電子政務網信息安全風險評估研究

導語：電子政務網信息安全風險評估研究一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

內容摘要：電子政務網對提高政府行政效能具有重要意義，其網絡信息安全要求更高;目前國內外在風險評估的標準和方法上都有大量研究成果;在評估標準不斷完善的基礎上，未來研究應更加在改進評估模型上進行創新。

關鍵詞：電子政務網;信息安全評估;研究綜述

一、研究的意義

伴隨著計算機通信技術的廣泛應用，信息化時代迅速到來。社會信息化給政府事務管理提出了新的要求，行政管理的現代化迫在眉睫。電子政務在發達國家取得長足進展，為了提高政府的行政效能和行政管理水平，我國正在加快對電子政務網的建設。在新的時代條件下，開放和互聯的發展帶來信息流動的極大便利，同時，也帶來了新的問題和挑戰。電子政務系統上所承載的信息的特殊性，在網絡開放的條件下，尤其是公共部門電子政務信息與資產，如果受到不法攻擊、利用，則有可能給國家帶來損失，也可能危及政府、企業和居民的安全。作為政府信息化工作的基本手段，電子政務網在穩定性、安全性方面，比普通信息網要求更高。對信息安全風險進行評估，是確定與衡量電子政務安全的重要方式。研究確定科學的安全風險評估標準和評估方法及模型，不僅有助于維護政府信息安全，也有助于防止現實與潛在的風險。

二、國內外研究狀況

當前，國內外尚未形成系統化的電子政務網絡信息安全的評估體系與方法。目前主要有風險分析、系統安全工程能力成熟度模型、安全測評和安全審計等四類。

(一)國外研究現狀。在風險評估標準方面，1993年，美、英、德等國國家標準技術研究所與各國國家安全局制定并簽署了《信息技術安全通用評估準則》。1997年形成了信息安全通用準則2．0版，1999年形成了CC2．1版，并被當作國際標準(150/IEC15408)。CC分為EALI到EAL7共7個評估等級，對相關領域的研究與應用影響深遠。之后，風險評估和管理被國際標準組織高度重視，作為防止安全風險的手段，他們更加關注信息安全管理和技術措施，并體現在相繼于1996年和2000年的《信息技術安全管理指南》(150/IECTR13335標準)和《信息技術信息安全管理實用規則》(150/IEC177799)中。與此同時，全球在信息技術應用和研究方面較為發達的國家也紛紛研發符合本國實際的風險管理標準。如美國國家標準與技術局自1990年以來，制定了十幾個相關的風險管理標準。進入二十一世紀初，美國又制定了《IT系統風險管理指南》，細致入微地提出風險處理的步驟和方法。2002年與2003年，美國防部相繼公布了《信息(安全)保障》指示(8500•l)及更加完備的《信息(安全)保障實現))指令(5500•2)，為國家防務系統的安全評估提供了標準和依據。隨著信息安全標準的廣泛實施，風險評估服務市場應運而生。繼政府、社會研究機構之后，市場敏銳的產業界也投入資金出臺適應市場需求風險評估評估體系和標準。例如美國卡內基•梅隆大學的OCTAVE方法等。在風險評估方法方面，目前許多國內外的學者運用神經網絡、灰色理論、層次分析法、貝葉斯網絡、模糊數學、決策樹法等多種方法，系統研究并制定與開發了不同類型、不同用途的風險評估模型，這些模型與方法雖然具備一定的科學依據，在不用范圍和層面的應用中取得一定成果，但也存在不同程度的不足，比如計算復雜，成本高，難以廣泛推廣。

