政務(wù)系統(tǒng)信息網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)評(píng)估

0引言隨著新時(shí)代網(wǎng)絡(luò)潮流的到來，互聯(lián)網(wǎng)幾乎家喻戶曉，給人們的生活帶來便利，但是面對(duì)互聯(lián)網(wǎng)的高速發(fā)展與人們的認(rèn)同度的增加，在互聯(lián)開放的網(wǎng)絡(luò)時(shí)代資源交流便捷的同時(shí)也存在著信息泄露的隱患。尤其是政務(wù)部門的信息泄露問題更是與民生息息相關(guān)，應(yīng)當(dāng)?shù)玫较嚓P(guān)網(wǎng)絡(luò)安全防護(hù)人員與政務(wù)人員的足夠重視，要知道，政務(wù)系統(tǒng)信息網(wǎng)絡(luò)的安全與否直接對(duì)政務(wù)信息資產(chǎn)的安全產(chǎn)生著重要影響。因此，對(duì)政務(wù)系統(tǒng)信息網(wǎng)絡(luò)安全進(jìn)行風(fēng)險(xiǎn)評(píng)估，能有效的預(yù)防和解決潛在的信息安全威脅，進(jìn)一步對(duì)政務(wù)系統(tǒng)信息網(wǎng)絡(luò)安全進(jìn)行保障，促進(jìn)政務(wù)網(wǎng)絡(luò)建設(shè)的健康發(fā)展。1信息安全風(fēng)險(xiǎn)評(píng)估工作的基本內(nèi)容和原則信息安全風(fēng)險(xiǎn)評(píng)估是以風(fēng)險(xiǎn)管理角度為出發(fā)點(diǎn)，全面有效的運(yùn)用科學(xué)的方法及手段，對(duì)網(wǎng)絡(luò)所面臨的一系列威脅進(jìn)行分析，要知道風(fēng)險(xiǎn)評(píng)估工作一旦出現(xiàn)差錯(cuò)，將會(huì)影響到整個(gè)信息網(wǎng)絡(luò)的運(yùn)行，及時(shí)有效的采取相應(yīng)措施，做好網(wǎng)絡(luò)信息防范工作，將風(fēng)險(xiǎn)盡可能降低，從而保障網(wǎng)絡(luò)與信息的安全。與此同時(shí)，信息安全風(fēng)險(xiǎn)評(píng)估有兩種形式，分別為自評(píng)估、檢查評(píng)估。自評(píng)估是指電腦系統(tǒng)自帶的、運(yùn)營中的、或者單位自行發(fā)起的風(fēng)險(xiǎn)評(píng)估。檢查評(píng)估是指國家及系統(tǒng)管理部門遵循法律法規(guī)對(duì)網(wǎng)絡(luò)安全實(shí)施的風(fēng)險(xiǎn)評(píng)估。整體安全風(fēng)險(xiǎn)評(píng)估以自主評(píng)估為主，自評(píng)估為輔，相映相襯。自評(píng)估和檢查評(píng)估可以以自身技術(shù)力量為寄托，亦可以向第三方機(jī)構(gòu)尋求技術(shù)幫助。其原則是嚴(yán)密組織、規(guī)范操作、科學(xué)有效。要在運(yùn)行中貫徹信息系統(tǒng)組織領(lǐng)導(dǎo)，極力采取相應(yīng)的措施，不斷完善其評(píng)估體系，以預(yù)防為主，同時(shí)，要符合國家的法律法規(guī)，遵循國家信息安全管理工作的章程，將相關(guān)標(biāo)準(zhǔn)規(guī)范及評(píng)估流程做到實(shí)處，確保信息安全風(fēng)險(xiǎn)評(píng)估工作的科學(xué)有效性。風(fēng)險(xiǎn)評(píng)估的工作原理是對(duì)系統(tǒng)所采用的安全策略和管理制度進(jìn)行評(píng)估審核，針對(duì)不合理之處，有效采取措施，檢查可能存在的漏洞，針對(duì)評(píng)估的風(fēng)險(xiǎn)指數(shù)，采取不同的針對(duì)措施，并且根據(jù)檢查制定出系統(tǒng)化的檢查報(bào)告，方便系統(tǒng)管理人彌補(bǔ)漏洞，為提高網(wǎng)絡(luò)安全做進(jìn)一步保障依據(jù)，從而提高整體網(wǎng)絡(luò)安全水平。