电子政务系统风险评估措施研究.docVIP

电子政务系统风险评估措施研究 　　摘 要 信息安全风险评估作为判定信息系统安全风险的重要手段，在电子政务信息安全保障体系建设中发挥着重要作用。电子政务系统的特殊性使其对安全性提出了严格要求，如何鉴别系统的安全风险以防范于未然，其重要性不言而喻。安全风险评估是进行风险减缓的基础，是风险管理的关键过程，本论文通过研究电子政务系统安全风险评估的模型、分析方法，提出具有很强逻辑性和可操作性的评估流程。 　　关键词 电子政务 信息安全 风险评估 　　中图分类号：C931 文献标识码：A 　　1 课题的研究背景与意义 　　风险管理是信息系统安全运行的必要保证，是运行维护体系中最重要的环节，而风险评估则是风险管理的基础。首先，风险评估是电子政务系统的安全需求。信息安全风险评估是电子政务系统安全保障体系建立过程中的重要评价和决策依据。信息系统安全是相对的，没有绝对的安全系统。因此，为了实现电子政务系统的安全、稳定运行这一目标，就必须采取一系列的安全制度和技术保障方法，对电子政务系统风险进行事先防患、事中控制、事后监督及纠正，以化解因电子政务系统的脆弱性所造成的风险。其次，电子政务系统的脆弱性需要风险评估。电子政务系统软硬件本身存在着很大的脆弱性，一方面表现在设备的自然损耗、制造缺陷和不可预测的自然环境因素，如火灾、水灾、地震、战争等不可抗拒的自然灾难；另一方面表现在由于技术发展的局限和人类的能力限制，在设计庞大的操作系统、复杂的应用程序之初人们不能认识所有的问题，失误和考虑不周在所难免。再次，安全技术保障手段的欠缺需要风险评估。当前我国电子政务系统信息安全建设，在整体安全系统、内部网络安全监控与防范、智能与主动性安全防范体系、全面集中安全管理策略平台定制等方面，都有很多不足之处，迫切需要进行信息系统风险评估来发现弱点弥补不足。 　　2 电子政务系统风险评估要素的提取原则和方法 　　电子政务系统安全的风险评估是一个复杂的过程，它涉及系统中物理环境、管理体系、主机安全、网络安全和应急体系等方面。要在这么广泛的范围内对一个复杂的系统进行全面的风险评估，就需要对系统有一个非常全面的了解，对系统构架和运行模式有一个清醒的认识。可见，要做到这一点就需要进行广泛的调研和实践调查，深入系统内部，运用多种科学手段来获得信息。 　　2.1评估要素的提取原则 　　评估要素提取是指通过各种方式获取风险评估所需要的信息。评估要素提取是保证风险评估得以正常运行的基础和前提。评估要素提取成功与否，直接关系到整个风险评估工作和安全信息管理工作的质量。为了保证所获取信息的质量，应坚持以下原则： 　　一是准确性原则。该原则要求所收集到的信息要真实、可靠，这是信息收集工作的最基本要求；二是全面性原则。该原则要求所搜集到的信息要广泛、全面完整；三是时效性原则。信息的利用价值取决于该信息是否能及时地提供，即具备时性。 　　2.2 评估要素提取的方法 　　信息系统风险评估中涉及到的多种因素包括资产、威胁、漏洞和安全措施。信息系统的资产包括数据资产、软件、人员、硬件和服务资产等。资产的价值由固有价值、它所受伤害的近期影响和长期结果所组成。目前使用的风险评估方法大多需要对多种形式资产进行综合评估，所获取的信息范围应包含全部的上述内容，只有这样，其结果才是有效全面的。同时，评估时还要考虑：考虑业务中的关键部分，将其重点考虑起来。第二，哪些关于资产的重要决定取决于信息的准确度、完整性或可用性，以及要对那些资产信息加以重点保护。第三必须要考虑安全时间会对业务或者组织的资产产生哪些影响，如信息资产的购买价值，信息资产的损毁对政府形象的负面影响程度，信息资产的损毁程度对政府长期规划和远景发展的影响等等。 　　2.3 电子政务系统安全风险评估的流程及实施 　　2.3.1电子政务系统安全的评估流程 　　电子政务系统安全的风险评估是组织机构确定信息安全需求的过程，包括环境特性评估、资产识别与评价、威胁和弱点评估、控制措施评估、风险认定等在内的一系列活动。 　　2.3.2 电子政务系统安全风险评估的实施 　　电子政务系统安全的风险评估是一项复杂的工程，除了应遵循一定的流程外，选择合理的方法也很重要。为了使风险评估全面、准确、真实地反映系统的安全状态，在实施风险评估过程中需要采用多种方法。评估流程实施过程如信息网络安全技术测评是电子政务系统安全测评的重要手段，许多安全控制项都必须借助于技术手段来实现，但是单独依靠技术测评还不能全面系统的分析电子政务系统的安全。实践经验证明，仅有安全技术防范，而无严格的安全管理体系是难以保障系统的安全的。因此在测评中我们必须对被测评方制订的一系列安全管理制度进行测评。信息安全管理的测评可以单独进行也可以穿插到技术测评当中。随着信息技术的