小議電子政務(wù)信息安全的評價(jià)體系

小議電子政務(wù)信息安全的評價(jià)體系

一、電子政務(wù)信息安全目標(biāo)

可用性目標(biāo)

可用性目標(biāo)是信息安全目標(biāo)的重中之重，它是首要目標(biāo)，是政務(wù)系統(tǒng)正常運(yùn)作的基礎(chǔ)且保障經(jīng)授權(quán)用戶得到所需信息的服務(wù)。

完整性目標(biāo)

完整性也是電子政務(wù)系統(tǒng)中信息安全當(dāng)中最重要的目標(biāo)，它能夠預(yù)防數(shù)據(jù)在傳輸?shù)倪^程當(dāng)中不被篡改以及系統(tǒng)功能不遭到破壞。

保密性目標(biāo)

保密性目標(biāo)的重要性相對于可用性和完整性較弱。它表示只有經(jīng)授權(quán)的用戶才有權(quán)瀏覽帶有密級或者私有的信息。

保障性目標(biāo)

電子政務(wù)信息安全系統(tǒng)的信任基礎(chǔ)即為保障性。保障性目標(biāo)是指能夠提供電子政務(wù)的基本功能之外并且實(shí)現(xiàn)其子政務(wù)系統(tǒng)功能，與此同時(shí)，在用戶或軟件出現(xiàn)故障時(shí)，它可以提供一定的保護(hù)；在系統(tǒng)遭受惡意攻擊時(shí)，它也可以提供充分的保護(hù)。

可記賬性目標(biāo)

可記賬性目標(biāo)即能夠如實(shí)記錄一個(gè)部門的全部行為的電子政務(wù)系統(tǒng)。包括事后恢復(fù)、法律訴訟、隔離故障、檢測和防止入侵、懲罰違規(guī)、拒絕否認(rèn)等不同情況提供相應(yīng)的支持。

二、電子政務(wù)信息安全任務(wù)

由于電子政務(wù)所包含的系統(tǒng)是政府機(jī)構(gòu)用來執(zhí)行政府公職的系統(tǒng)，政府機(jī)構(gòu)行業(yè)性質(zhì)往往與國家緊密相關(guān)，由此可見，與其他網(wǎng)絡(luò)系統(tǒng)不同，電子政務(wù)網(wǎng)絡(luò)的信息安全需具備更高的要求。第一，信息的真實(shí)性。這要求電子政務(wù)確保信息在傳輸過程中涉及用戶的身份是真實(shí)的；第二，信息的完整性。它要求傳遞與存儲信息的過程中要避免遭受惡意的破壞，從而保證信息的安全；第三，可用性。即保證經(jīng)過授權(quán)的用戶可以順利正常地使用信息系統(tǒng)；第四，可控性。要求根據(jù)用戶身份的權(quán)限來管理其訪問信息的范圍；第五，確認(rèn)性。即建立一個(gè)責(zé)任機(jī)制，從而使用戶承擔(dān)起其對信息操作的責(zé)任感；第六，不可否認(rèn)性。即要求發(fā)送以及接受信息的雙方不能否認(rèn)自己正當(dāng)與不當(dāng)?shù)男袨?；第七，機(jī)密性。是指信息在傳輸和使用的過程當(dāng)中，要確保信息未經(jīng)授權(quán)而導(dǎo)致泄露。

三、電子政務(wù)信息安全評價(jià)體系研究

在經(jīng)過分析電子政務(wù)信息安全的要求和任務(wù)之后，通過信息安全的4個(gè)層次為基礎(chǔ)，可以建立一套相關(guān)的有效的信息安全評價(jià)體系。

信息安全

信息安全主要包含五個(gè)方面的特性，即保密性、真實(shí)性、完整性、未授權(quán)拷貝和所寄生系統(tǒng)的安全性。單一的信息保密措施還遠(yuǎn)遠(yuǎn)不夠，還要求我們通過多種保密措施來確保信息的安全。信息安全存在著來自于多方面的威脅，根據(jù)不同的性質(zhì)可歸納為：a.破壞信息的完整性：非授權(quán)用戶違反規(guī)定對數(shù)據(jù)進(jìn)行修改、刪除或著破壞，從而導(dǎo)致數(shù)據(jù)損壞。b.信息泄露：即把受保護(hù)的信息泄露給未經(jīng)授權(quán)的用戶。c.非授權(quán)訪問：非授權(quán)用戶非法訪問以及使用信息。d.拒絕服務(wù)：授權(quán)用戶正當(dāng)訪問信息或其他資源時(shí)受到非法阻止。e.業(yè)務(wù)流分析：它是通過對系統(tǒng)的長期監(jiān)聽，利用統(tǒng)計(jì)分析方法，不光對通信頻率、通信的信息流向、以及對通信總量變化的參數(shù)進(jìn)行分析，由此發(fā)現(xiàn)有價(jià)值的信息。f.竊聽：即利用非法的手段竊取系統(tǒng)中重要的信息資源。g.旁路控制：即攻擊者利用系統(tǒng)的安全漏洞獲得非授權(quán)的權(quán)利。h.假冒：即攻擊者假冒成為合法者，這一般都是通過非法手段欺詐通信系統(tǒng)或用戶來實(shí)現(xiàn)的。i.計(jì)算機(jī)病毒：即在計(jì)算機(jī)運(yùn)行時(shí)對系統(tǒng)文件或信息進(jìn)行侵害傳染的一種程序，達(dá)到非法的目的。

