摘要：隨著信息時代的到來，將高端的互聯(lián)網(wǎng)技術(shù)與政府管理理念結(jié)合在一起，便推出了電子政務(wù)的發(fā)展模式，本身能夠為社會大眾提供更加優(yōu)質(zhì)的服務(wù)，并保障信息安全。與此同時，在電子政務(wù)網(wǎng)絡(luò)中，涵蓋大量的核心辦公業(yè)務(wù)數(shù)據(jù)、高度敏感的內(nèi)容以及涉及國家機密的信息，需要依托互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估技術(shù)，對電子政務(wù)的信息安全進行有效的評估，提高系統(tǒng)的運行效率，同時保障服務(wù)安全，為推動社會的和諧發(fā)展提供堅實的基礎(chǔ)。本文主要研究互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估技術(shù)在電子政務(wù)信息安全評估中的應(yīng)用等相關(guān)問題。

關(guān)鍵詞：互聯(lián)網(wǎng)發(fā)展;新技術(shù)新業(yè)務(wù);安全評估技術(shù);電子政府;信息安全評估

一、引言

電子政務(wù)信息安全評估的內(nèi)容主要包括了解電子政務(wù)信息系統(tǒng)面臨的威脅以及是否存在脆弱性，科學(xué)分析電子政務(wù)系統(tǒng)當中資產(chǎn)的重要程度，并檢測系統(tǒng)的潛在風(fēng)險和已有風(fēng)險，將高端的互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估技術(shù)手段，有效應(yīng)用于電子政務(wù)系統(tǒng)信安全評估工作當中，有利于深度檢驗電子政務(wù)系統(tǒng)的安全性，保障信息的完整性和科學(xué)性，使整個系統(tǒng)能夠隨著環(huán)境的變化逐漸更新，提高電子政務(wù)系統(tǒng)的應(yīng)用效率，為廣大群眾提供更加優(yōu)質(zhì)且便利的服務(wù)內(nèi)容，推動社會的和諧發(fā)展。

二、概念闡述

（一）互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估技術(shù)

互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估技術(shù)，是基于《互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)信息安全評估標準》下，有效識別系統(tǒng)風(fēng)險評估、信息安全事件評估、信息安全保障能力以及發(fā)生信息全事件后能否出具合理對策的一種新型的信息安全管理機制。將互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估技術(shù)，有效應(yīng)用于信息評估以及信息安全管理的工作中，首先要求技術(shù)人員能夠系統(tǒng)識別并分析互聯(lián)網(wǎng)業(yè)務(wù)和互聯(lián)網(wǎng)技術(shù)，了解傳統(tǒng)互聯(lián)網(wǎng)系統(tǒng)當中存在的信息安全風(fēng)險。其次，要求技術(shù)人員能夠科學(xué)評估信息安全事件如果發(fā)生后，可能對辦公系統(tǒng)和社會造成的影響。再次，要求技術(shù)人員能夠基于企業(yè)管理的視角，評估企業(yè)配套的信息安全保障能力，能否可以實現(xiàn)預(yù)先的風(fēng)險控制，如果出現(xiàn)了信息安全泄露事故，能否在最短的時間內(nèi)挽回損失，防止企業(yè)出現(xiàn)破產(chǎn)或重組的情況。最后，要求技術(shù)人員能夠基于信息安全視角，制定管理對策，為有關(guān)單位提供細致的參考意見。

（二）電子政務(wù)信息安全

首先，將概念拆解開來，電子政務(wù)指的是國家機關(guān)在落實政務(wù)活動的過程中，全面應(yīng)用辦公自動化技術(shù)、網(wǎng)絡(luò)技術(shù)以及現(xiàn)代信息技術(shù)，進行辦公和社會管理的一種新型的管理模式。在分析電子政務(wù)管理范疇的時候，從廣義的角度來講，包括所有的國家機構(gòu);從狹義的角度來講，包括處理社會事務(wù)及管理國家公共事務(wù)的各級行政機關(guān)。其次，電子政務(wù)安全，指的是保護電子政務(wù)系統(tǒng)及其服務(wù)不被惡意泄露、破壞和修改，防止電子政務(wù)的信息資源和系統(tǒng)資源受自然因素的威脅，以及人為因素的迫害。換句話說，電子政務(wù)安全，就是指電子政務(wù)系統(tǒng)的安全和信息的安全。通常情況下，影響電子政務(wù)安全的因素包括人為和非人為兩個方面，其中人為因素是指電子政務(wù)信息資源和系統(tǒng)資源受到內(nèi)部人員的主動攻擊、被動攻擊等;而非人為的威脅，一般以自然威脅為主，包括火災(zāi)、地震等自然災(zāi)害發(fā)生后，由于技術(shù)的局限，使得電子政務(wù)的系統(tǒng)遭到了破壞，包括硬件設(shè)備失調(diào)或軟件設(shè)備停止工作等。

