)估;研究綜述

　　一、研究的意義

　　伴隨著計(jì)算機(jī)通信技術(shù)的廣泛應(yīng)用，信息化時(shí)代迅速到來(lái)。社會(huì)信息化給政府事務(wù)管理提出了新的要求，行政管理的現(xiàn)代化迫在眉睫。電子政務(wù)在發(fā)達(dá)國(guó)家取得長(zhǎng)足進(jìn)展，為了提高政府的行政效能和行政管理水平，我國(guó)正在加快對(duì)電子政務(wù)網(wǎng)的建設(shè)。在新的時(shí)代條件下，開(kāi)放和互聯(lián)的發(fā)展帶來(lái)信息流動(dòng)的極大便利，同時(shí)，也帶來(lái)了新的問(wèn)題和挑戰(zhàn)。電子政務(wù)系統(tǒng)上所承載的信息的特殊性，在網(wǎng)絡(luò)開(kāi)放的條件下，尤其是公共部門電子政務(wù)信息與資產(chǎn)，如果受到不法攻擊、利用，則有可能給國(guó)家?guī)��?lái)?yè)p失，也可能危及政府、企業(yè)和居民的安全。作為政府信息化工作的基本手段，電子政務(wù)網(wǎng)在穩(wěn)定性、安全性方面，比普通信息網(wǎng)要求更高。對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行評(píng)估，是確定與衡量電子政務(wù)安全的重要方式。研究確定科學(xué)的安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)和評(píng)估方法及模型，不僅有助于維護(hù)政府信息安全，也有助于防止現(xiàn)實(shí)與潛在的風(fēng)險(xiǎn)。

　　二、國(guó)內(nèi)外研究狀況

　　當(dāng)前，國(guó)內(nèi)外尚未形成系統(tǒng)化的電子政務(wù)網(wǎng)絡(luò)信息安全的評(píng)估體系與方法。目前主要有風(fēng)險(xiǎn)分析、系統(tǒng)安全工程能力成熟度模型、安全測(cè)評(píng)和安全審計(jì)等四類。

　　(一)國(guó)外研究現(xiàn)狀。在風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)方面，1993年，美、英、德等國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所與各國(guó)國(guó)家安全局制定并簽署了《信息技術(shù)安全通用評(píng)估準(zhǔn)則》。1997年形成了信息安全通用準(zhǔn)則2．0版，1999年形成了CC2．1版，并被當(dāng)作國(guó)際標(biāo)準(zhǔn)(150/IEC15408)。CC分為EALI到EAL7共7個(gè)評(píng)估等級(jí)，對(duì)相關(guān)領(lǐng)域的研究與應(yīng)用影響深遠(yuǎn)。之后，風(fēng)險(xiǎn)評(píng)估和管理被國(guó)際標(biāo)準(zhǔn)組織高度重視，作為防止安全風(fēng)險(xiǎn)的手段，他們更加關(guān)注信息安全管理和技術(shù)措施，并體現(xiàn)在相繼于1996年和2000年發(fā)布的《信息技術(shù)安全管理指南》(150/IECTＲ13335標(biāo)準(zhǔn))和《信息技術(shù)信息安全管理實(shí)用規(guī)則》(150/IEC177799)中。與此同時(shí)，全球在信息技術(shù)應(yīng)用和研究方面較為發(fā)達(dá)的國(guó)家也紛紛研發(fā)符合本國(guó)實(shí)際的風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)。如美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)局自1990年以來(lái)，制定了十幾個(gè)相關(guān)的風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)。進(jìn)入二十一世紀(jì)初，美國(guó)又制定發(fā)布了《IT系統(tǒng)風(fēng)險(xiǎn)管理指南》，細(xì)致入微地提出風(fēng)險(xiǎn)處理的步驟和方法。2002年與2003年，美國(guó)防部相繼公布了《信息(安全)保障》指示(8500l)及更加完備的《信息(安全)保障實(shí)現(xiàn)))指令(55002)，為國(guó)家防務(wù)系統(tǒng)的安全評(píng)估提供了標(biāo)準(zhǔn)和依據(jù)。隨著信息安全標(biāo)準(zhǔn)的廣泛實(shí)施，風(fēng)險(xiǎn)評(píng)估服務(wù)市場(chǎng)應(yīng)運(yùn)而生。繼政府、社會(huì)研究機(jī)構(gòu)之后，市場(chǎng)敏銳的產(chǎn)業(yè)界也投入資金出臺(tái)適應(yīng)市場(chǎng)需求風(fēng)險(xiǎn)評(píng)估評(píng)估體系和標(biāo)準(zhǔn)。例如美國(guó)卡內(nèi)基梅隆大學(xué)的OCTAVE方法等。在風(fēng)險(xiǎn)評(píng)估方法方面，目前許多國(guó)內(nèi)外的學(xué)者運(yùn)用神經(jīng)網(wǎng)絡(luò)、灰色理論、層次分析法、貝葉斯網(wǎng)絡(luò)、模糊數(shù)學(xué)、決策樹法等多種方法，系統(tǒng)研究并制定與開(kāi)發(fā)了不同類型、不同用途的風(fēng)險(xiǎn)評(píng)估模型，這些模型與方法雖然具備一定的科學(xué)依據(jù)，在不用范圍和層面的應(yīng)用中取得一定成果，但也存在不同程度的不足，比如計(jì)算復(fù)雜，成本高，難以廣泛推廣。

