電子政務(wù)網(wǎng)信息安全風(fēng)險評估研究論文

　　內容摘要：電子政務(wù)網(wǎng)對提高政府行政效能具有重要意義，其網(wǎng)絡(luò )信息安全要求更高;目前國內外在風(fēng)險評估的標準和方法上都有大量研究成果;在評估標準不斷完善的基礎上，未來(lái)研究應更加在改進(jìn)評估模型上進(jìn)行創(chuàng )新。

　　關(guān)鍵詞：電子政務(wù)網(wǎng);信息安全評估;研究綜述

　　一、研究的意義

　　伴隨著(zhù)計算機通信技術(shù)的廣泛應用，信息化時(shí)代迅速到來(lái)。社會(huì )信息化給政府事務(wù)管理提出了新的要求，行政管理的現代化迫在眉睫。電子政務(wù)在發(fā)達國家取得長(cháng)足進(jìn)展，為了提高政府的行政效能和行政管理水平，我國正在加快對電子政務(wù)網(wǎng)的建設。在新的時(shí)代條件下，開(kāi)放和互聯(lián)的發(fā)展帶來(lái)信息流動(dòng)的極大便利，同時(shí)，也帶來(lái)了新的問(wèn)題和挑戰。電子政務(wù)系統上所承載的信息的特殊性，在網(wǎng)絡(luò )開(kāi)放的條件下，尤其是公共部門(mén)電子政務(wù)信息與資產(chǎn)，如果受到不法攻擊、利用，則有可能給國家帶來(lái)?yè)p失，也可能危及政府、企業(yè)和居民的安全。作為政府信息化工作的基本手段，電子政務(wù)網(wǎng)在穩定性、安全性方面，比普通信息網(wǎng)要求更高。對信息安全風(fēng)險進(jìn)行評估，是確定與衡量電子政務(wù)安全的重要方式。研究確定科學(xué)的安全風(fēng)險評估標準和評估方法及模型，不僅有助于維護政府信息安全，也有助于防止現實(shí)與潛在的風(fēng)險。

　　二、國內外研究狀況

　　當前，國內外尚未形成系統化的電子政務(wù)網(wǎng)絡(luò )信息安全的評估體系與方法。目前主要有風(fēng)險分析、系統安全工程能力成熟度模型、安全測評和安全審計等四類(lèi)。

　　(一)國外研究現狀。在風(fēng)險評估標準方面，1993年，美、英、德等國國家標準技術(shù)研究所與各國國家安全局制定并簽署了《信息技術(shù)安全通用評估準則》。1997年形成了信息安全通用準則2．0版，1999年形成了CC2．1版，并被當作國際標準(150/IEC15408)。CC分為EALI到EAL7共7個(gè)評估等級，對相關(guān)領(lǐng)域的研究與應用影響深遠。之后，風(fēng)險評估和管理被國際標準組織高度重視，作為防止安全風(fēng)險的手段，他們更加關(guān)注信息安全管理和技術(shù)措施，并體現在相繼于1996年和2000年發(fā)布的《信息技術(shù)安全管理指南》(150/IECTＲ13335標準)和《信息技術(shù)信息安全管理實(shí)用規則》(150/IEC177799)中。與此同時(shí)，全球在信息技術(shù)應用和研究方面較為發(fā)達的國家也紛紛研發(fā)符合本國實(shí)際的風(fēng)險管理標準。如美國國家標準與技術(shù)局自1990年以來(lái)，制定了十幾個(gè)相關(guān)的風(fēng)險管理標準。進(jìn)入二十一世紀初，美國又制定發(fā)布了《IT系統風(fēng)險管理指南》，細致入微地提出風(fēng)險處理的步驟和方法。2002年與2003年，美國防部相繼公布了《信息(安全)保障》指示(8500l)及更加完備的《信息(安全)保障實(shí)現))指令(55002)，為國家防務(wù)系統的安全評估提供了標準和依據。隨著(zhù)信息安全標準的廣泛實(shí)施，風(fēng)險評估服務(wù)市場(chǎng)應運而生。繼政府、社會(huì )研究機構之后，市場(chǎng)敏銳的產(chǎn)業(yè)界也投入資金出臺適應市場(chǎng)需求風(fēng)險評估評估體系和標準。例如美國卡內基梅隆大學(xué)的OCTAVE方法等。在風(fēng)險評估方法方面，目前許多國內外的學(xué)者運用神經(jīng)網(wǎng)絡(luò )、灰色理論、層次分析法、貝葉斯網(wǎng)絡(luò )、模糊數學(xué)、決策樹(shù)法等多種方法，系統研究并制定與開(kāi)發(fā)了不同類(lèi)型、不同用途的風(fēng)險評估模型，這些模型與方法雖然具備一定的科學(xué)依據，在不用范圍和層面的應用中取得一定成果，但也存在不同程度的不足，比如計算復雜，成本高，難以廣泛推廣。

