電子政務(wù)的安全風(fēng)險(xiǎn)大全11篇
時(shí)間:2023-07-23 09:17:51緒論:寫作既是個(gè)人情感的抒發(fā),也是對(duì)學(xué)術(shù)真理的探索,歡迎閱讀由發(fā)表云整理的11篇電子政務(wù)的安全風(fēng)險(xiǎn)范文,希望它們能為您的寫作提供參考和啟發(fā)。
篇(1)
0 引言
隨著電子政務(wù)不斷推進(jìn),社會(huì)各階層對(duì)電子政務(wù)的依賴程度越來(lái)越高,信息安全的重要性日益突出,在電子政務(wù)的信息安全管理問(wèn)題中,基于現(xiàn)實(shí)特點(diǎn)的電子政務(wù)信息安全體系設(shè)計(jì)和風(fēng)險(xiǎn)評(píng)估[1]模型是突出的熱點(diǎn)和難點(diǎn)問(wèn)題。本文試圖就這兩個(gè)問(wèn)題給出分析和建議。
1 電子政務(wù)信息安全的總體要求
隨著電子政務(wù)應(yīng)用的不斷深入,信息安全問(wèn)題日益凸顯,為了高效安全的進(jìn)行電子政務(wù),迫切需要搞好信息安全保障工作。電子政務(wù)系統(tǒng)采取的網(wǎng)絡(luò)安全措施[2][3]不僅要保證業(yè)務(wù)與辦公系統(tǒng)和網(wǎng)絡(luò)的穩(wěn)定運(yùn)行,另一方面要保護(hù)運(yùn)行在內(nèi)部網(wǎng)上的敏感數(shù)據(jù)與信息的安全,因此應(yīng)充分保證以下幾點(diǎn):
1.1 基礎(chǔ)設(shè)施的可用性:運(yùn)行于內(nèi)部專網(wǎng)的各主機(jī)、數(shù)據(jù)庫(kù)、應(yīng)用服務(wù)器系統(tǒng)的安全運(yùn)行十分關(guān)鍵,網(wǎng)絡(luò)安全體系必須保證這些系統(tǒng)不會(huì)遭受來(lái)自網(wǎng)絡(luò)的非法訪問(wèn)、惡意入侵和破壞。
1.2 數(shù)據(jù)機(jī)密性:對(duì)于內(nèi)部網(wǎng)絡(luò),保密數(shù)據(jù)的泄密將直接帶來(lái)政府機(jī)構(gòu)以及國(guó)家利益的損失。網(wǎng)絡(luò)安全系統(tǒng)應(yīng)保證內(nèi)網(wǎng)機(jī)密信息在存儲(chǔ)與傳輸時(shí)的保密性。
1.3 網(wǎng)絡(luò)域的可控性:電子政務(wù)的網(wǎng)絡(luò)應(yīng)該處于嚴(yán)格的控制之下,只有經(jīng)過(guò)認(rèn)證的設(shè)備可以訪問(wèn)網(wǎng)絡(luò),并且能明確地限定其訪問(wèn)范圍,這對(duì)于電子政務(wù)的網(wǎng)絡(luò)安全十分重要。
1.4 數(shù)據(jù)備份與容災(zāi):任何的安全措施都無(wú)法保證數(shù)據(jù)萬(wàn)無(wú)一失,硬件故障、自然災(zāi)害以及未知病毒的感染都有可能導(dǎo)致政府重要數(shù)據(jù)的丟失。因此,在電子政務(wù)安全體系中必須包括數(shù)據(jù)的容災(zāi)與備份,并且最好是異地備份。
2 電子政務(wù)信息安全體系模型設(shè)計(jì)
完整的電子政務(wù)安全保障體系從技術(shù)層面上來(lái)講,必須建立在一個(gè)強(qiáng)大的技術(shù)支撐平臺(tái)之上,同時(shí)具有完備的安全管理機(jī)制,并針對(duì)物理安全,數(shù)據(jù)存儲(chǔ)安全,數(shù)據(jù)傳輸安全和應(yīng)用安全制定完善的安全策略
在技術(shù)支撐平臺(tái)方面,核心是要解決好權(quán)限控制問(wèn)題。為了解決授權(quán)訪問(wèn)的問(wèn)題, 通常是將基于公鑰證書(PKC)的PKI(Public Key Infrastructure)與基于屬性證書(AC)的PMI(Privilege Management Infrastructure)結(jié)合起來(lái)進(jìn)行安全性設(shè)計(jì),然而由于一個(gè)終端用戶可以有許多權(quán)限, 許多用戶也可能有相同的權(quán)限集, 這些權(quán)限都必須寫入屬性證書的屬性中, 這樣就增加了屬性證書的復(fù)雜性和存儲(chǔ)空間, 從而也增加了屬性證書的頒發(fā)和驗(yàn)證的復(fù)雜度。為了解決這個(gè)問(wèn)題,作者建議根據(jù)X.509標(biāo)準(zhǔn)建立基于角色PMI的電子政務(wù)安全模型。該模型由客戶端、驗(yàn)證服務(wù)器、應(yīng)用服務(wù)器、資源數(shù)據(jù)庫(kù)和LDAP 目錄服務(wù)器等實(shí)體組成,在該模型中:
2.1 終端用戶:向驗(yàn)證服務(wù)器發(fā)送請(qǐng)求和證書, 并與服務(wù)器雙向驗(yàn)證。
2.2 驗(yàn)證服務(wù)器:由身份認(rèn)證模塊和授權(quán)驗(yàn)證模塊組成提供身份認(rèn)證和訪問(wèn)控制,是安全模型的關(guān)鍵部分。
2.3 應(yīng)用服務(wù)器: 與資源數(shù)據(jù)庫(kù)連接, 根據(jù)驗(yàn)證通過(guò)的用戶請(qǐng)求,對(duì)資源數(shù)據(jù)庫(kù)的數(shù)據(jù)進(jìn)行處理, 并把處理結(jié)果通過(guò)驗(yàn)證服務(wù)器返回給用戶以響應(yīng)用戶請(qǐng)求。
2.4 LDAP目錄服務(wù)器:該模型中采用兩個(gè)LDAP目錄服務(wù)器, 一個(gè)存放公鑰證書(PKC)和公鑰證書吊銷列表(CRL),另一個(gè)LDAP 目錄服務(wù)器存放角色指派和角色規(guī)范屬性證書以及屬性吊銷列表ACRL。
安全管理策略也是電子政務(wù)安全體系的重要組成部分。安全的核心實(shí)際上是管理,安全技術(shù)實(shí)際上只是實(shí)現(xiàn)管理的一種手段,再好的技術(shù)手段都必須配合合理的制度才能發(fā)揮作用。需要制訂的制度包括安全行政管理和安全技術(shù)管理。安全行政管理應(yīng)包括組織機(jī)構(gòu)和責(zé)任制度等的制定和落實(shí);安全技術(shù)管理的內(nèi)容包括對(duì)硬件實(shí)體和軟件系統(tǒng)、密鑰的管理。
3 電子政務(wù)信息安全管理體系中的風(fēng)險(xiǎn)評(píng)估
電子政務(wù)信息安全等級(jí)保護(hù)是根據(jù)電子政務(wù)系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)安全、社會(huì)穩(wěn)定和保護(hù)公共利益等方面的重要程度。等級(jí)保護(hù)工作的要點(diǎn)是對(duì)電子政務(wù)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析,構(gòu)建電子政務(wù)系統(tǒng)的風(fēng)險(xiǎn)因素集。
3.1 信息系統(tǒng)的安全定級(jí) 信息系統(tǒng)的安全等級(jí)從低到高依次包括自主保護(hù)級(jí)、指導(dǎo)保護(hù)級(jí)、監(jiān)督保護(hù)級(jí)、強(qiáng)制保護(hù)級(jí)、專控保護(hù)級(jí)五個(gè)安全等級(jí)。對(duì)電子政務(wù)的五個(gè)安全等級(jí)定義,結(jié)合系統(tǒng)面臨的風(fēng)險(xiǎn)、系統(tǒng)特定安全保護(hù)要求和成本開(kāi)銷等因素,采取相應(yīng)的安全保護(hù)措施以保障信息和信息系統(tǒng)的安全。
3.2 采用全面的風(fēng)險(xiǎn)評(píng)估辦法 風(fēng)險(xiǎn)評(píng)估具有不同的方法。在ISO/IEC TR13335-3《信息技術(shù)IT安全管理指南:IT安全管理技術(shù)》中描述了風(fēng)險(xiǎn)評(píng)估方法的例子,其他文獻(xiàn),例如NIST SP800-30、AS/NZS 4360等也介紹了風(fēng)險(xiǎn)評(píng)估的步驟及方法,另外,一些組織還提出了自己的風(fēng)險(xiǎn)評(píng)估工具,例如OCTAVE、CRAMM等。
電子政務(wù)信息安全建設(shè)中采用的風(fēng)險(xiǎn)評(píng)估方法可以參考ISO17799、OCTAVE、CSE、《信息安全風(fēng)險(xiǎn)評(píng)估指南》等標(biāo)準(zhǔn)和指南,從資產(chǎn)評(píng)估、威脅評(píng)估、脆弱性評(píng)估、安全措施有效性評(píng)估四個(gè)方面建立風(fēng)險(xiǎn)評(píng)估模型。其中,資產(chǎn)的評(píng)估主要是對(duì)資產(chǎn)進(jìn)行相對(duì)估價(jià),其估價(jià)準(zhǔn)則依賴于對(duì)其影響的分析,主要從保密性、完整性、可用性三方面進(jìn)行影響分析;威脅評(píng)估是對(duì)資產(chǎn)所受威脅發(fā)生可能性的評(píng)估,主要從威脅的能力和動(dòng)機(jī)兩個(gè)方面進(jìn)行分析;脆弱性評(píng)估是對(duì)資產(chǎn)脆弱程度的評(píng)估,主要從脆弱性被利用的難易程度、被成功利用后的嚴(yán)重性兩方面進(jìn)行分析;安全措施有效性評(píng)估是對(duì)保障措施的有效性進(jìn)行的評(píng)估活動(dòng),主要對(duì)安全措施防范威脅、減少脆弱性的有效狀況進(jìn)行分析;安全風(fēng)險(xiǎn)評(píng)估就是通過(guò)綜合分析評(píng)估后的資產(chǎn)信息、威脅信息、脆弱性信息、安全措施信息,最終生成風(fēng)險(xiǎn)信息。
在確定風(fēng)險(xiǎn)評(píng)估方法后,還應(yīng)確定接受風(fēng)險(xiǎn)的準(zhǔn)則,識(shí)別可接受的風(fēng)險(xiǎn)級(jí)別。
4 結(jié)語(yǔ)
電子政務(wù)與傳統(tǒng)政務(wù)相比有顯著區(qū)別,包括:辦公手段不同,信息資源的數(shù)字化和信息交換的網(wǎng)絡(luò)化是電子政務(wù)與傳統(tǒng)政務(wù)的最顯著區(qū)別;行政業(yè)務(wù)流程不同,實(shí)現(xiàn)行政業(yè)務(wù)流程的集約化、標(biāo)準(zhǔn)化和高效化是電子政務(wù)的核心;與公眾溝通方式不同,直接與公眾溝通是實(shí)施電子政務(wù)的目的之一,也是與傳統(tǒng)政務(wù)的重要區(qū)別。在電子政務(wù)的信息安全管理中,要抓住其特點(diǎn),從技術(shù)、管理、策略角度設(shè)計(jì)完整的信息安全模型并通過(guò)科學(xué)量化的風(fēng)險(xiǎn)評(píng)估方法識(shí)別風(fēng)險(xiǎn)和制定風(fēng)險(xiǎn)應(yīng)急預(yù)案,這樣才能達(dá)到全方位實(shí)施信息安全管理的目的。
參考文獻(xiàn):
篇(2)
中圖分類號(hào):C93文獻(xiàn)標(biāo)識(shí)碼: A
一、 電子政務(wù)概述
電子政務(wù),亦稱電子政府、政府信息化管理,是政府機(jī)構(gòu)以計(jì)算機(jī)為媒介,應(yīng)用現(xiàn)代信息和通信技術(shù),將政府的管理和服務(wù)工作通過(guò)網(wǎng)絡(luò)技術(shù)進(jìn)行集合,以實(shí)現(xiàn)政府部門工作的進(jìn)行以及組織結(jié)構(gòu)的優(yōu)化重組,從而及時(shí)向社會(huì)及公眾提供全方位、行之有效的管理和服務(wù)。
電子政務(wù)是政府管理方式的革命,它的運(yùn)行有助于建立一個(gè)開(kāi)放透明的政府,一個(gè)勤政廉潔的政府。電子政務(wù)職能實(shí)現(xiàn)的前提是信息安全的有效保障,大量政府公文在政務(wù)信息網(wǎng)絡(luò)上的流轉(zhuǎn),一旦存在信息安全問(wèn)題,則直接導(dǎo)致機(jī)密數(shù)據(jù)和信息的泄漏,危及到政府的核心政務(wù)。如果電子政務(wù)信息安全得不到保障,電子政務(wù)的效率便無(wú)從保證,這將給國(guó)家利益帶來(lái)嚴(yán)重威脅。所以說(shuō),信息安全是制約電子政務(wù)建設(shè)與發(fā)展的首要問(wèn)題和核心問(wèn)題。
二、 電子政務(wù)面臨的風(fēng)險(xiǎn)
(一) 認(rèn)知層面的風(fēng)險(xiǎn)
電子政務(wù)在國(guó)內(nèi)建設(shè)與使用時(shí)間不長(zhǎng),缺乏深入研究。一些人只是簡(jiǎn)單地認(rèn)為電子政務(wù)系統(tǒng)就是信息化,只要實(shí)現(xiàn)了網(wǎng)絡(luò)數(shù)字化就可以推行電子政務(wù),從而出現(xiàn)盲目建設(shè)、脫離現(xiàn)實(shí)條件等問(wèn)題;還有一部分人認(rèn)為電子政務(wù)就是運(yùn)用計(jì)算機(jī)代替?zhèn)鹘y(tǒng)手工模式,這就固化了現(xiàn)有政府結(jié)構(gòu),不利于政府的改造與職能的轉(zhuǎn)變。
(二) 規(guī)劃層面的風(fēng)險(xiǎn)
規(guī)劃層面的風(fēng)險(xiǎn)主要有:規(guī)劃制定人員、規(guī)劃的范圍和內(nèi)容、規(guī)劃計(jì)劃的實(shí)施步驟、規(guī)劃中的政策因素等等。
信息技術(shù)的進(jìn)一步應(yīng)用,使得政府的組織形態(tài)正在由傳統(tǒng)的金字塔垂直模式向錯(cuò)綜復(fù)雜的網(wǎng)狀結(jié)構(gòu)轉(zhuǎn)變,這就要求政務(wù)機(jī)構(gòu)的運(yùn)行方式作出相應(yīng)轉(zhuǎn)變,進(jìn)行電子政務(wù)的整體規(guī)劃。電子政務(wù)是整個(gè)系統(tǒng)建設(shè)的基礎(chǔ),是項(xiàng)目成功的基本保障。只有了解了本地區(qū)的發(fā)展現(xiàn)狀,了解地方政府的特點(diǎn),了解本地區(qū)的政務(wù)工作流程,才能編制出適合本地區(qū)電子政務(wù)的發(fā)展規(guī)劃。但目前,地方政府在電子政務(wù)方面的規(guī)劃明顯不足,缺乏可操作性,這就導(dǎo)致在使用過(guò)程中面臨著很大風(fēng)險(xiǎn)。
(三) 物理安全層面的風(fēng)險(xiǎn)
物理安全層面的風(fēng)險(xiǎn)主要指的是網(wǎng)絡(luò)環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路的不可用,從而造成網(wǎng)絡(luò)系統(tǒng)的不可用。例如,線路老化、蓄意破壞、設(shè)備意外故障、自然災(zāi)害等, 這些都屬于物理安全層面的潛在風(fēng)險(xiǎn)因素。
(四) 應(yīng)用層面的風(fēng)險(xiǎn)
應(yīng)用層面的風(fēng)險(xiǎn)主要表現(xiàn)為非法訪問(wèn),即竊取用戶口令、用戶信息被剽竊或修改等,由于政府網(wǎng)絡(luò)對(duì)外提供WWW服務(wù),Email服務(wù)、DNS服務(wù)等,因此也存在著外網(wǎng)非法用戶對(duì)內(nèi)部服務(wù)器的攻擊。
(五) 系統(tǒng)層面的風(fēng)險(xiǎn)
當(dāng)前電子政務(wù)網(wǎng)通常采用的操作系統(tǒng)本身在安全方面的考慮較少,服務(wù)器與數(shù)據(jù)庫(kù)的安全級(jí)別較低,這在很大程度上存在著安全隱患,加之病毒的潛伏,這些都增加了系統(tǒng)在安全方面的脆弱性。
(六) 技術(shù)層面的風(fēng)險(xiǎn)
技術(shù)層面的風(fēng)險(xiǎn)主要表現(xiàn)為技術(shù)線路、設(shè)備選型、工程質(zhì)量、系統(tǒng)性能等風(fēng)險(xiǎn)。技術(shù)層面的風(fēng)險(xiǎn)不僅關(guān)系到項(xiàng)目的實(shí)施情況,也關(guān)系到項(xiàng)目后期的維護(hù)和應(yīng)用。現(xiàn)階段受技術(shù)發(fā)展的制約,我們?cè)诩夹g(shù)方面還存在著很大欠缺,因此存在著一定的技術(shù)風(fēng)險(xiǎn)。
(七) 資金層面的風(fēng)險(xiǎn)
受利益的驅(qū)使,有些部門在制定規(guī)劃時(shí),將電子政務(wù)的規(guī)模越做越大,虛設(shè)資金越來(lái)越多,這就使得電子政務(wù)的建設(shè)變得越來(lái)越困難。除此之外,在資金使用方面,由于缺乏對(duì)部門資金的有效監(jiān)督,使得資金浪費(fèi)現(xiàn)象嚴(yán)重。如果不能合理計(jì)劃和控制資金的流向,這將直接影響電子政務(wù)的建設(shè),甚至促使一種新的腐敗的產(chǎn)生。另外,在后期維護(hù)上,電子政務(wù)系統(tǒng)也需要運(yùn)營(yíng)資金的支持,沒(méi)有了運(yùn)營(yíng)資金的有效支持,就沒(méi)有了電子政務(wù)的內(nèi)容來(lái)源。
(八) 管理層面的風(fēng)險(xiǎn)
在電子政務(wù)運(yùn)行過(guò)程中需要管理的內(nèi)容主要有規(guī)劃管理、技術(shù)管理、過(guò)程管理、運(yùn)維管理、安全管理等。管理的風(fēng)險(xiǎn)不僅體現(xiàn)在單個(gè)項(xiàng)目的管理,也體現(xiàn)在根據(jù)規(guī)劃對(duì)相關(guān)項(xiàng)目群的管理風(fēng)險(xiǎn)。管理風(fēng)險(xiǎn)是項(xiàng)目實(shí)施過(guò)程中最主要的風(fēng)險(xiǎn),是項(xiàng)目成敗與否的關(guān)鍵。隨著信息系統(tǒng)建設(shè)和應(yīng)用規(guī)模的不斷擴(kuò)大,管理的難度和風(fēng)險(xiǎn)還將不斷加大,但與此同時(shí),政府部門缺乏信息化項(xiàng)目管理的專業(yè)人員,缺乏項(xiàng)目管理的風(fēng)險(xiǎn)意識(shí),這與快速發(fā)展的電子政務(wù)管理要求不相匹配。
