胡祥

摘 要：電子政務(wù)信息系統(tǒng)作為國家機(jī)關(guān)全面應(yīng)用現(xiàn)代網(wǎng)絡(luò)、信息技術(shù)進(jìn)行政務(wù)管理的一種全新的管理工具，其安全性和可靠性至關(guān)重要。而信息安全風(fēng)險(xiǎn)評估可以作為保障電子政務(wù)信息安全的重要措施，確保國家各級行政機(jī)關(guān)的電子政務(wù)信息系統(tǒng)正常運(yùn)行。本論文將依據(jù)最新發(fā)布的《互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)評估指南》所提出的實(shí)施要點(diǎn)和評估模型，應(yīng)用于電子政務(wù)信息安全評估工作中。

關(guān)鍵詞：電子政務(wù);互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù);安全評估

電子政務(wù)是當(dāng)代互聯(lián)網(wǎng)技術(shù)與政府管理理念相結(jié)合的產(chǎn)物，電子政務(wù)的應(yīng)用有利于帶動(dòng)整個(gè)國民經(jīng)濟(jì)和社會(huì)信息化的發(fā)展。然而，要保障電子政務(wù)為公眾提供優(yōu)質(zhì)服務(wù)的根本前提是信息安全的有效保障，因?yàn)檎?wù)網(wǎng)絡(luò)中運(yùn)行國家涉密信息、高度敏感內(nèi)容、核心辦公業(yè)務(wù)數(shù)據(jù)。電子政務(wù)信息安全評估的主要內(nèi)容包括：評估信息系統(tǒng)面臨的安全威脅、存在的脆弱性;分析信息系統(tǒng)資產(chǎn)的重要程度;檢測已有的安全措施和殘余風(fēng)險(xiǎn)的影響等。通過互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估技術(shù)手段對電子政務(wù)系統(tǒng)進(jìn)行信息安全風(fēng)險(xiǎn)評估，深度檢驗(yàn)政務(wù)信息系統(tǒng)相關(guān)安全措施的有效性和對安全環(huán)境變化的適應(yīng)性，保障政務(wù)信息系統(tǒng)運(yùn)行安全可靠。

1 互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估的思路與方法

互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估主要分為兩個(gè)評估流程，分別是“平臺(tái)安全風(fēng)險(xiǎn)評估”和“業(yè)務(wù)應(yīng)用安全風(fēng)險(xiǎn)評估”。從業(yè)務(wù)系統(tǒng)的 “平臺(tái)”和“應(yīng)用”兩個(gè)安全層面展開，評估模塊主要包括：網(wǎng)絡(luò)安全、內(nèi)容安全、設(shè)備安全、業(yè)務(wù)數(shù)據(jù)安全、平臺(tái)安全、業(yè)務(wù)流程安全、系統(tǒng)運(yùn)維及人員管理安全等。通過從不良信息監(jiān)測發(fā)現(xiàn)、數(shù)據(jù)安全、身份鑒別、網(wǎng)絡(luò)安全等重要管理環(huán)節(jié)開展安全評估，全方位的梳理安全風(fēng)險(xiǎn)點(diǎn)，使安全評估工作落到實(shí)處。

2 電子政務(wù)系統(tǒng)平臺(tái)安全風(fēng)險(xiǎn)評估

電子政務(wù)系統(tǒng)平臺(tái)安全風(fēng)險(xiǎn)評估是通過分析電子政務(wù)系統(tǒng)平臺(tái)的特征、面臨的安全威脅、系統(tǒng)存在的脆弱性以及威脅利用脆弱性可能對系統(tǒng)造成的風(fēng)險(xiǎn)，提出分析控制建議，為下一步制定平臺(tái)安全管理規(guī)范以及今后系統(tǒng)建設(shè)和風(fēng)險(xiǎn)管理提供依據(jù)和建議。評估內(nèi)容具體包括：

（1）數(shù)據(jù)安全風(fēng)險(xiǎn)評估：一是是評估政務(wù)管理部門對系統(tǒng)數(shù)據(jù)管理能力，進(jìn)行數(shù)據(jù)操作應(yīng)該審計(jì)、數(shù)據(jù)管理權(quán)限應(yīng)該分等級、應(yīng)該建立嚴(yán)格的數(shù)據(jù)管理制度、整個(gè)平臺(tái)應(yīng)該具備數(shù)據(jù)容災(zāi)恢復(fù)能力;二是對電子政務(wù)系統(tǒng)中數(shù)據(jù)本身的安全進(jìn)行評估。是否從數(shù)據(jù)保密、數(shù)據(jù)完整性、雙向強(qiáng)身份認(rèn)證等方面對數(shù)據(jù)進(jìn)行主動(dòng)保護(hù)。

（2）網(wǎng)絡(luò)架構(gòu)風(fēng)險(xiǎn)評估：一是結(jié)合電子政務(wù)系統(tǒng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，分析建網(wǎng)時(shí)的安全策略，確定信息安全邊界。二是對承載系統(tǒng)業(yè)務(wù)的網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全設(shè)備進(jìn)行評估，是否要受到保護(hù)，不能被更改、泄露和破壞，從而防止非法用戶的入侵。

（3）資源調(diào)度方式風(fēng)險(xiǎn)評估：分析電子政務(wù)系統(tǒng)的IP、域名、帶寬、數(shù)據(jù)、存儲(chǔ)、計(jì)算等資源的調(diào)度方式，查看業(yè)務(wù)系統(tǒng)的資源分配利用情況和實(shí)時(shí)監(jiān)控系統(tǒng)記錄等，是否存在不可控的風(fēng)險(xiǎn)。

