胡祥
摘 要:电子政务信息系统作为国家机关全面应用现代网络、信息技术进行政务管理的一种全新的管理工具,其安全性和可靠性至关重要。而信息安全风险评估可以作为保障电子政务信息安全的重要措施,确保国家各级行政机关的电子政务信息系统正常运行。本论文将依据最新发布的《互联网新技术新业务评估指南》所提出的实施要点和评估模型,应用于电子政务信息安全评估工作中。
关键词:电子政务;互联网新技术新业务;安全评估
电子政务是当代互联网技术与政府管理理念相结合的产物,电子政务的应用有利于带动整个国民经济和社会信息化的发展。然而,要保障电子政务为公众提供优质服务的根本前提是信息安全的有效保障,因为政务网络中运行国家涉密信息、高度敏感内容、核心办公业务数据。电子政务信息安全评估的主要内容包括:评估信息系统面临的安全威脅、存在的脆弱性;分析信息系统资产的重要程度;检测已有的安全措施和残余风险的影响等。通过互联网新技术新业务安全评估技术手段对电子政务系统进行信息安全风险评估,深度检验政务信息系统相关安全措施的有效性和对安全环境变化的适应性,保障政务信息系统运行安全可靠。
1 互联网新技术新业务安全评估的思路与方法
互联网新技术新业务安全评估主要分为两个评估流程,分别是“平台安全风险评估”和“业务应用安全风险评估”。从业务系统的 “平台”和“应用”两个安全层面展开,评估模块主要包括:网络安全、内容安全、设备安全、业务数据安全、平台安全、业务流程安全、系统运维及人员管理安全等。通过从不良信息监测发现、数据安全、身份鉴别、网络安全等重要管理环节开展安全评估,全方位的梳理安全风险点,使安全评估工作落到实处。
2 电子政务系统平台安全风险评估
电子政务系统平台安全风险评估是通过分析电子政务系统平台的特征、面临的安全威胁、系统存在的脆弱性以及威胁利用脆弱性可能对系统造成的风险,提出分析控制建议,为下一步制定平台安全管理规范以及今后系统建设和风险管理提供依据和建议。评估内容具体包括:
(1)数据安全风险评估:一是是评估政务管理部门对系统数据管理能力,进行数据操作应该审计、数据管理权限应该分等级、应该建立严格的数据管理制度、整个平台应该具备数据容灾恢复能力;二是对电子政务系统中数据本身的安全进行评估。是否从数据保密、数据完整性、双向强身份认证等方面对数据进行主动保护。
(2)网络架构风险评估:一是结合电子政务系统网络拓扑结构,分析建网时的安全策略,确定信息安全边界。二是对承载系统业务的网络设备、服务器、安全设备进行评估,是否要受到保护,不能被更改、泄露和破坏,从而防止非法用户的入侵。
(3)资源调度方式风险评估:分析电子政务系统的IP、域名、带宽、数据、存储、计算等资源的调度方式,查看业务系统的资源分配利用情况和实时监控系统记录等,是否存在不可控的风险。
(4)开放接口风险评估:评估电子政务系统开放的 API接口类型、功能及权限,是否按要求建立安全审计机制和技术保障说明。
3 电子政务业务应用安全风险评估
业务应用安全风险评估主要是为了将电子政务系统中可能存在的业务应用风险控制在最小安全范围内。可以通过人员访谈、文档审查、业务逻辑梳理、业务系统验证等方式来核验。评估内容具体包括:
(1)信息内容风险评估:一是评估信息内容主题的多样性和相关性,若多元主题则风险较高;二是评估信息内容的可审核性,对平台发布的信息内容开展技术或人工审核,信息是否建立先审后发的机制;三是评估是否将不良信息过滤监测技术应用于电子政务系统的全部功能模块。
(2)用户风险评估:一是政务管理部门需要对用户真实身份信息进行验证与鉴别;二是政务管理部门必须建立用户信息保护管理制度。三是从用户规模、用户类型、用户相关性等3个方面,综合对用户风险情况开展评估,业务系统的使用用户数量越大,风险越高。
(3)信息载体风险评估:评估电子政务平台上的信息的呈现形式,假如存在技术难以实现自动化识别的非文本形式信息内容,则存在信息安全风险的可能性越大。
(4)信息留存风险评估:评估电子政务系统中操作日志,用户行为日志,不良信息处置日志留存情况,是否满足有关法律法规要求。
(5)信息接收风险评估:确定信息是平台主动发送给用户,还是用户主动去获取。如果是平台主动发送则风险较高。
(6)信息传播风险评估:通过对电子政务系统的“信息传播方式”、“通信媒介”和“信息传递实时性”等3个方面展开评估。了解业务系统的信息传播方式与通信媒介,如查看是否存在群组及人数上限限制、是否存在转发功能等,分析系统的传播能力以识别风险扩散速度。并结合查看系统是否结合自身情况设置应急处置办法和配备应急管理小组,使管理部门有能力对突发事件进行及时处理。
4 大力推动电子政务信息安全评估机制建设
电子政务事关国家安全、经济发展、社会稳定以及公众利益,构建电子政务信息安全保评估机制是现阶段电子政务发展和建设过程中必不可少的安全措施。各电子政务信息系统主管部门要制定本单位电子政务信息安全机制,定期开展信息安全评估工作,确保电子政务信息系统安全性和可靠性。
5 总结
由于政府部门机构与职能的种类繁多,电子政务信息系统业务类型差异化大的特点,暂时还无法形成统一的评估模板。我们可以在安全评估的前期,充分分析、总结、归纳、挖掘业务特点、掌握业务模式,在基于安全评估模型的基础上制定适合本次被评估电子政务系统的安全评估技术方案,贴切真实业务安全需求,确保电子政务系统的安全性。
参考文献:
[1]熊艳,陈松.浅析互联网新技术新业务安全风险及安全评估方法[J].科技广场,2017.
[2]黎艳青,张贺勋,陈远平,吴泽江,张炼枢.互联网新技术新业务安全评估[J].电子技术与软件工程,2017.
[3]刘瑛,薛刚,徐伟群.给电子政务加把安全“锁”[J].中国电信业,2012.
[4]李煜川.电子政务系统信息安全风险评估研究[D].苏州大学,2011.