三、 電子政務(wù)管理防范措施
(一)強(qiáng)化信息管理人員的安全意識(shí)
電子政務(wù)信息安全是電子政務(wù)正常而高效運(yùn)轉(zhuǎn)的基礎(chǔ),是保障國(guó)家信息安全的重要前提,電子政務(wù)信息管理人員要正確認(rèn)識(shí)并高度重視,及時(shí)發(fā)現(xiàn)影響信息安全的現(xiàn)象。政府部門要對(duì)信息管理人員進(jìn)行必要的培訓(xùn),普及信息安全知識(shí),增強(qiáng)信息管理人員的安全意識(shí);積極開(kāi)展安全策略研究,明確安全責(zé)任,增強(qiáng)信息管理人員的責(zé)任心;積極組織各種講座和培訓(xùn)班,培養(yǎng)專業(yè)信息安全人才,確保防范手段和技術(shù)措施的先進(jìn)性和主動(dòng)性。
(二)實(shí)施保障措施,建立系統(tǒng)安全保障體系
電子政務(wù)系統(tǒng)安全風(fēng)險(xiǎn)的威脅無(wú)處不在,它主要來(lái)自于物理環(huán)境、技術(shù)環(huán)境、社會(huì)環(huán)境等。建立全方位的電子政務(wù)信息系統(tǒng)安全保障體系是規(guī)避電子政務(wù)安全威脅因素的必要方式。在充分分析系統(tǒng)安全風(fēng)險(xiǎn)的基礎(chǔ)上,通過(guò)制定系統(tǒng)安全策略和采用先進(jìn)的安全技術(shù),才能對(duì)系統(tǒng)實(shí)施安全防護(hù)和監(jiān)控,使其真正成為智能型系統(tǒng)安全體系。具體做法有:
1.實(shí)施監(jiān)測(cè)系統(tǒng)的運(yùn)行情況,及時(shí)發(fā)現(xiàn)和制止可能對(duì)系統(tǒng)出現(xiàn)威脅的各種攻擊;
2.記錄和分析安全審計(jì)數(shù)據(jù),檢查系統(tǒng)中出現(xiàn)的違規(guī)行為,判斷是否違反法律法規(guī),為改進(jìn)系統(tǒng)提供充足的依據(jù);
3.對(duì)數(shù)據(jù)恢復(fù)應(yīng)進(jìn)行應(yīng)急處理和響應(yīng),及時(shí)恢復(fù)信息,降低被攻擊的破壞程度,包括備份、自動(dòng)恢復(fù)、快速恢復(fù)等。
(三)制定合理資金計(jì)劃,確保有序利用
充足的資金是保證電子政務(wù)順利開(kāi)展的必要條件。前期指定電子政務(wù)建設(shè)的方案中,要根據(jù)本單位、本部門的實(shí)際情況制定合理的資金預(yù)算方案,確保不虛報(bào)資金預(yù)算,杜絕腐敗滋生;在后期維護(hù)過(guò)程中,資金也要及時(shí)到位,以確保電子政務(wù)信息系統(tǒng)的順利進(jìn)行。
(四)健全電子政務(wù)法律法規(guī)建設(shè)
法律是保障電子政務(wù)信息安全的最有力手段。政府立法部門應(yīng)加快立法進(jìn)程,借鑒國(guó)外網(wǎng)絡(luò)信息安全立法方面的先進(jìn)經(jīng)驗(yàn),制定完備的信息網(wǎng)絡(luò)安全性法規(guī),完善我國(guó)的網(wǎng)絡(luò)信息安全法律體系,使得電子政務(wù)信息安全管理走上法制化軌道。
電子政務(wù)是實(shí)現(xiàn)“電子政府”的有效途徑,在政府推動(dòng)信息化的同時(shí),也要注意其過(guò)程中產(chǎn)生的風(fēng)險(xiǎn),正視風(fēng)險(xiǎn)本身,加快制定保障電子政務(wù)健康發(fā)展的政策法規(guī),才能降低風(fēng)險(xiǎn),從而有力地推動(dòng)和改進(jìn)政府的管理方式,才能有助于更好的發(fā)揮其政府職能。
參考文獻(xiàn):
[1]方德英,李敏強(qiáng).IT項(xiàng)目風(fēng)險(xiǎn)管理理論體系構(gòu)建[J].合肥工業(yè)大學(xué)學(xué)報(bào)(自然科學(xué)版),2003,,2(8):907-908.
篇(3)
1 電子政務(wù)網(wǎng)絡(luò)安全概述
1.1 電子政務(wù)網(wǎng)絡(luò)安全發(fā)展現(xiàn)狀
隨著因特網(wǎng)的迅猛發(fā)展,我國(guó)信息網(wǎng)絡(luò)技術(shù)進(jìn)入了日益月異的發(fā)展階段,并得以廣泛應(yīng)用。但因特網(wǎng)具有高度的開(kāi)放性以及自由性,為應(yīng)用創(chuàng)造極大便利的同時(shí)也對(duì)其安全性提出了更為嚴(yán)格的要求。現(xiàn)如今,電子政務(wù)網(wǎng)絡(luò)安全問(wèn)題日益突出,甚至在一定程度上阻礙了我國(guó)電子政務(wù)建設(shè)事業(yè)的健康發(fā)展,通過(guò)何種方式來(lái)提升電子政務(wù)網(wǎng)絡(luò)的安全性己然成為亟待解決的問(wèn)題。
1.2 做好電子政務(wù)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防范工作的意義
對(duì)于整個(gè)信息網(wǎng)絡(luò)而言,電子政務(wù)是其中一個(gè)比較特殊的應(yīng)用領(lǐng)域,涉及海量的需要嚴(yán)格保護(hù)的信息,相較一般電子商務(wù),其表現(xiàn)出下述特點(diǎn):首先,信息內(nèi)容保密等級(jí)高;其次,在一定程度上影響甚至決定了行政監(jiān)督力度;最后,通過(guò)網(wǎng)絡(luò)能夠?yàn)楣娞峁└哔|(zhì)量的公共服務(wù)。電子政務(wù)網(wǎng)絡(luò)一旦遇到安全風(fēng)險(xiǎn),有可能導(dǎo)致重要信息丟失甚至暴露,帶來(lái)難以估量的損失,也正因如此,電子政務(wù)網(wǎng)絡(luò)也是信息間諜的首要攻擊目標(biāo)之一。由此可見(jiàn),政府部門重視和做好電子政務(wù)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防范工作,對(duì)于本部門的高效運(yùn)行具有相當(dāng)積極的現(xiàn)實(shí)意義。
2 電子政務(wù)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析
2.1 物理層風(fēng)險(xiǎn)分析
對(duì)于電子政務(wù)網(wǎng)絡(luò)而言,物理層安全是其整體安全的基礎(chǔ)。物理層風(fēng)險(xiǎn)主要包括:地震、洪水以及火災(zāi)等導(dǎo)致網(wǎng)絡(luò)癱瘓甚至毀滅;電源故障導(dǎo)致斷電、操作系統(tǒng)異常;設(shè)備失竊、損毀導(dǎo)致數(shù)據(jù)丟失甚至泄露;報(bào)警系統(tǒng)存在漏洞等。
2.2 數(shù)據(jù)鏈路層風(fēng)險(xiǎn)分析
入侵者可能會(huì)以傳輸線路為突破口,在上面設(shè)置竊聽(tīng)設(shè)備以達(dá)成竊取數(shù)據(jù)的目的,然后再借助相應(yīng)技術(shù)解讀數(shù)據(jù),還可能會(huì)對(duì)數(shù)據(jù)進(jìn)行一定的篡改。此類風(fēng)險(xiǎn)因素會(huì)給電子政務(wù)網(wǎng)絡(luò)安全埋下嚴(yán)重隱患。
2.3 網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)分析
對(duì)電子政務(wù)網(wǎng)絡(luò)所囊括的各個(gè)節(jié)點(diǎn)而言,其他網(wǎng)絡(luò)節(jié)點(diǎn)均屬于外部節(jié)點(diǎn),屬于不可信任范疇,均可能導(dǎo)致安全威脅。風(fēng)險(xiǎn)可能源自內(nèi)部。攻擊者借助snifrer之類的嗅探程序來(lái)尋找安全漏洞,然后在此基礎(chǔ)上對(duì)內(nèi)網(wǎng)發(fā)起攻擊。風(fēng)險(xiǎn)也可能源自外部,入侵者可能以公開(kāi)服務(wù)器為跳板向內(nèi)網(wǎng)發(fā)起攻擊。
2.4 系統(tǒng)層安全風(fēng)險(xiǎn)分析
系統(tǒng)層安全一般是指網(wǎng)絡(luò)操作系統(tǒng)、計(jì)算機(jī)數(shù)據(jù)庫(kù)、配套應(yīng)用系統(tǒng)等方面的安全。現(xiàn)階段的操作系統(tǒng),其開(kāi)發(fā)商一定會(huì)設(shè)置相應(yīng)的BackDoor(后門),另外,系統(tǒng)本身也必然存在若干安全漏洞。無(wú)論是“后門”,還是安全漏洞,均會(huì)埋下極大的安全隱患。就具體應(yīng)用而言,系統(tǒng)安全性在很大程度上取決于安全配置,若安全配置不到位,將會(huì)為入侵者提供極大便利。
2.5 應(yīng)用層安全風(fēng)險(xiǎn)分析
隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展,電腦遠(yuǎn)程控制呈現(xiàn)出簡(jiǎn)單化的發(fā)展趨勢(shì),受此影響,病毒、黑客程序有機(jī)結(jié)合之后往往帶來(lái)更為嚴(yán)重的危害,而病毒的入侵通常會(huì)導(dǎo)致用戶重要數(shù)據(jù)的泄露。病毒能夠經(jīng)由多種途徑(如網(wǎng)上下載、郵件發(fā)送以及人為投放等)入侵內(nèi)部網(wǎng)絡(luò)系統(tǒng),所以,其危害是相當(dāng)嚴(yán)重的。在整個(gè)網(wǎng)絡(luò)系統(tǒng)中,即便只有1臺(tái)主機(jī)“中毒”,也會(huì)在很短時(shí)間里使其他主機(jī)受到感染,進(jìn)而埋下數(shù)據(jù)泄露等一系列不安全因素。
2.6 管理層安全風(fēng)險(xiǎn)分析
在網(wǎng)絡(luò)安全中,管理屬于核心部位。安全管理體系不完善,未能明確界定權(quán)責(zé),極可能導(dǎo)致管理安全風(fēng)險(xiǎn)。當(dāng)網(wǎng)絡(luò)受到內(nèi)部或外部的相關(guān)安全威脅時(shí),難以及時(shí)且合理地應(yīng)對(duì),同時(shí)也難以對(duì)入侵行為進(jìn)行追蹤,換而言之,網(wǎng)絡(luò)可控性以及可審查性不理想。因而,重視和做好管理層的工作便成了當(dāng)務(wù)之急。
3 電子政務(wù)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的防范
3.1 物理層風(fēng)險(xiǎn)的防范
使用那些可提供驗(yàn)證授權(quán)等功能的產(chǎn)品,對(duì)內(nèi)外網(wǎng)用戶進(jìn)行高效管理,從而避免入侵者在沒(méi)有授權(quán)的情形下對(duì)網(wǎng)絡(luò)內(nèi)的重要或敏感數(shù)據(jù)進(jìn)行竊取和篡改,又或者對(duì)服務(wù)提供點(diǎn)發(fā)動(dòng)攻擊,防止入侵者通過(guò)偽用戶身份取得授權(quán)而導(dǎo)致嚴(yán)重的網(wǎng)絡(luò)危害。可借助系列路由器、防火墻產(chǎn)品、計(jì)算機(jī)網(wǎng)絡(luò)管理平臺(tái)之間的有機(jī)配合,以實(shí)現(xiàn)對(duì)用戶信息(用戶名、登錄密碼、權(quán)限)的科學(xué)管理,并在此基礎(chǔ)上優(yōu)化服務(wù)策略。
3.2 數(shù)據(jù)鏈路層風(fēng)險(xiǎn)的防范
對(duì)于政府網(wǎng)絡(luò)應(yīng)用而言,其不僅涉及大量的內(nèi)部應(yīng)用(OA系統(tǒng)、文件共享以及郵件接收等),同時(shí)還涉及大量的外部應(yīng)用(和合作伙伴之間的溝通等)。為實(shí)現(xiàn)對(duì)遠(yuǎn)程用戶的有效控制,保證內(nèi)網(wǎng)資源的安全性,可公共網(wǎng)絡(luò)中開(kāi)辟出專用網(wǎng)絡(luò),從而使得相關(guān)數(shù)據(jù)可以經(jīng)由安全系數(shù)較高的“加密通道”傳播。由國(guó)家相關(guān)要求可知,政府網(wǎng)絡(luò)可依托既有平臺(tái)構(gòu)建屬于自己的內(nèi)部網(wǎng)絡(luò),但一定要采用認(rèn)證以及加密技術(shù),從而確保數(shù)據(jù)傳輸擁有足夠的安全性。對(duì)于單獨(dú)的VPN網(wǎng)關(guān)而言,其核心功能是以IPSec數(shù)據(jù)包為對(duì)象,執(zhí)行加(解)密以及身份認(rèn)證處理,若采用該部署方式,防火墻難以對(duì)VPN數(shù)據(jù)予以有效的訪問(wèn)控制,繼而帶來(lái)諸多負(fù)面問(wèn)題。所以,在防火墻安全網(wǎng)關(guān)上集成VPN便成了現(xiàn)階段安全產(chǎn)品的主流發(fā)展趨勢(shì)之一,可以能提供一個(gè)集靈活性、高效性以及完整性等諸多優(yōu)點(diǎn)于一身的安全方案。
3.3 網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)的防范
在所有網(wǎng)絡(luò)出口處設(shè)置防火墻能夠?qū)崿F(xiàn)對(duì)網(wǎng)絡(luò)的有效隔離,將其劃分為若干安全域,從而進(jìn)行相應(yīng)的訪問(wèn)控制。以防火墻為工具進(jìn)行多網(wǎng)口結(jié)構(gòu)設(shè)計(jì),如此一來(lái),能夠?yàn)楹戏ㄓ脩籼峁┫嚓P(guān)服務(wù),與此同時(shí),將非法用戶的訪問(wèn)拒之門外。當(dāng)防火墻配置了入侵檢測(cè)這―功能時(shí),便能夠以自動(dòng)檢測(cè)的方式查找網(wǎng)絡(luò)數(shù)據(jù)流中可能的、隱藏的入侵方式,并提醒管理員及時(shí)優(yōu)化控制規(guī)則,最終為整個(gè)網(wǎng)絡(luò)提供實(shí)時(shí)而有效的網(wǎng)絡(luò)保護(hù)。
3.4 系統(tǒng)層安全風(fēng)險(xiǎn)的防范
為實(shí)現(xiàn)對(duì)操作系統(tǒng)安全的有效保護(hù),建議從下述兩點(diǎn)著手:首先,使用具有自主知識(shí)產(chǎn)權(quán)且向政府提供源代碼的那一類產(chǎn)品;其次,以系統(tǒng)為對(duì)象,通過(guò)漏洞掃描工具進(jìn)行定期掃描,以便及時(shí)發(fā)現(xiàn)相關(guān)問(wèn)題。
3.5 應(yīng)用層安全風(fēng)險(xiǎn)的防范
建議安裝高性能的專業(yè)防火墻,要求具備下述功能:(1)外部攻擊防范;(2)內(nèi)網(wǎng)安全;(3)流量監(jiān)控;(4)郵件過(guò)濾;(5)網(wǎng)頁(yè)過(guò)濾;(6)應(yīng)用層過(guò)濾等。引入和應(yīng)用以ASPF為代表的應(yīng)用狀態(tài)檢測(cè)技術(shù),在驗(yàn)證連接狀態(tài)是否正常的同時(shí),也可實(shí)現(xiàn)對(duì)異常命令的有效檢測(cè)。
3.6 管理層安全風(fēng)險(xiǎn)的防范
對(duì)于網(wǎng)絡(luò)安全而言,管理層安全是其核心所在。通過(guò)安全管理的有效實(shí)施可為各項(xiàng)安全技術(shù)的順利實(shí)施提供有力保障,建議從兩方面入手:首先,立足本地區(qū)以及本部門的實(shí)際情況,制定和實(shí)施針對(duì)性的安全管理規(guī)范,充分利用網(wǎng)絡(luò),發(fā)揮其在信息化建設(shè)工作中的重要作用,推動(dòng)政府部門信息化建設(shè)工作的順利、高效開(kāi)展;其次,以可能發(fā)生的電子政務(wù)網(wǎng)絡(luò)突發(fā)事件為對(duì)象,制定配套的應(yīng)急預(yù)案,構(gòu)建健全的應(yīng)急機(jī)制,從而盡可能地消除突發(fā)網(wǎng)絡(luò)事件所帶來(lái)的負(fù)面影響,最終為電子政務(wù)網(wǎng)絡(luò)的高效運(yùn)行奠定堅(jiān)實(shí)基礎(chǔ)。
4 電子政務(wù)網(wǎng)絡(luò)安全體系建設(shè)案例
4.1 某市電子政務(wù)現(xiàn)狀分析
某市現(xiàn)轄三市(縣級(jí)市)、五縣、五區(qū)和一百多個(gè)基層政務(wù)單位。在政府信息化建設(shè)的大背景下,該市的市政府行政管理體制正積極向精簡(jiǎn)化、統(tǒng)一化以及高效化的方向不斷發(fā)展。現(xiàn)階段,各級(jí)政務(wù)單位均結(jié)合自身的具體情況構(gòu)建起了不同形式的、規(guī)模大小不一的辦公網(wǎng)絡(luò),然而在互聯(lián)方面考慮不足,相互之間形成了所謂的“信息孤島”,因而構(gòu)建具有高度統(tǒng)一性質(zhì)的電子政務(wù)外網(wǎng)平臺(tái),以保障網(wǎng)絡(luò)資源的充分共享已然成為當(dāng)務(wù)之急。值得一提的是,各級(jí)政務(wù)單位在構(gòu)建自身網(wǎng)絡(luò)的過(guò)程中沒(méi)有進(jìn)行統(tǒng)一規(guī)劃,因而無(wú)論是在安全防護(hù)上,還是在安全管理上,均存在較明顯的欠缺,所以,如何保障電子政務(wù)網(wǎng)絡(luò)安全成了亟需解決的問(wèn)題。下面將針對(duì)其整體解決方案予以進(jìn)一步探討。