三、互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估技術(shù)在電子政務(wù)信息安全評估中的應(yīng)用內(nèi)容

（一）業(yè)務(wù)應(yīng)用安全

首先，對電子政務(wù)系統(tǒng)中的用戶進行分析。電子政務(wù)系統(tǒng)中的用戶評估模塊是由身份信息保護、真實身份鑒別、身份真實性、相關(guān)性類型和規(guī)模六個評估指標構(gòu)成的。對于一般的電子政務(wù)系統(tǒng)來講，使用的用戶數(shù)量越多，系統(tǒng)面臨的風(fēng)險就越高。與此同時，如果需要臨時變更電子政務(wù)系統(tǒng)中的用戶數(shù)量或用戶身份，需要及時更新配套的安全保障軟件，對用戶的真實身份和信息進行鑒別，保障整個電子政務(wù)系統(tǒng)中使用者的身份能在系統(tǒng)的檔案當中被及時保存，防止電子政務(wù)系統(tǒng)中的信息或資源被惡意的篡改和盜取[1]。其次，要對電子政務(wù)系統(tǒng)中的信息內(nèi)容進行評估。評估模塊一般體現(xiàn)在相關(guān)性、多樣性和審核性三個指標方向。要求技術(shù)人員能夠及時評估系統(tǒng)中信息內(nèi)容主題，是否與電子政務(wù)提供的服務(wù)息息相關(guān)。如果主題相對多，其風(fēng)險性就較高。與此同時，還需要利用信息識別技術(shù)，對電子政務(wù)系統(tǒng)中不合規(guī)或過時的信息進行剔除和更換，在評估的過程中落實好安全測試檢查，及時過濾不良信息，并做好敏感詞和敏感句的測試處理。再次，要對電子政務(wù)系統(tǒng)中的信息載體和信息生成進行評估。信息載體的評估分為語言類型評估和信息呈現(xiàn)方式評估兩大類，要求技術(shù)人員能夠查看電子政務(wù)系統(tǒng)公眾信息的呈現(xiàn)形式是否合理且科學(xué)。必要情況下，可以利用高端的自動識別技術(shù)，對非文本形式的信息內(nèi)容進行審查和搜索，一旦發(fā)現(xiàn)敏感詞或違規(guī)詞匯，要立即更換或剔除。在評估電子政務(wù)系統(tǒng)中信息生成模塊的時候，要對信息生產(chǎn)方式和信息源進行檢查。尤其針對一些非系統(tǒng)管理成員產(chǎn)生的業(yè)務(wù)信息，需要對其進行集中且高度的檢索和鑒別，確保遵循前端匿名、后臺實名的原則，防止不知名用戶隨意發(fā)布、復(fù)制或傳播違規(guī)信息甚至違法信息。最后，要評估電子政務(wù)系統(tǒng)中的信息傳播和信息存儲模塊。就信息傳播模塊來講，需要對信息傳遞的實時性、通信媒介信息傳播方式以及信息傳播內(nèi)容進行系統(tǒng)的評估。了解電子政務(wù)系統(tǒng)的通信媒介和信息傳播方式。必要情況下，可以根據(jù)電子政務(wù)系統(tǒng)的規(guī)模，成立應(yīng)急管理小組或設(shè)置應(yīng)急處理方案，以便于對突發(fā)事件進行集中的管理。在落實信息存儲模塊評估的時候，需要依照法律法規(guī)的要求，對不良的信息和不良的資源進行存留處置，同時要保障電子政務(wù)系統(tǒng)的備份恢復(fù)功能，提高信息審計、檢索和查詢的便捷性[2]。

