浅析国家林业局电子政务安全管理.docVIP

浅析国家林业局电子政务安全管理摘要:电子政务系统涉及诸多政府信息，对其加以管理和控制是必要的。文章将COBIT的相关控制理论引入到国家林业局电子政务系统的安全管理指标体系构建中，通过进行基于指标体系的问卷调研分析国家林业局电子政务系统的安全管理状况，指出其存在的问题并提出建议，为完善国家林业局电子政务系统提供参考 关键词：电子政务 COBIT 安全管理 国家林业局 一、COBIT简介 COBIT（Control Objectives for Information and Related Technology，信息及相关技术控制目标集），是国际信息系统审计和控制协会（ISACA）为解决“如何度量信息系统质量”这一信息系统领域的难题而研发的一个标准。COBIT将企业的IT过程划分为四个域：策划与组织、获取与实施、交付与支持、监控与评价；在这四个域中它又定义了34个高层控制目标，这种结构涵盖了信息和相关支持技术的所有方面。通过发布这34个高层控制目标，业务处理者可以确保对IT环境进行适当的控制[1] COBIT理论对信息系统是普遍适用的，而电子政务系统是一个特殊的信息系统，因此，COBIT对电子政务系统的建设和管理也具有指导意义。将COBIT引入电子政务系统，应用COBIT模型的相关理论对电子政务的管理和运行控制加以指导也是必要的 目前在我国，为大家广泛接受的电子政务定义是：“电子政务是指公共管理组织在政务活动中，全面应用现代信息技术、网络技术以及办公自动化技术等进行办公、管理和为社会提供各种公共服务的一种治理方式”[2]。电子政务系统涉及到政府的诸多信息，所以对系统的安全性和保密性要求较高，而目前我国信息与网络安全的防护能力处于初级阶段，许多应用系统处于不设防状态。因此，我们应该尽快采取各种措施，加大信息技术开发力度，加强对电子政务系统的控制、维护与评估，并重点推动网络安全建设与管理，以保障电子政务的健康、安全运行 二、COBIT在国家林业局电子政务系统安全管理中的应用 笔者通过咨询专家并查阅相关方面资料，以COBIT控制目标体系为模板，结合国家林业局电子政务系统的实际情况，对COBIT模型中的控制目标进行了增删和修改。比如在COBIT中有“人力资源管理”和“教育并培训客户”两个指标，笔者考虑到”人力资源”主要指国家林业局的IT技术人员，而“客户”指的是电子政务系统的使用者，因此将上述两个指标具体化为“IT技术人员培训（S16）”和“用户培训（S33）”；其他指标的分析过程与此类似，对此不再赘述，具体指标体系如表1[3]所示 笔者采用问卷调查的方式，调查了国家林业局信息中心的工作人员，让其对表1中各指标分别进行等级评价，评价分为很好、好、中、差和很差五个等级。调查共发放问卷31份，回收有效问卷30份。对所收集的问卷进行整理，将五个评价等级从很好到很差依次赋值5、4、3、2和1，并对调查表中单个指标的30个调查数据求其算术平均数，得评价值如表2所示 评价值越大，评价指标的等级就越高。从表2的数据可以看出，国家林业局电子政务系统在组织领导重视（S15 =4.33）和遵从相关法规与政策（S43=4.67）等方面得分较高，说明其做得较好；而在系统安全解决方案（S34 =2.78）方面得分相对较低，说明其存在问题，需要强化 三、国家林业局电子政务系统安全管理分析 基于上述得出的各项分值，笔者详细分析一下国家林业局电子政务系统安全管理方面的情况 ⒈指标体系构建 对电子政务安全管理体系方面的研究一直是学术界和政府关注的热点之一，目前对安全管理体系的划分也有诸多方法。比如从电子政务的各个构成要素考虑分成环境和硬件、网络层、操作系统、数据库、应用系统、人为因素六个类别[4]；将电子政务安全保障体系划分为技术保障体系、运行管理体系、社会服务体系、基础设施平台四个方面[5]；将电子政务系统安全体系划分为物理安全、网络安全、数据安全、应用系统安全、安全制度建设、安全教育和培训七个方面[6]等 在COBIT模型“交付与支持”域中有“确保系统安全”这一高级控制目标，其下又细分了11个详细控制目标[7]，并对每个目标都进行了定义和描述。虽然这些详细控制目标覆盖面较广，但是也有未涉及到的部分，比如硬件方面。笔者认为在进行电子政务的安全管理时，物理安全也是需要考虑的，综合考虑COBIT理论和其他学者的研究成果，笔者从技术、管理和服务三个方面考虑，提出电子政务系统的安全管理指标体系（如表3所示） 该指标的要点如下： ①物理安全u11：主要包括物理环境安全和网络结构安全两个方面 ②身份认证u12：是否采用较为安全的身份认证技术，如基于口令、智能卡、生物特征等认证方法来保证系统安全