4.2 整體解決方案
為實(shí)現(xiàn)對(duì)該市電子政務(wù)外網(wǎng)平臺(tái)的全面、有效保護(hù),應(yīng)遵循“全網(wǎng)部署、一體安全、簡(jiǎn)單為本”的原則,為其構(gòu)建一個(gè)一體化的全面安全防護(hù)體系,從而最大程度地滿足用戶的實(shí)際需求。
4.2.1 全網(wǎng)部署
在電子政務(wù)外網(wǎng)平臺(tái)體系中,各級(jí)政務(wù)部門于廣域網(wǎng)出口處設(shè)置了天清漢馬USG一體化安全網(wǎng)關(guān)如圖1所示,并將集中管理系統(tǒng)設(shè)置在了該市的市政府信息中心,能以整個(gè)網(wǎng)絡(luò)體系為對(duì)象進(jìn)行統(tǒng)一化管理。在統(tǒng)一化管理模式下,管理員通過(guò)面前的計(jì)算機(jī)便能夠及時(shí)了解各級(jí)政務(wù)部位的網(wǎng)絡(luò)狀態(tài),尤其是各類風(fēng)險(xiǎn)以及威脅,若察覺(jué)到局部突發(fā)性質(zhì)的不安全事件,可馬上對(duì)整個(gè)網(wǎng)絡(luò)的安全策略進(jìn)行相應(yīng)調(diào)整,然后統(tǒng)一下發(fā),消除網(wǎng)絡(luò)威脅,減輕不利影響,從而構(gòu)建一個(gè)具有在線監(jiān)測(cè)和高效防護(hù)功能的一體化安全風(fēng)險(xiǎn)管理體系。
4.2.2 一體安全
對(duì)于天清漢馬USG一體化安全網(wǎng)關(guān)而言,其優(yōu)點(diǎn)表現(xiàn)在兩大方面,一個(gè)是高性能的硬件架構(gòu),另一個(gè)是一體化的軟件設(shè)計(jì),集若干項(xiàng)高效的安全技術(shù)(防火墻、VPN以及入侵防御等)于一體,還推出了QoS、負(fù)載均衡以及日志審計(jì)等實(shí)用功能,可為網(wǎng)絡(luò)邊界提供及時(shí)而強(qiáng)大的安全防護(hù)。這便是“一體安全”的重要體現(xiàn)。除此之外,借助集中管理技術(shù)能夠?qū)ο到y(tǒng)中的多臺(tái)計(jì)算機(jī)同時(shí)下發(fā)安全管理策略,如此一來(lái),大幅簡(jiǎn)化了安全策略的具體實(shí)施過(guò)程。
4.2.3 簡(jiǎn)單為本
篇(4)
中圖分類號(hào):TP39 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1006-0278(2013)01-106-01
一、前言
特別是近年來(lái),隨著政務(wù)信息化的快速發(fā)展,政府管理工作和政府信息化系統(tǒng)的日益復(fù)雜化,給政務(wù)網(wǎng)絡(luò)的安全性帶來(lái)了諸多的挑戰(zhàn),加強(qiáng)電子政務(wù)網(wǎng)絡(luò)安全體系的設(shè)計(jì)和建設(shè),對(duì)推動(dòng)電子政務(wù)的發(fā)展具有重要的意義。文章在這種情況下,首先對(duì)電子政務(wù)的安全風(fēng)險(xiǎn)現(xiàn)狀進(jìn)行簡(jiǎn)單介紹,然后對(duì)電子政務(wù)信息安全保障的措施進(jìn)行分析,具有一定的借鑒意義。
二、電子政務(wù)的安全風(fēng)險(xiǎn)現(xiàn)狀
(一)技術(shù)方面
1.計(jì)算機(jī)系統(tǒng)本身的脆弱性,使得它無(wú)法抵御自然災(zāi)害的破壞,也難以避免偶然無(wú)意造成的危害。自然環(huán)境影響、基礎(chǔ)設(shè)施遭到破壞等等,將給系統(tǒng)造成非常大的風(fēng)險(xiǎn)。
2.網(wǎng)絡(luò)本身存在缺陷。首先,軟件本身缺乏安全性。操作系統(tǒng)規(guī)劃通常非常關(guān)注保證信息處理能力,在安全方面不是特別關(guān)注。
(二)管理方面
對(duì)現(xiàn)有的網(wǎng)絡(luò)攻擊和入侵事件的一項(xiàng)統(tǒng)計(jì)報(bào)告顯示:其他地區(qū)入侵安全風(fēng)險(xiǎn)指數(shù)是21%,黑客入侵所占比例能夠達(dá)到48%,競(jìng)爭(zhēng)對(duì)手所占比例能夠達(dá)到72%,內(nèi)部員工所占比例能夠達(dá)到89%。能夠充分顯示電子政務(wù)信息安全并非僅僅為技術(shù)問(wèn)題。如果沒(méi)有從管理制度、人員和技術(shù)上建立相應(yīng)的電子化業(yè)務(wù)安全防范機(jī)制,缺乏行之有效的安全檢查保護(hù)措施,再好的技術(shù)和設(shè)備都無(wú)法確保其信息安全。
三、電子政務(wù)信息安全保障的措施建議
(一)構(gòu)建內(nèi)部安全管理
電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全關(guān)系到國(guó)家的安全、以及公眾的利益。因此安全性規(guī)劃一定要特別關(guān)注下述角度:首先一定要根據(jù)相關(guān)規(guī)章制度,其次為不斷健全政務(wù)網(wǎng)絡(luò)安全管理制度;再次為制定電子政務(wù)網(wǎng)絡(luò)系統(tǒng)控制方法;第四為一定要清楚劃分相關(guān)工作人員自身實(shí)際權(quán)責(zé);第五為從電子政務(wù)網(wǎng)絡(luò)系統(tǒng)安全體系規(guī)劃過(guò)程中,不斷健全安全管理規(guī)定;最后在所有步驟開(kāi)展管理,提高其可靠性水平。
(二)硬件系統(tǒng)的安全設(shè)計(jì)
雖然有很多的電子政務(wù)網(wǎng)絡(luò)硬件設(shè)備以及計(jì)算機(jī)系統(tǒng)存在較多的漏洞和缺陷,但是一定要維持軟件系統(tǒng)更新,從電子政務(wù)網(wǎng)絡(luò)系統(tǒng)內(nèi)進(jìn)行設(shè)置,同時(shí)按階段調(diào)整安全日志,通過(guò)上述手段保證其可靠性。
(三)應(yīng)用層信息的設(shè)計(jì)
1 身份驗(yàn)證
防范措施,通過(guò)在電子政務(wù)中設(shè)定網(wǎng)絡(luò)用戶名和密碼,這樣不僅能夠防止無(wú)關(guān)人員的登陸,而且能夠阻止對(duì)電子政務(wù)信息的訪問(wèn)。不過(guò)因?yàn)楹诳图夹g(shù)同樣持續(xù)完善,因此電子政務(wù)網(wǎng)絡(luò)安全體系規(guī)劃一定要采納口令技術(shù),同時(shí)和另外的技術(shù)完美結(jié)合,提高其可靠性。
2 權(quán)限矩陣
對(duì)于電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的登陸一般分為管理人員和普通人員兩種登陸方式,不同的身份對(duì)應(yīng)電子政務(wù)系統(tǒng)中不同的內(nèi)容,具有不同的訪問(wèn)權(quán)限。因此登錄系統(tǒng)之后,工作人員能夠從電子政務(wù)網(wǎng)絡(luò)系統(tǒng)內(nèi)開(kāi)展相應(yīng)的操作,承擔(dān)起電子政務(wù)系統(tǒng)的控制工作。一般工作人員僅僅可以調(diào)閱相關(guān)信息,不能夠開(kāi)展操作。從電子政務(wù)系統(tǒng)內(nèi)采納此類管理能夠有效提高可靠性。
(四)計(jì)算機(jī)病毒的防護(hù)
想要避免病毒給系統(tǒng)產(chǎn)生惡劣影響,要營(yíng)造病毒防護(hù)體系。同時(shí)要設(shè)置殺毒軟件。除了能夠滅殺病毒,同時(shí)能夠管理網(wǎng)絡(luò)端口,在維持系統(tǒng)安全方面能夠產(chǎn)生非常關(guān)鍵的影響。
(五)入侵監(jiān)測(cè)與防火墻設(shè)備的設(shè)計(jì)
在電子政務(wù)網(wǎng)絡(luò)系統(tǒng)中,入侵監(jiān)測(cè)設(shè)備的配置主要是為了防止外部人員(即黑客)的非法入侵,防火墻的配置主要是為了能夠加強(qiáng)對(duì)網(wǎng)絡(luò)的訪問(wèn)控制,防火墻能夠?qū)蓚€(gè)或者兩個(gè)以上網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)的安全性根據(jù)一定的安全策略進(jìn)行檢查,并具有監(jiān)視網(wǎng)絡(luò)是否安全運(yùn)行的作用,兩者結(jié)合能夠有效的防止外部人員采用不正當(dāng)?shù)氖侄卧L問(wèn)網(wǎng)絡(luò)系統(tǒng)中的資源和信息。提高系統(tǒng)可靠性。
篇(5)
電子政務(wù),即各級(jí)機(jī)關(guān)在實(shí)踐管理工作開(kāi)展過(guò)程中需借助電子信息技術(shù),打造分層結(jié)構(gòu)、集中管理網(wǎng)絡(luò)管理環(huán)境,且推進(jìn)電子政務(wù)系統(tǒng)由“功能單一”向“綜合政務(wù)網(wǎng)”轉(zhuǎn)變,從而提升整體政府服務(wù)水平,同時(shí)借助網(wǎng)絡(luò)平臺(tái)加強(qiáng)與公眾間的互動(dòng)性,并營(yíng)造雙向信息交流環(huán)境,有效應(yīng)對(duì)計(jì)算機(jī)病毒、黑客攻擊、木馬程序等網(wǎng)絡(luò)安全問(wèn)題。以下就是對(duì)電子政務(wù)系統(tǒng)網(wǎng)絡(luò)安全問(wèn)題的詳細(xì)闡述,望其能為當(dāng)前政府機(jī)構(gòu)職能效用的有效發(fā)揮提供有利參考。
1.電子政務(wù)系統(tǒng)網(wǎng)絡(luò)安全研究
1.1網(wǎng)絡(luò)安全需求
就當(dāng)前的現(xiàn)狀來(lái)看,電子政務(wù)系統(tǒng)網(wǎng)絡(luò)在運(yùn)行過(guò)程中基于垃圾郵件攻擊、網(wǎng)絡(luò)蠕蟲、黑客攻擊、網(wǎng)絡(luò)安全威脅等因素的影響下,降低了服務(wù)質(zhì)量。為此,當(dāng)代政務(wù)系統(tǒng)針對(duì)網(wǎng)絡(luò)安全問(wèn)題提出了相應(yīng)的網(wǎng)絡(luò)安全需求:第一,網(wǎng)絡(luò)信息安全,即在電子政務(wù)系統(tǒng)操控過(guò)程中為了規(guī)避政務(wù)信息丟失等問(wèn)題的凸顯,要求管理人員在實(shí)踐信息管理過(guò)程中應(yīng)從信息分級(jí)保護(hù)、信息保密、身份鑒別、網(wǎng)絡(luò)信息訪問(wèn)權(quán)限控制等角度出發(fā),對(duì)可用性網(wǎng)絡(luò)信息實(shí)施管理,打造良好的網(wǎng)絡(luò)信息使用環(huán)境;第二,管理控制安全。即由于電子政務(wù)網(wǎng)絡(luò)系統(tǒng)需與Internet連接,因而在內(nèi)部局域網(wǎng)、外部局域網(wǎng)管理過(guò)程中,應(yīng)設(shè)置隔離措施,同時(shí)針對(duì)每個(gè)局域網(wǎng)用戶設(shè)定訪問(wèn)限定資源,并針對(duì)用戶身份進(jìn)行雙向認(rèn)證,由此規(guī)避黑客攻擊等問(wèn)題的凸顯。而在信息傳輸過(guò)程中,亦需針對(duì)關(guān)鍵應(yīng)用信息進(jìn)行加密,且配置網(wǎng)絡(luò)監(jiān)控中心,實(shí)時(shí)掌控惡意攻擊現(xiàn)象,并做出及時(shí)響應(yīng);第三,統(tǒng)一管理全網(wǎng),即為了降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)問(wèn)題,要求當(dāng)代電子政務(wù)網(wǎng)絡(luò)系統(tǒng)在開(kāi)發(fā)過(guò)程中應(yīng)制定VLAN劃分計(jì)劃,且針對(duì)通信線路、訪問(wèn)控制體系、網(wǎng)絡(luò)功能模塊等實(shí)施統(tǒng)一管理,規(guī)避非法截獲等安全問(wèn)題[1]。
1.2網(wǎng)絡(luò)安全風(fēng)險(xiǎn)
(1)系統(tǒng)安全風(fēng)險(xiǎn)。就當(dāng)前的現(xiàn)狀來(lái)看,我國(guó)UNIX、Windows、NETWARE等操作系統(tǒng)本身存有安全隱患問(wèn)題,因而網(wǎng)絡(luò)侵襲者在對(duì)系統(tǒng)進(jìn)行操控過(guò)程中,可借助系統(tǒng)漏洞,登錄服務(wù)器或破解靜態(tài)口令身份驗(yàn)證密碼,訪問(wèn)服務(wù)器信息,造成政務(wù)信息泄露問(wèn)題。同時(shí),在電子政務(wù)系統(tǒng)網(wǎng)絡(luò)管理過(guò)程中,部分管理人員缺乏安全管理意識(shí),從而未及時(shí)修補(bǔ)系統(tǒng)漏洞,且缺乏硬件服務(wù)器等安全評(píng)定環(huán)節(jié),繼而誘發(fā)了系統(tǒng)安全風(fēng)險(xiǎn)。此外,基于電子政務(wù)網(wǎng)絡(luò)系統(tǒng)運(yùn)行的基礎(chǔ)上,侵襲者通常在公用網(wǎng)上搭線竊取口令字,同時(shí)冒充管理人員,向系統(tǒng)內(nèi)部局域網(wǎng)直入嗅探程序,從而截獲口令字,獲取網(wǎng)絡(luò)管理權(quán)限,造成電子政務(wù)系統(tǒng)信息損失。為此,為了規(guī)避信息截獲等網(wǎng)絡(luò)安全問(wèn)題的凸顯,要求管理人員在實(shí)踐管理工作開(kāi)展過(guò)程中應(yīng)針對(duì)操作系統(tǒng)、硬件平臺(tái)安全性進(jìn)行檢測(cè),且健全登錄過(guò)程認(rèn)證環(huán)節(jié),打造良好的電子政務(wù)系統(tǒng)服務(wù)空間,滿足系統(tǒng)運(yùn)行條件,同時(shí)實(shí)現(xiàn)對(duì)登陸者操作的嚴(yán)格把控。(2)應(yīng)用安全風(fēng)險(xiǎn)。電子政務(wù)系統(tǒng)網(wǎng)絡(luò)運(yùn)行中應(yīng)用安全風(fēng)險(xiǎn)主要體現(xiàn)在以下幾個(gè)方面:第一,網(wǎng)絡(luò)資源共享風(fēng)險(xiǎn),即各級(jí)政府機(jī)構(gòu)在網(wǎng)絡(luò)辦公環(huán)境下,為了提升整體工作效率,注重運(yùn)用網(wǎng)絡(luò)平臺(tái)共享機(jī)關(guān)機(jī)構(gòu)組成、政務(wù)新聞、政務(wù)管理程序等信息。而若某工作人員將政務(wù)信息存儲(chǔ)于硬盤中,將基于缺少訪問(wèn)控制手段的基礎(chǔ)上,造成信息竊取行為;第二,電子郵件風(fēng)險(xiǎn),即某些不法分子為了獲取政務(wù)信息,將特洛伊木馬、病毒等程序植入到郵件中,并發(fā)送至電子政務(wù)系統(tǒng),從而通過(guò)程序跟蹤,威脅電子政務(wù)系統(tǒng)網(wǎng)絡(luò)安全性。為此,管理人員在對(duì)電子政務(wù)系統(tǒng)進(jìn)行操控過(guò)程中應(yīng)提高對(duì)此問(wèn)題的重視程度,同時(shí)強(qiáng)調(diào)對(duì)垃圾郵件的及時(shí)清理[2];第三,用戶使用風(fēng)險(xiǎn),即在電子政務(wù)系統(tǒng)平臺(tái)建構(gòu)過(guò)程中,為了規(guī)避網(wǎng)絡(luò)安全風(fēng)險(xiǎn)問(wèn)題,設(shè)置了“用戶名+口令”身份認(rèn)證,但由于部分用戶缺乏安全意識(shí),繼而將生日、身份證號(hào)、電話號(hào)碼等作為口令字,從而遭到非法用戶竊取,引發(fā)政務(wù)信息泄露或攻擊事件。為此,在系統(tǒng)操控過(guò)程中應(yīng)針對(duì)此問(wèn)題展開(kāi)行之有效的處理。
2.電子政務(wù)系統(tǒng)網(wǎng)絡(luò)安全設(shè)計(jì)應(yīng)用
2.1系統(tǒng)安全
在電子政務(wù)系統(tǒng)應(yīng)用過(guò)程中,為了打造良好的網(wǎng)絡(luò)運(yùn)行空間,在系統(tǒng)設(shè)計(jì)過(guò)程中應(yīng)融合防火墻隔離、VLAN劃分、HA和負(fù)載均衡、動(dòng)態(tài)路由等技術(shù),并在電子政務(wù)網(wǎng)絡(luò)結(jié)構(gòu)部署過(guò)程中,將功能區(qū)域劃分為若干個(gè)子網(wǎng)結(jié)構(gòu),同時(shí)合理布設(shè)出入口,并實(shí)時(shí)清理故障清單,從根本上規(guī)避網(wǎng)絡(luò)安全風(fēng)險(xiǎn)問(wèn)題。同時(shí),在操作系統(tǒng)安全設(shè)置過(guò)程中,應(yīng)針對(duì)安全配置安全性進(jìn)行檢測(cè),并限定etc/host、passwd、shadow、group、SAM、LMHOST等關(guān)鍵文件使用權(quán)限,且加強(qiáng)“用戶名+口令”身份認(rèn)證設(shè)置的復(fù)雜性,避免操作風(fēng)險(xiǎn)的凸顯[3]。此外,在電子政務(wù)系統(tǒng)操控過(guò)程中,為了確保系統(tǒng)安全性,亦應(yīng)針對(duì)系統(tǒng)運(yùn)行狀況做好打補(bǔ)丁操作環(huán)節(jié),并及時(shí)升級(jí)網(wǎng)絡(luò)配置,營(yíng)造安全、穩(wěn)定的系統(tǒng)運(yùn)行空間。
2.2訪問(wèn)控制
