购物车(0)
电子政务的安全风险模板(10篇)
时间:2023-06-14 16:31:03
导言:作为写作爱好者,不可错过为您精心挑选的10篇电子政务的安全风险,它们将为您的写作提供全新的视角,我们衷心期待您的阅读,并希望这些内容能为您提供灵感和参考。
篇1
以Internet为代表的计算机网络本身就存在安全隐患是毋庸置疑的,加之电子政务系统对Internet的依赖性及其自身的特殊性决定了其安全问题的多层次性、重要性和迫切性。
二、电子政务信息安全风险的评估
(一)风险评估的几种基本方法
第一,定量评估方法。定量的评估方法是指运用数量指标来对风险进行评估。定量方法的优点是,传递的信息量大。其缺点是,量化使本来比较复杂的事物简单化、模糊化了,有的风险因素被量化以后还可能被误解和曲解。第二,定性评估方法。定性的评估方法主要依据研究者的知识、经验、历史教训、政策走向及特殊变例等非量化资料对系统风险状况做出判断的过程。定性评估方法的优点是可以挖掘出一些蕴藏很深的思想,使评估的结论更全面、更深刻;但它的主观性很强,对评估者本身的要求很高。第三,定性与定量相结合的综合评估方法。风险评估是一个复杂的过程,需要考虑的因素很多,有些评估要素是可以用量化的形式来表达,而对有些要素的量化又是很困难甚至是不可能的,所以应采用定性与定量相结合的评估方法。定量分析是定性分析的基础和前提,定性分析则是灵魂,是形成概念、观点和得出结论所必须依靠的。
三种风险评估的分析方法如下图所示:
(二)电子政务信息安全风险评估方法
在电子政务风险评估中,OCTAVE方法得到较多应用。然而,OCTAVE是一个相对不太灵活的评估方法。在此方法的实施过程中,只提供一种原则,选择一个目标,建立一个工作小组。一旦选取了原则,其他的工作组也必须使用已经存在的原则去处理他们所面对的问题。然而每一个小组的运行模式也许是不同的,一些会注重数量,而另一些会注重质量。杜人杰以改进的OCTAVE方法为起点,结合AHP与FTA提出了电子政务信息安全的三元集成方法,对单纯的OCTAVE方法进行了改进。汤志伟提出采用“可操作的关键威胁、资产和弱点评估”模型作为理论依据,利用层次分析法确定权数,以主观概率来描述指标的隶属度,建立了电子政务信息系统风险的模糊综合评估方法。
此外,应用集成的风险研究方法也被应用到电子政务中。此方法将网络系统中的安全防护分为两个方面:一是网络系统中存储和传输的信息数据;二是网络系统中的各类设备。这样,既保证了政务业务的正常运行,同时又防止信息数据被非授权访问者的窃取、篡改和破坏。应用集成的研究方法只是从微观上进行了评估,将绝大部分注意力主要集中在来自硬件等技术层面的风险,没有把重点放在管理上。
三、电子政务信息安全风险的管理策略
(一)树立政务安全的基本观念,避免进入“绝对安全”的误区
安全的界定随着时间、地点的不同而变化,信息安全是一种没有底线的风险游戏。对电子政务而言,系统的安全策略总不可能保证绝对的安全,因为对任何技术或安全策略来讲,给人足够的时间都是可以攻破的。因而,我们在进行电子政务安全建设和管理中首先要树立相对的安全观,在现有条件下可以保证该保护的系统和信息资源的安全就是最好的安全。盲目追求“绝对的安全”,到头来既会造成投资的浪费,也会使该保护的没有保护好,无法发挥安全系统的最好效用。
(二)加强政府部门的管理职能,保障信息安全管理的有效性
政府相关部门应当联合制订信息化建设的网络与信息安全专项资金政策,保证信息安全投资应占总投资的 15%-25%之间;同时由政府制定强制性的网络与信息安全装备监督检查政策并进行监督检查。要全方面地对信息安全服务商的资质能力制订相应标准与行政监管措施,推行安全服务资质和进入市场的信息安全产品和集成的信息化项目的强制性安全认证。
(三)全面提高用户自身管理水平,减少信息风险的入侵
各部门、各行业、各单位等用户是信息化建设的主体,也是网络与信息安全保障体系建设的主体,能否全面提高用户信息安全管理的意识和水平,决定着网络与信息安全保障体系能否真正建成。要通过政府引导,有关执法部门加强管理和宣传教育,促进各类用户建立信息安全管理机构,认真执行国家有关政策法规,推行标准化,采用技术措施,制定规章制度,配备和培养有关人员,选择合格服务商等,全面提高其安全管理水平。鉴于此,建立高水平的研究教育环境,加强信息安全基础理论研究,培养大批高素质的信息安全人才显得尤其重要。
(四)重视安全风险分析评估,做到“早发现早治疗”
安全利益与风险是整个网络与信息安全保障体系的核心。只有了解、分析、评估和确定各部门、各行业、各单位的安全利益与风险,包括确定其安全利益与风险的大小,才能有效合理地配置有关技术、管理、人员等资源去实施保护,才能合理确定所利用资源的多少和保护强度的高低等。因此,网络与信息安全保障体系中最基础的工作是建立信息安全利益与风险分析评估体制。
篇2
信息技术的普及与应用推动着当前电子政务蓬勃发展,虽然电子政务有诸多便利,但也承受着巨大的安全威胁,解决威胁其发展的安全风险,对于电子政务更好的发挥服务优势有积极意义。下面我们在分析电子政务安全风险的基础上,探讨基于分域防护思想安全体系结构的设计与建立。
一.电子政务安全风险分析