　　(二)國內相關(guān)研究現狀。我國的研究較之國外起步稍晚，盡管信息化浪潮對各國的挑戰程度不同，但都深受影響。20世紀90年代末，我國信息安全標準和風(fēng)險評估模型的研究已廣泛開(kāi)展。但在電子政務(wù)網(wǎng)上的應用卻是近幾年才開(kāi)始引發(fā)政府、公眾及研究機構的關(guān)注。任何國家都十分重視對信息安全保障體系的宏觀(guān)管理。但政府依托什么來(lái)宏觀(guān)控制和管理呢?實(shí)際上就是信息安全標準。所以在股價(jià)戰略層面看，用哪個(gè)國家的標準，就會(huì )帶動(dòng)那個(gè)國家的相關(guān)產(chǎn)業(yè)，關(guān)系到該國的經(jīng)濟發(fā)展利益。標準的競爭、爭奪、保護，也就成為各國信息技術(shù)戰場(chǎng)的重要領(lǐng)域。但要建立國內通行、國際認可的技術(shù)標準，卻是一項艱巨而長(cháng)期的任務(wù)。我國從20世紀80年代開(kāi)始，就組織力量學(xué)習、吸收國際標準，并逐步轉化了一批國際信息安全基礎技術(shù)標準，為國家安全技術(shù)工作的發(fā)展作出了重要貢獻。信息安全技術(shù)標準的具體研究應用，首先從最直接的公共安全領(lǐng)域開(kāi)始的。公安部首先根據實(shí)際需要組織制定和頒布了信息安全標準。1999年頒布了《計算機信息系統安全保護等級劃分準則》(GB17859一1999);2001年援引CC的GB/T18336一2001，作為我國安全產(chǎn)品測評的標準;在此基礎上，2003年完成了《風(fēng)險評估規范第1部分:安全風(fēng)險評估程序》、《風(fēng)險評估規范第2部分:安全風(fēng)險評估操作指南》。同時(shí)，公安部以上述國家標準為依據，開(kāi)展安全產(chǎn)品功能測評工作，以及安全產(chǎn)品的性能評測、安全性評測。在公安部的帶動(dòng)下，我國政府科研計劃和各個(gè)行業(yè)的科技項目中，都列出一些風(fēng)險評估研究項目，帶動(dòng)行業(yè)技術(shù)人員和各部門(mén)研究人員加入研究行列，并取得一些成果。這些成果又為風(fēng)險評估標準的制定提供了豐富的材料和實(shí)踐的依據。同時(shí)，國家測評認證機構也擴展自己的工作范圍，開(kāi)展信息系統的安全評測業(yè)務(wù)。2002年4月15日，全國信息安全標準化技術(shù)委員會(huì )正式成立。為進(jìn)一步推進(jìn)工作，盡快啟動(dòng)一批信息安全關(guān)鍵性標準的研究工作，委員會(huì )制定了《全國信息安全標準化技術(shù)委員會(huì )工作組章程(草案)》，并先后成立了信息安全標準體系與協(xié)調工作組(WG1)、內容安全分級及標識工作組(WG2)等10個(gè)工作組。經(jīng)過(guò)我國各部門(mén)和行業(yè)的長(cháng)期研究和實(shí)踐，積累了大量的成果和經(jīng)驗，在現實(shí)需求下，制定我國自己的風(fēng)險評估國家標準的條件初步成熟。2004年，國信辦啟動(dòng)了我國風(fēng)險評估國家標準的制定工作。該項工作由信息安全風(fēng)險評估課題組牽頭制定工作計劃，將我國風(fēng)險評估國家標準系列分為三個(gè)標準，即《信息安全風(fēng)險管理指南》、《信息安全風(fēng)險評估指南》和《信息安全風(fēng)險評估框架》。每個(gè)標準的內容和規定各不相同，共同組成國家標準系列�！缎畔�安全風(fēng)險管理指南》主要規定了風(fēng)險管理的基本內容和主要過(guò)程，其中對本單位管理層的職責予以特別明確，管理層有權根據本單位風(fēng)險評估和風(fēng)險處理的結果，判斷信息系統是否運行�！缎畔�安全風(fēng)險評估指南》規定，風(fēng)險評估包括的特定技術(shù)性?xún)热�、評估方法和風(fēng)險判斷準則，適用于信息系統的使用單位進(jìn)行自我風(fēng)險評估及機構的評估�！缎畔�安全風(fēng)險評估框架》則規定，風(fēng)險評估本身特定的概念與流程。