（二）業(yè)務(wù)平臺安全

首先，要設(shè)置位置分布，要求技術(shù)人員在利用互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估技術(shù)的時候，了解電子政務(wù)系統(tǒng)內(nèi)的網(wǎng)絡(luò)結(jié)構(gòu)，并分析系統(tǒng)所涉及的設(shè)備，包括節(jié)點、機房和服務(wù)器等具體的位置分布情況，查看這些設(shè)備是否在安全的環(huán)境中運行，所配備的數(shù)據(jù)結(jié)構(gòu)和交互系統(tǒng)是否按照規(guī)章制度或處理辦法得到了落實。與此同時，也要查看電子政務(wù)核心業(yè)務(wù)系統(tǒng)相關(guān)資質(zhì)信息。其次，要了解電子政務(wù)系統(tǒng)的資源調(diào)度方式，確切考察電子政務(wù)系統(tǒng)的計算、存儲、數(shù)據(jù)、寬帶、域名和IP等資源的調(diào)度形式，了解該系統(tǒng)業(yè)務(wù)分配的具體情況以及實施監(jiān)控記錄等，防止由于資源的浪費，導(dǎo)致信息內(nèi)容的分配不均衡，影響相關(guān)人員的判斷。再次，要考察業(yè)務(wù)合作成效，要求技術(shù)人員在落實電子政務(wù)安全評估的過程中，利用相應(yīng)的評估手段，對電子政務(wù)系統(tǒng)的業(yè)務(wù)合作內(nèi)容進行系統(tǒng)的考察，了解其保障能力和合規(guī)性，查看電子政務(wù)系統(tǒng)的信息資源、排列方式以及信息構(gòu)成是否符合法律法規(guī)以及行業(yè)標準。尤其當電子政務(wù)系統(tǒng)與其他外界組織機構(gòu)合作的時候，要了解組織機構(gòu)的經(jīng)營開辦資質(zhì)是否合規(guī)，是否具有信息安全保障能力，檢驗系統(tǒng)所推行的保障措施機制和管理辦法是否合規(guī)合理合。最后，要考察電子政務(wù)系統(tǒng)的開放接口，是指電子政務(wù)系統(tǒng)為第三方組織機構(gòu)開啟或提供服務(wù)的API接口，如果接口開啟，要求技術(shù)人員利用高端的評估手段了解接口的功能、類型、技術(shù)和權(quán)限等，并依照相應(yīng)的行業(yè)規(guī)定，設(shè)立安全審核機制和技術(shù)保障說明等[3]。

四、互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估技術(shù)在電子政務(wù)信息安全評估中的應(yīng)用方法和流程

（一）評估方法

將互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估技術(shù)，有效應(yīng)用于電子政務(wù)評估工作當中，具體包括人員訪談、檢測驗證以及文檔審查幾個方面。首先從人員訪談的角度來講，是指評估人員和電子政務(wù)系統(tǒng)的管理人員，通過深度的交流和訪談，了解電子政務(wù)系統(tǒng)的基本運行情況。例如電子政務(wù)系統(tǒng)的安全策略、信息傳播方式、技術(shù)實現(xiàn)手段、市場發(fā)展情況以及用戶規(guī)模等，便于安全評估人員能夠?qū)﹄娮诱?wù)系統(tǒng)風(fēng)險類型以及風(fēng)險影響性進行有效的識別。其次，在對電子政務(wù)系統(tǒng)進行檢測驗證的時候，需要評估單位能夠成立人員充足的安全評估小組，率先向電子政務(wù)系統(tǒng)的管理方申請測試賬號，對電子政務(wù)系統(tǒng)的功能模塊進行基本的安全測試，了解該系統(tǒng)能否滿足評估的要求。與此同時，也要求評估小組能夠?qū)﹄娮诱?wù)系統(tǒng)的用戶登錄注冊模塊進行科學(xué)的模擬檢驗，了解用戶的身份功能和真實性。最后，在落實文檔審查工作的時候，要求安全評估小組能夠依照電子政務(wù)系統(tǒng)的特征出具安全保障文檔。評估人員根據(jù)文檔材料，對電子政務(wù)系統(tǒng)進行逐點驗查，驗查該系統(tǒng)實際的操作情況是否和文檔中的檢驗內(nèi)容一致或匹配。例如敏感信息詞庫的更新機制是否合理，日常巡查機制是否安全有效等。條件允許的話，需要出具不良信息詞庫更新記錄表和日常巡查記錄表等[4]。