电子政务是传统政务模式的延伸与转化,事关国家政务信息安全,政务系统运行中容易受到来自外界的各类风险因素的安全威胁,造成有意或无意的破坏,因此必须加强安全体系建设,保障信息安全与应用安全。电子政务的安全风险主要包括通信风险、物理风险、应用风险、管理风险、区域边界风险及其他风险等。通信风险来自于各类重要数据的泄露与丢失,来自通信传输线路上的监听与阻拦,数据本身完整性、安全性受到攻击威胁。物理风险是电子政务系统遭受来自自然灾害如风雨雷电地震等破坏,硬件设备受损造成数据都是活着损坏,静电、强磁场与电磁镭射等损坏存储介质,数据被偷窃或监听。应用风险是不断动态变化的,其所遭受的风险如程序后门、病毒威胁与恶意代码攻击等都是动态变化着的。电子政务系统作为一个复杂的集成系统,除去需要安全技术手段予以保驾护航之外,有效得当的管理才能事半功倍,管理不当包括口令、密钥管理不当,管理制度不完善造成信息无序运行,安全岗位设置及管理不到位,管理环节缺失或遗漏,政务审计系统与制度不到位等,以上这些管理不当都会造成安全风险[1]。区域边界风险是电子政务系统中不同安全等级区域之间的最易发生危险的区域边界处,区域边界不明确会导致高等级数据信息泄露,流向低等级造成泄露,或者边界防护漏洞导致用户非法访问或窃取高等级区域信息,损坏数据完整性、真实性与可用性。其他安全风险诸如安全意识淡漠、系统运行风险、信息安全战略认识不足等,都会导致电子政务系统运行威胁。
二、基于分域防护思想的电子政务系统安全体系结构设计
图1电子政务安全体系结构
电子政务系统作为服务于政府公务的重要支持系统,安全防护体系建设必须兼顾到系统本身的应用性、开放性等需求,遵循适度安全原则,解除其面临安全威胁,将政务系统划分为不同安全域,并针对各个安全域特点实施针对性安全举措。分域防护的应用有利于明确安全责任,消除政务互联网开放顾虑与障碍,便于科学组织与安全建设。基于分域防护思想,电子政务系统可根据系统本身特点、安全需求、环境重要性进行划分,系统方面可分为政务内网、外网与互联网,安全需求可分为通信传输安全、边界安全与环境安全,环境重要性可划分为核心域、重要域与一般域[2]。不同安全区域内,根据防护要求利用身份认证、访问控制、病毒防护、安全审计等诸多措施保障信息安全,配合软硬件基础设施与管理平台共同打造高效运行的安全体系。电子政务安全体系结构见图1。
分域防护思想指导下根据政务系统职能特点可划分为政务内网、外网与互联网络三类。政务内网是政府用于办公的内部局域网,主要处理一些保密等级较高的数据业务和网上办公事项,与外网链接,主要由信息处理、存储、传输设备构成,是政务核心处理区域和主要运行平台,与外网间实施物理隔离。外网主要服务政府各类政务部门,如法院、检察院、政府、政协、党委等,是业务专网,运行主要面对社会公众,处理一些无需内网处理的低保密等级公物,与互联网之间实施逻辑隔离。互联网作为公共性质的开放网站,向公众提供各类服务,比如政务信息、收集群众意见反馈及接受公众监督等。
分域防护安全结构中,根据环境重要性分为核心域、重要域与一般域。核心域是安全等级最高的政务系统核心区域,需要提供最严密的安全防护措施以保护机密等级最高的数据,做好其存储与安全管理。重要域是次安全等级区域,是国家政府部门各类政务信息交杂处理区域,需实施严密防护。一般域是安全等级较低的防护区域,公开性显著,提供各类公开政务信息与数据服务,防护关键在于保障数据的公开性、真实性、完整性与可用性。
分域防护安全结构中,安全方面主要以边界安全、通信传输安全和环境安全为主。通信传输安全关系到政府内网、外网与互联网之间的信息传输与沟通,安全防护既要保障数据的传输通常,又要避免来自外界的恶意攻击,保证传输数据的完整性、真实性与可用性[3]。网络环境安全则是系统自身计算环境安全域数据安全,即处理各个层次数据时有不被泄露、攻击和篡改的风险。边界防护安全则是不同等级安全域之间数据信息交换时不会出现由高向低或者由低向高的安全阀县漏洞,不会出现数据的泄露、流失与非法访问。
信息安全管理平台是安全体系结构中技术得以发挥作用的基础,关系到整个信息平台能否顺利运转,是防护关键,管理平台上要配备合适人员,加快标准化制度建设,提供规范制约、法律支持等,配合各类信息安全基础设施在政务系统保护中发挥作用。
综上所述,电子政务系统的发展和应用中承受着来自内外的众多安全威胁,利用分域防护思想可有效划分不同安全域,针对各个安全域特点实施针对性安全举措,解除其面临的安全威胁,有利于明确安全责任,消除政务互联网开放顾虑与障碍,便于科学组织与安全建设。
参考文献:
篇3
中图分类号:C93文献标识码: A
一、 电子政务概述
电子政务,亦称电子政府、政府信息化管理,是政府机构以计算机为媒介,应用现代信息和通信技术,将政府的管理和服务工作通过网络技术进行集合,以实现政府部门工作的进行以及组织结构的优化重组,从而及时向社会及公众提供全方位、行之有效的管理和服务。
电子政务是政府管理方式的革命,它的运行有助于建立一个开放透明的政府,一个勤政廉洁的政府。电子政务职能实现的前提是信息安全的有效保障,大量政府公文在政务信息网络上的流转,一旦存在信息安全问题,则直接导致机密数据和信息的泄漏,危及到政府的核心政务。如果电子政务信息安全得不到保障,电子政务的效率便无从保证,这将给国家利益带来严重威胁。所以说,信息安全是制约电子政务建设与发展的首要问题和核心问题。
二、 电子政务面临的风险
(一) 认知层面的风险
