導(dǎo)語：電子政務(wù)網(wǎng)信息安全風(fēng)險評估研究一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

內(nèi)容摘要：電子政務(wù)網(wǎng)對提高政府行政效能具有重要意義，其網(wǎng)絡(luò)信息安全要求更高;目前國內(nèi)外在風(fēng)險評估的標準和方法上都有大量研究成果;在評估標準不斷完善的基礎(chǔ)上，未來研究應(yīng)更加在改進評估模型上進行創(chuàng)新。

關(guān)鍵詞：電子政務(wù)網(wǎng);信息安全評估;研究綜述

一、研究的意義

伴隨著計算機通信技術(shù)的廣泛應(yīng)用，信息化時代迅速到來。社會信息化給政府事務(wù)管理提出了新的要求，行政管理的現(xiàn)代化迫在眉睫。電子政務(wù)在發(fā)達國家取得長足進展，為了提高政府的行政效能和行政管理水平，我國正在加快對電子政務(wù)網(wǎng)的建設(shè)。在新的時代條件下，開放和互聯(lián)的發(fā)展帶來信息流動的極大便利，同時，也帶來了新的問題和挑戰(zhàn)。電子政務(wù)系統(tǒng)上所承載的信息的特殊性，在網(wǎng)絡(luò)開放的條件下，尤其是公共部門電子政務(wù)信息與資產(chǎn)，如果受到不法攻擊、利用，則有可能給國家?guī)頁p失，也可能危及政府、企業(yè)和居民的安全。作為政府信息化工作的基本手段，電子政務(wù)網(wǎng)在穩(wěn)定性、安全性方面，比普通信息網(wǎng)要求更高。對信息安全風(fēng)險進行評估，是確定與衡量電子政務(wù)安全的重要方式。研究確定科學(xué)的安全風(fēng)險評估標準和評估方法及模型，不僅有助于維護政府信息安全，也有助于防止現(xiàn)實與潛在的風(fēng)險。

二、國內(nèi)外研究狀況

當前，國內(nèi)外尚未形成系統(tǒng)化的電子政務(wù)網(wǎng)絡(luò)信息安全的評估體系與方法。目前主要有風(fēng)險分析、系統(tǒng)安全工程能力成熟度模型、安全測評和安全審計等四類。

(一)國外研究現(xiàn)狀。在風(fēng)險評估標準方面，1993年，美、英、德等國國家標準技術(shù)研究所與各國國家安全局制定并簽署了《信息技術(shù)安全通用評估準則》。1997年形成了信息安全通用準則2．0版，1999年形成了CC2．1版，并被當作國際標準(150/IEC15408)。CC分為EALI到EAL7共7個評估等級，對相關(guān)領(lǐng)域的研究與應(yīng)用影響深遠。之后，風(fēng)險評估和管理被國際標準組織高度重視，作為防止安全風(fēng)險的手段，他們更加關(guān)注信息安全管理和技術(shù)措施，并體現(xiàn)在相繼于1996年和2000年的《信息技術(shù)安全管理指南》(150/IECTR13335標準)和《信息技術(shù)信息安全管理實用規(guī)則》(150/IEC177799)中。與此同時，全球在信息技術(shù)應(yīng)用和研究方面較為發(fā)達的國家也紛紛研發(fā)符合本國實際的風(fēng)險管理標準。如美國國家標準與技術(shù)局自1990年以來，制定了十幾個相關(guān)的風(fēng)險管理標準。進入二十一世紀初，美國又制定了《IT系統(tǒng)風(fēng)險管理指南》，細致入微地提出風(fēng)險處理的步驟和方法。2002年與2003年，美國防部相繼公布了《信息(安全)保障》指示(8500•l)及更加完備的《信息(安全)保障實現(xiàn)))指令(5500•2)，為國家防務(wù)系統(tǒng)的安全評估提供了標準和依據(jù)。隨著信息安全標準的廣泛實施，風(fēng)險評估服務(wù)市場應(yīng)運而生。繼政府、社會研究機構(gòu)之后，市場敏銳的產(chǎn)業(yè)界也投入資金出臺適應(yīng)市場需求風(fēng)險評估評估體系和標準。例如美國卡內(nèi)基•梅隆大學(xué)的OCTAVE方法等。在風(fēng)險評估方法方面，目前許多國內(nèi)外的學(xué)者運用神經(jīng)網(wǎng)絡(luò)、灰色理論、層次分析法、貝葉斯網(wǎng)絡(luò)、模糊數(shù)學(xué)、決策樹法等多種方法，系統(tǒng)研究并制定與開發(fā)了不同類型、不同用途的風(fēng)險評估模型，這些模型與方法雖然具備一定的科學(xué)依據(jù)，在不用范圍和層面的應(yīng)用中取得一定成果，但也存在不同程度的不足，比如計算復(fù)雜，成本高，難以廣泛推廣。