(二)國內相關研究現狀。我國的研究較之國外起步稍晚，盡管信息化浪潮對各國的挑戰程度不同，但都深受影響。20世紀90年代末，我國信息安全標準和風險評估模型的研究已廣泛開展。但在電子政務網上的應用卻是近幾年才開始引發政府、公眾及研究機構的關注。任何國家政府都十分重視對信息安全保障體系的宏觀管理。但政府依托什么來宏觀控制和管理呢?實際上就是信息安全標準。所以在股價戰略層面看，用哪個國家的標準，就會帶動那個國家的相關產業，關系到該國的經濟發展利益。標準的競爭、爭奪、保護，也就成為各國信息技術戰場的重要領域。但要建立國內通行、國際認可的技術標準，卻是一項艱巨而長期的任務。我國從20世紀80年代開始，就組織力量學習、吸收國際標準，并逐步轉化了一批國際信息安全基礎技術標準，為國家安全技術工作的發展作出了重要貢獻。信息安全技術標準的具體研究應用，首先從最直接的公共安全領域開始的。公安部首先根據實際需要組織制定和頒布了信息安全標準。1999年頒布了《計算機信息系統安全保護等級劃分準則》(GB17859一1999);2001年援引CC的GB/T18336一2001，作為我國安全產品測評的標準;在此基礎上，2003年完成了《風險評估規范第1部分:安全風險評估程序》、《風險評估規范第2部分:安全風險評估操作指南》。同時，公安部以上述國家標準為依據，開展安全產品功能測評工作，以及安全產品的性能評測、安全性評測。在公安部的帶動下，我國政府科研計劃和各個行業的科技項目中，都列出一些風險評估研究項目，帶動行業技術人員和各部門研究人員加入研究行列，并取得一些成果。這些成果又為風險評估標準的制定提供了豐富的材料和實踐的依據。同時，國家測評認證機構也擴展自己的工作范圍，開展信息系統的安全評測業務。2002年4月15日，全國信息安全標準化技術委員會正式成立。為進一步推進工作，盡快啟動一批信息安全關鍵性標準的研究工作，委員會制定了《全國信息安全標準化技術委員會工作組章程(草案)》，并先后成立了信息安全標準體系與協調工作組(WG1)、內容安全分級及標識工作組(WG2)等10個工作組。經過我國各部門和行業的長期研究和實踐，積累了大量的成果和經驗，在現實需求下，制定我國自己的風險評估國家標準的條件初步成熟。2004年，國信辦啟動了我國風險評估國家標準的制定工作。該項工作由信息安全風險評估課題組牽頭制定工作計劃，將我國風險評估國家標準系列分為三個標準，即《信息安全風險管理指南》、《信息安全風險評估指南》和《信息安全風險評估框架》。每個標準的內容和規定各不相同，共同組成國家標準系列。《信息安全風險管理指南》主要規定了風險管理的基本內容和主要過程，其中對本單位管理層的職責予以特別明確，管理層有權根據本單位風險評估和風險處理的結果，判斷信息系統是否運行。《信息安全風險評估指南》規定，風險評估包括的特定技術性內容、評估方法和風險判斷準則，適用于信息系統的使用單位進行自我風險評估及機構的評估。《信息安全風險評估框架》則規定，風險評估本身特定的概念與流程。

三、研究的難點及趨勢

電子政務網的用戶與管理層不一定具備計算機專業的技能與知識，其操作行為與管理方式可能造成安全漏洞，容易構成網絡安全風險問題。目前存在的風險評估體系難以適應電子政務安全運行的基本要求，因此結合電子政務網涉密性需求，需要設計一種由內部提出的相應的評估方法和評估準則，制定風險評估模型。當前存在的難點主要有:一是如何建立風險評估模型體系來解決風險評估中因素眾多，關系錯綜復雜，主觀性強等諸多問題，是當前電子政務網絡信息安全評估研究的重點和難點。二是評估工作存在評估誤差，也是目前研究的難點和不足之處。誤差的不可避免性，以及其出現的隨機性和不確定性，使得風險評估中風險要素的確定更加復雜，評估本身就具有了不確定性。從未來研究趨勢看，一是要不斷改進風險評估方法和風險評估模型。有研究者認為，要充分借鑒和利用模糊數學的方法，建立OCTAVE電子政務系統風險評估模型。它可以有效顧及評估中的各項因素，較為簡易地獲得評估結果，并消除其中存在的主觀偏差。二是由靜態風險評估轉向動態風險評估。動態的風險評估能夠對電子政務信息安全評估進行較為準確的判斷，同時可以及時制止風險進一步發生。在動態模型運用中，研究者主要提出了基于主成分的BP人工神經網絡算法，通過對人工神經網絡算法的進一步改進，實現定性與定量的有效結合。

作者:郭瑋 單位:西安郵電大學

參考文獻：

［1］陳濤，馮平，朱多剛．基于威脅分析的電子政務信息安全風險評估模型研究［J］．情報雜志，2011，8:94～98

［2］雷戰波，胡安陽．電子政務信息安全風險評估方法研究［J］．中國信息界，2010，6

［3］余洋．電子政務系統風險評估模型設計與研究［D］．成都理工大學，2008

［4］周偉良，朱方洲，電子政務系統安全風險評估研究［J］．電子政務，2007，29:67～68

［5］趙磊．電子政務網絡風險評估與安全控制［D］．上海交通大學，2011

［6］．自動安全評估系統的分析與設計［D］．北京郵電大學，2011

［7］楊瞾喆．云南省電子政務信息安全保障體系研究［D］．云南大學，2014

［8］陳偉奇．政府網絡安全風險評估［J］．信息安全，2013，9:144～145