电子政务在国内建设与使用时间不长,缺乏深入研究。一些人只是简单地认为电子政务系统就是信息化,只要实现了网络数字化就可以推行电子政务,从而出现盲目建设、脱离现实条件等问题;还有一部分人认为电子政务就是运用计算机代替传统手工模式,这就固化了现有政府结构,不利于政府的改造与职能的转变。
(二) 规划层面的风险
规划层面的风险主要有:规划制定人员、规划的范围和内容、规划计划的实施步骤、规划中的政策因素等等。
信息技术的进一步应用,使得政府的组织形态正在由传统的金字塔垂直模式向错综复杂的网状结构转变,这就要求政务机构的运行方式作出相应转变,进行电子政务的整体规划。电子政务是整个系统建设的基础,是项目成功的基本保障。只有了解了本地区的发展现状,了解地方政府的特点,了解本地区的政务工作流程,才能编制出适合本地区电子政务的发展规划。但目前,地方政府在电子政务方面的规划明显不足,缺乏可操作性,这就导致在使用过程中面临着很大风险。
(三) 物理安全层面的风险
物理安全层面的风险主要指的是网络环境和物理特性引起的网络设备和线路的不可用,从而造成网络系统的不可用。例如,线路老化、蓄意破坏、设备意外故障、自然灾害等, 这些都属于物理安全层面的潜在风险因素。
(四) 应用层面的风险
应用层面的风险主要表现为非法访问,即窃取用户口令、用户信息被剽窃或修改等,由于政府网络对外提供WWW服务,Email服务、DNS服务等,因此也存在着外网非法用户对内部服务器的攻击。
(五) 系统层面的风险
当前电子政务网通常采用的操作系统本身在安全方面的考虑较少,服务器与数据库的安全级别较低,这在很大程度上存在着安全隐患,加之病毒的潜伏,这些都增加了系统在安全方面的脆弱性。
(六) 技术层面的风险
技术层面的风险主要表现为技术线路、设备选型、工程质量、系统性能等风险。技术层面的风险不仅关系到项目的实施情况,也关系到项目后期的维护和应用。现阶段受技术发展的制约,我们在技术方面还存在着很大欠缺,因此存在着一定的技术风险。
(七) 资金层面的风险
受利益的驱使,有些部门在制定规划时,将电子政务的规模越做越大,虚设资金越来越多,这就使得电子政务的建设变得越来越困难。除此之外,在资金使用方面,由于缺乏对部门资金的有效监督,使得资金浪费现象严重。如果不能合理计划和控制资金的流向,这将直接影响电子政务的建设,甚至促使一种新的腐败的产生。另外,在后期维护上,电子政务系统也需要运营资金的支持,没有了运营资金的有效支持,就没有了电子政务的内容来源。
(八) 管理层面的风险
在电子政务运行过程中需要管理的内容主要有规划管理、技术管理、过程管理、运维管理、安全管理等。管理的风险不仅体现在单个项目的管理,也体现在根据规划对相关项目群的管理风险。管理风险是项目实施过程中最主要的风险,是项目成败与否的关键。随着信息系统建设和应用规模的不断扩大,管理的难度和风险还将不断加大,但与此同时,政府部门缺乏信息化项目管理的专业人员,缺乏项目管理的风险意识,这与快速发展的电子政务管理要求不相匹配。
三、 电子政务管理防范措施
(一)强化信息管理人员的安全意识
电子政务信息安全是电子政务正常而高效运转的基础,是保障国家信息安全的重要前提,电子政务信息管理人员要正确认识并高度重视,及时发现影响信息安全的现象。政府部门要对信息管理人员进行必要的培训,普及信息安全知识,增强信息管理人员的安全意识;积极开展安全策略研究,明确安全责任,增强信息管理人员的责任心;积极组织各种讲座和培训班,培养专业信息安全人才,确保防范手段和技术措施的先进性和主动性。
(二)实施保障措施,建立系统安全保障体系
电子政务系统安全风险的威胁无处不在,它主要来自于物理环境、技术环境、社会环境等。建立全方位的电子政务信息系统安全保障体系是规避电子政务安全威胁因素的必要方式。在充分分析系统安全风险的基础上,通过制定系统安全策略和采用先进的安全技术,才能对系统实施安全防护和监控,使其真正成为智能型系统安全体系。具体做法有:
1.实施监测系统的运行情况,及时发现和制止可能对系统出现威胁的各种攻击;
2.记录和分析安全审计数据,检查系统中出现的违规行为,判断是否违反法律法规,为改进系统提供充足的依据;
3.对数据恢复应进行应急处理和响应,及时恢复信息,降低被攻击的破坏程度,包括备份、自动恢复、快速恢复等。
(三)制定合理资金计划,确保有序利用
充足的资金是保证电子政务顺利开展的必要条件。前期指定电子政务建设的方案中,要根据本单位、本部门的实际情况制定合理的资金预算方案,确保不虚报资金预算,杜绝腐败滋生;在后期维护过程中,资金也要及时到位,以确保电子政务信息系统的顺利进行。
(四)健全电子政务法律法规建设
法律是保障电子政务信息安全的最有力手段。政府立法部门应加快立法进程,借鉴国外网络信息安全立法方面的先进经验,制定完备的信息网络安全性法规,完善我国的网络信息安全法律体系,使得电子政务信息安全管理走上法制化轨道。
电子政务是实现“电子政府”的有效途径,在政府推动信息化的同时,也要注意其过程中产生的风险,正视风险本身,加快制定保障电子政务健康发展的政策法规,才能降低风险,从而有力地推动和改进政府的管理方式,才能有助于更好的发挥其政府职能。
参考文献:
[1]方德英,李敏强.IT项目风险管理理论体系构建[J].合肥工业大学学报(自然科学版),2003,,2(8):907-908.