數(shù)據(jù)應(yīng)用安全

要保證電子政務(wù)的數(shù)據(jù)和應(yīng)用安全，則需要更可靠的硬件環(huán)境。我國的電子政務(wù)體系通常指通過互聯(lián)網(wǎng)技術(shù)來實(shí)現(xiàn)的運(yùn)作架構(gòu)，它主要包含所需的"軟件"結(jié)構(gòu)和"硬件"結(jié)構(gòu)。要逐步實(shí)現(xiàn)國產(chǎn)化就要求電子政務(wù)應(yīng)用軟件產(chǎn)品具備良好的平臺無關(guān)性和可移植性。其評價(jià)也應(yīng)當(dāng)把握以下幾個(gè)指標(biāo)：a.產(chǎn)品必須具有公安部核發(fā)的《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證》和相應(yīng)的檢測報(bào)告。b.產(chǎn)品必須具有國密辦對產(chǎn)品加密算法出示的批文。c.選擇產(chǎn)品的知識產(chǎn)權(quán)必須為我國自主所有。d.選擇具有更先進(jìn)技術(shù)的安全產(chǎn)品。e.嚴(yán)密檢查安全產(chǎn)品在權(quán)威機(jī)構(gòu)的檢測報(bào)告，其各項(xiàng)安全功能是否達(dá)到安全要求。

網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全是指向公眾提供一種方便、快捷、透明的電子政務(wù)系統(tǒng)。對于電子政務(wù)的信息安全來說，主要包括下面幾點(diǎn)：a.使不同業(yè)務(wù)、部門、行業(yè)在統(tǒng)一的網(wǎng)絡(luò)平臺中實(shí)現(xiàn)受控互訪和隔離的功能。b.使認(rèn)證和管理合法用戶的功能得以實(shí)現(xiàn)。c.使全網(wǎng)實(shí)現(xiàn)統(tǒng)一管理。d.使網(wǎng)絡(luò)平臺能夠平滑過度以及更多業(yè)務(wù)的實(shí)現(xiàn)。e.使移動(dòng)辦公業(yè)務(wù)得以實(shí)現(xiàn)并且提供有效地?cái)?shù)據(jù)安全保障。

有效管理

目前，系統(tǒng)信息安全管理中存在的漏洞往往是受到外部入侵和內(nèi)部的破壞。有效管理的意義則主要包括在工作過程中工作人員擅自離開崗位，機(jī)房重地的隨意出入以及在本地磁盤臨時(shí)存放一些敏感信息等。由于內(nèi)部人員熟練地了解系統(tǒng)及網(wǎng)絡(luò)，而且又對系統(tǒng)管理員的工作規(guī)律方便掌握或者作為管理員本身職位特殊等因素，從而相對容易進(jìn)行破解密碼、網(wǎng)絡(luò)的刺探、嘗試登錄系統(tǒng)及輕易的繞過訪問控制機(jī)制等非法操作從而對信息造成威脅，因此機(jī)構(gòu)內(nèi)部也許出現(xiàn)更大的威脅。管理有效是影響電子政府信息安全最重要的因素之一，安全系統(tǒng)的核心為政府工作人員的安全策略。政府機(jī)構(gòu)通?？梢砸勒罩贫裙芾?、人員管理、機(jī)構(gòu)管理等三個(gè)方面進(jìn)行規(guī)范管理，從而確保電子政務(wù)信息安全。

四、總結(jié)

由于電子政務(wù)網(wǎng)絡(luò)因涉及政府機(jī)密信息，對于網(wǎng)絡(luò)信息的安全要求很高，不僅需要通過提高系統(tǒng)防范能力來抵御外來非法攻擊，同時(shí)要確保數(shù)據(jù)遠(yuǎn)程傳輸?shù)谋Ｃ苄?。因此，要從制度建設(shè)和管理機(jī)制入手，建立一套安全、高效的規(guī)范制度和安全法則，是電子政務(wù)的網(wǎng)絡(luò)安全有法可循，杜絕因?yàn)槿藛T的因素導(dǎo)致對網(wǎng)絡(luò)安全威脅的事件發(fā)生。

本文借鑒國外電子政務(wù)發(fā)展經(jīng)驗(yàn)，從影響電子政務(wù)信息安全的因素出發(fā)，從信息安全