在電子政務(wù)系統(tǒng)網(wǎng)絡(luò)安全應(yīng)用過(guò)程中加強(qiáng)訪問(wèn)控制工作的開(kāi)展是非常必要的,為此,首先要求管理人員在系統(tǒng)操控過(guò)程中應(yīng)結(jié)合政務(wù)信息的特殊性,建構(gòu)《用戶授權(quán)實(shí)施細(xì)則》、《口令字及賬戶管理規(guī)范》等條例,并嚴(yán)格遵從管理制度要求,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)環(huán)境的有效操控。同時(shí),在網(wǎng)絡(luò)出入口等網(wǎng)絡(luò)內(nèi)部環(huán)境操控過(guò)程中,應(yīng)設(shè)置防火墻設(shè)備。例如,在Switch、Router安全網(wǎng)絡(luò)域連接過(guò)程中,即需在二者間設(shè)置防火墻,繼而利用防火墻IP、TCP信息過(guò)濾功能,如,拒絕、允許、監(jiān)測(cè)等,對(duì)政務(wù)信息形成保護(hù),同時(shí)在網(wǎng)絡(luò)入侵行為發(fā)生時(shí),及時(shí)發(fā)出警告信號(hào),且針對(duì)用戶身份進(jìn)行S/Key的驗(yàn)證,達(dá)到網(wǎng)絡(luò)訪問(wèn)控制目的[4]。其次,在網(wǎng)絡(luò)訪問(wèn)控制作業(yè)環(huán)節(jié)開(kāi)展過(guò)程中,為了規(guī)避電子政務(wù)網(wǎng)內(nèi)部服務(wù)器、WWW、Mail等攻擊現(xiàn)象,應(yīng)注重應(yīng)用防火墻應(yīng)用功能,對(duì)安全問(wèn)題進(jìn)行有效防控。
2.3數(shù)據(jù)保護(hù)
電子政務(wù)數(shù)據(jù)屬于機(jī)密性信息,因而在此基礎(chǔ)上,為了規(guī)避數(shù)據(jù)泄露問(wèn)題的凸顯影響到社會(huì)的發(fā)展,要求我國(guó)政府部門在電子政務(wù)系統(tǒng)運(yùn)行過(guò)程中,應(yīng)擴(kuò)大對(duì)《上網(wǎng)數(shù)據(jù)的審批規(guī)定》、《數(shù)據(jù)管理管理辦法》等制度的宣傳,同時(shí)在PC機(jī)管理過(guò)程中,增設(shè)文件加密系統(tǒng),并對(duì)訪問(wèn)者進(jìn)行限制,最終實(shí)現(xiàn)對(duì)數(shù)據(jù)的高效保護(hù)。其次,在對(duì)SYBASE等通用數(shù)據(jù)庫(kù)進(jìn)行保護(hù)過(guò)程中,應(yīng)增設(shè)訪問(wèn)/存取控制手段,同時(shí)完善身份驗(yàn)證、訪問(wèn)控制、密碼機(jī)制、文件管理等功能模塊,從而通過(guò)角色控制、強(qiáng)制控制等方法,對(duì)數(shù)據(jù)形成雙層保護(hù),并加強(qiáng)假冒、泄露、篡改等現(xiàn)象的管理,保障系統(tǒng)網(wǎng)絡(luò)安全性[5]。再次,在政務(wù)數(shù)據(jù)使用、傳輸過(guò)程中,應(yīng)定期檢測(cè)服務(wù)器內(nèi)容完整性,例如,WWW服務(wù)器、FTP、DNS服務(wù)器等信息,滿足政務(wù)信息使用需求,同時(shí)提升政府服務(wù)水平。
3.結(jié)論
綜上可知,傳統(tǒng)電子政務(wù)系統(tǒng)網(wǎng)絡(luò)管理工作實(shí)施過(guò)程中逐漸凸顯出信息截獲、信息泄露等問(wèn)題,影響到了各級(jí)政府機(jī)關(guān)服務(wù)水平。因而在此基礎(chǔ)上,為了實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)問(wèn)題的有效處理,要求管理人員在實(shí)際工作開(kāi)展過(guò)程中應(yīng)注重加強(qiáng)安全管理工作,同時(shí)從數(shù)據(jù)保護(hù)、訪問(wèn)控制、系統(tǒng)安全等角度入手,對(duì)政務(wù)系統(tǒng)網(wǎng)絡(luò)環(huán)境形成保護(hù),滿足電子政務(wù)網(wǎng)絡(luò)系統(tǒng)應(yīng)用需求。
作者:韓戴鴻 鄔顯豪 徐彬凌 胡大川 錢誠(chéng) 單位:常州市科技信息中心
參考文獻(xiàn):
[1]王淼,凌捷,郝彥軍.電子政務(wù)系統(tǒng)安全域劃分技術(shù)的研究與應(yīng)用[J].計(jì)算機(jī)工程與科學(xué),2010,12(8):52-55.
[2]魏武華.電子政務(wù)系統(tǒng)的網(wǎng)絡(luò)架構(gòu)及其應(yīng)用研究[J].計(jì)算機(jī)時(shí)代,2013,12(7):13-16.
篇(6)
國(guó)的政府信息化起步于20世紀(jì)80年代,期間經(jīng)歷了辦公自動(dòng)化建、政府上網(wǎng)、以及新近興起的電子政務(wù)(Electronic Government)建設(shè)。如今電子政務(wù)系統(tǒng)的基本類型已逐漸固定,大致可分為四種:政府內(nèi)部辦公自動(dòng)化系統(tǒng)(Office Automation,OA)、政府與政府之間的政務(wù)協(xié)作系統(tǒng)(Government To Government,G2G)、政府與企業(yè)間服務(wù)系統(tǒng)(Government To Business,G2B)以及政府與公民之間的服務(wù)系統(tǒng)(Government To Citizen,G2C)。電子政務(wù)系統(tǒng)的電子文件管理核心及數(shù)據(jù)管理,對(duì)各種信息進(jìn)行收集、整理、儲(chǔ)存、檢索和輸出。伴隨計(jì)算機(jī)技術(shù)的迅猛發(fā)展以及計(jì)算機(jī)在文件管理中的廣泛應(yīng)用,電子政務(wù)也取得飛速發(fā)展,并將逐步成為機(jī)關(guān)起草、簽署、公文的平臺(tái)。當(dāng)下經(jīng)濟(jì)和信息全球化,電子政務(wù)的水平已經(jīng)成為衡量國(guó)家競(jìng)爭(zhēng)力和綜合國(guó)力的顯著標(biāo)志之一。在電子政務(wù)系統(tǒng)中的電子文件管理涉及的風(fēng)險(xiǎn)包括網(wǎng)絡(luò)風(fēng)險(xiǎn)、管理風(fēng)險(xiǎn)、信息風(fēng)險(xiǎn)、設(shè)備風(fēng)險(xiǎn)。
一、電子政務(wù)系統(tǒng)中電子文件風(fēng)險(xiǎn)的特點(diǎn)
一是具有潛伏期。電子政務(wù)系統(tǒng)中電子文件風(fēng)險(xiǎn)的后果不是立即顯現(xiàn)出來(lái)的,有些甚至不能被識(shí)別,但是一段時(shí)間之后,一旦后果顯現(xiàn)出來(lái),就可能對(duì)社會(huì)甚至國(guó)家造成極其嚴(yán)重的不良后果。二是具有連鎖效應(yīng)性。電子政務(wù)系統(tǒng)中電子文件風(fēng)險(xiǎn)的后果首先表現(xiàn)為“基本風(fēng)險(xiǎn)”,也就是文件本身的質(zhì)量缺損,如不完整、不可讀等。文件的不完整通常會(huì)直接導(dǎo)致文件的不可讀,即無(wú)法正常輸出,或者輸出結(jié)果出錯(cuò),那么該文件的存在已經(jīng)沒(méi)有任何實(shí)際意義了。三是具有繼承性。每份電子文件都會(huì)經(jīng)過(guò)制作、接收、傳輸、保存等幾個(gè)相互關(guān)聯(lián)的階段,而且每一個(gè)階段都存在被損壞、泄露等風(fēng)險(xiǎn)。電子文件在前期階段受到的風(fēng)險(xiǎn)會(huì)在后續(xù)階段累積并體現(xiàn)出來(lái)。四是具有無(wú)法彌補(bǔ)性。電子文件在制作階段遭受的一些風(fēng)險(xiǎn)還可以彌補(bǔ)。
二、影響電子文件信息安全的因素
(1)技術(shù)漏洞。技術(shù)漏洞主要表現(xiàn)在以下幾個(gè)方面:一是軟件問(wèn)題:在電子政務(wù)系統(tǒng)中,電子文件的管理軟件決定了電子文件的寫入、讀取、復(fù)制、保存、刪除等操作,可以說(shuō),管理軟件對(duì)于電子政務(wù)系統(tǒng)中電子文件的管理至關(guān)重要。管理軟件需要滿足以下幾個(gè)方面:首先要有較高的信息處理能力,滿足政府工作的高效要求;在此基礎(chǔ)上,還要保證安全性,電子政務(wù)是為政府工作服務(wù)的,其內(nèi)容涉及公眾、社會(huì)、經(jīng)濟(jì)、文化、軍事的方方面面,如果管理軟件存在漏洞,相關(guān)內(nèi)容泄露或被不法分子竊取,后果甚至威脅到國(guó)家安全。事實(shí)上,很多管理軟件確實(shí)存在諸多漏洞。二是通信網(wǎng)絡(luò)的問(wèn)題:一般情況下,通信線路由專線、電話線、微波、無(wú)線系統(tǒng)或光纜構(gòu)成。造成通信網(wǎng)絡(luò)故障的原因包括自然災(zāi)害、人為破壞、偶然事件等。通信網(wǎng)的抗毀性是指當(dāng)通信網(wǎng)絡(luò)受到物理破壞、電子戰(zhàn)和NBC(核、生物、化學(xué))威脅時(shí),仍然能完成特定功能的能力。無(wú)線通信易遭截獲。并且網(wǎng)絡(luò)規(guī)模越大,通信線路越長(zhǎng),存在的風(fēng)險(xiǎn)也就越大。(2)人為因素。人為因素包括以下三種:一是有意的破壞。一般能夠有意破壞的都是內(nèi)部對(duì)情況比較了解的人員,此類破壞影響較大,后果較嚴(yán)重。二是管理水平落后。網(wǎng)絡(luò)技術(shù)發(fā)展一日千里,傳統(tǒng)業(yè)務(wù)改造、新業(yè)務(wù)開(kāi)展等都對(duì)電子政務(wù)系統(tǒng)的風(fēng)險(xiǎn)防范提出了更高的要求。目前,我們用于電子政務(wù)系統(tǒng)的操作系統(tǒng)和管理軟件均是國(guó)外產(chǎn)品,許多關(guān)鍵技術(shù)還沒(méi)有被國(guó)人掌握。一旦出現(xiàn)特殊情況,為了各自國(guó)家的利益,黑客攻擊可能上升為國(guó)家間的一種戰(zhàn)爭(zhēng)行為,后果不堪設(shè)想。(3)硬件因素。和計(jì)算機(jī)軟件一樣,計(jì)算機(jī)硬件同樣存在漏洞,并且給網(wǎng)絡(luò)信息安全帶來(lái)巨大隱患,由于計(jì)算機(jī)硬件漏洞很容易被人們忽視,故其造成的安全隱患往往比軟件造成的安全隱患攻擊性更強(qiáng)、更加難以監(jiān)測(cè)和消除。硬件設(shè)計(jì)的復(fù)雜性遠(yuǎn)遠(yuǎn)超過(guò)軟件設(shè)計(jì),其本身由于生產(chǎn)工藝和設(shè)計(jì)水平的原因就會(huì)存在缺陷和不足,如果再被不法分子在芯片中注入惡意邏輯,其安全隱患就更大。另外,計(jì)算機(jī)防火墻等安全手段是基于一定的硬件設(shè)備的,如果硬件設(shè)備本身就存在安全隱患,防火墻就無(wú)從談起。(4)法律漏洞。到目前為止,雖然已經(jīng)先后出臺(tái)了一些法律法規(guī),但是我國(guó)關(guān)于電子政務(wù)的立法還處于探索階段。已經(jīng)出臺(tái)的法律法規(guī)主要是四類:計(jì)算機(jī)法,主要涉及計(jì)算機(jī)系統(tǒng)安全和保密;互聯(lián)網(wǎng)法。主要針對(duì)國(guó)際互聯(lián)網(wǎng)的接入、設(shè)施、經(jīng)營(yíng);信息法,主要關(guān)于政府信息化;政務(wù)公開(kāi)法,主要規(guī)定政府有關(guān)業(yè)務(wù)流程和政策制定、執(zhí)行和結(jié)果公開(kāi)。總的來(lái)說(shuō),現(xiàn)有法律法規(guī)的法律效力層次低,處于“無(wú)綱領(lǐng)性立法、無(wú)確定性立法規(guī)制、無(wú)有效的立法評(píng)價(jià)及監(jiān)督機(jī)制”的三無(wú)狀態(tài)。
三、電子文件的風(fēng)險(xiǎn)防范
電子政務(wù)系統(tǒng)中的文件管理風(fēng)險(xiǎn)防范既包括電子政務(wù)系統(tǒng)作為信息系統(tǒng)的風(fēng)險(xiǎn)防范,還包括電子文件管理本身的風(fēng)險(xiǎn)防范。其中,信息系統(tǒng)的風(fēng)險(xiǎn)防范是電子文件管理風(fēng)險(xiǎn)防范的根本,是電子政務(wù)系統(tǒng)安全保障的基礎(chǔ)。一是技術(shù)安全措施。密碼技術(shù),是實(shí)現(xiàn)所有安全服務(wù)的重要基礎(chǔ)。為了使得系統(tǒng)中的兩方進(jìn)行的通信活動(dòng)被保密,就需要保護(hù)一個(gè)文件使得一個(gè)限制的用戶集可以閱讀它,而其余用戶團(tuán)體不可以閱讀。解密密匙存放在可信的密匙服務(wù)器中。任何用戶有權(quán)從服務(wù)器申請(qǐng)密匙,但要在認(rèn)證了申請(qǐng)用戶并且檢查了訪問(wèn)控制陳述后,才為允許具有密匙的用戶提供密匙。設(shè)定登錄限制、使用文件權(quán)限等,在一定范圍內(nèi)保護(hù)服務(wù)器文件和數(shù)據(jù)。要預(yù)防病毒,安裝防毒軟件。二是制度措施。培養(yǎng)一支掌握現(xiàn)代化信息技術(shù)、能熟練運(yùn)用計(jì)算機(jī)及現(xiàn)代化通信設(shè)備的人才隊(duì)伍。制定嚴(yán)格的規(guī)章制度,對(duì)于接觸或可能接觸電子文件尤其是機(jī)密級(jí)電子文件的人員嚴(yán)格要求。三是法律措施。近年,英國(guó)、加拿大、韓國(guó)等相繼開(kāi)展了有關(guān)文件管理和檔案管理的立法工作,其共同特點(diǎn)是將電子文件管理納入整體框架。應(yīng)由多部門聯(lián)合制定電子文件管理法,在法律中明確規(guī)檔案管理各相關(guān)部門的職責(zé),對(duì)電子文件的軟硬件設(shè)施進(jìn)行統(tǒng)一,依法管理。并且檔案管理部門制定完善的電子文件管理制度,依制度辦事,使整個(gè)電子文件全過(guò)程做到制度化、規(guī)范化、標(biāo)準(zhǔn)化。四是文檔一體化措施。文檔一體化的目的是按照文件生成和運(yùn)行規(guī)律,統(tǒng)一組織文件各階段的管理工作。采用通用的管理軟件,使用暢通的網(wǎng)絡(luò)通道。在電子文件真?zhèn)€生命周期中能夠提前進(jìn)行的一律提前到生命周期的最前端。如果是一般性的電子文件,應(yīng)將其轉(zhuǎn)換成各種平臺(tái)都能使用的文本文件格式,消除技術(shù)演變帶來(lái)的影響。如果是特殊格式的電子文件,應(yīng)在儲(chǔ)存該文件的同時(shí)存有相應(yīng)的瀏覽軟件。五是電子文件和紙質(zhì)文件并存措施。要建立一個(gè)“通道”,實(shí)現(xiàn)紙質(zhì)文件和電子文件的“雙套制”保存。由于電子文件存在對(duì)軟、硬件具有依賴性、其通用性尚無(wú)定論、載體的保管壽命還沒(méi)有經(jīng)過(guò)實(shí)踐檢驗(yàn)等缺點(diǎn),電子文件和紙質(zhì)文件并存十分必要。尤其是需要永久保存的文件,必須保存一套完整的紙質(zhì)文件。
雖然我國(guó)信息建設(shè)起步較晚,但目前發(fā)展勢(shì)頭很猛。加快電子政務(wù)建設(shè)步伐,有利于用信息技術(shù)改造傳統(tǒng)的政府治理,改善政府公關(guān)服務(wù),提高服務(wù)質(zhì)量,實(shí)現(xiàn)資源共享,大大降低行政成本。只有抓好電子政務(wù),才能適應(yīng)時(shí)代的步伐,緊跟世界發(fā)展形勢(shì),推進(jìn)國(guó)民經(jīng)濟(jì)。電子政務(wù)系統(tǒng)中存在大量機(jī)密級(jí)文件,如果其安全不能得到保障,就會(huì)威脅社會(huì)乃至整個(gè)國(guó)家的利益,甚至國(guó)家安全。電子政務(wù)系統(tǒng)的電子文件安全是制約電子政務(wù)建設(shè)與發(fā)展的核心問(wèn)題。只有正確認(rèn)識(shí)電子政務(wù)系統(tǒng)中電子文件風(fēng)險(xiǎn)的形成,從多方面對(duì)風(fēng)險(xiǎn)進(jìn)行防范,才能保障信息安全,提供行政的便利。
參考文獻(xiàn)
[1]趙雪.電子政務(wù)環(huán)境中文檔管理現(xiàn)狀簡(jiǎn)析[J].科技檔案.2005(3):36~37
篇(7)
一、研究的意義
伴隨著計(jì)算機(jī)通信技術(shù)的廣泛應(yīng)用,信息化時(shí)代迅速到來(lái)。社會(huì)信息化給政府事務(wù)管理提出了新的要求,行政管理的現(xiàn)代化迫在眉睫。電子政務(wù)在發(fā)達(dá)國(guó)家取得長(zhǎng)足進(jìn)展,為了提高政府的行政效能和行政管理水平,我國(guó)正在加快對(duì)電子政務(wù)網(wǎng)的建設(shè)。在新的時(shí)代條件下,開(kāi)放和互聯(lián)的發(fā)展帶來(lái)信息流動(dòng)的極大便利,同時(shí),也帶來(lái)了新的問(wèn)題和挑戰(zhàn)。電子政務(wù)系統(tǒng)上所承載的信息的特殊性,在網(wǎng)絡(luò)開(kāi)放的條件下,尤其是公共部門電子政務(wù)信息與資產(chǎn),如果受到不法攻擊、利用,則有可能給國(guó)家?guī)?lái)?yè)p失,也可能危及政府、企業(yè)和居民的安全。作為政府信息化工作的基本手段,電子政務(wù)網(wǎng)在穩(wěn)定性、安全性方面,比普通信息網(wǎng)要求更高。對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行評(píng)估,是確定與衡量電子政務(wù)安全的重要方式。研究確定科學(xué)的安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)和評(píng)估方法及模型,不僅有助于維護(hù)政府信息安全,也有助于防止現(xiàn)實(shí)與潛在的風(fēng)險(xiǎn)。