篇4
电子政务的网络层安全风险主要体现在数据传输风险、网络边界风险以及网络设备安全风险等方面。在数据传输风险中,往往存在业务数据泄露以及数据被破坏的情况。利用上下级网络或同级局域网络进行数据传输过程中由于包含相关的敏感信息或其他登录通行字且缺乏专门控制数据的软件与硬件,不法分子会采用不同的攻击手段窃取或直接破坏数据信息。在网络边界风险方面,由于电子政务中的网络节点多为不可信任域,入侵者很可能利用Sniffe等程序对系统中的安全漏洞进行探测,并在此基础上窃取内部网中的用户名或口令等信息,导致系统瘫痪的情况发生。同时内网与外网的互通也是产生网络边界风险的重要原因。在网络设备安全风险方面,主要体现在如路由器或交换机等设备方面,其安全性关乎电子政务系统的运行。
2、从物理层、系统层与应用层角度。
电子政务系统中的物理层风险主要指周边环境对网络或线路所造成的影响,如设备的毁坏、设备被盗或线路老化等情况,也存在自然灾害等对设备造成的破坏。通常可利用物理隔离技术解决物理层风险。而系统层的风险主要指电子政务中的数据库、操作系统以及其他相关产品使用中存在的病毒威胁以及安全漏洞等,是影响系统安全的重要因素。另外,应用层安全风险集中体现在非法访问政务系统;业务信息被修改;用户口令的被盗取以及用户的事后抵赖行为等方面,尤其电子政务系统对外开放的E-mail或DNS等服务都可能成为补发分子侵入的渠道。
3、从管理层安全风险角度。
电子政务网络安全的实现很大程度上依托于良好的管理方式。许多部门在进行安全管理过程中存在的管理混乱、权责不明以及可操作性的缺乏都可能产生管理层面的安全风险。另外管理过程中许多机房重地允许外来人员的自由出入,很可能使其中重要信息被泄露,其原因在于管理制度的匮乏。
二、电子政务网络安全的完善措施
1、对安全服务设施的完善。
作为电子政务网络安全的基础,安全服务设施应逐渐完善。其作用主要体现在能够为系统的运行提供可信任的网络环境以及安全技术应用的参考依据。因此需对其中的信任问题如可信的身份、网络信任域、可信的数据以及可信的时间服务等存在的问题进行解决。
2、安全技术平台的构建。
在网络信任问题被解决的基础上还需采取相应的安全策略如通讯加密、扫描漏洞、检测病毒与入侵、访问控制等,以此使网络安全环境得以保障。然而网络环境安全的实现又需构建安全技术平台,其应将电子政务中内网、外网以及专网间的数据交换、对信任域的访问控制、对内部网Internet访问策略、身份识别等内容囊括其中,确保其能够为安全技术提供支撑平台,解决信息泄密与网络空寂的问题。
3、响应与恢复机制的建立。
由于电子政务系统中往往包含许多信息,在面对网络攻击、系统故障或自然灾害等情况下很容易出现丢失或损坏的情况,因此需构建响应与恢复机制,确保电子政务系统能够在备份与恢复、大容量存储、自动恢复机制以及存储介质等方面进行完善。这样才可将因数据信息丢失或被破坏所造成的损失降至最低程度。
篇5
在电子政务系统设的实施过程,主要分为规划与设计阶段、建设与实施阶段、运行与管理阶段等三个阶段。其中,安全风险分析主要作用于规划与设计阶段,安全等级评估主要作用于建设与施工阶段,安全检查评估主要作用于运行与管理阶段。安全风险分析,主要是利用风险评估工具对系统的安全问题进行分析。对于信息资产的风险等级的确定,以及其风险的优先控制顺序,可以通过根据电子政务系统的需求,采用定性和定量的方法,制定相关的安全保障方案。安全等级评估,主要由自评估和他评估两种评估方式构成。被评估电子政务系统的拥有者,通过结合其自身的力量和相关的等级保护标准,进行安全等级评估的方式,称为自评估。而他评估则是指通过第三方权威专业评估机构,依据已颁布的标准或法规进行评估。通过定期或随机的安全等级评估,掌握系统动态、业务调整、网络威胁等动向,能够及时预防和处理系统中存在的安全漏洞、隐患,提高系统的防御能力,并给予合理的安全防范措施等。若电子政务网络系统需要进行较大程度上的更新或变革,则需要重新对系统进行安全等级评估工作。安全检查评估,主要是在对漏洞扫描、模拟攻击,以及对安全隐患的检查等方面,对电子政务网络系统的运行状态进行监测,并给予解决问题的安全防范措施。
1.2安全风险分析的应用模型。
在政府网络安全风险评估工作中,主要是借助安全风险评测工具和第三方权威机构,对安全风险分析、安全等级评估和安全检查评估等三方面进行评估工作。在此,本文重点要讲述的是安全风险分析的应用模型。在安全风险分析的应用模型中,着重需要考虑到的是其主要因素、基本流程和专家评判法。
(1)主要因素。
在资产上,政府的信息资源不但具有经济价值,还拥有者重要的政治因素。因此,要从关键和敏感度出发,确定信息资产。在不足上,政府电子政务网络系统,存在一定的脆弱性和被利用的潜在性。在威胁上,政府电子政务网络系统受到来自内、外部的威胁。在影响上,可能致使信息资源泄露,严重时造成重大的资源损失。
(2)基本流程。
根据安全需求,确定政府电子政务网络系统的安全风险等级和目标。根据政府电子政务网络系统的结构和应用需求,实行区域和安全边界的划分。识别并估价安全区域内的信息资产。识别与评价安全区域内的环境对资产的威胁。识别与分析安全区域内的威胁所对应的资产或组织存在的薄弱点。建立政府电子政务网络系统的安全风险评估方法和安全风险等级评价原则,并确定其大小与等级。结合相关的系统安全需求和等级保护,以及费用应当与风险相平衡的原则,对风险控制方法加以探究,从而制定出有效的安全风险控制措施和解决方案。
(3)专家评判法。
在建设政府电子政务网络系统的前期决策中,由于缺少相关的数据和资料,因此,可以通过专家评判的方法,为政府电子政务网络系统提供一个大概的参考数值和结果,作为决策前期的基础。在安全区域内,根据网络拓扑结构(即物理层、网络层、系统层、应用层、数据层、用户层),应用需求和安全需求划分的安全边界和安全区域,建立起风险值计算模型。通过列出从物理层到用户层之间结构所存在的薄弱点,分析其可能为资产所带来的影响,以及这些薄弱点对系统薄弱环节外部可能产生的威胁程度大小,进而通过安全风险评估专家进行评判,得到系统的风险值及排序。在不同的安全层次中,每个薄弱环节都存在着不同程度的潜在威胁。若是采用多嵌套的计算方法,能够帮助计算出特定安全区域下的资产在这些薄弱环节中的风险值。
篇6
电子政务,即各级机关在实践管理工作开展过程中需借助电子信息技术,打造分层结构、集中管理网络管理环境,且推进电子政务系统由“功能单一”向“综合政务网”转变,从而提升整体政府服务水平,同时借助网络平台加强与公众间的互动性,并营造双向信息交流环境,有效应对计算机病毒、黑客攻击、木马程序等网络安全问题。以下就是对电子政务系统网络安全问题的详细阐述,望其能为当前政府机构职能效用的有效发挥提供有利参考。
