小議電子政務信息安全的評價體系

一、電子政務信息安全目標

可用性目標

可用性目標是信息安全目標的重中之重，它是首要目標，是政務系統正常運作的基礎且保障經授權用戶得到所需信息的服務。

完整性目標

完整性也是電子政務系統中信息安全當中最重要的目標，它能夠預防數據在傳輸的過程當中不被篡改以及系統功能不遭到破壞。

保密性目標

保密性目標的重要性相對于可用性和完整性較弱。它表示只有經授權的用戶才有權瀏覽帶有密級或者私有的信息。

保障性目標

電子政務信息安全系統的信任基礎即為保障性。保障性目標是指能夠提供電子政務的基本功能之外并且實現其子政務系統功能，與此同時，在用戶或軟件出現故障時，它可以提供一定的保護；在系統遭受惡意攻擊時，它也可以提供充分的保護。

可記賬性目標

可記賬性目標即能夠如實記錄一個部門的全部行為的電子政務系統。包括事后恢復、法律訴訟、隔離故障、檢測和防止入侵、懲罰違規、拒絕否認等不同情況提供相應的支持。

二、電子政務信息安全任務

由于電子政務所包含的系統是政府機構用來執行政府公職的系統，政府機構行業性質往往與國家緊密相關，由此可見，與其他網絡系統不同，電子政務網絡的信息安全需具備更高的要求。第一，信息的真實性。這要求電子政務確保信息在傳輸過程中涉及用戶的身份是真實的；第二，信息的完整性。它要求傳遞與存儲信息的過程中要避免遭受惡意的破壞，從而保證信息的安全；第三，可用性。即保證經過授權的用戶可以順利正常地使用信息系統；第四，可控性。要求根據用戶身份的權限來管理其訪問信息的范圍；第五，確認性。即建立一個責任機制，從而使用戶承擔起其對信息操作的責任感；第六，不可否認性。即要求發送以及接受信息的雙方不能否認自己正當與不當的行為；第七，機密性。是指信息在傳輸和使用的過程當中，要確保信息未經授權而導致泄露。

三、電子政務信息安全評價體系研究

在經過分析電子政務信息安全的要求和任務之后，通過信息安全的4個層次為基礎，可以建立一套相關的有效的信息安全評價體系。

信息安全

信息安全主要包含五個方面的特性，即保密性、真實性、完整性、未授權拷貝和所寄生系統的安全性。單一的信息保密措施還遠遠不夠，還要求我們通過多種保密措施來確保信息的安全。信息安全存在著來自于多方面的威脅，根據不同的性質可歸納為：a.破壞信息的完整性：非授權用戶違反規定對數據進行修改、刪除或著破壞，從而導致數據損壞。b.信息泄露：即把受保護的信息泄露給未經授權的用戶。c.非授權訪問：非授權用戶非法訪問以及使用信息。d.拒絕服務：授權用戶正當訪問信息或其他資源時受到非法阻止。e.業務流分析：它是通過對系統的長期監聽，利用統計分析方法，不光對通信頻率、通信的信息流向、以及對通信總量變化的參數進行分析，由此發現有價值的信息。f.竊聽：即利用非法的手段竊取系統中重要的信息資源。g.旁路控制：即攻擊者利用系統的安全漏洞獲得非授權的權利。h.假冒：即攻擊者假冒成為合法者，這一般都是通過非法手段欺詐通信系統或用戶來實現的。i.計算機病毒：即在計算機運行時對系統文件或信息進行侵害傳染的一種程序，達到非法的目的。

數據應用安全

要保證電子政務的數據和應用安全，則需要更可靠的硬件環境。我國的電子政務體系通常指通過互聯網技術來實現的運作架構，它主要包含所需的"軟件"結構和"硬件"結構。要逐步實現國產化就要求電子政務應用軟件產品具備良好的平臺無關性和可移植性。其評價也應當把握以下幾個指標：a.產品必須具有公安部核發的《計算機信息系統安全專用產品銷售許可證》和相應的檢測報告。b.產品必須具有國密辦對產品加密算法出示的批文。c.選擇產品的知識產權必須為我國自主所有。d.選擇具有更先進技術的安全產品。e.嚴密檢查安全產品在權威機構的檢測報告，其各項安全功能是否達到安全要求。

網絡安全

網絡安全是指向公眾提供一種方便、快捷、透明的電子政務系統。對于電子政務的信息安全來說，主要包括下面幾點：a.使不同業務、部門、行業在統一的網絡平臺中實現受控互訪和隔離的功能。b.使認證和管理合法用戶的功能得以實現。c.使全網實現統一管理。d.使網絡平臺能夠平滑過度以及更多業務的實現。e.使移動辦公業務得以實現并且提供有效地數據安全保障。

有效管理

目前，系統信息安全管理中存在的漏洞往往是受到外部入侵和內部的破壞。有效管理的意義則主要包括在工作過程中工作人員擅自離開崗位，機房重地的隨意出入以及在本地磁盤臨時存放一些敏感信息等。由于內部人員熟練地了解系統及網絡，而且又對系統管理員的工作規律方便掌握或者作為管理員本身職位特殊等因素，從而相對容易進行破解密碼、網絡的刺探、嘗試登錄系統及輕易的繞過訪問控制機制等非法操作從而對信息造成威脅，因此機構內部也許出現更大的威脅。管理有效是影響電子政府信息安全最重要的因素之一，安全系統的核心為政府工作人員的安全策略。政府機構通常可以依照制度管理、人員管理、機構管理等三個方面進行規范管理，從而確保電子政務信息安全。

四、總結

由于電子政務網絡因涉及政府機密信息，對于網絡信息的安全要求很高，不僅需要通過提高系統防范能力來抵御外來非法攻擊，同時要確保數據遠程傳輸的保密性。因此，要從制度建設和管理機制入手，建立一套安全、高效的規范制度和安全法則，是電子政務的網絡安全有法可循，杜絕因為人員的因素導致對網絡安全威脅的事件發生。

本文借鑒國外電子政務發展經驗，從影響電子政務信息安全的因素出發，從信息安全