2信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的重要意義政務(wù)作為國家重要組成結(jié)構(gòu)，對(duì)國家的發(fā)展具有導(dǎo)向作用，政務(wù)系統(tǒng)信息存儲(chǔ)著大量有效信息，與廣大人民的切身利益息息相關(guān)，一旦發(fā)生信息安全泄露，會(huì)對(duì)人民群眾以及國家的安全性造成一定程度的威脅?；诖?，政務(wù)機(jī)構(gòu)應(yīng)該對(duì)系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估給予高度重視，完善相關(guān)評(píng)估流程，定期進(jìn)行系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估，及時(shí)排除相關(guān)安全隱患，確保政務(wù)網(wǎng)絡(luò)系統(tǒng)能夠安全高效維持正常運(yùn)作，充分發(fā)揮網(wǎng)絡(luò)技術(shù)帶來的福音。2.1建設(shè)信息安全根基政務(wù)網(wǎng)絡(luò)信息系統(tǒng)的構(gòu)建打破了傳統(tǒng)信息收集模式，利用信息技術(shù)的高效便捷，進(jìn)行政務(wù)信息的收集以及管理，從而減少相關(guān)業(yè)務(wù)人員的工作壓力，大大提高工作的時(shí)效性。網(wǎng)絡(luò)系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估作為網(wǎng)絡(luò)系統(tǒng)管理的重要基本舉措，在保護(hù)政務(wù)信息方面發(fā)揮著至關(guān)重要的作用，只有打好信息安全建設(shè)的基礎(chǔ)，我們才能更好地了解政務(wù)信息系統(tǒng)的安全現(xiàn)狀，做好政務(wù)信息的安全工作。2.2信息安全管理“利器”政務(wù)信息網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估是信息安全管理的“利器”，它能夠及時(shí)發(fā)現(xiàn)政務(wù)網(wǎng)絡(luò)系統(tǒng)可能出現(xiàn)的的信息安全漏洞，對(duì)現(xiàn)狀下的網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行安全性能評(píng)估，為信息安全管理提出危險(xiǎn)警示，利用模擬化系統(tǒng)攻擊的方式對(duì)可能出現(xiàn)的安全漏洞進(jìn)行摸索排查，將網(wǎng)絡(luò)信息系統(tǒng)危險(xiǎn)降到最低，對(duì)政務(wù)網(wǎng)絡(luò)安全系統(tǒng)的管理提供強(qiáng)有力的保障。2.3尋求適度安全和建設(shè)成本的最佳點(diǎn)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估主要是針對(duì)系統(tǒng)可能出現(xiàn)的安全隱患進(jìn)行分析，消除掉這些安全隱患，切實(shí)保障政務(wù)網(wǎng)絡(luò)信息系統(tǒng)的高效運(yùn)行。信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估花費(fèi)成本較低，且能起到良好的信息系統(tǒng)安全預(yù)防作用，是尋求適度安全和建設(shè)成本的最佳點(diǎn)。