浅析电子政务中信息安全风险评估.docVIP

浅析电子政务中的信息安全风险评估 　　摘 要： 针对电子政务系统中的安全风险评估问题，介绍了电子政务系统的现状以及信息安全风险评估的相关概念；分析了电子政务系统中常用的风险评估方法OCTAVE法、SSE-CMM法和自适应法的特点；探讨了未来需要解决的问题，以期对电子政务风险评估提供参考 关键词： 电子政务； 安全风险评估； OCTAVE； 自适应法 中图分类号：TP393.08 文献标志码：A 文章编号：1006-8228（2016）11-38-03 Analysis of information security risk assessment in E-government Liu Feifei （Department of Information， Business College of Shanxi University， Taiyuan， Shanxi 030031， China） Abstract： In view of the security risk assessment in E-government system， the current situation of E-government system and the related concepts of information security risk assessment are introduced； The characteristics of risk assessment methods are analyzed， including OCTAVE method， SSE-CMM method and adaptive method being commonly used in E-government system； And the problems that need to be solved are discussed in order to provide reference for the security risk assessment of E-government. Key words： E-government； security risk assessment； OCTAVE； adaptive method 0 引言 随着计算机与网络技术的飞速发展，我国各行各业信息化程度提高，电子政务也不例外。电子政务系统能够及时、动态地对信息进行更新，有利于政府信息的公开与共享；同时，建立一个良好的业务服务平台和信息互动平台，可以确保信息和服务的实效性，提高政府服务的效率和质量。电子政务系统涉及政府敏感或秘密信息，系统的稳定性与安全性成为政府工作的必要保障。电子政务系统安全是一项系统工程，传统的信息安全技术及设备不能带来真正的安全，因此，对系统进行各阶段的信息安全风险评估和管理是十分必要的 1 电子政务系统现状 1.1 网络基本结构 电子政务是一个面向政府职能部门、企业以及民众的复杂的多层次的服务系统，其结构如图1所示[1]。内网是政府内部日常办公网络，实现内部信息的交流与处理，如文件传送、邮件收发等；专网主要用于实现政府内辖的职能部门之间的信息的互通，用以协作完成相关的项目申请、审批等主管业务；外网也指公众信息网是面向社会民众提供信息和服务的综合性网站，可以帮助公众了解最新的政策动态，提供网络服务等；信息库，为三网服务提供数据和所需的资源 1.2 系统安全风险 电子政务系统网络结构复杂，业务繁多，数据机密性高，同时具有很大的开放性，所以势必面临各型各色的安全风险。主要体现在以下几个方面 ⑴ 物理安全风险 由环境（如水灾、火灾、湿度等）或系统自身物理特性（如设备线路老化、电磁泄漏干扰等）引起的系统不可用的风险。物理安全是系统安全的前提和保障，应做好相关的隔离与保护工作 ⑵ 网络安全风险 网络结构规划或安全部署不合理会带来来自内部和外部的安全缺陷；路由器、三层交换机、网关等网络设备自身配置及安全存在漏洞，会影响系统的安全性；另外，网络中使用的互连、路由协议的不健全，也会给网络带来安全威胁 ⑶ 管理安全风险 管理是防范网络内部攻击的主要手段，是电子政务网络安全的不可或缺的一部分。目前，管理和监管机制还不健全，不规范，缺乏可操作性，都会引起不可避免的安全风险 2 信息安全风险评估概述 依据国际或国内的标准，使用相关的方法技术，标识系统中的核心资产及业务，识别存在的安全威胁及脆弱性，估算安全事件发生的可能性及带来的损失，同时，制定安全防护加固策略，这就是信息安全风险评估。其中风险分析计算是关键，计算原理如图2所示[2]