　　(二)國(guó)內(nèi)相關(guān)研究現(xiàn)狀。我國(guó)的研究較之國(guó)外起步稍晚，盡管信息化浪潮對(duì)各國(guó)的挑戰(zhàn)程度不同，但都深受影響。20世紀(jì)90年代末，我國(guó)信息安全標(biāo)準(zhǔn)和風(fēng)險(xiǎn)評(píng)估模型的研究已廣泛開(kāi)展。但在電子政務(wù)網(wǎng)上的應(yīng)用卻是近幾年才開(kāi)始引發(fā)政府、公眾及研究機(jī)構(gòu)的關(guān)注。任何國(guó)家都十分重視對(duì)信息安全保障體系的宏觀管理。但政府依托什么來(lái)宏觀控制和管理呢?實(shí)際上就是信息安全標(biāo)準(zhǔn)。所以在股價(jià)戰(zhàn)略層面看，用哪個(gè)國(guó)家的標(biāo)準(zhǔn)，就會(huì)帶動(dòng)那個(gè)國(guó)家的相關(guān)產(chǎn)業(yè)，關(guān)系到該國(guó)的經(jīng)濟(jì)發(fā)展利益。標(biāo)準(zhǔn)的競(jìng)爭(zhēng)、爭(zhēng)奪、保護(hù)，也就成為各國(guó)信息技術(shù)戰(zhàn)場(chǎng)的重要領(lǐng)域。但要建立國(guó)內(nèi)通行、國(guó)際認(rèn)可的技術(shù)標(biāo)準(zhǔn)，卻是一項(xiàng)艱巨而長(zhǎng)期的任務(wù)。我國(guó)從20世紀(jì)80年代開(kāi)始，就組織力量學(xué)習(xí)、吸收國(guó)際標(biāo)準(zhǔn)，并逐步轉(zhuǎn)化了一批國(guó)際信息安全基礎(chǔ)技術(shù)標(biāo)準(zhǔn)，為國(guó)家安全技術(shù)工作的發(fā)展作出了重要貢獻(xiàn)。信息安全技術(shù)標(biāo)準(zhǔn)的具體研究應(yīng)用，首先從最直接的公共安全領(lǐng)域開(kāi)始的。公安部首先根據(jù)實(shí)際需要組織制定和頒布了信息安全標(biāo)準(zhǔn)。1999年頒布了《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB17859一1999);2001年援引CC的GB/T18336一2001，作為我國(guó)安全產(chǎn)品測(cè)評(píng)的標(biāo)準(zhǔn);在此基礎(chǔ)上，2003年完成了《風(fēng)險(xiǎn)評(píng)估規(guī)范第1部分:安全風(fēng)險(xiǎn)評(píng)估程序》、《風(fēng)險(xiǎn)評(píng)估規(guī)范第2部分:安全風(fēng)險(xiǎn)評(píng)估操作指南》。同時(shí)，公安部以上述國(guó)家標(biāo)準(zhǔn)為依據(jù)，開(kāi)展安全產(chǎn)品功能測(cè)評(píng)工作，以及安全產(chǎn)品的性能評(píng)測(cè)、安全性評(píng)測(cè)。在公安部的帶動(dòng)下，我國(guó)政府科研計(jì)劃和各個(gè)行業(yè)的科技項(xiàng)目中，都列出一些風(fēng)險(xiǎn)評(píng)估研究項(xiàng)目，帶動(dòng)行業(yè)技術(shù)人員和各部門研究人員加入研究行列，并取得一些成果。