若政務(wù)機(jī)構(gòu)不加以信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估，一旦安全漏洞真正發(fā)生時(shí)，對(duì)于政務(wù)信息系統(tǒng)的破壞不容小覷，甚至?xí)斐删W(wǎng)絡(luò)信息系統(tǒng)癱瘓，此時(shí)再去進(jìn)行網(wǎng)絡(luò)信息系統(tǒng)安全修復(fù)，需要承擔(dān)高昂的成本費(fèi)用，對(duì)于政務(wù)機(jī)構(gòu)的利益損失較大，不利于貫徹落實(shí)國家可持續(xù)發(fā)展觀念的號(hào)召。2.4借鑒先進(jìn)經(jīng)驗(yàn)與重視預(yù)警防范并存在進(jìn)行網(wǎng)絡(luò)信息系統(tǒng)安全檢測時(shí)，既要借鑒先進(jìn)經(jīng)驗(yàn)，取其精華棄其糟粕，學(xué)習(xí)優(yōu)秀網(wǎng)絡(luò)信息安全管理措施，又要重視預(yù)警防范，加大網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估的開展，減少網(wǎng)絡(luò)安全隱患的存在，為政務(wù)網(wǎng)絡(luò)信息系統(tǒng)建立安全良好的網(wǎng)絡(luò)環(huán)境。3電子政務(wù)系統(tǒng)安全分析3.1非法入侵黑客組織互聯(lián)網(wǎng)的興起，不僅帶動(dòng)了網(wǎng)絡(luò)人才的發(fā)展，同時(shí)也造就了黑客的誕生，隨著網(wǎng)絡(luò)入侵技術(shù)不斷提高，一些黑客在金錢與權(quán)力的誘惑下非法入侵電子政務(wù)網(wǎng)絡(luò)信息系統(tǒng)，竊取相關(guān)數(shù)據(jù)資料，為政務(wù)以及國家?guī)韲?yán)重資源損失，甚至威脅到廣大群眾的個(gè)人安全以及切身利益。黑客非法入侵政務(wù)網(wǎng)絡(luò)安全系統(tǒng)屬于違法犯罪行為，國家應(yīng)嚴(yán)厲打擊非法黑客組織，加強(qiáng)網(wǎng)絡(luò)信息系統(tǒng)監(jiān)管體系，完善相應(yīng)法律條例，為網(wǎng)絡(luò)信息系統(tǒng)安全提供堅(jiān)實(shí)的制度保障。3.2計(jì)算機(jī)病毒威脅計(jì)算機(jī)是由大量芯片軟件組裝而成的精密的電子設(shè)備，是網(wǎng)絡(luò)信息系統(tǒng)建立的主要實(shí)施對(duì)象，現(xiàn)階段由于網(wǎng)絡(luò)技術(shù)的快速發(fā)展，計(jì)算機(jī)的功能越來越強(qiáng)大，軟件開發(fā)應(yīng)用豐富多彩，數(shù)據(jù)計(jì)算更加精準(zhǔn)，AI智能模擬操作直觀便捷，但實(shí)際上很多計(jì)算機(jī)病毒乘虛而入，攻擊網(wǎng)絡(luò)信息系統(tǒng)，擾亂資料信息的編排，丟失相關(guān)資料文獻(xiàn)等，對(duì)網(wǎng)絡(luò)信息系統(tǒng)的安全造成了一定的威脅?；诖耍嚓P(guān)工作人員應(yīng)要定期進(jìn)行計(jì)算機(jī)體檢，修補(bǔ)高危安全漏洞，徹底查殺計(jì)算機(jī)頑固病毒，保持計(jì)算機(jī)處于一個(gè)健康安全的網(wǎng)絡(luò)環(huán)境中，有效抵御計(jì)算機(jī)病毒帶來的安全隱患。3.3內(nèi)網(wǎng)系統(tǒng)本身漏洞政務(wù)網(wǎng)絡(luò)信息系統(tǒng)自身出現(xiàn)漏洞亦會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)系統(tǒng)造成癱瘓，導(dǎo)致重要數(shù)據(jù)丟失，為政務(wù)機(jī)構(gòu)帶來損失。