1.电子政务系统网络安全研究
1.1网络安全需求
就当前的现状来看,电子政务系统网络在运行过程中基于垃圾邮件攻击、网络蠕虫、黑客攻击、网络安全威胁等因素的影响下,降低了服务质量。为此,当代政务系统针对网络安全问题提出了相应的网络安全需求:第一,网络信息安全,即在电子政务系统操控过程中为了规避政务信息丢失等问题的凸显,要求管理人员在实践信息管理过程中应从信息分级保护、信息保密、身份鉴别、网络信息访问权限控制等角度出发,对可用性网络信息实施管理,打造良好的网络信息使用环境;第二,管理控制安全。即由于电子政务网络系统需与Internet连接,因而在内部局域网、外部局域网管理过程中,应设置隔离措施,同时针对每个局域网用户设定访问限定资源,并针对用户身份进行双向认证,由此规避黑客攻击等问题的凸显。而在信息传输过程中,亦需针对关键应用信息进行加密,且配置网络监控中心,实时掌控恶意攻击现象,并做出及时响应;第三,统一管理全网,即为了降低网络安全风险问题,要求当代电子政务网络系统在开发过程中应制定VLAN划分计划,且针对通信线路、访问控制体系、网络功能模块等实施统一管理,规避非法截获等安全问题[1]。
1.2网络安全风险
(1)系统安全风险。就当前的现状来看,我国UNIX、Windows、NETWARE等操作系统本身存有安全隐患问题,因而网络侵袭者在对系统进行操控过程中,可借助系统漏洞,登录服务器或破解静态口令身份验证密码,访问服务器信息,造成政务信息泄露问题。同时,在电子政务系统网络管理过程中,部分管理人员缺乏安全管理意识,从而未及时修补系统漏洞,且缺乏硬件服务器等安全评定环节,继而诱发了系统安全风险。此外,基于电子政务网络系统运行的基础上,侵袭者通常在公用网上搭线窃取口令字,同时冒充管理人员,向系统内部局域网直入嗅探程序,从而截获口令字,获取网络管理权限,造成电子政务系统信息损失。为此,为了规避信息截获等网络安全问题的凸显,要求管理人员在实践管理工作开展过程中应针对操作系统、硬件平台安全性进行检测,且健全登录过程认证环节,打造良好的电子政务系统服务空间,满足系统运行条件,同时实现对登陆者操作的严格把控。(2)应用安全风险。电子政务系统网络运行中应用安全风险主要体现在以下几个方面:第一,网络资源共享风险,即各级政府机构在网络办公环境下,为了提升整体工作效率,注重运用网络平台共享机关机构组成、政务新闻、政务管理程序等信息。而若某工作人员将政务信息存储于硬盘中,将基于缺少访问控制手段的基础上,造成信息窃取行为;第二,电子邮件风险,即某些不法分子为了获取政务信息,将特洛伊木马、病毒等程序植入到邮件中,并发送至电子政务系统,从而通过程序跟踪,威胁电子政务系统网络安全性。为此,管理人员在对电子政务系统进行操控过程中应提高对此问题的重视程度,同时强调对垃圾邮件的及时清理[2];第三,用户使用风险,即在电子政务系统平台建构过程中,为了规避网络安全风险问题,设置了“用户名+口令”身份认证,但由于部分用户缺乏安全意识,继而将生日、身份证号、电话号码等作为口令字,从而遭到非法用户窃取,引发政务信息泄露或攻击事件。为此,在系统操控过程中应针对此问题展开行之有效的处理。
2.电子政务系统网络安全设计应用
2.1系统安全
在电子政务系统应用过程中,为了打造良好的网络运行空间,在系统设计过程中应融合防火墙隔离、VLAN划分、HA和负载均衡、动态路由等技术,并在电子政务网络结构部署过程中,将功能区域划分为若干个子网结构,同时合理布设出入口,并实时清理故障清单,从根本上规避网络安全风险问题。同时,在操作系统安全设置过程中,应针对安全配置安全性进行检测,并限定etc/host、passwd、shadow、group、SAM、LMHOST等关键文件使用权限,且加强“用户名+口令”身份认证设置的复杂性,避免操作风险的凸显[3]。此外,在电子政务系统操控过程中,为了确保系统安全性,亦应针对系统运行状况做好打补丁操作环节,并及时升级网络配置,营造安全、稳定的系统运行空间。
2.2访问控制
在电子政务系统网络安全应用过程中加强访问控制工作的开展是非常必要的,为此,首先要求管理人员在系统操控过程中应结合政务信息的特殊性,建构《用户授权实施细则》、《口令字及账户管理规范》等条例,并严格遵从管理制度要求,实现对网络环境的有效操控。同时,在网络出入口等网络内部环境操控过程中,应设置防火墙设备。例如,在Switch、Router安全网络域连接过程中,即需在二者间设置防火墙,继而利用防火墙IP、TCP信息过滤功能,如,拒绝、允许、监测等,对政务信息形成保护,同时在网络入侵行为发生时,及时发出警告信号,且针对用户身份进行S/Key的验证,达到网络访问控制目的[4]。其次,在网络访问控制作业环节开展过程中,为了规避电子政务网内部服务器、WWW、Mail等攻击现象,应注重应用防火墙应用功能,对安全问题进行有效防控。
2.3数据保护
电子政务数据属于机密性信息,因而在此基础上,为了规避数据泄露问题的凸显影响到社会的发展,要求我国政府部门在电子政务系统运行过程中,应扩大对《上网数据的审批规定》、《数据管理管理办法》等制度的宣传,同时在PC机管理过程中,增设文件加密系统,并对访问者进行限制,最终实现对数据的高效保护。其次,在对SYBASE等通用数据库进行保护过程中,应增设访问/存取控制手段,同时完善身份验证、访问控制、密码机制、文件管理等功能模块,从而通过角色控制、强制控制等方法,对数据形成双层保护,并加强假冒、泄露、篡改等现象的管理,保障系统网络安全性[5]。再次,在政务数据使用、传输过程中,应定期检测服务器内容完整性,例如,WWW服务器、FTP、DNS服务器等信息,满足政务信息使用需求,同时提升政府服务水平。
3.结论
综上可知,传统电子政务系统网络管理工作实施过程中逐渐凸显出信息截获、信息泄露等问题,影响到了各级政府机关服务水平。因而在此基础上,为了实现对网络安全风险问题的有效处理,要求管理人员在实际工作开展过程中应注重加强安全管理工作,同时从数据保护、访问控制、系统安全等角度入手,对政务系统网络环境形成保护,满足电子政务网络系统应用需求。
作者:韩戴鸿 邬显豪 徐彬凌 胡大川 钱诚 单位:常州市科技信息中心
参考文献:
[1]王淼,凌捷,郝彦军.电子政务系统安全域划分技术的研究与应用[J].计算机工程与科学,2010,12(8):52-55.