（4）開放接口風(fēng)險(xiǎn)評估：評估電子政務(wù)系統(tǒng)開放的 API接口類型、功能及權(quán)限，是否按要求建立安全審計(jì)機(jī)制和技術(shù)保障說明。

3 電子政務(wù)業(yè)務(wù)應(yīng)用安全風(fēng)險(xiǎn)評估

業(yè)務(wù)應(yīng)用安全風(fēng)險(xiǎn)評估主要是為了將電子政務(wù)系統(tǒng)中可能存在的業(yè)務(wù)應(yīng)用風(fēng)險(xiǎn)控制在最小安全范圍內(nèi)?？梢酝ㄟ^人員訪談、文檔審查、業(yè)務(wù)邏輯梳理、業(yè)務(wù)系統(tǒng)驗(yàn)證等方式來核驗(yàn)。評估內(nèi)容具體包括：

（1）信息內(nèi)容風(fēng)險(xiǎn)評估：一是評估信息內(nèi)容主題的多樣性和相關(guān)性，若多元主題則風(fēng)險(xiǎn)較高;二是評估信息內(nèi)容的可審核性，對平臺(tái)發(fā)布的信息內(nèi)容開展技術(shù)或人工審核，信息是否建立先審后發(fā)的機(jī)制;三是評估是否將不良信息過濾監(jiān)測技術(shù)應(yīng)用于電子政務(wù)系統(tǒng)的全部功能模塊。

（2）用戶風(fēng)險(xiǎn)評估：一是政務(wù)管理部門需要對用戶真實(shí)身份信息進(jìn)行驗(yàn)證與鑒別;二是政務(wù)管理部門必須建立用戶信息保護(hù)管理制度。三是從用戶規(guī)模、用戶類型、用戶相關(guān)性等3個(gè)方面，綜合對用戶風(fēng)險(xiǎn)情況開展評估，業(yè)務(wù)系統(tǒng)的使用用戶數(shù)量越大，風(fēng)險(xiǎn)越高。

（3）信息載體風(fēng)險(xiǎn)評估：評估電子政務(wù)平臺(tái)上的信息的呈現(xiàn)形式，假如存在技術(shù)難以實(shí)現(xiàn)自動(dòng)化識別的非文本形式信息內(nèi)容，則存在信息安全風(fēng)險(xiǎn)的可能性越大。

（4）信息留存風(fēng)險(xiǎn)評估：評估電子政務(wù)系統(tǒng)中操作日志，用戶行為日志，不良信息處置日志留存情況，是否滿足有關(guān)法律法規(guī)要求。

（5）信息接收風(fēng)險(xiǎn)評估：確定信息是平臺(tái)主動(dòng)發(fā)送給用戶，還是用戶主動(dòng)去獲取。如果是平臺(tái)主動(dòng)發(fā)送則風(fēng)險(xiǎn)較高。

（6）信息傳播風(fēng)險(xiǎn)評估：通過對電子政務(wù)系統(tǒng)的“信息傳播方式”、“通信媒介”和“信息傳遞實(shí)時(shí)性”等3個(gè)方面展開評估。了解業(yè)務(wù)系統(tǒng)的信息傳播方式與通信媒介，如查看是否存在群組及人數(shù)上限限制、是否存在轉(zhuǎn)發(fā)功能等，分析系統(tǒng)的傳播能力以識別風(fēng)險(xiǎn)擴(kuò)散速度。并結(jié)合查看系統(tǒng)是否結(jié)合自身情況設(shè)置應(yīng)急處置辦法和配備應(yīng)急管理小組，使管理部門有能力對突發(fā)事件進(jìn)行及時(shí)處理。

4 大力推動(dòng)電子政務(wù)信息安全評估機(jī)制建設(shè)

電子政務(wù)事關(guān)國家安全、經(jīng)濟(jì)發(fā)展、社會(huì)穩(wěn)定以及公眾利益，構(gòu)建電子政務(wù)信息安全保評估機(jī)制是現(xiàn)階段電子政務(wù)發(fā)展和建設(shè)過程中必不可少的安全措施。各電子政務(wù)信息系統(tǒng)主管部門要制定本單位電子政務(wù)信息安全機(jī)制，定期開展信息安全評估工作，確保電子政務(wù)信息系統(tǒng)安全性和可靠性。

5 總結(jié)

由于政府部門機(jī)構(gòu)與職能的種類繁多，電子政務(wù)信息系統(tǒng)業(yè)務(wù)類型差異化大的特點(diǎn)，暫時(shí)還無法形成統(tǒng)一的評估模板。我們可以在安全評估的前期，充分分析、總結(jié)、歸納、挖掘業(yè)務(wù)特點(diǎn)、掌握業(yè)務(wù)模式，在基于安全評估模型的基礎(chǔ)上制定適合本次被評估電子政務(wù)系統(tǒng)的安全評估技術(shù)方案，貼切真實(shí)業(yè)務(wù)安全需求，確保電子政務(wù)系統(tǒng)的安全性。

參考文獻(xiàn)：

[1]熊艷，陳松.淺析互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全風(fēng)險(xiǎn)及安全評估方法[J].科技廣場，2017.

[2]黎艷青，張賀勛，陳遠(yuǎn)平，吳澤江，張煉樞.互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估[J].電子技術(shù)與軟件工程，2017.

[3]劉瑛，薛剛，徐偉群.給電子政務(wù)加把安全“鎖”[J].中國電信業(yè)，2012.

[4]李煜川.電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評估研究[D].蘇州大學(xué)，2011.