政務(wù)信息網(wǎng)絡(luò)系統(tǒng)建立過程中一定要嚴(yán)格把控每一流程步驟，環(huán)環(huán)相扣，同時(shí)進(jìn)行模擬入侵實(shí)驗(yàn)，不斷修改強(qiáng)化應(yīng)用程序，最后在完成內(nèi)網(wǎng)系統(tǒng)建立后，一定要多次重復(fù)進(jìn)行預(yù)試驗(yàn)，減少實(shí)驗(yàn)差錯(cuò)，及時(shí)糾正系統(tǒng)錯(cuò)誤，避免出現(xiàn)系統(tǒng)自身漏洞，給計(jì)算機(jī)病毒以及非法入侵黑客組織留下可乘之機(jī)。3.4內(nèi)部人員泄密政務(wù)相關(guān)工作人員職業(yè)操守低下，為自身利益，對(duì)于工作職責(zé)與義務(wù)理解不夠深化，在日常工作生活中，對(duì)于政務(wù)網(wǎng)絡(luò)信息保密工作完成較差，口無遮攔，導(dǎo)致泄密情況的發(fā)生。相關(guān)政務(wù)機(jī)構(gòu)在進(jìn)行業(yè)務(wù)人員選拔時(shí)，一定要綜合多方面因素，選擇最適合網(wǎng)絡(luò)信息安全方面的人才，并且對(duì)這些業(yè)務(wù)人員要定期舉行信息安全教育培訓(xùn)，強(qiáng)化自身職業(yè)操守，提升個(gè)人思想道德建設(shè)，不斷豐富自身知識(shí)儲(chǔ)備，提升網(wǎng)絡(luò)信息系統(tǒng)安全意識(shí)，加強(qiáng)內(nèi)部人員的規(guī)范化管理，避免諸如此類的事情再次發(fā)生。3.5用戶安全意識(shí)淡薄用戶在運(yùn)行電子政務(wù)系統(tǒng)時(shí)，對(duì)于網(wǎng)絡(luò)系統(tǒng)安全意識(shí)較為淡薄，即使計(jì)算機(jī)桌面彈出危險(xiǎn)預(yù)警，一些用戶不以為然，認(rèn)為這就是小問題，不需要花費(fèi)時(shí)間精力去處理這些安全隱患，進(jìn)而導(dǎo)致政務(wù)網(wǎng)絡(luò)系統(tǒng)服務(wù)器出現(xiàn)故障，整個(gè)系統(tǒng)處于癱瘓狀態(tài)，無法保障正常運(yùn)作，對(duì)政務(wù)工作高效開展造成了一定程度影響。因此用戶在執(zhí)行系統(tǒng)運(yùn)作過程中，一定要加強(qiáng)網(wǎng)絡(luò)安全意識(shí)，不放過每一個(gè)系統(tǒng)安全預(yù)警，積極進(jìn)行系統(tǒng)漏洞修復(fù)，遇到無法修復(fù)情況時(shí)，要立即尋求幫助，在最短的時(shí)間內(nèi)盡可能降低系統(tǒng)損傷導(dǎo)致的資源流失。3.6系統(tǒng)安全軟件本身的威脅系統(tǒng)安全軟件本身有時(shí)候也會(huì)對(duì)電子政務(wù)系統(tǒng)進(jìn)行攻擊，造成系統(tǒng)損傷，無法正常進(jìn)行運(yùn)轉(zhuǎn)。即使是系統(tǒng)安全軟件自身也會(huì)對(duì)政務(wù)系統(tǒng)造成一定威脅，由于網(wǎng)絡(luò)與相關(guān)軟件越來越復(fù)雜，系統(tǒng)維護(hù)階段的安全漏洞也就是安全攻擊的重要目標(biāo)，這就要求相關(guān)人員明確分辨系統(tǒng)安全軟件本身帶來的威脅，不斷提升自身技術(shù)水平，探索不同情境下政務(wù)系統(tǒng)面臨的攻擊，把握特點(diǎn)，逐一擊破，為政務(wù)網(wǎng)絡(luò)系統(tǒng)的發(fā)展貢獻(xiàn)自己的一份力量。