[2]魏武华.电子政务系统的网络架构及其应用研究[J].计算机时代,2013,12(7):13-16.
篇7
中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2014)05-1150-02
时代的发展促进了科技的发达,而科技的发达加速了社会的进步,2010年我国出台了基于互联网的电子政务建设指导意见,这一标准的出台给县级电子政务建设带来极大的推动力量,使得我国县级电子政务建设出现了崭新的局面,然而,值得关注的是良好的电子政务建设必须有全面、科学的统一规划,高素质的操作人员和安全保障体系,因此,面临当前县级电子政务发展阶段对安全管理的需求,深入探索有效的解决策略和创新方法具有十分重要的现实意义。
1 电子政务安全风险特征分析
当前电子政务安全风险主要表现在两方面:一是关于资产价值,二是互联网的运行环境。根据这两个主要因素可以分析当前县级电子政务安全风险特征主要有以下几点:
1)资产价值信息少
建立县级电子政务体系,目的是保证政府职能部门政务公开,拓展政务公开渠道,然而在实际操作中公开信息多,而信息少,政务公开的目的是为广大企业和公众提供广阔的信息渠道,然而实际上保密信息的内容不多,起不到实际的价值和作用。
2)安全等级比较低
由于互联网的大量使用,在电子政务安全管理中有害程序事件、互联网攻击事件、信息破坏事件、设备故障事件等多有可能随时发生,但是由于县级电子政务建设中安全管理措施还不完备,遇到这些问题缺乏相应的处理经验和处理措施,往往会危害国家社会秩序和公众利益,给电子政务建设带来巨大影响。
3)安全需求性提高
对于县级电子政务建设中,服务于民众,为企业和公众带来便捷性的服务是重点,同时应用是关键,只有合理而科学的应用电子政务系统,才能真正实现电子政务建设的出发点和最终目标,不能良好的应用成为电子政务风险的主要特征。
4)管理策略不完善
县级电子政务管理中人员因素最为关键,电子政务的使用人员、计算机管理人员等,他们的专业水平和整体素质极其相应的安全管理意识等,都直接影响着安全管理结果,因此,人员的素质是影响着管理策略的主要因素。
5)安全威胁在增加
由于互联网本身安全机制比较薄弱,为了获得某种利益有些人假冒身份,窃取口令,或者利用木马或者病毒窃取信息,或者篡改主页,造成网站信息混乱,有的窃取数据,导致信息大量流失,或者服务窗口被劫持,在网站上出现的大量非法信息,给社会的安全稳定带来严重的影响,因此,县级电子政务安全管理中,互联网安全信息管理也是十分重要的因素。
2 县级电子政务安全管理管理优化策略
面对各种的安全风险因素,电子政务安全保证是一个十分复杂而又重要的任务,因此,不仅需要各个部门内部进行统一规划,实施有效的配合管理,而且需要整个领域中形成良好的管理策略,探索先进的技术方法。
1)提高认证力度,实现安全监督
对于电子政务系统来说,身份的识别十分关键,需要加强身份认证服务,建立健全电子政务业务实体定义的唯一电子身份标识,只有通过这一标识之后才能实现身份的认证,这样可以避免各种假冒身份者的侵入;其次,必须保证数据的完整,利用信息技术保证信息在收发双方的一致性,保证信息的一致性目的是为了避免中途信息被修改的现象发生;另外,为第三方验证信息的真实性和信息的完整性提供必要的证据,这样的规范是为了面对电子政务纠纷中法律证据提供必要的保证,利用第三方平台来实现信息管理的完整性和严密性,当然,第三方平台由谁来管理,怎样管理等都需要进行更深入的探讨,认证中心建立必要的立项和审批需要公安信息网络的审核,保证合法性。
2)提高人员素质,实现安全管理
对于电子政务维护中心来说,应用程序的开发和利用,系统的运行和日常维护等都涉及到大量信息的安全性问题,其中主要涉及两方面:一是信息技术的加强,一是信息人员的管理。尤其是人员的管理中,当前电子政务建设虽然逐步走上正轨,但是操作人员信息技术水平不高,大专院校的信息技术专业毕业生较少,整体来看应用系统利用不完善,人员技术水平较低,尤其是遇到一些关于安全领域较深层次的问题,操作人员常常束手无策,严重的影响了电子政务安全管理水平的提高和发展,因此,加强信息技术人才的引进和培养,是提高县级电子政务安全管理的主要途径。
3)完善安全制度,加强行政管理
为了提高县级电子政务安全行政管理,需要从多方面加强机构的组建和制度的完善,首先建立安全小组机构,通过组织机构来实现统一的规划管理,体制网络系统不安全因素,完善各种安全策略和措施,进行多方面安全事件的协调等,如人事的审查和任用,岗位职责的制定,工作情况的评价,各种培训事务等;同时,要建立健全安全责任制度,如系统运行管理责任制度、计算机控制管理制度、信息资料管理制度、监督制度、病毒防护制度等,通过建立这些制度不断加强工作人员的责任心和使命感,提高行政管理力度,不断促进电子政务建设的健康发展。
4)加强基础建设,提升技术管理
信息安全技术管理在县级电子政务安全管理中具有十分重要的作用,可以从三方面进行完善和加强。首先是加强硬件建设,加强对计算机、网络等设备的常规管理和保护,避免因为火灾、水灾等自然灾害造成设备的损坏,保证设备的安全是加强电子政务安全管理的必要前提;其次,加强软件管理,对于软件应用系统要注意升级与管理,避免被伪造、破坏和篡改等,保证储存和操作的安全性;另外,对于系统的使用较强密钥管理,对系统的备份、初装、恢复等均采用科学而严密的操作,避免出现信息泄露现象发生。
3 结束语
总之,县级电子政务安全管理工作十分重要,不仅关系到政府职能部门能否扮演好可以为社会当好家、服好务的形象,同时也关系到企业和广大民众的切身利益,因此,必须加强县级电子政务的安全管理,从人员、设备、应用等多角度出发,优化管理措施,加强管理力度,促进电子政务建设的良性发展。
参考文献:
篇8
中图分类号:TP393.08