二、國(guó)內(nèi)外研究狀況
當(dāng)前,國(guó)內(nèi)外尚未形成系統(tǒng)化的電子政務(wù)網(wǎng)絡(luò)信息安全的評(píng)估體系與方法。目前主要有風(fēng)險(xiǎn)分析、系統(tǒng)安全工程能力成熟度模型、安全測(cè)評(píng)和安全審計(jì)等四類。
(一)國(guó)外研究現(xiàn)狀。在風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)方面,1993年,美、英、德等國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所與各國(guó)國(guó)家安全局制定并簽署了《信息技術(shù)安全通用評(píng)估準(zhǔn)則》。1997年形成了信息安全通用準(zhǔn)則2.0版,1999年形成了CC2.1版,并被當(dāng)作國(guó)際標(biāo)準(zhǔn)(150/IEC15408)。CC分為EALI到EAL7共7個(gè)評(píng)估等級(jí),對(duì)相關(guān)領(lǐng)域的研究與應(yīng)用影響深遠(yuǎn)。之后,風(fēng)險(xiǎn)評(píng)估和管理被國(guó)際標(biāo)準(zhǔn)組織高度重視,作為防止安全風(fēng)險(xiǎn)的手段,他們更加關(guān)注信息安全管理和技術(shù)措施,并體現(xiàn)在相繼于1996年和2000年的《信息技術(shù)安全管理指南》(150/IECTR13335標(biāo)準(zhǔn))和《信息技術(shù)信息安全管理實(shí)用規(guī)則》(150/IEC177799)中。與此同時(shí),全球在信息技術(shù)應(yīng)用和研究方面較為發(fā)達(dá)的國(guó)家也紛紛研發(fā)符合本國(guó)實(shí)際的風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)。如美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)局自1990年以來(lái),制定了十幾個(gè)相關(guān)的風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)。進(jìn)入二十一世紀(jì)初,美國(guó)又制定了《IT系統(tǒng)風(fēng)險(xiǎn)管理指南》,細(xì)致入微地提出風(fēng)險(xiǎn)處理的步驟和方法。2002年與2003年,美國(guó)防部相繼公布了《信息(安全)保障》指示(8500•l)及更加完備的《信息(安全)保障實(shí)現(xiàn)))指令(5500•2),為國(guó)家防務(wù)系統(tǒng)的安全評(píng)估提供了標(biāo)準(zhǔn)和依據(jù)。隨著信息安全標(biāo)準(zhǔn)的廣泛實(shí)施,風(fēng)險(xiǎn)評(píng)估服務(wù)市場(chǎng)應(yīng)運(yùn)而生。繼政府、社會(huì)研究機(jī)構(gòu)之后,市場(chǎng)敏銳的產(chǎn)業(yè)界也投入資金出臺(tái)適應(yīng)市場(chǎng)需求風(fēng)險(xiǎn)評(píng)估評(píng)估體系和標(biāo)準(zhǔn)。例如美國(guó)卡內(nèi)基•梅隆大學(xué)的OCTAVE方法等。在風(fēng)險(xiǎn)評(píng)估方法方面,目前許多國(guó)內(nèi)外的學(xué)者運(yùn)用神經(jīng)網(wǎng)絡(luò)、灰色理論、層次分析法、貝葉斯網(wǎng)絡(luò)、模糊數(shù)學(xué)、決策樹(shù)法等多種方法,系統(tǒng)研究并制定與開(kāi)發(fā)了不同類型、不同用途的風(fēng)險(xiǎn)評(píng)估模型,這些模型與方法雖然具備一定的科學(xué)依據(jù),在不用范圍和層面的應(yīng)用中取得一定成果,但也存在不同程度的不足,比如計(jì)算復(fù)雜,成本高,難以廣泛推廣。
(二)國(guó)內(nèi)相關(guān)研究現(xiàn)狀。我國(guó)的研究較之國(guó)外起步稍晚,盡管信息化浪潮對(duì)各國(guó)的挑戰(zhàn)程度不同,但都深受影響。20世紀(jì)90年代末,我國(guó)信息安全標(biāo)準(zhǔn)和風(fēng)險(xiǎn)評(píng)估模型的研究已廣泛開(kāi)展。但在電子政務(wù)網(wǎng)上的應(yīng)用卻是近幾年才開(kāi)始引發(fā)政府、公眾及研究機(jī)構(gòu)的關(guān)注。任何國(guó)家政府都十分重視對(duì)信息安全保障體系的宏觀管理。但政府依托什么來(lái)宏觀控制和管理呢?實(shí)際上就是信息安全標(biāo)準(zhǔn)。所以在股價(jià)戰(zhàn)略層面看,用哪個(gè)國(guó)家的標(biāo)準(zhǔn),就會(huì)帶動(dòng)那個(gè)國(guó)家的相關(guān)產(chǎn)業(yè),關(guān)系到該國(guó)的經(jīng)濟(jì)發(fā)展利益。標(biāo)準(zhǔn)的競(jìng)爭(zhēng)、爭(zhēng)奪、保護(hù),也就成為各國(guó)信息技術(shù)戰(zhàn)場(chǎng)的重要領(lǐng)域。但要建立國(guó)內(nèi)通行、國(guó)際認(rèn)可的技術(shù)標(biāo)準(zhǔn),卻是一項(xiàng)艱巨而長(zhǎng)期的任務(wù)。我國(guó)從20世紀(jì)80年代開(kāi)始,就組織力量學(xué)習(xí)、吸收國(guó)際標(biāo)準(zhǔn),并逐步轉(zhuǎn)化了一批國(guó)際信息安全基礎(chǔ)技術(shù)標(biāo)準(zhǔn),為國(guó)家安全技術(shù)工作的發(fā)展作出了重要貢獻(xiàn)。信息安全技術(shù)標(biāo)準(zhǔn)的具體研究應(yīng)用,首先從最直接的公共安全領(lǐng)域開(kāi)始的。公安部首先根據(jù)實(shí)際需要組織制定和頒布了信息安全標(biāo)準(zhǔn)。1999年頒布了《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB17859一1999);2001年援引CC的GB/T18336一2001,作為我國(guó)安全產(chǎn)品測(cè)評(píng)的標(biāo)準(zhǔn);在此基礎(chǔ)上,2003年完成了《風(fēng)險(xiǎn)評(píng)估規(guī)范第1部分:安全風(fēng)險(xiǎn)評(píng)估程序》、《風(fēng)險(xiǎn)評(píng)估規(guī)范第2部分:安全風(fēng)險(xiǎn)評(píng)估操作指南》。同時(shí),公安部以上述國(guó)家標(biāo)準(zhǔn)為依據(jù),開(kāi)展安全產(chǎn)品功能測(cè)評(píng)工作,以及安全產(chǎn)品的性能評(píng)測(cè)、安全性評(píng)測(cè)。在公安部的帶動(dòng)下,我國(guó)政府科研計(jì)劃和各個(gè)行業(yè)的科技項(xiàng)目中,都列出一些風(fēng)險(xiǎn)評(píng)估研究項(xiàng)目,帶動(dòng)行業(yè)技術(shù)人員和各部門研究人員加入研究行列,并取得一些成果。這些成果又為風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)的制定提供了豐富的材料和實(shí)踐的依據(jù)。同時(shí),國(guó)家測(cè)評(píng)認(rèn)證機(jī)構(gòu)也擴(kuò)展自己的工作范圍,開(kāi)展信息系統(tǒng)的安全評(píng)測(cè)業(yè)務(wù)。2002年4月15日,全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)正式成立。為進(jìn)一步推進(jìn)工作,盡快啟動(dòng)一批信息安全關(guān)鍵性標(biāo)準(zhǔn)的研究工作,委員會(huì)制定了《全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)工作組章程(草案)》,并先后成立了信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組(WG1)、內(nèi)容安全分級(jí)及標(biāo)識(shí)工作組(WG2)等10個(gè)工作組。經(jīng)過(guò)我國(guó)各部門和行業(yè)的長(zhǎng)期研究和實(shí)踐,積累了大量的成果和經(jīng)驗(yàn),在現(xiàn)實(shí)需求下,制定我國(guó)自己的風(fēng)險(xiǎn)評(píng)估國(guó)家標(biāo)準(zhǔn)的條件初步成熟。2004年,國(guó)信辦啟動(dòng)了我國(guó)風(fēng)險(xiǎn)評(píng)估國(guó)家標(biāo)準(zhǔn)的制定工作。該項(xiàng)工作由信息安全風(fēng)險(xiǎn)評(píng)估課題組牽頭制定工作計(jì)劃,將我國(guó)風(fēng)險(xiǎn)評(píng)估國(guó)家標(biāo)準(zhǔn)系列分為三個(gè)標(biāo)準(zhǔn),即《信息安全風(fēng)險(xiǎn)管理指南》、《信息安全風(fēng)險(xiǎn)評(píng)估指南》和《信息安全風(fēng)險(xiǎn)評(píng)估框架》。每個(gè)標(biāo)準(zhǔn)的內(nèi)容和規(guī)定各不相同,共同組成國(guó)家標(biāo)準(zhǔn)系列。《信息安全風(fēng)險(xiǎn)管理指南》主要規(guī)定了風(fēng)險(xiǎn)管理的基本內(nèi)容和主要過(guò)程,其中對(duì)本單位管理層的職責(zé)予以特別明確,管理層有權(quán)根據(jù)本單位風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理的結(jié)果,判斷信息系統(tǒng)是否運(yùn)行。《信息安全風(fēng)險(xiǎn)評(píng)估指南》規(guī)定,風(fēng)險(xiǎn)評(píng)估包括的特定技術(shù)性內(nèi)容、評(píng)估方法和風(fēng)險(xiǎn)判斷準(zhǔn)則,適用于信息系統(tǒng)的使用單位進(jìn)行自我風(fēng)險(xiǎn)評(píng)估及機(jī)構(gòu)的評(píng)估。《信息安全風(fēng)險(xiǎn)評(píng)估框架》則規(guī)定,風(fēng)險(xiǎn)評(píng)估本身特定的概念與流程。
三、研究的難點(diǎn)及趨勢(shì)
電子政務(wù)網(wǎng)的用戶與管理層不一定具備計(jì)算機(jī)專業(yè)的技能與知識(shí),其操作行為與管理方式可能造成安全漏洞,容易構(gòu)成網(wǎng)絡(luò)安全風(fēng)險(xiǎn)問(wèn)題。目前存在的風(fēng)險(xiǎn)評(píng)估體系難以適應(yīng)電子政務(wù)安全運(yùn)行的基本要求,因此結(jié)合電子政務(wù)網(wǎng)性需求,需要設(shè)計(jì)一種由內(nèi)部提出的相應(yīng)的評(píng)估方法和評(píng)估準(zhǔn)則,制定風(fēng)險(xiǎn)評(píng)估模型。當(dāng)前存在的難點(diǎn)主要有:一是如何建立風(fēng)險(xiǎn)評(píng)估模型體系來(lái)解決風(fēng)險(xiǎn)評(píng)估中因素眾多,關(guān)系錯(cuò)綜復(fù)雜,主觀性強(qiáng)等諸多問(wèn)題,是當(dāng)前電子政務(wù)網(wǎng)絡(luò)信息安全評(píng)估研究的重點(diǎn)和難點(diǎn)。二是評(píng)估工作存在評(píng)估誤差,也是目前研究的難點(diǎn)和不足之處。誤差的不可避免性,以及其出現(xiàn)的隨機(jī)性和不確定性,使得風(fēng)險(xiǎn)評(píng)估中風(fēng)險(xiǎn)要素的確定更加復(fù)雜,評(píng)估本身就具有了不確定性。從未來(lái)研究趨勢(shì)看,一是要不斷改進(jìn)風(fēng)險(xiǎn)評(píng)估方法和風(fēng)險(xiǎn)評(píng)估模型。有研究者認(rèn)為,要充分借鑒和利用模糊數(shù)學(xué)的方法,建立OCTAVE電子政務(wù)系統(tǒng)風(fēng)險(xiǎn)評(píng)估模型。它可以有效顧及評(píng)估中的各項(xiàng)因素,較為簡(jiǎn)易地獲得評(píng)估結(jié)果,并消除其中存在的主觀偏差。二是由靜態(tài)風(fēng)險(xiǎn)評(píng)估轉(zhuǎn)向動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估。動(dòng)態(tài)的風(fēng)險(xiǎn)評(píng)估能夠?qū)﹄娮诱?wù)信息安全評(píng)估進(jìn)行較為準(zhǔn)確的判斷,同時(shí)可以及時(shí)制止風(fēng)險(xiǎn)進(jìn)一步發(fā)生。在動(dòng)態(tài)模型運(yùn)用中,研究者主要提出了基于主成分的BP人工神經(jīng)網(wǎng)絡(luò)算法,通過(guò)對(duì)人工神經(jīng)網(wǎng)絡(luò)算法的進(jìn)一步改進(jìn),實(shí)現(xiàn)定性與定量的有效結(jié)合。
作者:郭瑋 單位:西安郵電大學(xué)
參考文獻(xiàn):
[1]陳濤,馮平,朱多剛.基于威脅分析的電子政務(wù)信息安全風(fēng)險(xiǎn)評(píng)估模型研究[J].情報(bào)雜志,2011,8:94~98
[2]雷戰(zhàn)波,胡安陽(yáng).電子政務(wù)信息安全風(fēng)險(xiǎn)評(píng)估方法研究[J].中國(guó)信息界,2010,6
[3]余洋.電子政務(wù)系統(tǒng)風(fēng)險(xiǎn)評(píng)估模型設(shè)計(jì)與研究[D].成都理工大學(xué),2008
[4]周偉良,朱方洲,電子政務(wù)系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估研究[J].電子政務(wù),2007,29:67~68
[5]趙磊.電子政務(wù)網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估與安全控制[D].上海交通大學(xué),2011
篇(8)
1.1分析電子政務(wù)服務(wù)外包主要模式及其關(guān)鍵成功因素
當(dāng)前,各地政府部門主要采用BOT、BOO、BT、ASP這4種模式開(kāi)展電子政務(wù)服務(wù)外包。a.BOT模式(Build-Own-Transfer,即建設(shè)-運(yùn)營(yíng)-轉(zhuǎn)讓)。政府部門和承包商以協(xié)議為基礎(chǔ),由政府部門向承包商頒布特許權(quán),允許其籌集資金建設(shè)某電子政務(wù)系統(tǒng),在特許權(quán)規(guī)定期限內(nèi)管理和經(jīng)營(yíng)該系統(tǒng)及其相應(yīng)的產(chǎn)品與服務(wù),并在特許權(quán)期滿后,無(wú)償將系統(tǒng)移交給政府部門接管。b.BOO模式(Build-Own-Operate,即建設(shè)-擁有-運(yùn)營(yíng)。承包商投資并承擔(dān)電子政務(wù)系統(tǒng)的設(shè)計(jì)、建設(shè)、運(yùn)行、維護(hù)和培訓(xùn)等工作,硬件設(shè)備及軟件系統(tǒng)的產(chǎn)權(quán)歸屬承包商,政府部門負(fù)責(zé)宏觀協(xié)調(diào)、創(chuàng)建環(huán)境和提出需求,政府部門每年需要向承包商支付系統(tǒng)使用費(fèi)獲取硬件設(shè)備和軟件系統(tǒng)的使用權(quán)。
c.BT模式(Build-Transfer,即建設(shè)-轉(zhuǎn)讓)。政府部門通過(guò)特許協(xié)議授權(quán)承包商負(fù)責(zé)某電子政務(wù)系統(tǒng)的建設(shè),按合同規(guī)定的期限按時(shí)移交系統(tǒng),政府部門按期支付該系統(tǒng)的建設(shè)費(fèi)用。d.ASP模式(ApplicationServiceProvider,即應(yīng)用服務(wù)提供商)。在ASP外包模式中,應(yīng)用服務(wù)提供商擁有基礎(chǔ)結(jié)構(gòu)設(shè)施并負(fù)責(zé)所有系統(tǒng)和網(wǎng)絡(luò)的配置、管理、調(diào)整,甚至應(yīng)用管理,政府部門按照需求向應(yīng)用服務(wù)提供商定制所需的電子政務(wù)服務(wù),并向其支付相應(yīng)的費(fèi)用。在比較分析以上各種模式的內(nèi)涵、特點(diǎn)、優(yōu)缺點(diǎn)的基礎(chǔ)上,分析研究其實(shí)際運(yùn)用的案例,共總結(jié)了影響這4種電子政務(wù)服務(wù)外包模式成功運(yùn)作與否的75個(gè)因素,運(yùn)用專家評(píng)分法,提取各種模式的關(guān)鍵成功因素,如表1所示,這些也是各種模式選擇決策的主要考慮因素。
1.2識(shí)別潛在風(fēng)險(xiǎn)因素