(二)國內(nèi)相關(guān)研究現(xiàn)狀。我國的研究較之國外起步稍晚，盡管信息化浪潮對各國的挑戰(zhàn)程度不同，但都深受影響。20世紀90年代末，我國信息安全標準和風(fēng)險評估模型的研究已廣泛開展。但在電子政務(wù)網(wǎng)上的應(yīng)用卻是近幾年才開始引發(fā)政府、公眾及研究機構(gòu)的關(guān)注。任何國家政府都十分重視對信息安全保障體系的宏觀管理。但政府依托什么來宏觀控制和管理呢?實際上就是信息安全標準。所以在股價戰(zhàn)略層面看，用哪個國家的標準，就會帶動那個國家的相關(guān)產(chǎn)業(yè)，關(guān)系到該國的經(jīng)濟發(fā)展利益。標準的競爭、爭奪、保護，也就成為各國信息技術(shù)戰(zhàn)場的重要領(lǐng)域。但要建立國內(nèi)通行、國際認可的技術(shù)標準，卻是一項艱巨而長期的任務(wù)。我國從20世紀80年代開始，就組織力量學(xué)習(xí)、吸收國際標準，并逐步轉(zhuǎn)化了一批國際信息安全基礎(chǔ)技術(shù)標準，為國家安全技術(shù)工作的發(fā)展作出了重要貢獻。信息安全技術(shù)標準的具體研究應(yīng)用，首先從最直接的公共安全領(lǐng)域開始的。公安部首先根據(jù)實際需要組織制定和頒布了信息安全標準。1999年頒布了《計算機信息系統(tǒng)安全保護等級劃分準則》(GB17859一1999);2001年援引CC的GB/T18336一2001，作為我國安全產(chǎn)品測評的標準;在此基礎(chǔ)上，2003年完成了《風(fēng)險評估規(guī)范第1部分:安全風(fēng)險評估程序》、《風(fēng)險評估規(guī)范第2部分:安全風(fēng)險評估操作指南》。同時，公安部以上述國家標準為依據(jù)，開展安全產(chǎn)品功能測評工作，以及安全產(chǎn)品的性能評測、安全性評測。在公安部的帶動下，我國政府科研計劃和各個行業(yè)的科技項目中，都列出一些風(fēng)險評估研究項目，帶動行業(yè)技術(shù)人員和各部門研究人員加入研究行列，并取得一些成果。這些成果又為風(fēng)險評估標準的制定提供了豐富的材料和實踐的依據(jù)。同時，國家測評認證機構(gòu)也擴展自己的工作范圍，開展信息系統(tǒng)的安全評測業(yè)務(wù)。2002年4月15日，全國信息安全標準化技術(shù)委員會正式成立。為進一步推進工作，盡快啟動一批信息安全關(guān)鍵性標準的研究工作，委員會制定了《全國信息安全標準化技術(shù)委員會工作組章程(草案)》，并先后成立了信息安全標準體系與協(xié)調(diào)工作組(WG1)、內(nèi)容安全分級及標識工作組(WG2)等10個工作組。經(jīng)過我國各部門和行業(yè)的長期研究和實踐，積累了大量的成果和經(jīng)驗，在現(xiàn)實需求下，制定我國自己的風(fēng)險評估國家標準的條件初步成熟。2004年，國信辦啟動了我國風(fēng)險評估國家標準的制定工作。該項工作由信息安全風(fēng)險評估課題組牽頭制定工作計劃，將我國風(fēng)險評估國家標準系列分為三個標準，即《信息安全風(fēng)險管理指南》、《信息安全風(fēng)險評估指南》和《信息安全風(fēng)險評估框架》。每個標準的內(nèi)容和規(guī)定各不相同，共同組成國家標準系列。《信息安全風(fēng)險管理指南》主要規(guī)定了風(fēng)險管理的基本內(nèi)容和主要過程，其中對本單位管理層的職責(zé)予以特別明確，管理層有權(quán)根據(jù)本單位風(fēng)險評估和風(fēng)險處理的結(jié)果，判斷信息系統(tǒng)是否運行?！缎畔踩L(fēng)險評估指南》規(guī)定，風(fēng)險評估包括的特定技術(shù)性內(nèi)容、評估方法和風(fēng)險判斷準則，適用于信息系統(tǒng)的使用單位進行自我風(fēng)險評估及機構(gòu)的評估。《信息安全風(fēng)險評估框架》則規(guī)定，風(fēng)險評估本身特定的概念與流程。