4做好電子政務(wù)系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估4.1明確職責(zé)與工作機(jī)制明確職責(zé)和工作機(jī)制，提升應(yīng)急處置能力，合力提高國家網(wǎng)絡(luò)安全保障水平電子政務(wù)面臨的主要威脅來自高級(jí)黑客或者有組織的網(wǎng)絡(luò)犯罪集團(tuán)以及敵對(duì)國家機(jī)構(gòu)和組織，各機(jī)構(gòu)現(xiàn)有的技術(shù)力量普遍難以應(yīng)對(duì)上述威脅。建議在繼續(xù)做好基本安全加固工作的基礎(chǔ)上，對(duì)現(xiàn)有國家級(jí)信息安全力量進(jìn)行梳理，統(tǒng)籌規(guī)劃和發(fā)展，明確各機(jī)構(gòu)職責(zé)和各機(jī)構(gòu)之間的協(xié)調(diào)合作機(jī)制，加強(qiáng)技術(shù)力量建設(shè)。在安全態(tài)勢感知、威脅監(jiān)測、漏洞分析等環(huán)節(jié)上下細(xì)功夫，加強(qiáng)威脅和漏洞預(yù)警及信息共享。加強(qiáng)對(duì)重要網(wǎng)絡(luò)安全域和業(yè)務(wù)系統(tǒng)的全面信息安全風(fēng)險(xiǎn)評(píng)估，識(shí)別安全隱患，并評(píng)估對(duì)重要信息系統(tǒng)的影響。完善應(yīng)急預(yù)案，建立綜合應(yīng)急指揮平臺(tái)和體系，加強(qiáng)突發(fā)事件應(yīng)急演練，增加應(yīng)急人員能力培訓(xùn)，提升綜合應(yīng)急處置能力。建設(shè)國家級(jí)網(wǎng)絡(luò)安全防護(hù)體系，形成強(qiáng)大的國家網(wǎng)絡(luò)安全保障能力，集中優(yōu)勢資源保障國家重要信息系統(tǒng)安全穩(wěn)定。4.2加強(qiáng)計(jì)算機(jī)信息網(wǎng)絡(luò)使用者的安全風(fēng)險(xiǎn)評(píng)估意識(shí)培養(yǎng)日常使用過程中，宣傳工作要做好，并加強(qiáng)對(duì)計(jì)算機(jī)使用者進(jìn)行再教育。強(qiáng)化計(jì)算機(jī)使用者的安全風(fēng)險(xiǎn)評(píng)估意識(shí)培養(yǎng)，積極參與到部門培養(yǎng)的教育進(jìn)程中，同時(shí)，正確引導(dǎo)社會(huì)上使用計(jì)算機(jī)的高技術(shù)人員，讓他們認(rèn)識(shí)到安全風(fēng)險(xiǎn)評(píng)估的重要性，減少社會(huì)中黑客的存在。與此同時(shí)，應(yīng)加強(qiáng)國家相關(guān)制度保障工作，設(shè)立專門的安全管理機(jī)構(gòu)。分工到人，每一個(gè)人都有各自的職責(zé)，這樣更能有效地保障網(wǎng)絡(luò)安全。4.3加強(qiáng)電子政務(wù)信息系統(tǒng)安全風(fēng)險(xiǎn)管理技術(shù)適應(yīng)社會(huì)發(fā)展的進(jìn)程，完善電子政務(wù)信息系統(tǒng)安全風(fēng)險(xiǎn)管理機(jī)制，首先是要知道信息系統(tǒng)不安全因素是什么，然后采取相應(yīng)的手段，將信息系統(tǒng)安全風(fēng)險(xiǎn)控制作為其中的重點(diǎn)手段之一，在實(shí)施的過程中突出其優(yōu)勢，運(yùn)用不同種管理方式進(jìn)行有效的網(wǎng)絡(luò)防護(hù)，責(zé)任到人，確保網(wǎng)絡(luò)和計(jì)算機(jī)科學(xué)安全工作的運(yùn)行。與此同時(shí)，建立健全信息系統(tǒng)評(píng)估風(fēng)險(xiǎn)管理制度，亦是計(jì)算機(jī)信息管理部門所要考慮的重點(diǎn)。實(shí)事求是，深入貫徹國