這些成果又為風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)的制定提供了豐富的材料和實(shí)踐的依據(jù)。同時(shí)，國(guó)家測(cè)評(píng)認(rèn)證機(jī)構(gòu)也擴(kuò)展自己的工作范圍，開(kāi)展信息系統(tǒng)的安全評(píng)測(cè)業(yè)務(wù)。2002年4月15日，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)正式成立。為進(jìn)一步推進(jìn)工作，盡快啟動(dòng)一批信息安全關(guān)鍵性標(biāo)準(zhǔn)的研究工作，委員會(huì)制定了《全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)工作組章程(草案)》，并先后成立了信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組(WG1)、內(nèi)容安全分級(jí)及標(biāo)識(shí)工作組(WG2)等10個(gè)工作組。經(jīng)過(guò)我國(guó)各部門和行業(yè)的長(zhǎng)期研究和實(shí)踐，積累了大量的成果和經(jīng)驗(yàn)，在現(xiàn)實(shí)需求下，制定我國(guó)自己的風(fēng)險(xiǎn)評(píng)估國(guó)家標(biāo)準(zhǔn)的條件初步成熟。2004年，國(guó)信辦啟動(dòng)了我國(guó)風(fēng)險(xiǎn)評(píng)估國(guó)家標(biāo)準(zhǔn)的制定工作。該項(xiàng)工作由信息安全風(fēng)險(xiǎn)評(píng)估課題組牽頭制定工作計(jì)劃，將我國(guó)風(fēng)險(xiǎn)評(píng)估國(guó)家標(biāo)準(zhǔn)系列分為三個(gè)標(biāo)準(zhǔn)，即《信息安全風(fēng)險(xiǎn)管理指南》、《信息安全風(fēng)險(xiǎn)評(píng)估指南》和《信息安全風(fēng)險(xiǎn)評(píng)估框架》。每個(gè)標(biāo)準(zhǔn)的內(nèi)容和規(guī)定各不相同，共同組成國(guó)家標(biāo)準(zhǔn)系列�！缎畔�安全風(fēng)險(xiǎn)管理指南》主要規(guī)定了風(fēng)險(xiǎn)管理的基本內(nèi)容和主要過(guò)程，其中對(duì)本單位管理層的職責(zé)予以特別明確，管理層有權(quán)根據(jù)本單位風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理的結(jié)果，判斷信息系統(tǒng)是否運(yùn)行。《信息安全風(fēng)險(xiǎn)評(píng)估指南》規(guī)定，風(fēng)險(xiǎn)評(píng)估包括的特定技術(shù)性內(nèi)容、評(píng)估方法和風(fēng)險(xiǎn)判斷準(zhǔn)則，適用于信息系統(tǒng)的使用單位進(jìn)行自我風(fēng)險(xiǎn)評(píng)估及機(jī)構(gòu)的評(píng)估。《信息安全風(fēng)險(xiǎn)評(píng)估框架》則規(guī)定，風(fēng)險(xiǎn)評(píng)估本身特定的概念與流程。

