电子政务系统安全风险.docxVIP

《电子政务》 课程论文 题 目 电子政务系统安全风险 专 业 班级 姓 名 学号 2013 年 6 月 3 日 电子政务系统安全风险 （100407228 魏青波） 【摘要】：针对电子政务系统中的安全风险进行了科学的分析，并进行了电子政务系统安全风险评估的流程及实施和采用一定的方法和手段，对已标识的风险采取相应的措施进行风险控制，将电子政务系统的安全风险降到可接受的水平，并把对系统其他功能的影响尽可能降为最低。 【关键词】：电子政务，安全风险，风险评估，风险控制。 一、电子政务的含义 电子政务系统是信息系统在政务领域的重要应用。它以互联网技术的应用为基础，需要通过 Internet 等公网实现通信，具有开放性、网络化等特点。政务网上传递的数据及后台数据库较多地涉及机密信息、敏感数据等。这些信息涉及到政府各部门，关系到整个国家的利益。因此，电子政务系统面临着巨大的网络和信息安全风险，在信息安全性保障方面有着更高的要求1。 二、电子政务的安全现状 1 政务信息系统可能面临的安全风险分类如下： （l）、物理风险 除人为破坏基础设施外，常见的物理风险还有：火灾、洪水、地震等自然灾难直接破坏政务信息系统中的各种基础设施以及备份数据的存储介质；静电、强磁场可能会破坏硬件设备，毁坏存储介质；存储介质、计算机设备、网络设备、传输介质等自身的老化和损坏。 （2）、无意错误风险 在政务信息系统的信息存储、传输、处理和维护过程中，由于人为或系统原因造成的错误影响到信息的完整性、机密性和可用性。常见的错误包括：在数据输入和文档编排过程中工作人员出现了操作失误，而应用软件又缺乏必要的输人数据合法性和有效性检查机制。从而导致处理结果的错误；数据在传输过程中出现错误，例如传输数据中途被篡改或传输的目的地错误，可能导致信息完整性遭到破坏或将信息传输给未授权者；信息存储时出现错误，例如将不同密级的数据存储在同一介质上或同一目录下 （3）、有意破坏风险 有意破坏是指内部和外部人员有意地通过物理手段对政务信息系统的组件、结构和信息进行更改、移动和销毁等，直接危及信息的机密性、完整性、可用性和可控性，严重时会引起整个系统的瘫痪和不可恢复。由于进行有意破坏的人员特别是内部人员可能熟悉整个系统的情况并拥有某些操作权限和信任关系，因此这种风险带来的破坏一般而言都是巨大的。 （4）、管理风险 政务信息系统作为一个软硬件集成的有机整体，除了采用一些安全技术手段 1 毛成功. 电子政务系统信息安全风险的综合评价[J]. 信息安全, 2010.07. 来保护其安全外，重要的还是要对其进行有效的管理。如果管理不当，再好的安全措施也形同虚设。例如就操作系统而言，即使其安全特性再好，但如果相应的安全管理不善，其运行时的安全性能也会大大降低。常见的管理不当和失控包括：对口令、密钥的管理不严格或保管不妥当，而造成其直接丢失、泄露给未授权者或易被猜测等安全隐患；管理制度的相关内容缺乏、制度遗漏，而造成信息系统的无序运行，严重时导致雪崩式的安全漏洞和脆弱性。 （5）、其他风险 除了上述列举的一些安全风险外，还有其他可能危及政务信息系统中信息的机密性、完整性、可用性、可控性和系统正常运行的风险，如对信息安全的战略认识不足、民众的信息安全意识比较淡漠等2。 2.电子政务系统安全风险分析 风险因素识别主要是对风险的认识与识别，判明电子政务信息系统存在哪些风险因素。电子政务系统的风险因索包括来源于社会环境的威胁、技术环境的脆弱和物理自然环境的恶化。其中社会环境威胁当面的主体是个人、组织和国家三个层次，不健全的信息安全法制和不完游的信息安全管理制度也使系统安全存在潜在的威胁，具体攻击手段主要有中断、删改、窃取、伪造；技术环境前脆弱性来源学信息系统技术上和管理上的缺陷，典型的缺陷和安全隐患有系统缺陷或漏洞、系统后门；物理自然环境的恶化，如自然灾害和灾难牲事故，这些通常都是不可预测突然而来，也会对系统造成巨大的破坏。 三、电子政务系统安全风险评估的流程及实施 （一）电子政务系统安全的评估流程 电子政务系统安全的风险评估是组织机构确定信息安全需求的过程，包括环境特性评估、资产识别与评价、威胁和弱点评估、控制措施评估、风险认定等在内的一系列活动（风险评估的流程详见图 1）。 刘颖, 苏俊. 电子政务的安全现状及安全需求[J]. 攀枝花学院学报, 2007.10(第 24 卷第 5 期). 图 1 风险评估步骤 （二）．电子政务系统安全风险评估的实施 电子政务系统安全的风险评估是一项复杂的工程，除了应遵循一定的流程外，选择合理的方法也很重要。为了使风险评估全面、准确、真实地反映系统的安全状态，在实施风险评估过程中需要采用多种方法。评估流程实施过程如信息网络安全技术测评是电子政务系统安全测评的重要手段，许多安全