（二）評估流程

在電子政務(wù)信息安全評估工作中，有效地運用互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估技術(shù)，要求評估人員能夠?qū)⒓氈碌脑u估流程分為三個階段，包括準備階段、實施階段和總結(jié)階段。準備階段要求安全評估小組能夠及時了解電子政務(wù)系統(tǒng)的基本業(yè)務(wù)運行情況，收集與電子政務(wù)系統(tǒng)運行相關(guān)的制度資料，包括總體說明資料、技術(shù)資料、管理資料等。其中總體說明資料，要切實介紹電子政務(wù)平臺的信息內(nèi)容、系統(tǒng)的基本結(jié)構(gòu)、對外接口能力以及安全設(shè)備手段等。技術(shù)資料則包括電子政務(wù)系統(tǒng)的安全技術(shù)規(guī)范、接口規(guī)范、業(yè)務(wù)規(guī)范、設(shè)備規(guī)范和總體技術(shù)要求等。管理資料包括電子政務(wù)系統(tǒng)的應(yīng)急管理辦法和不良信息管理辦法等。在評估實施階段，要求安全評估小組能夠?qū)﹄娮诱?wù)系統(tǒng)的管理人員，進行系統(tǒng)的調(diào)研，通過測評驗證、系統(tǒng)查看和人員訪談等方式，對電子政務(wù)的業(yè)務(wù)風(fēng)險等級進行多次且深入的識別，了解電子政務(wù)系統(tǒng)的安全保障能力和業(yè)務(wù)對接能力。最后在評估總結(jié)階段，要求安全評估小組能夠針對電子政務(wù)系統(tǒng)中的安全風(fēng)險進行系統(tǒng)的識別，了解其安全保障能力，將評估的結(jié)果發(fā)放給上級監(jiān)管部門以及電子政務(wù)系統(tǒng)的管理人員，然后針對電子政務(wù)系統(tǒng)中存在的漏洞進行重點的改良和更新。必要情況下，可以與電子政務(wù)系統(tǒng)的管理組織召開會議，進行風(fēng)險確認，整理成有效的評估報告材料，并出具科學(xué)的風(fēng)險防控措施和風(fēng)險防范機制[5]。

五、電子政務(wù)信息安全評估工作中互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估技術(shù)的應(yīng)用流程

（一）成立電子政務(wù)信息安全評估小組

根據(jù)電子政務(wù)系統(tǒng)業(yè)務(wù)發(fā)展的具體情況，由有關(guān)部門選派專業(yè)的評估人員成立安全評估小組，負責電子政務(wù)系統(tǒng)安全評估的全過程，從最初的預(yù)案設(shè)計到中期的評估工作實施，再到后期的安全評估總結(jié)，需要評估小組能夠全權(quán)負責，具體包括第三方合作單位客服部、市場部、業(yè)務(wù)運營維護部以及業(yè)務(wù)開發(fā)部等。

（二）落實電子政務(wù)信息安全評估機制

在對電子政務(wù)系統(tǒng)進行業(yè)務(wù)風(fēng)險評估的時候，首先有關(guān)部門需要準備相應(yīng)的材料，在召開安全評估會議的基礎(chǔ)上，由評估小組共同對電子政務(wù)系統(tǒng)中的信息業(yè)務(wù)風(fēng)險進行評判，包括系統(tǒng)的發(fā)展運行情況、技術(shù)實現(xiàn)方式、信息服務(wù)功能等。除此之外，還要了解電子政務(wù)系統(tǒng)的安全保障情況，包括應(yīng)急保障機制是否合理、日常保障機制是否運行得當、制度管理文件是否存在缺失的問題等。根據(jù)電子政務(wù)系統(tǒng)具體的業(yè)務(wù)分布情況，要求安全評估小組能夠制定與業(yè)務(wù)或服務(wù)相適用的安全評估體系，重點考察電子政務(wù)系統(tǒng)業(yè)務(wù)運行安全、業(yè)務(wù)平臺安全和業(yè)務(wù)應(yīng)用安全三方面的信息安全風(fēng)險。與此同時，也應(yīng)該對電子政務(wù)系統(tǒng)的信息存儲方式、信息接收方式、信息傳播方式以及信息生成方式等進行科學(xué)的管控，了解其業(yè)務(wù)邏輯構(gòu)成，一旦發(fā)現(xiàn)風(fēng)險要及時管控，并且上報，出具合理的評估結(jié)果。