在新的发展环境下,开放和互联的网络时代给各种信息资源的流通带来了便利的同时,也带来了安全隐患。尤其是政府部门的电子政务信息资产,若是受到非法使用,不但会对政府部门造成资源损失,甚至会威胁到国家、单位部门和个人的安全。因此,对政府网络系统进行安全风险评估,不但能够有效地预防和解决潜在的威胁,而且能够保障整个政府网络系统的安全,促进政府网络建设的发展。
1 政府网络安全风险评估的方法
在电子政务信息系统的建设和运行过程中,需要进行网络安全防御的相关措施,以防止系统中存在的漏洞、隐患,以及人为或非人为因素引起的风险对系统的影响。因此,采取安全风险评估的方法,通过安全风险评估的相关技术的支持,对系统的设备及数据进行分析、确定等级和检查,是有效防范这些情况发生的重要措施。
政府网络安全风险评估的方法主要有安全风险分析、安全等级评估和安全检查评估等三种。
1.1 安全风险分析。在进行政府网络安全风险评估的前期工作中,主要是通过建立评估数据模型的方式进行安全风险分析。其中,主要是根据概率分布、外推法、矩阵图分析、风险发展趋势评价方法、假设前提评价及数据准确度评估等方法,并通过专家评估预测和相关历史数据对指标的选取和数据的采集,估算政府网络安全系统所存在的风险。
1.2 安全等级评估。在此阶段,主要是在政府的电子政务系统建成或是运行的过程中,由第三方权威机构采取强制或非强制的方式,对政府网络安全进行定期安全等级评估,从而确定政府网络系统在建成后,或是在系统更新后是否达到防范风险的可靠级别。
1.3 安全检查评估。在此阶段,主要采用专门的模拟攻击、漏洞扫描等方式,对政府电子政务(包括网络设备、服务器、客户机、数据库和应用系统等)进行安全检查,找出其中可能存在的安全隐患并提供扫描后的相关数据,给予政府电子政务安全检查评估。在安全检查评估中,主要运用到基于主机的(硬件系统)和基于网络的(软件系统)两种技术。通过安全检查评估,能够起到预防网络系统中存在的隐患的作用,并提供科学有效的解决措施,从而更进一步提高网络安全的整体水平。
2 政府网络安全风险评估的模型与应用
2.1 安全风险评估应用模型三阶段。在电子政务系统建设的实施过程,主要分为规划与设计阶段、建设与实施阶段、运行与管理阶段等三个阶段。其中,安全风险分析主要作用于规划与设计阶段,安全等级评估主要作用于建设与施工阶段,安全检查评估主要作用于运行与管理阶段。
安全风险分析,主要是利用风险评估工具对系统的安全问题进行分析。对于信息资产的风险等级的确定,以及其风险的优先控制顺序,可以通过根据电子政务系统的需求,采用定性和定量的方法,制定相关的安全保障方案。
安全等级评估,主要由自评估和他评估两种评估方式构成。被评估电子政务系统的拥有者,通过结合其自身的力量和相关的等级保护标准,进行安全等级评估的方式,称为自评估。而他评估则是指通过第三方权威专业评估机构,依据已颁布的标准或法规进行评估。通过定期或随机的安全等级评估,掌握系统动态、业务调整、网络威胁等动向,能够及时预防和处理系统中存在的安全漏洞、隐患,提高系统的防御能力,并给予合理的安全防范措施等。若电子政务网络系统需要进行较大程度上的更新或变革,则需要重新对系统进行安全等级评估工作。
安全检查评估,主要是在对漏洞扫描、模拟攻击,以及对安全隐患的检查等方面,对电子政务网络系统的运行状态进行监测,并给予解决问题的安全防范措施。
2.2 安全风险分析的应用模型。在政府网络安全风险评估工作中,主要是借助安全风险评测工具和第三方权威机构,对安全风险分析、安全等级评估和安全检查评估等三方面进行评估工作。在此,本文重点要讲述的是安全风险分析的应用模型。在安全风险分析的应用模型中,着重需要考虑到的是其主要因素、基本流程和专家评判法。
(1)主要因素
在资产上,政府的信息资源不但具有经济价值,还拥有者重要的政治因素。因此,要从关键和敏感度出发,确定信息资产。在不足上,政府电子政务网络系统,存在一定的脆弱性和被利用的潜在性。在威胁上,政府电子政务网络系统受到来自内、外部的威胁。在影响上,可能致使信息资源泄露,严重时造成重大的资源损失。
(2)基本流程
根据安全需求,确定政府电子政务网络系统的安全风险等级和目标。
根据政府电子政务网络系统的结构和应用需求,实行区域和安全边界的划分。
识别并估价安全区域内的信息资产。
识别与评价安全区域内的环境对资产的威胁。
识别与分析安全区域内的威胁所对应的资产或组织存在的薄弱点。
建立政府电子政务网络系统的安全风险评估方法和安全风险等级评价原则,并确定其大小与等级。
结合相关的系统安全需求和等级保护,以及费用应当与风险相平衡的原则,对风险控制方法加以探究,从而制定出有效的安全风险控制措施和解决方案。
(3)专家评判法
在建设政府电子政务网络系统的前期决策中,由于缺少相关的数据和资料,因此,可以通过专家评判的方法,为政府电子政务网络系统提供一个大概的参考数值和结果,作为决策前期的基础。
在安全区域内,根据网络拓扑结构(即物理层、网络层、系统层、应用层、数据层、用户层),应用需求和安全需求划分的安全边界和安全区域,建立起风险值计算模型。通过列出从物理层到用户层之间结构所存在的薄弱点,分析其可能为资产所带来的影响,以及这些薄弱点对系统薄弱环节外部可能产生的威胁程度大小,进而通过安全风险评估专家进行评判,得到系统的风险值及排序。
在不同的安全层次中,每个薄弱环节都存在着不同程度的潜在威胁。若是采用多嵌套的计算方法,能够帮助计算出特定安全区域下的资产在这些薄弱环节中的风险值。
3 结语
本文主要通过对政府电子政务网络系统的建设中,所进行的安全风险评估进行研究,分析和探讨在规划与设计阶段、建设与实施阶段、运行与管理阶段三个阶段中政府网络安全建设的相关问题。并在各阶段分别采用安全风险分析、系统建设完成后的安全等级评估。在系统建成后的运行和管理阶段,采用的安全检查评估等方法,保障政府电子政务网络系统的安全。此外,在安全风险分析中,可操作的方法并不多,需要有关部门加强力度,加以研究和探析。在等级安全评估和安全检查评估两个阶段,可以充分利用第三方权威机构的评测工具,来加强政府网络的安全性。
参考文献:
[1]杨志新.政府网络安全风险评估[J].系统工程,2005,4.