　　三、研究的難點(diǎn)及趨勢

　　電子政務(wù)網(wǎng)的用戶(hù)與管理層不一定具備計算機專(zhuān)業(yè)的技能與知識，其操作行為與管理方式可能造成安全漏洞，容易構成網(wǎng)絡(luò )安全風(fēng)險問(wèn)題。目前存在的風(fēng)險評估體系難以適應電子政務(wù)安全運行的基本要求，因此結合電子政務(wù)網(wǎng)涉密性需求，需要設計一種由內部提出的相應的評估方法和評估準則，制定風(fēng)險評估模型。當前存在的難點(diǎn)主要有:一是如何建立風(fēng)險評估模型體系來(lái)解決風(fēng)險評估中因素眾多，關(guān)系錯綜復雜，主觀(guān)性強等諸多問(wèn)題，是當前電子政務(wù)網(wǎng)絡(luò )信息安全評估研究的重點(diǎn)和難點(diǎn)。二是評估工作存在評估誤差，也是目前研究的難點(diǎn)和不足之處。誤差的不可避免性，以及其出現的隨機性和不確定性，使得風(fēng)險評估中風(fēng)險要素的確定更加復雜，評估本身就具有了不確定性。從未來(lái)研究趨勢看，一是要不斷改進(jìn)風(fēng)險評估方法和風(fēng)險評估模型。有研究者認為，要充分借鑒和利用模糊數學(xué)的方法，建立OCTAVE電子政務(wù)系統風(fēng)險評估模型。它可以有效顧及評估中的各項因素，較為簡(jiǎn)易地獲得評估結果，并消除其中存在的主觀(guān)偏差。二是由靜態(tài)風(fēng)險評估轉向動(dòng)態(tài)風(fēng)險評估。動(dòng)態(tài)的風(fēng)險評估能夠對電子政務(wù)信息安全評估進(jìn)行較為準確的判斷，同時(shí)可以及時(shí)制止風(fēng)險進(jìn)一步發(fā)生。在動(dòng)態(tài)模型運用中，研究者主要提出了基于主成分的BP人工神經(jīng)網(wǎng)絡(luò )算法，通過(guò)對人工神經(jīng)網(wǎng)絡(luò )算法的進(jìn)一步改進(jìn)，實(shí)現定性與定量的有效結合。

　　參考文獻：

　�。�1］陳濤，馮平，朱多剛．基于威脅分析的電子政務(wù)信息安全風(fēng)險評估模型研究［J］．情報雜志，2011，8:94～98

　�。�2］雷戰波，胡安陽(yáng)．電子政務(wù)信息安全風(fēng)險評估方法研究［J］．中國信息界，2010，6

　�。�3］余洋．電子政務(wù)系統風(fēng)險評估模型設計與研究［D］．成都理工大學(xué)，2008

　�。�4］周偉良，朱方洲，電子政務(wù)系統安全風(fēng)險評估研究［J］．電子政務(wù)，2007，29:67～68

　�。�5］趙磊．電子政務(wù)網(wǎng)絡(luò )風(fēng)險評估與安全控制［D］．上海交通大學(xué)，2011

　�。�6］汪洋．自動(dòng)安全評估系統的分析與設計［D］．北京郵電大學(xué)，2011

　�。�7］楊瞾喆．云南省電子政務(wù)信息安全保障體系研究［D］．云南大學(xué)，2014

　�。�8］陳偉奇．政府網(wǎng)絡(luò )安全風(fēng)險評估［J］．信息安全，2013，9:144～145

【電子政務(wù)網(wǎng)信息安全風(fēng)險評估研究論文】相關(guān)文章：

學(xué)校安全風(fēng)險評估報告06-03

學(xué)校安全風(fēng)險評估報告11-25

部隊信息安全保密風(fēng)險管理探究論文06-04

信息系統安全風(fēng)險評估報告（通用17篇）11-19

學(xué)校機房信息安全風(fēng)險評估報告范文（通用13篇）12-22

信息系統安全風(fēng)險評估報告范文（精選5篇）08-14

安全隱患風(fēng)險評估報告10-12

風(fēng)險評估方案09-24

社會(huì )安全風(fēng)險評估工作計劃03-18

網(wǎng)絡(luò )安全風(fēng)險評估相關(guān)探討08-29