在分析電子政務(wù)服務(wù)外包、IT外包風(fēng)險(xiǎn)研究相關(guān)文獻(xiàn)的基礎(chǔ)上,基于電子政務(wù)服務(wù)外包運(yùn)作與管理流程,從各個(gè)階段總結(jié)了98項(xiàng)風(fēng)險(xiǎn)因素,結(jié)合上述電子政務(wù)服務(wù)外包主要模式的關(guān)鍵成功因素,采用李克特七分制評(píng)分標(biāo)準(zhǔn)設(shè)計(jì)量表,1分表示風(fēng)險(xiǎn)影響程度最低,7分表示風(fēng)險(xiǎn)影響程度最高,1-7分表示影響程度逐次增高,邀請(qǐng)被調(diào)查者(包括參與電子政務(wù)服務(wù)外包的政府部門、承包商的管理人員以及相關(guān)領(lǐng)域的專家學(xué)者)對(duì)量表進(jìn)行評(píng)分。共發(fā)放問(wèn)卷387份,回收問(wèn)卷212份,剔除不合格答卷后,最后得到有效答卷共202份。根據(jù)搜集的數(shù)據(jù),通過(guò)因子分析的方法提煉了20項(xiàng)具有統(tǒng)計(jì)、管理意義的關(guān)鍵風(fēng)險(xiǎn)因素,如表2所示。
采用主成分因子分析法對(duì)這20項(xiàng)風(fēng)險(xiǎn)因素(也是結(jié)構(gòu)方程模型中的可測(cè)變量)進(jìn)行進(jìn)一步的劃分,提取4個(gè)公共因子作為結(jié)構(gòu)方程模型的潛在變量,并根據(jù)其包含的可測(cè)變量的含義進(jìn)行命名,潛在變量及相應(yīng)的可測(cè)變量如下:“決策與合同管理風(fēng)險(xiǎn)”:外包市場(chǎng)不成熟x1、外包決策不合理x2、承包商選擇失誤x3、機(jī)會(huì)主義風(fēng)險(xiǎn)x4、合同不完善x5;“開(kāi)發(fā)與運(yùn)營(yíng)管理風(fēng)險(xiǎn)”:外包主體之間缺乏溝通x6、外包主體關(guān)系不和諧x7、政府部門缺乏規(guī)劃與需求分析能力x8、政府項(xiàng)目管理經(jīng)驗(yàn)與能力不足x9、承包商專業(yè)能力及管理經(jīng)驗(yàn)不足x10、承包商服務(wù)質(zhì)量不理想x11;“資金與成本管理風(fēng)險(xiǎn)”:交易成本控制不力x12、隱性成本的累積風(fēng)險(xiǎn)x13、承包商成本預(yù)算控制失效x14、承包商資金支持不足x15;“知識(shí)與戰(zhàn)略管理風(fēng)險(xiǎn)”:知識(shí)共享不足x16、安全保密控制不力x17、績(jī)效評(píng)量體系失效x18、忽視學(xué)習(xí)與創(chuàng)新能力的培養(yǎng)x19、政府部門失去信息化控制力x20。
2模型建立與分析擬合
2.1建立電子政務(wù)服務(wù)外包潛在風(fēng)險(xiǎn)對(duì)外包模式影響的結(jié)構(gòu)方程模型
基于現(xiàn)有研究文獻(xiàn)及實(shí)際案例,分析電子政務(wù)服務(wù)外包的潛在風(fēng)險(xiǎn)因素對(duì)各種模式的影響關(guān)系,構(gòu)建電子政務(wù)服務(wù)外包潛在風(fēng)險(xiǎn)對(duì)外包模式影響的結(jié)構(gòu)方程模型,如圖1所示。其中,風(fēng)險(xiǎn)的4項(xiàng)潛在變量及其各自的可測(cè)變量如上文所述,而各種外包模式潛在變量對(duì)應(yīng)的可測(cè)變量分別是其關(guān)鍵成功因素(見(jiàn)表1,表中的序號(hào)與圖1的序號(hào)一致)。
2.2信度與效度分析
a.信度分析。信度指測(cè)量結(jié)果一致性或穩(wěn)定性的程度。運(yùn)用SPSS16.0對(duì)量表的信度進(jìn)行檢驗(yàn),Cronbach’sα值為0.835,而各分量表信度分析結(jié)果表明,8個(gè)潛在變量的α系數(shù)值均滿足大于0.70的要求,因此,該量表具有較好的信度。
b.效度分析。結(jié)構(gòu)效度是指量表測(cè)量結(jié)果同期望評(píng)估內(nèi)容的同構(gòu)程度,運(yùn)用標(biāo)準(zhǔn)化因素負(fù)荷來(lái)檢驗(yàn)結(jié)構(gòu)效度。結(jié)果顯示,測(cè)量指標(biāo)的標(biāo)準(zhǔn)化因素負(fù)荷大部分大于0.7,并在99%的置信度下高度顯著(C.R.值>2.58),潛在變量之間的標(biāo)準(zhǔn)化路徑系數(shù)及C.R.值(如表3所示)也大部分符合擬合要求。表明本研究構(gòu)造的變量效度較好,適合做結(jié)構(gòu)方程模型分析。
2.3結(jié)構(gòu)方程模型檢驗(yàn)與分析
a.?dāng)M合度檢驗(yàn)。前文建立的結(jié)構(gòu)方程模型必須通過(guò)擬合度檢驗(yàn),才能認(rèn)定假設(shè)模型與實(shí)際數(shù)據(jù)樣本的一致性。若模型的擬合度高,則代表模型可用性越高,參數(shù)的估計(jì)越具有含義。對(duì)于擬合度的考核有較多指標(biāo),但不同的指標(biāo)在不同的模型復(fù)雜度、樣本數(shù)量下有著不同的表現(xiàn)特性,必須根據(jù)具體情況同時(shí)參考各種擬合度指標(biāo)[3]。本研究利用AMOS軟件7.0版進(jìn)行結(jié)構(gòu)方程模型的分析,主要使用CMIN、RMSEA、CFI、GFI等較為穩(wěn)定的指標(biāo)考核模型擬合度,擬合后的評(píng)價(jià)結(jié)果及其理想值匯總于表4。從表4中分析可知假設(shè)模型較好地與樣本數(shù)據(jù)擬合,具有較高的擬合度。
b.路徑與因素分析。經(jīng)過(guò)對(duì)結(jié)構(gòu)方程模型的分析,可以得到各個(gè)潛在變量之間的路徑系數(shù)以及可測(cè)變量與潛在變量之間的因素負(fù)荷。從模型運(yùn)行結(jié)果中可知,潛在變量之間的路徑系數(shù)、可測(cè)變量與潛在變量之間的因素負(fù)荷對(duì)應(yīng)的C.R.值絕大多數(shù)大于1.95的擬合要求,表明各路徑系數(shù)以及因素負(fù)荷在p=0.05的水平上具有統(tǒng)計(jì)顯著性,能夠作為進(jìn)一步分析的依據(jù)。
3電子政務(wù)服務(wù)外包潛在風(fēng)險(xiǎn)對(duì)外包模式的影響分析
綜合分析4個(gè)風(fēng)險(xiǎn)潛在變量對(duì)各外包模式潛在變量影響的路徑系數(shù)及間接效應(yīng)、各個(gè)風(fēng)險(xiǎn)因素的因子負(fù)荷以及對(duì)各外包模式關(guān)鍵成功因素的作用路徑,為下文外包模式選擇的建議提供依據(jù)。
3.1“決策與合同管理風(fēng)險(xiǎn)”對(duì)外包模式的影響
“決策與合同管理風(fēng)險(xiǎn)”對(duì)各外包模式的直接影響程度從大到小依次是:BOT>BOO>BT>ASP,其中,對(duì)BT模式和ASP模式的直接影響不顯著,但通過(guò)另三類風(fēng)險(xiǎn)間接影響這兩種模式的程度較大,分別累計(jì)為0.364、0.337。在“決策與合同管理風(fēng)險(xiǎn)”中,合同不完善風(fēng)險(xiǎn)所占因子負(fù)荷最大、影響最為顯著。研究表明,完善電子政務(wù)服務(wù)外包合同,對(duì)外包市場(chǎng)不成熟風(fēng)險(xiǎn)、機(jī)會(huì)主義風(fēng)險(xiǎn)都具有較強(qiáng)的規(guī)避作用[4]。“決策與合同管理風(fēng)險(xiǎn)”中,合同不完善、承包商選擇失誤風(fēng)險(xiǎn)因素對(duì)BOT模式的關(guān)鍵成功因素———承包商運(yùn)營(yíng)期間的服務(wù)質(zhì)量以及移交后的系統(tǒng)價(jià)值的不良影響均比較顯著;合同不完善對(duì)BOO模式的作用主要體現(xiàn)在影響技術(shù)應(yīng)用先進(jìn)性的保持,而機(jī)會(huì)主義風(fēng)險(xiǎn)的存在對(duì)政府部門的監(jiān)督約束是一大不利因素;BT模式、ASP模式的各自關(guān)鍵成功因素———選擇商譽(yù)好的承包商、承包商擁有完善可靠的基礎(chǔ)結(jié)構(gòu)設(shè)施均會(huì)受到承包商選擇失誤這一風(fēng)險(xiǎn)因素的影響。
3.2“開(kāi)發(fā)與運(yùn)營(yíng)管理風(fēng)險(xiǎn)”對(duì)外包模式的影響
相比其他類別的風(fēng)險(xiǎn)而言,“開(kāi)發(fā)與運(yùn)營(yíng)管理風(fēng)險(xiǎn)”對(duì)各個(gè)外包模式的影響程度是最大的,對(duì)各外包模式的直接影響程度從大到小依次是:BOT>BOO>BT>ASP,且影響均較為顯著。此外,“開(kāi)發(fā)與運(yùn)營(yíng)管理風(fēng)險(xiǎn)”也受到了其他風(fēng)險(xiǎn)的影響,承載著其他風(fēng)險(xiǎn)對(duì)外包模式的間接效應(yīng)。因此,“開(kāi)發(fā)與運(yùn)營(yíng)管理風(fēng)險(xiǎn)”所屬的各個(gè)風(fēng)險(xiǎn)因素應(yīng)給予重視,特別是政府部門缺乏規(guī)劃與需求分析能力、雙方的項(xiàng)目管理經(jīng)驗(yàn)與能力不足、外包主體之間缺乏溝通這幾種風(fēng)險(xiǎn)因素在電子政務(wù)服務(wù)外包實(shí)踐中引起的問(wèn)題較為顯著,屬于關(guān)鍵風(fēng)險(xiǎn)因素,研究表明,控制好這些風(fēng)險(xiǎn)因素,做好規(guī)劃與需求分析工作、提升相應(yīng)的項(xiàng)目經(jīng)驗(yàn)與能力、加強(qiáng)溝通協(xié)作,對(duì)電子政務(wù)外包的系統(tǒng)開(kāi)發(fā)效果、外包服務(wù)質(zhì)量、雙方關(guān)系維護(hù)的作用是十分顯著的[5]。“開(kāi)發(fā)與運(yùn)營(yíng)管理風(fēng)險(xiǎn)”對(duì)各個(gè)外包模式的影響在其對(duì)應(yīng)的關(guān)鍵成功因素都有顯著的體現(xiàn),其中,對(duì)BOT模式,主要影響政府部門規(guī)劃協(xié)調(diào)能力、承包商運(yùn)營(yíng)期間的服務(wù)質(zhì)量;對(duì)BOO模式,主要影響政府部門的監(jiān)督約束能力、承包商經(jīng)營(yíng)的穩(wěn)定性及技術(shù)應(yīng)用先進(jìn)性的保持;對(duì)BT模式,主要影響雙方的系統(tǒng)開(kāi)發(fā)項(xiàng)目管理能力;對(duì)ASP模式,主要影響政府部門需求分析的準(zhǔn)確性及預(yù)見(jiàn)性、承包商對(duì)個(gè)性化服務(wù)需求的響應(yīng)。
3.3“資金與成本管理風(fēng)險(xiǎn)”對(duì)外包模式的影響
“資金與成本管理風(fēng)險(xiǎn)”對(duì)各外包模式的直接影響程度從大到小依次是:BOO>BOT>ASP>BT,其中,承包商的資金支持、項(xiàng)目的成本管理方面的風(fēng)險(xiǎn)對(duì)外包模式的影響尤為顯著,在實(shí)踐中,很多電子政務(wù)服務(wù)外包項(xiàng)目正是由于資金、成本控制問(wèn)題而不得不擱淺甚至失敗。此外,“資金與成本管理風(fēng)險(xiǎn)”也會(huì)通過(guò)“開(kāi)發(fā)與運(yùn)營(yíng)管理風(fēng)險(xiǎn)”間接影響各個(gè)外包模式,因此,在外包過(guò)程的開(kāi)發(fā)運(yùn)營(yíng)階段,應(yīng)重視項(xiàng)目預(yù)算管理,保障資金流的通暢。“資金與成本管理風(fēng)險(xiǎn)”對(duì)BOO模式的作用主要體現(xiàn)在影響政府部門付費(fèi)使用模式、承包商經(jīng)營(yíng)的穩(wěn)定性;對(duì)BOT模式的作用體現(xiàn)在影響承包商的運(yùn)營(yíng)獲利能力及其服務(wù)質(zhì)量;對(duì)于ASP模式,影響著政府部門的付費(fèi)模式與承包商的經(jīng)濟(jì)效益兩者之間的權(quán)衡;對(duì)BT模式,主要影響著政府部門的資金保障能力。
3.4“知識(shí)與戰(zhàn)略管理風(fēng)險(xiǎn)”對(duì)外包模式的影響
“知識(shí)與戰(zhàn)略管理風(fēng)險(xiǎn)”對(duì)各外包模式的直接影響程度從大到小依次是:BOO>ASP>BOT>BT,其中安全保密控制風(fēng)險(xiǎn)是外包領(lǐng)域備受關(guān)注的風(fēng)險(xiǎn)因素,也是外包模式選擇需要著重考慮的一大因素,而學(xué)習(xí)與創(chuàng)新能力的培養(yǎng)對(duì)電子政務(wù)服務(wù)外包的戰(zhàn)略效益能否實(shí)現(xiàn)尤為關(guān)鍵[6],卻也是一個(gè)經(jīng)常被忽視的風(fēng)險(xiǎn)。此外,知識(shí)共享不足、績(jī)效評(píng)量體系失效、政府部門信息化控制力不足等風(fēng)險(xiǎn)因素對(duì)開(kāi)發(fā)運(yùn)營(yíng)風(fēng)險(xiǎn)的作用也較為顯著,對(duì)外包模式的間接效應(yīng)不容小覷。因此,“知識(shí)與戰(zhàn)略管理風(fēng)險(xiǎn)”對(duì)電子政務(wù)服務(wù)外包的影響是極為深遠(yuǎn)的,在外包模式選擇決策中,應(yīng)予以重視,既要考慮到安全保密控制,也要考慮到政府部門持續(xù)學(xué)習(xí)與創(chuàng)新能力的培養(yǎng)。“知識(shí)與戰(zhàn)略管理風(fēng)險(xiǎn)”中,安全保密控制不力與績(jī)效評(píng)量體系失效分別影響著BOO模式的關(guān)鍵成功因素———承包商對(duì)系統(tǒng)安全性的保護(hù)、技術(shù)應(yīng)用先進(jìn)性的保持;在ASP模式中,安全保密控制不力風(fēng)險(xiǎn)影響著政府部門應(yīng)用與數(shù)據(jù)的安全性;與績(jī)效評(píng)量體系失效相關(guān)聯(lián)的激勵(lì)效果不良,影響著BOT模式運(yùn)營(yíng)期間的服務(wù)質(zhì)量和移交后的系統(tǒng)價(jià)值;若采用BT模式,知識(shí)共享不足與政府部門信息化控制力不足風(fēng)險(xiǎn)將主要影響著雙方移交系統(tǒng)的知識(shí)管理能力以及移交后政府部門的系統(tǒng)維護(hù)能力[7]。
4結(jié)論與建議
基于上文的分析,政府部門在選擇電子政務(wù)服務(wù)外包模式時(shí),需要結(jié)合自身的規(guī)劃與需求、優(yōu)勢(shì)與劣勢(shì)、經(jīng)驗(yàn)與能力等因素,綜合考慮各個(gè)潛在風(fēng)險(xiǎn)因素對(duì)外包模式如何影響及影響程度,從中選擇合理的外包模式并防范潛在風(fēng)險(xiǎn)。為此,提出以下4點(diǎn)建議供參考:
a.當(dāng)外包市場(chǎng)不成熟,缺乏統(tǒng)一、可操作的行業(yè)標(biāo)準(zhǔn)及規(guī)范的法律環(huán)境,而外包的電子政務(wù)服務(wù)內(nèi)容的復(fù)雜性使得不能夠通過(guò)采用明細(xì)的合同來(lái)規(guī)避承包商的機(jī)會(huì)主義,并且政府部門管理合同的經(jīng)驗(yàn)與能力不足時(shí),盡量避免采用BOT、BOO模式,主要是因?yàn)檫@兩種模式的必須以協(xié)議為基礎(chǔ)且合同期限較長(zhǎng),能否制定明確、完善而兼具柔性的合同尤為關(guān)鍵;若政府部門受評(píng)估能力缺乏、信息不對(duì)稱等主客觀不利因素的影響,選擇不合適的承包商或選擇的承包商商譽(yù)不良的風(fēng)險(xiǎn)很可能加大,此時(shí)BT模式與ASP模式不是首選,因?yàn)檫@兩種模式對(duì)承包商商譽(yù)與實(shí)力有較高的要求。
篇(9)
中圖分類號(hào):文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2010)21-5962-02
The Establish and Maintain of The E-government System Based on Security Technology
TANG Fang1, XU Ping2
(1.Jingmen Branch of Chutian Radio & Television Information Network Company of Hubei Province, Jingmen 448000, China; 2.Jingmen Branch of China Construction Bank, Jingmen 448000, China)
Abstract: With China's reform and opening up step by step and the deepening of the functions of government services, the development of e-government has become an important ways for theGovernment to increase the capacity of public services and national capacity for comprehensive management. This paper analyzes and discusses the main e-government technology and related network security based on the principles, put forward a number of technology for building on the multi-level e-government network security solutions.