三、研究的難點及趨勢

電子政務(wù)網(wǎng)的用戶與管理層不一定具備計算機專業(yè)的技能與知識，其操作行為與管理方式可能造成安全漏洞，容易構(gòu)成網(wǎng)絡(luò)安全風(fēng)險問題。目前存在的風(fēng)險評估體系難以適應(yīng)電子政務(wù)安全運行的基本要求，因此結(jié)合電子政務(wù)網(wǎng)涉密性需求，需要設(shè)計一種由內(nèi)部提出的相應(yīng)的評估方法和評估準則，制定風(fēng)險評估模型。當前存在的難點主要有:一是如何建立風(fēng)險評估模型體系來解決風(fēng)險評估中因素眾多，關(guān)系錯綜復(fù)雜，主觀性強等諸多問題，是當前電子政務(wù)網(wǎng)絡(luò)信息安全評估研究的重點和難點。二是評估工作存在評估誤差，也是目前研究的難點和不足之處。誤差的不可避免性，以及其出現(xiàn)的隨機性和不確定性，使得風(fēng)險評估中風(fēng)險要素的確定更加復(fù)雜，評估本身就具有了不確定性。從未來研究趨勢看，一是要不斷改進風(fēng)險評估方法和風(fēng)險評估模型。有研究者認為，要充分借鑒和利用模糊數(shù)學(xué)的方法，建立OCTAVE電子政務(wù)系統(tǒng)風(fēng)險評估模型。它可以有效顧及評估中的各項因素，較為簡易地獲得評估結(jié)果，并消除其中存在的主觀偏差。二是由靜態(tài)風(fēng)險評估轉(zhuǎn)向動態(tài)風(fēng)險評估。動態(tài)的風(fēng)險評估能夠?qū)﹄娮诱?wù)信息安全評估進行較為準確的判斷，同時可以及時制止風(fēng)險進一步發(fā)生。在動態(tài)模型運用中，研究者主要提出了基于主成分的BP人工神經(jīng)網(wǎng)絡(luò)算法，通過對人工神經(jīng)網(wǎng)絡(luò)算法的進一步改進，實現(xiàn)定性與定量的有效結(jié)合。

作者:郭瑋 單位:西安郵電大學(xué)

參考文獻：

［1］陳濤，馮平，朱多剛．基于威脅分析的電子政務(wù)信息安全風(fēng)險評估模型研究［J］．情報雜志，2011，8:94～98

［2］雷戰(zhàn)波，胡安陽．電子政務(wù)信息安全風(fēng)險評估方法研究［J］．中國信息界，2010，6

［3］余洋．電子政務(wù)系統(tǒng)風(fēng)險評估模型設(shè)計與研究［D］．成都理工大學(xué)，2008

［4］周偉良，朱方洲，電子政務(wù)系統(tǒng)安全風(fēng)險評估研究［J］．電子政務(wù)，2007，29:67～68

［5］趙磊．電子政務(wù)網(wǎng)絡(luò)風(fēng)險評估與安全控制［D］．上海交通大學(xué)，2011

［6］．自動安全評估系統(tǒng)的分析與設(shè)計［D］．北京郵電大學(xué)，2011

［7］楊瞾喆．云南省電子政務(wù)信息安全保障體系研究［D］．云南大學(xué)，2014

［8］陳偉奇．政府網(wǎng)絡(luò)安全風(fēng)險評估［J］．信息安全，2013，9:144～145