（三）評估電子政務(wù)系統(tǒng)的安全保障能力

電子政務(wù)系統(tǒng)信息評估的每一項指標，都要求安全評估小組能夠通過系統(tǒng)測試、人員訪談和文檔分析的方式，了解系統(tǒng)具體的業(yè)務(wù)構(gòu)成和服務(wù)運行情況，判斷系統(tǒng)中可能存在的信息安全風(fēng)險。與此同時，也要求安全評估小組能夠?qū)﹄娮诱?wù)系統(tǒng)的安全風(fēng)險進行匯總和歸類，出具科學(xué)有效的分析報告。例如針對每一項細致的評估指標，要求安全評估小組可以通過文檔分析的方式，了解電子政務(wù)系統(tǒng)的運行情況。如果發(fā)現(xiàn)人為篡改信息，導(dǎo)致信息失真，需要對電子政務(wù)系統(tǒng)的安全保障能力進行分析和匯總，并形成評估報告。

（四）推進安全管理體系以及評估技術(shù)的創(chuàng)新升級

針對電子政務(wù)信息安全問題，需要有關(guān)單位依托互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估技術(shù)，設(shè)立完善的安全評估管理體系，并明確其中的管理細則和實施辦法，使安全評估工作能夠朝著規(guī)范化和制度化的方向發(fā)展。例如，建立以互聯(lián)網(wǎng)新業(yè)務(wù)新技術(shù)為基準的線上保障機制，對電子政務(wù)系統(tǒng)運行過程中具體的業(yè)務(wù)內(nèi)容進行非定期考察，一旦發(fā)現(xiàn)問題要出具明確的評估結(jié)果，懲處有關(guān)的負責人，將安全評估理念納入到電子政務(wù)系統(tǒng)開發(fā)和運行的實際工作當中，并完善相應(yīng)的獎懲機制。有關(guān)單位在落實互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估技術(shù)的時候，需要充分了解電子政務(wù)信息安全評估的細則內(nèi)容，推進安全評估技術(shù)的創(chuàng)新。

六、結(jié)束語

互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估技術(shù)，在電子政務(wù)信息安全評估工作中的有效應(yīng)用，不僅能夠提高電子政務(wù)系統(tǒng)的安全運行，同時也可以為廣大群眾提供更貼心、便利的服務(wù)。在實踐中，需要有關(guān)單位能夠成立相應(yīng)的安全評估小組，明確電子政務(wù)系統(tǒng)中的信息評估內(nèi)容，落實好平臺評估和應(yīng)用評估，選擇準確的評估方法、評估流程，一方面保障電子政務(wù)系統(tǒng)的安全運行，另一方面要落實電子政務(wù)信息安全評估機制，提高電子政務(wù)系統(tǒng)的運行效率。

作者單位：宋光信? ? 浙江安防職業(yè)技術(shù)學(xué)院

參? 考? 文? 獻

[1]胡祥.淺談互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估技術(shù)在電子政務(wù)信息安全評估中的應(yīng)用[J].科技風(fēng)，2019（18）：92.

[2]寇金鋒，張云勇，陶冶，等.互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估在電信運營商的探索實踐[J].信息通信技術(shù)，2018，12（06）：7-11+17.

[3]黎艷青，張賀勛，陳遠平，吳澤江，張煉樞.互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估[J].電子技術(shù)與軟件工程，2017（24）：11-12.

[4]趙卿，張樹青，楊曉強，狄光，布日古樂. 淺談通過互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估中的用戶個人信息安全保護防范網(wǎng)絡(luò)通訊信息詐騙[C]//.內(nèi)蒙古通信學(xué)會2017年優(yōu)秀論文集.，2017：387-406.

[5]熊艷，陳松.淺析互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全風(fēng)險及安全評估方法[J].科技廣場，2017（05）：108-110.