Key words: security technologies; government; E; virtual private network
隨著我國(guó)改革開(kāi)放的逐步推進(jìn)與政府服務(wù)職能的加深,發(fā)展電子政務(wù)已成為政府提高社會(huì)公眾服務(wù)能力與國(guó)家綜合治理能力的重要手段。然而在電子政務(wù)建設(shè)大踏步向前邁進(jìn)的過(guò)程中,隨之而產(chǎn)生的問(wèn)題也越來(lái)越急待解決,電子政務(wù)的安全便是首要問(wèn)題。比如計(jì)算機(jī)病毒的傳播更是安全性的巨大威脅之一,病毒一旦發(fā)作,輕則破壞文件、損害系統(tǒng),重則造成網(wǎng)絡(luò)癱瘓。某某市某局正是在此背景下對(duì)本局機(jī)關(guān)的電子政務(wù)系統(tǒng)進(jìn)行重新設(shè)計(jì)和實(shí)施的。
1 項(xiàng)目背景與目標(biāo)
1.1 項(xiàng)目背景
某某市某局現(xiàn)有使個(gè)局直屬單位,各單位分布在某某市各區(qū),與局機(jī)關(guān)大樓不在同一物理地點(diǎn),共五個(gè)辦公區(qū)。該局局機(jī)關(guān)啟用電子政務(wù)系統(tǒng)后,因?yàn)楦骶謱賳挝坏墓娜酝ㄟ^(guò)傳統(tǒng)的手工方式交換,顯然跟不上信息化發(fā)展的需要,也嚴(yán)重地影響了該局日常辦公的需要。為滿足該局信息化發(fā)展的需要,由于該局的電子政務(wù)系統(tǒng)只涉及工作秘密不涉及國(guó)家秘密,可以運(yùn)行在政務(wù)外網(wǎng)。2008年度,經(jīng)請(qǐng)示上級(jí)部門同意,將政務(wù)內(nèi)網(wǎng)的電子政務(wù)系統(tǒng)遷移到政務(wù)外網(wǎng),并實(shí)現(xiàn)與局屬各單位進(jìn)行公文在線交換。為實(shí)現(xiàn)此功能,首先要實(shí)現(xiàn)與各單位網(wǎng)絡(luò)的互聯(lián)互通并確保信息傳輸?shù)陌踩C苄院屯暾浴?/p>
1.2 系統(tǒng)安全分析
該局電子政務(wù)網(wǎng)絡(luò)系統(tǒng)內(nèi)網(wǎng)與外網(wǎng)完全物理隔離,該局電子政務(wù)內(nèi)網(wǎng)自成體系,不與任何外部系統(tǒng)交互,內(nèi)網(wǎng)相對(duì)安全,信息不容易泄漏,但同時(shí)該網(wǎng)也成了一個(gè)信息孤島,與外部系統(tǒng)的數(shù)據(jù)交換很不方便。不過(guò)在現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)及應(yīng)用模式下,外網(wǎng)網(wǎng)絡(luò)安全幾乎是不設(shè)防,可能存在的主要安全風(fēng)險(xiǎn)如下:
1)網(wǎng)絡(luò)設(shè)備節(jié)點(diǎn)自身安全風(fēng)險(xiǎn):網(wǎng)絡(luò)設(shè)備是網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)暮诵?是整個(gè)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施,各種網(wǎng)絡(luò)設(shè)備本身的安全與可靠性以及這些設(shè)備上應(yīng)用策略的安全都需要進(jìn)行合理的配置才能夠保證。尤其是核心層的三層交換機(jī),單點(diǎn)故障的風(fēng)險(xiǎn)比較大,萬(wàn)一出現(xiàn)故障整個(gè)網(wǎng)絡(luò)將完全癱瘓。
2)網(wǎng)絡(luò)層有效的訪問(wèn)控制的風(fēng)險(xiǎn):網(wǎng)絡(luò)結(jié)構(gòu)越來(lái)越復(fù)雜,接入網(wǎng)絡(luò)的用戶也越來(lái)越多,必須能夠在不同的網(wǎng)絡(luò)區(qū)域之間采取一定的控制措施,有效控制不同的網(wǎng)絡(luò)區(qū)域之問(wèn)的網(wǎng)絡(luò)通信,以此來(lái)控制網(wǎng)絡(luò)元素間的互訪能力,避免網(wǎng)絡(luò)濫用,同時(shí)實(shí)現(xiàn)安全風(fēng)險(xiǎn)的有效隔離,把安全風(fēng)險(xiǎn)隔離在相對(duì)比較獨(dú)立以及比較小的網(wǎng)絡(luò)區(qū)域。
3)網(wǎng)絡(luò)攻擊行為檢測(cè)和防范的風(fēng)險(xiǎn):由于TCP/IP協(xié)議的開(kāi)放特性,帶來(lái)了非常大的安全風(fēng)險(xiǎn),常見(jiàn)的IP地址竊取、IP地址假冒、網(wǎng)絡(luò)端口掃描以及危害非常大的拒絕服務(wù)攻擊等;由于Internet的開(kāi)放性,對(duì)電子政務(wù)的安全威脅,包括網(wǎng)上黑客入侵和犯罪、網(wǎng)上病毒泛濫和蔓延、信息間諜的潛入和竊密、網(wǎng)絡(luò)恐怖集團(tuán)的攻擊和破壞、內(nèi)部人員的違規(guī)和違法操作、網(wǎng)絡(luò)系統(tǒng)的脆弱和癱瘓、信息產(chǎn)品的失控等,因此應(yīng)引起足夠警惕,采取安全措施,應(yīng)對(duì)這種挑戰(zhàn)。在改造前的網(wǎng)絡(luò)結(jié)構(gòu)中可以看到Internet接入點(diǎn)還是在內(nèi)部業(yè)務(wù)系統(tǒng)和下屬單位的接入點(diǎn)都沒(méi)有任何防護(hù)措施,網(wǎng)絡(luò)中存在極大的安全風(fēng)險(xiǎn)。
4)應(yīng)用層威脅:各種蠕蟲、間諜軟件、網(wǎng)絡(luò)釣魚等應(yīng)用層威脅和EMAIL、移動(dòng)代碼結(jié)合形成復(fù)合型威脅,使威脅更加危險(xiǎn)和難以抵御。這些威脅直接攻擊用戶核心服務(wù)器和應(yīng)用,給用戶帶來(lái)了重大損失。
5)控制非法訪問(wèn)的風(fēng)險(xiǎn):在建設(shè)網(wǎng)絡(luò)安全體系中,身份認(rèn)證始終是不可忽視的環(huán)節(jié),沒(méi)有良好的身份認(rèn)證體系,其他的任何安全措施都是沒(méi)有意義的。
2 系統(tǒng)安全解決方案
本方案主要是遵循事前防范、事中監(jiān)控、事后審計(jì)的思想進(jìn)行設(shè)計(jì),同時(shí)結(jié)合其他傳統(tǒng)的網(wǎng)絡(luò)安全措施,提出一套新型的基于VPN技術(shù)的安全電子政務(wù)網(wǎng)絡(luò)系統(tǒng)解決方案。
2.1 訪問(wèn)控制
訪問(wèn)控制是最基本的安全措施之一,隨著網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜程度的不斷增加,應(yīng)用系統(tǒng)的不斷增多,人們已經(jīng)逐漸認(rèn)識(shí)到保護(hù)網(wǎng)上敏感資源的重要性,而舊的訪問(wèn)控制技術(shù)有著諸多的管理弊端,已經(jīng)不能滿足用戶的要求,因此需要尋求一種有效的手段或方法。本系統(tǒng)采用大安全域隔離。首先把外網(wǎng)劃分為內(nèi)外安全域兩大區(qū)域,即核心數(shù)據(jù)域與辦公區(qū)域,中間用物理網(wǎng)閘隔離,使得核心數(shù)據(jù)域與辦公區(qū)域物理隔離,辦公區(qū)域中的客戶端要訪問(wèn)核心數(shù)據(jù)域中的應(yīng)用,數(shù)據(jù)內(nèi)容必須經(jīng)過(guò)嚴(yán)格過(guò)濾和擺渡交換,切實(shí)保護(hù)工作秘密的安全。
2.2 防火墻的部署
防火墻的主要思想是在內(nèi)外部網(wǎng)絡(luò)之間建立起一定的隔離,控制外部對(duì)受保護(hù)網(wǎng)絡(luò)的訪問(wèn),它通過(guò)控制穿越防火墻的數(shù)據(jù)流來(lái)屏蔽內(nèi)部網(wǎng)絡(luò)的敏感信息以及阻擋來(lái)自外部的威脅,只有允許的應(yīng)用協(xié)議才能通過(guò)防火墻,所以網(wǎng)絡(luò)環(huán)境變得更安全。在邏輯上,防火墻是一個(gè)分離器,一個(gè)限制器,也是一個(gè)分析器,有效地監(jiān)控了內(nèi)部網(wǎng)和公眾網(wǎng)之間的任何活動(dòng),保證了內(nèi)部網(wǎng)絡(luò)的安傘。因此通過(guò)在該局辦公區(qū)域訪問(wèn)互聯(lián)網(wǎng)的邊界部署一臺(tái)防火墻,既起到邏輯隔離的作用,又能有效控制辦公區(qū)域和互聯(lián)網(wǎng)之間的通訊安全。為了更有效地控制辦公區(qū)域的用戶端上網(wǎng)行為,本系統(tǒng)在防火墻前面部署了一臺(tái)LINUX服務(wù)器,給防火墻前而設(shè)置多了一道天然的屏障,而且通過(guò)緩存機(jī)制間接地提高了訪問(wèn)互聯(lián)網(wǎng)的速度。
2.3 入侵檢測(cè)系統(tǒng)的部署
雖然通過(guò)防火墻可以隔離大部分的外部攻擊,但是仍然會(huì)有小部分攻擊通過(guò)正常的訪問(wèn)漏洞滲透到內(nèi)部網(wǎng)絡(luò),據(jù)統(tǒng)計(jì)有70%以上的攻擊事件來(lái)自內(nèi)部網(wǎng)絡(luò),也就是說(shuō)內(nèi)部人員有意或無(wú)意的攻擊,而這恰恰是防火墻的盲區(qū)。入侵檢測(cè)系統(tǒng)可以彌補(bǔ)防火墻的不足,為網(wǎng)絡(luò)安全提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段,如記錄證據(jù)用于跟蹤、恢復(fù)、斷開(kāi)網(wǎng)絡(luò)連接等,及時(shí)地發(fā)現(xiàn)異常地網(wǎng)絡(luò)流量或安全隱患,盡早采取措施、排查隱患,避免安全事故的進(jìn)一步擴(kuò)大。
3 結(jié)束語(yǔ)
電子政務(wù)信息安全建設(shè)是一項(xiàng)復(fù)雜、龐大的工程,電子政務(wù)安全是一項(xiàng)動(dòng)態(tài)的、長(zhǎng)期的、整體的系統(tǒng)工程,需要周密的設(shè)計(jì)和部署。在電子政務(wù)網(wǎng)絡(luò)安全體系的構(gòu)建中除了要有上述的各種技術(shù)手段,更需要嚴(yán)謹(jǐn)?shù)墓芾硎侄巍?/p>
參考文獻(xiàn):
[1] 威特曼.信息安全原理[M].北京:清華大學(xué)出版社,2006.
篇(10)
電子政務(wù)是現(xiàn)代政府管理觀念和信息技術(shù)相融合的產(chǎn)物,面對(duì)全球范圍內(nèi)的國(guó)際競(jìng)爭(zhēng)和知識(shí)經(jīng)濟(jì)的挑戰(zhàn),許多國(guó)家政府都把電子政務(wù)作為優(yōu)先發(fā)展戰(zhàn)略。隨著電子信息技術(shù)的不斷發(fā)展,特別是國(guó)際互聯(lián)網(wǎng)的普及應(yīng)用,電子政務(wù)以其特有的方便、快捷、高效等諸多優(yōu)點(diǎn),掀起了一場(chǎng)前所未有的政務(wù)革命。它的出現(xiàn)改變了傳統(tǒng)的運(yùn)作模式,在互聯(lián)網(wǎng)上實(shí)現(xiàn)政府組織結(jié)構(gòu)和工作流程的優(yōu)化重組,向社會(huì)提供優(yōu)質(zhì)和全方位的、規(guī)范而透明的、符合國(guó)際標(biāo)準(zhǔn)的管理和服務(wù)。近年來(lái),電子政務(wù)發(fā)展十分迅速。目前互聯(lián)網(wǎng)已成為重要的信息基礎(chǔ)設(shè)施,積極利用互聯(lián)網(wǎng)進(jìn)行電子政務(wù)建設(shè),既能提高效率、擴(kuò)大服務(wù)的覆蓋面,又能節(jié)約資源、降低成本。但是另一方面,利用開(kāi)放的互聯(lián)網(wǎng)開(kāi)展電子政務(wù)建設(shè),面臨著計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、信息泄漏、身份假冒等安全威脅和風(fēng)險(xiǎn),應(yīng)該高度重視信息安全。本文從電子政務(wù)建設(shè)中存在的問(wèn)題出發(fā),分析了問(wèn)題所在,并提出相關(guān)預(yù)防策略。
1 電子政務(wù)建設(shè)中存在的問(wèn)題
(1)部分領(lǐng)導(dǎo)干部對(duì)加快電子政務(wù)建設(shè)的重要性認(rèn)識(shí)不到位,弱化了對(duì)此項(xiàng)工作的領(lǐng)導(dǎo),一定程度上影響了電子政務(wù)建設(shè)的發(fā)展步伐。
(2)低水平重復(fù)建設(shè)現(xiàn)象普遍存在,投入不足與資源整合矛盾十分突出,嚴(yán)重制約了電子政務(wù)建設(shè)的質(zhì)量和水平。部分基層的經(jīng)辦人員業(yè)務(wù)不熟習(xí),操作不規(guī)范,使用中問(wèn)題較多。
(3)信息化專業(yè)人才嚴(yán)重缺乏,技術(shù)相對(duì)落后,制約了電子政務(wù)建設(shè)。大多數(shù)單位沒(méi)有專業(yè)技術(shù)人員,建設(shè)規(guī)范的網(wǎng)絡(luò)和日常維護(hù)技術(shù)問(wèn)題的處理是靠機(jī)關(guān)內(nèi)部對(duì)電腦知識(shí)相對(duì)豐富的人員兼任,很難滿足電子政務(wù)發(fā)展的需要。
(4)政府信息公開(kāi)工作的運(yùn)行機(jī)制尚不完善,加之政府信息公開(kāi)的工作量大,多數(shù)部門存在信息搜集整理不全的現(xiàn)象。
(5)電子政務(wù)信息安全體系建設(shè)有待進(jìn)一步加強(qiáng)。構(gòu)建電子政務(wù)信息安全體系信息安全是電子政務(wù)工程中不可缺少的重要組成部分。要認(rèn)真貫徹落實(shí)國(guó)家保密要求、安全規(guī)定和工程實(shí)施規(guī)范,做到信息安全建設(shè)與網(wǎng)絡(luò)應(yīng)用系統(tǒng)建設(shè)同步規(guī)劃、同步建設(shè)、同步驗(yàn)收。要加大信息安全的投入力度,切實(shí)保證信息安全設(shè)施的運(yùn)行維護(hù)。
基于互聯(lián)網(wǎng)電子政務(wù)系統(tǒng)的政務(wù)應(yīng)用主要分為政務(wù)辦公、公共服務(wù)等。政務(wù)辦公的內(nèi)容主要包括:政府部門內(nèi)部的業(yè)務(wù)處理,如政府部門間的公文流轉(zhuǎn)、公文交換、公文處理、辦公管理和數(shù)據(jù)共享等。安全防護(hù)的重點(diǎn)主要包括對(duì)的身份認(rèn)證、政務(wù)資源的授權(quán)訪問(wèn)和數(shù)據(jù)傳輸保護(hù)等方面。公共服務(wù)的內(nèi)容主要包括:面向社會(huì)公眾提供信息公開(kāi)、在線辦事、互動(dòng)交流等服務(wù),安全防護(hù)的重點(diǎn)應(yīng)放在系統(tǒng)和信息的完整性和可用性方面,特別要防范對(duì)數(shù)據(jù)的非法修改。
2 基于互聯(lián)網(wǎng)電子政務(wù)安全需求與實(shí)施原則
基于互聯(lián)網(wǎng)電子政務(wù)網(wǎng)絡(luò)相對(duì)于電子政務(wù)專網(wǎng)模式風(fēng)險(xiǎn)更大,這些風(fēng)險(xiǎn)主要來(lái)自于身份假冒、信息竊取、內(nèi)容篡改、病毒侵襲等造成的破壞。基于互聯(lián)網(wǎng)的電子政務(wù)面臨的信息安全威脅主要有以下幾個(gè)方面。
2.1 身份假冒、口令竊取威脅
身份鑒別是網(wǎng)絡(luò)安全的基本要求,互聯(lián)網(wǎng)擁有大量用戶,系統(tǒng)很難分辨哪些是合法用戶,哪些是非法用戶,存在身份假冒等威脅。一旦政務(wù)辦公人員的身份被假冒,將影響到政府的辦公系統(tǒng),一旦政務(wù)網(wǎng)站信息員或?qū)<业纳矸荼粍e有用心者假冒,將無(wú)法保證信息的真實(shí)可信。
2.2 信息竊取或篡改威脅