　　三、研究的難點(diǎn)及趨勢(shì)

　　電子政務(wù)網(wǎng)的用戶與管理層不一定具備計(jì)算機(jī)專業(yè)的技能與知識(shí)，其操作行為與管理方式可能造成安全漏洞，容易構(gòu)成網(wǎng)絡(luò)安全風(fēng)險(xiǎn)問(wèn)題。目前存在的風(fēng)險(xiǎn)評(píng)估體系難以適應(yīng)電子政務(wù)安全運(yùn)行的基本要求，因此結(jié)合電子政務(wù)網(wǎng)涉密性需求，需要設(shè)計(jì)一種由內(nèi)部提出的相應(yīng)的評(píng)估方法和評(píng)估準(zhǔn)則，制定風(fēng)險(xiǎn)評(píng)估模型。當(dāng)前存在的難點(diǎn)主要有:一是如何建立風(fēng)險(xiǎn)評(píng)估模型體系來(lái)解決風(fēng)險(xiǎn)評(píng)估中因素眾多，關(guān)系錯(cuò)綜復(fù)雜，主觀性強(qiáng)等諸多問(wèn)題，是當(dāng)前電子政務(wù)網(wǎng)絡(luò)信息安全評(píng)估研究的重點(diǎn)和難點(diǎn)。二是評(píng)估工作存在評(píng)估誤差，也是目前研究的難點(diǎn)和不足之處。誤差的不可避免性，以及其出現(xiàn)的隨機(jī)性和不確定性，使得風(fēng)險(xiǎn)評(píng)估中風(fēng)險(xiǎn)要素的確定更加復(fù)雜，評(píng)估本身就具有了不確定性。從未來(lái)研究趨勢(shì)看，一是要不斷改進(jìn)風(fēng)險(xiǎn)評(píng)估方法和風(fēng)險(xiǎn)評(píng)估模型。有研究者認(rèn)為，要充分借鑒和利用模糊數(shù)學(xué)的方法，建立OCTAVE電子政務(wù)系統(tǒng)風(fēng)險(xiǎn)評(píng)估模型。它可以有效顧及評(píng)估中的各項(xiàng)因素，較為簡(jiǎn)易地獲得評(píng)估結(jié)果，并消除其中存在的主觀偏差。二是由靜態(tài)風(fēng)險(xiǎn)評(píng)估轉(zhuǎn)向動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估。動(dòng)態(tài)的風(fēng)險(xiǎn)評(píng)估能夠?qū)﹄娮诱��?wù)信息安全評(píng)估進(jìn)行較為準(zhǔn)確的判斷，同時(shí)可以及時(shí)制止風(fēng)險(xiǎn)進(jìn)一步發(fā)生。在動(dòng)態(tài)模型運(yùn)用中，研究者主要提出了基于主成分的BP人工神經(jīng)網(wǎng)絡(luò)算法，通過(guò)對(duì)人工神經(jīng)網(wǎng)絡(luò)算法的進(jìn)一步改進(jìn)，實(shí)現(xiàn)定性與定量的有效結(jié)合。

　　參考文獻(xiàn)：

　�。�1］陳濤，馮平，朱多剛．基于威脅分析的電子政務(wù)信息安全風(fēng)險(xiǎn)評(píng)估模型研究［J］．情報(bào)雜志，2011，8:94～98

　�。�2］雷戰(zhàn)波，胡安陽(yáng)．電子政務(wù)信息安全風(fēng)險(xiǎn)評(píng)估方法研究［J］．中國(guó)信息界，2010，6

　�。�3］余洋．電子政務(wù)系統(tǒng)風(fēng)險(xiǎn)評(píng)估模型設(shè)計(jì)與研究［D］．成都理工大學(xué)，2008

　�。�4］周偉良，朱方洲，電子政務(wù)系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估研究［J］．電子政務(wù)，2007，29:67～68

　　［5］趙磊．電子政務(wù)網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估與安全控制［D］．上海交通大學(xué)，2011

　�。�6］汪洋．自動(dòng)安全評(píng)估系統(tǒng)的分析與設(shè)計(jì)［D］．北京郵電大學(xué)，2011

　　［7］楊瞾喆．云南省電子政務(wù)信息安全保障體系研究［D］．云南大學(xué)，2014

　�。�8］陳偉奇．政府網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估［J］．信息安全，2013，9:144～145

【電子政務(wù)網(wǎng)信息安全風(fēng)險(xiǎn)評(píng)估研究論文】相關(guān)文章：

信息安全風(fēng)險(xiǎn)評(píng)估探究的論文10-09

信息安全風(fēng)險(xiǎn)評(píng)估方法論文10-09

關(guān)于信息安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目管理的論文10-09

電子信息檔案管理的風(fēng)險(xiǎn)控制方法的研究論文10-05

論文：電子政務(wù)信息安全研究10-08

政務(wù)網(wǎng)絡(luò)信息安全10-08

公司信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估與管控的論文10-08

信息安全風(fēng)險(xiǎn)與信息安全體系論文10-09

制藥企業(yè)風(fēng)險(xiǎn)評(píng)估論文10-09

電子商務(wù)安全風(fēng)險(xiǎn)管理研究10-08