基于互聯(lián)網(wǎng)電子政務(wù)系統(tǒng)存在大量不宜公開(kāi)的內(nèi)部信息,如政務(wù)辦公系統(tǒng)的待辦公文等,互聯(lián)網(wǎng)作為高度開(kāi)放的網(wǎng)絡(luò),內(nèi)部數(shù)據(jù)在傳輸過(guò)程中極易被竊取和監(jiān)聽(tīng),內(nèi)部數(shù)據(jù)要面對(duì)高水平黑客和別有用心者,信息泄漏的威脅更大。
2.3 系統(tǒng)面臨惡意攻擊的威脅
基于互聯(lián)網(wǎng)建設(shè)電子政務(wù)系統(tǒng),遭到惡意攻擊的風(fēng)險(xiǎn)更大,特別是為企業(yè)和百姓服務(wù)的系統(tǒng),允許從互聯(lián)網(wǎng)上直接訪問(wèn),雖然提高了服務(wù)范圍,方便了大眾,但是相對(duì)局域網(wǎng)而言,也面臨著更多來(lái)自互聯(lián)網(wǎng)的威脅。若不能保持服務(wù)窗口的良好穩(wěn)定運(yùn)行,勢(shì)必對(duì)系統(tǒng)的可用性造成威脅,影響政府形象。
2.4 病毒傳播和擴(kuò)散威脅
互聯(lián)網(wǎng)上存在大量的資源和服務(wù),人們?cè)讷@取資源和享受服務(wù)的同時(shí),也極易將病毒帶回來(lái)。如今,病毒種類多、更新速度快,常常呈指數(shù)級(jí)的速度擴(kuò)散,這將影響依托互聯(lián)網(wǎng)建設(shè)的政務(wù)網(wǎng)絡(luò)服務(wù)器的正常運(yùn)行。
在基于互聯(lián)網(wǎng)電子政務(wù)系統(tǒng)建設(shè)過(guò)程中,除需要考慮內(nèi)部安全以外,還要應(yīng)對(duì)來(lái)自互聯(lián)網(wǎng)攻擊的防范,其安全需求主要包括:
(1)需要實(shí)現(xiàn)安全接入與安全互聯(lián),在互聯(lián)網(wǎng)上構(gòu)建安全的電子政務(wù)網(wǎng)絡(luò);
(2)需要實(shí)現(xiàn)強(qiáng)的安全認(rèn)證、授權(quán)管理與訪問(wèn)控制機(jī)制,確保電子政務(wù)系統(tǒng)的安全訪問(wèn);
(3)需要采取分類分域防護(hù)措施,加強(qiáng)綜合防范和安全管理,進(jìn)行不同類別信息和系統(tǒng)的有效保護(hù)。
基于互聯(lián)網(wǎng)電子政務(wù)信息安全風(fēng)險(xiǎn)應(yīng)對(duì)的基本原則包括:
(1)信息不上網(wǎng)。基于互聯(lián)網(wǎng)電子政務(wù)系統(tǒng)不得傳輸、處理、存儲(chǔ)涉及國(guó)家秘密的信息。有關(guān)安全保密問(wèn)題要嚴(yán)格遵循國(guó)家保密有關(guān)規(guī)定。
(2)適度安全、綜合防范。基于互聯(lián)網(wǎng)的電子政務(wù)建設(shè)應(yīng)當(dāng)根據(jù)應(yīng)用系統(tǒng)的安全需求,合理配置信息安全資源,采取適當(dāng)?shù)陌踩胧M(jìn)行有效的安全管理,從管理、技術(shù)等各個(gè)方面進(jìn)行綜合防范。
(3)分域控制、分類防護(hù)。實(shí)施分域邊界防護(hù)和域間訪問(wèn)控制,保證信息的安全隔離和安全交換;針對(duì)不同類別的信息采用不同的安全防護(hù)措施。
綜上所述,政府網(wǎng)站區(qū)別于普通網(wǎng)站的最大特點(diǎn)在于其公布政府信息的準(zhǔn)確性、全面性、及時(shí)性與權(quán)威性。通過(guò)政府網(wǎng)站,民眾應(yīng)該能夠最有效地獲得政府信息。因此,應(yīng)該充分利用因特網(wǎng)公布政府信息。在目前階段,可以考慮設(shè)定一定的標(biāo)準(zhǔn),對(duì)政府網(wǎng)站的公開(kāi)性進(jìn)行社會(huì)評(píng)價(jià),以促進(jìn)政府上網(wǎng)工程向縱深發(fā)展。從長(zhǎng)遠(yuǎn)考慮,應(yīng)該深入研究因特網(wǎng)給政府信息公開(kāi)所帶來(lái)的新問(wèn)題,包括技術(shù)的快速更新對(duì)信息保存方式的挑戰(zhàn),信息的分類與定義,信息的公開(kāi)與信息安全,信息來(lái)源多元化問(wèn)題等等。只有對(duì)這些問(wèn)題進(jìn)行深入的研究,才可以趨利避害,充分發(fā)揮因特網(wǎng)公開(kāi)政府信息的作用。
參考文獻(xiàn)
[1]GB/T 19715.信息技術(shù)第2部分:管理和規(guī)劃信息技術(shù)安全,信息技術(shù)安全管理指南,2005.
[2]GB/T 20270.信息安全技術(shù).網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求,2006.
篇(11)
中圖分類號(hào):TP39 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1006-0278(2013)04-133-02
隨著當(dāng)今通訊技術(shù)越來(lái)越寬帶化、多媒體化、智能化、個(gè)人化。計(jì)算機(jī)與電子商務(wù)的突飛猛進(jìn),創(chuàng)造出了一個(gè)更加高效、節(jié)能、快捷的辦公環(huán)境,甚至目前還出現(xiàn)了微博政務(wù)一種新興的方式。我國(guó)對(duì)電子政務(wù)的發(fā)展要求隨著當(dāng)代經(jīng)濟(jì)建設(shè)的快速發(fā)展和知識(shí)經(jīng)濟(jì)的來(lái)到也越來(lái)越大,同時(shí)也被提出了許多新的要求,面臨著新的挑戰(zhàn)。在新形勢(shì)和新挑戰(zhàn)下,現(xiàn)代辦公自動(dòng)化系統(tǒng)中的電子政務(wù)的開(kāi)發(fā)需要進(jìn)行新的設(shè)計(jì)。然而,整個(gè)政府電子政務(wù)的安全問(wèn)題的好壞直接影響到了政府部門辦公自動(dòng)化是否能夠有序的運(yùn)行。所以,電子政務(wù)的安全問(wèn)題是我們?cè)趯?duì)現(xiàn)代辦公自動(dòng)化系統(tǒng)進(jìn)行全面建設(shè)時(shí)必須要放在首位考慮的。
一、我國(guó)電子政務(wù)運(yùn)行中存在的安全性問(wèn)題
1.我國(guó)一些政府部門在處理政務(wù)時(shí)對(duì)于網(wǎng)絡(luò)過(guò)于相信,將許多十分重要的政務(wù)上的文件和資料在網(wǎng)絡(luò)上上傳。然而,對(duì)于網(wǎng)絡(luò)安全性的保護(hù)措施卻直接關(guān)系到了這些文件的安全。同時(shí),我國(guó)在開(kāi)始發(fā)展電子政務(wù)的初期,由于技術(shù)上和資金上的一些問(wèn)題,在對(duì)于整個(gè)電子政務(wù)系統(tǒng)的規(guī)劃和建設(shè)中缺少了對(duì)于系統(tǒng)安全性的考慮,一些政府機(jī)構(gòu)在其電子政務(wù)的建設(shè)過(guò)程中沒(méi)有對(duì)所涉及到的網(wǎng)絡(luò)的安行進(jìn)行考察,這些問(wèn)題都造成了我國(guó)現(xiàn)在電子政務(wù)網(wǎng)絡(luò)安全的防范工作不協(xié)調(diào),給我國(guó)電子政務(wù)網(wǎng)絡(luò)的安全性建設(shè)帶來(lái)了巨大的挑戰(zhàn)。
2.我國(guó)是一個(gè)地大物博的國(guó)家,各個(gè)省的管轄區(qū)域十分大,這就讓我國(guó)對(duì)于整個(gè)電子政務(wù)的建設(shè)上帶來(lái)了困難,缺乏對(duì)地方的整體規(guī)劃和安排。由于我國(guó)不同地區(qū)的經(jīng)濟(jì)發(fā)展?fàn)顩r不同,東部地區(qū)的經(jīng)濟(jì)較為發(fā)達(dá),西部地區(qū)的經(jīng)濟(jì)相對(duì)落后,造成我國(guó)整個(gè)電子政務(wù)建設(shè)的不平衡,東部地區(qū)的建設(shè)較為提前,西部地區(qū)的建設(shè)較為落后,這樣的不協(xié)調(diào)就給地方政府部門的政務(wù)建設(shè)帶來(lái)了一些阻礙。同時(shí)因?yàn)楦鱾€(gè)地區(qū)的經(jīng)濟(jì)差異,使得各個(gè)地方政府部門在電子政務(wù)方面的投入不同,這樣對(duì)于各個(gè)地區(qū)的電子政務(wù)就沒(méi)有一個(gè)統(tǒng)一的安全標(biāo)準(zhǔn),對(duì)于電子政務(wù)安全性建設(shè)難以把握,出現(xiàn)許多的安全問(wèn)題。
3.我國(guó)自己研發(fā)的針對(duì)電子政務(wù)方面的軟件非常的少,都需要從外國(guó)購(gòu)買使用權(quán)。許多政務(wù)信息中都包含有國(guó)家的重要機(jī)密,這些信息的安全性都需要依靠購(gòu)買國(guó)外的安全保護(hù)技術(shù)的產(chǎn)品來(lái)進(jìn)行保障。許多的電子政務(wù)的建設(shè)是以國(guó)外購(gòu)買的安全保護(hù)技術(shù)的產(chǎn)品為基礎(chǔ)建立的,這樣的情況就威脅到了我國(guó)一些非常重要的政府部門機(jī)構(gòu)的安全,許多電子政務(wù)信息材料的安全受到很大的威脅,進(jìn)而對(duì)于國(guó)家的安全也造成了很大的危害。
4.我國(guó)電子政務(wù)經(jīng)過(guò)這么多年的不斷發(fā)展,已經(jīng)有一些基礎(chǔ)和規(guī)模,但是在對(duì)于電子政務(wù)的管理方面上還是比較薄弱的。一些政府部門只注重對(duì)電子政務(wù)規(guī)模的不斷建設(shè),卻忽視了對(duì)管理方面的加強(qiáng),對(duì)于安全防范的意識(shí)非常的薄弱。由于這些管理方面的問(wèn)題,讓一些國(guó)家不法組織找到我國(guó)政府部門在電子政務(wù)方面的漏洞,在互聯(lián)網(wǎng)上損害我國(guó)國(guó)家利益的言論。
5.目前,我國(guó)還沒(méi)有一部法律來(lái)保障政府電子政務(wù)的安全性。由于我國(guó)將政務(wù)與網(wǎng)絡(luò)相結(jié)合的時(shí)間相對(duì)于發(fā)達(dá)國(guó)家來(lái)說(shuō)比較晚,所以還沒(méi)有一個(gè)統(tǒng)一的標(biāo)準(zhǔn)來(lái)指導(dǎo)制定相關(guān)的電子政務(wù)安全法。
6.由于電子政務(wù)的辦公自動(dòng)化在我國(guó)各個(gè)地方政府部門的普及還不是很廣泛,目前還沒(méi)有發(fā)現(xiàn)電子政務(wù)在安全方面出現(xiàn)大的問(wèn)題,所以有關(guān)政府部門對(duì)于如何加強(qiáng)電子政務(wù)方面的安全性還不是很有經(jīng)驗(yàn),對(duì)于安全問(wèn)題的評(píng)估制度還是非常缺乏的。
二、我國(guó)電子政務(wù)發(fā)展中的安全問(wèn)題產(chǎn)生的原因
1.我國(guó)對(duì)于電子政務(wù)硬件和軟件方面沒(méi)有自己的核心技術(shù)。目前我國(guó)所用的軟件后臺(tái)是通過(guò)購(gòu)買國(guó)外技術(shù)的使用權(quán),重要信息的安全受到巨大的威脅。同時(shí),我國(guó)電子政務(wù)系統(tǒng)中使用的各種硬件設(shè)備大部分都是從國(guó)外進(jìn)口的,國(guó)產(chǎn)設(shè)備非常的少。這些因素都給我國(guó)電子政務(wù)帶來(lái)巨大的安全隱患。
2.我國(guó)由于整個(gè)電子政務(wù)起步相對(duì)比較晚,同時(shí)對(duì)于資金的投入和整體網(wǎng)絡(luò)規(guī)劃的問(wèn)題,造成我國(guó)整個(gè)電子政務(wù)系統(tǒng)的安全性建設(shè)缺乏規(guī)劃。
3.目前,許多的政府政務(wù)信息工作人員對(duì)于信息的安全意識(shí)和重視程度不強(qiáng)。他們通常使用手工來(lái)進(jìn)行政務(wù)信息的辦公,還不能對(duì)電子政務(wù)辦公進(jìn)行接受。
同時(shí)對(duì)于哪些涉及到電子政務(wù)方面的安全問(wèn)題,他們還不是很了解。
4.一些政府部門只注重對(duì)電子政務(wù)規(guī)模的不斷建設(shè),卻忽視了對(duì)管理方面的加強(qiáng)。這幾年來(lái),安全管理體制的問(wèn)題日益突出,安全管理制度相對(duì)發(fā)達(dá)國(guó)家非常的滯后。
三、我國(guó)電子政務(wù)安全管理的對(duì)策
1.電子政務(wù)系統(tǒng)的硬件設(shè)施是整個(gè)電子政務(wù)建設(shè)的基礎(chǔ),所以對(duì)于其安全性的要求是非常高的。對(duì)于系統(tǒng)物理安全方面,可以通過(guò)國(guó)家制定的一些設(shè)計(jì)規(guī)范和一些技術(shù)安全要求來(lái)進(jìn)行。在硬件設(shè)備的采購(gòu)方面,多采用我國(guó)自主研發(fā)的設(shè)備,我國(guó)現(xiàn)在的技術(shù)水平可以提供給我們這樣的這種需求的設(shè)備,從戰(zhàn)略的角度考察,其能夠從根本上保障電子政務(wù)的安全問(wèn)題。電子政務(wù)系統(tǒng)的軟件平臺(tái)也是非常重要的,我們最好是選擇具有我們自己知識(shí)產(chǎn)權(quán)的軟件產(chǎn)品。同時(shí)對(duì)于電子政務(wù)系統(tǒng)軟件中出現(xiàn)的問(wèn)題和漏洞進(jìn)行定期的掃描和檢查,迅速的發(fā)現(xiàn)問(wèn)題和解決問(wèn)題。通過(guò)采用一些安全軟件來(lái)保障電子政務(wù)軟件平臺(tái)在加載時(shí)的安全性。
2.在應(yīng)用電子政務(wù)的時(shí)候通常會(huì)出現(xiàn)內(nèi)網(wǎng)與專網(wǎng)、外網(wǎng)間的信息交換。我們出于對(duì)內(nèi)網(wǎng)數(shù)據(jù)保密性的考慮,會(huì)盡量讓內(nèi)網(wǎng)不要在外界環(huán)境中顯露。解決這個(gè)問(wèn)題的有效方式是設(shè)置安全島,通過(guò)安全島來(lái)實(shí)現(xiàn)內(nèi)外網(wǎng)間信息的過(guò)濾和兩個(gè)網(wǎng)絡(luò)間的物理隔離,從而在內(nèi)外網(wǎng)間實(shí)現(xiàn)安全的數(shù)據(jù)交換。安全島是獨(dú)立于電子政務(wù)內(nèi)、外網(wǎng)的一個(gè)特殊的過(guò)度網(wǎng)絡(luò),它被置于內(nèi)網(wǎng)、專網(wǎng)和外網(wǎng)相交的邊界位置,一方面將內(nèi)網(wǎng)與外網(wǎng)物理隔離斷開(kāi)防止外網(wǎng)中黑客利用漏洞等攻擊手段進(jìn)入內(nèi)網(wǎng),另一方面又完成數(shù)據(jù)的中轉(zhuǎn),在其安全策略的控制下安全地進(jìn)行內(nèi)外網(wǎng)間的數(shù)據(jù)交換。
3.對(duì)于電子政務(wù)管理上存在的安全隱患,我們可以從加強(qiáng)管理方面入手,提高管理人員的思想素質(zhì)和業(yè)務(wù)管理水平,對(duì)于一部分保密單位或部門的管理人員更應(yīng)加強(qiáng)管理。
4.電子政務(wù)建設(shè)和運(yùn)行中無(wú)法保證數(shù)據(jù)萬(wàn)無(wú)一失,一些非人為因素,如硬件故障、自然災(zāi)害,以及未知病毒的感染都有可能導(dǎo)致政府重要數(shù)據(jù)的丟失。因此,在電子政務(wù)安全體系中必須包括數(shù)據(jù)的備份,對(duì)于出現(xiàn)特別的緊急安全狀況,我們應(yīng)該提前做出電子政務(wù)安全的應(yīng)急方案,以減少因?yàn)榘踩珕?wèn)題帶來(lái)的損失。建立信息安全的風(fēng)險(xiǎn)評(píng)估體系。風(fēng)險(xiǎn)評(píng)估主要是風(fēng)險(xiǎn)分析,它是指確定資產(chǎn)的安全威脅和脆弱性、并估計(jì)可能由此造成的損失或影響的過(guò)程,其結(jié)果是制定安全政策的重要依據(jù),可以按照資產(chǎn)列表制定相應(yīng)的安全政策。風(fēng)險(xiǎn)分析與評(píng)估包括準(zhǔn)備階段培訓(xùn)階段;資產(chǎn)確定階段;風(fēng)險(xiǎn)評(píng)估階段;風(fēng)險(xiǎn)策略階段。