[2]王继晔.政府信息网络的安全措施及技术手段[J].交通与计算机,2003,2.
[3]黄炜.我国政府保护网络经济信息安全的现状和对策[J].华南理工大学,2010,5,6.
篇9
1.1分析电子政务服务外包主要模式及其关键成功因素
当前,各地政府部门主要采用BOT、BOO、BT、ASP这4种模式开展电子政务服务外包。a.BOT模式(Build-Own-Transfer,即建设-运营-转让)。政府部门和承包商以协议为基础,由政府部门向承包商颁布特许权,允许其筹集资金建设某电子政务系统,在特许权规定期限内管理和经营该系统及其相应的产品与服务,并在特许权期满后,无偿将系统移交给政府部门接管。b.BOO模式(Build-Own-Operate,即建设-拥有-运营。承包商投资并承担电子政务系统的设计、建设、运行、维护和培训等工作,硬件设备及软件系统的产权归属承包商,政府部门负责宏观协调、创建环境和提出需求,政府部门每年需要向承包商支付系统使用费获取硬件设备和软件系统的使用权。
c.BT模式(Build-Transfer,即建设-转让)。政府部门通过特许协议授权承包商负责某电子政务系统的建设,按合同规定的期限按时移交系统,政府部门按期支付该系统的建设费用。d.ASP模式(ApplicationServiceProvider,即应用服务提供商)。在ASP外包模式中,应用服务提供商拥有基础结构设施并负责所有系统和网络的配置、管理、调整,甚至应用管理,政府部门按照需求向应用服务提供商定制所需的电子政务服务,并向其支付相应的费用。在比较分析以上各种模式的内涵、特点、优缺点的基础上,分析研究其实际运用的案例,共总结了影响这4种电子政务服务外包模式成功运作与否的75个因素,运用专家评分法,提取各种模式的关键成功因素,如表1所示,这些也是各种模式选择决策的主要考虑因素。
1.2识别潜在风险因素
在分析电子政务服务外包、IT外包风险研究相关文献的基础上,基于电子政务服务外包运作与管理流程,从各个阶段总结了98项风险因素,结合上述电子政务服务外包主要模式的关键成功因素,采用李克特七分制评分标准设计量表,1分表示风险影响程度最低,7分表示风险影响程度最高,1-7分表示影响程度逐次增高,邀请被调查者(包括参与电子政务服务外包的政府部门、承包商的管理人员以及相关领域的专家学者)对量表进行评分。共发放问卷387份,回收问卷212份,剔除不合格答卷后,最后得到有效答卷共202份。根据搜集的数据,通过因子分析的方法提炼了20项具有统计、管理意义的关键风险因素,如表2所示。
采用主成分因子分析法对这20项风险因素(也是结构方程模型中的可测变量)进行进一步的划分,提取4个公共因子作为结构方程模型的潜在变量,并根据其包含的可测变量的含义进行命名,潜在变量及相应的可测变量如下:“决策与合同管理风险”:外包市场不成熟x1、外包决策不合理x2、承包商选择失误x3、机会主义风险x4、合同不完善x5;“开发与运营管理风险”:外包主体之间缺乏沟通x6、外包主体关系不和谐x7、政府部门缺乏规划与需求分析能力x8、政府项目管理经验与能力不足x9、承包商专业能力及管理经验不足x10、承包商服务质量不理想x11;“资金与成本管理风险”:交易成本控制不力x12、隐性成本的累积风险x13、承包商成本预算控制失效x14、承包商资金支持不足x15;“知识与战略管理风险”:知识共享不足x16、安全保密控制不力x17、绩效评量体系失效x18、忽视学习与创新能力的培养x19、政府部门失去信息化控制力x20。
2模型建立与分析拟合
2.1建立电子政务服务外包潜在风险对外包模式影响的结构方程模型
基于现有研究文献及实际案例,分析电子政务服务外包的潜在风险因素对各种模式的影响关系,构建电子政务服务外包潜在风险对外包模式影响的结构方程模型,如图1所示。其中,风险的4项潜在变量及其各自的可测变量如上文所述,而各种外包模式潜在变量对应的可测变量分别是其关键成功因素(见表1,表中的序号与图1的序号一致)。
2.2信度与效度分析
a.信度分析。信度指测量结果一致性或稳定性的程度。运用SPSS16.0对量表的信度进行检验,Cronbach’sα值为0.835,而各分量表信度分析结果表明,8个潜在变量的α系数值均满足大于0.70的要求,因此,该量表具有较好的信度。
b.效度分析。结构效度是指量表测量结果同期望评估内容的同构程度,运用标准化因素负荷来检验结构效度。结果显示,测量指标的标准化因素负荷大部分大于0.7,并在99%的置信度下高度显著(C.R.值>2.58),潜在变量之间的标准化路径系数及C.R.值(如表3所示)也大部分符合拟合要求。表明本研究构造的变量效度较好,适合做结构方程模型分析。
2.3结构方程模型检验与分析
a.拟合度检验。前文建立的结构方程模型必须通过拟合度检验,才能认定假设模型与实际数据样本的一致性。若模型的拟合度高,则代表模型可用性越高,参数的估计越具有含义。对于拟合度的考核有较多指标,但不同的指标在不同的模型复杂度、样本数量下有着不同的表现特性,必须根据具体情况同时参考各种拟合度指标[3]。本研究利用AMOS软件7.0版进行结构方程模型的分析,主要使用CMIN、RMSEA、CFI、GFI等较为稳定的指标考核模型拟合度,拟合后的评价结果及其理想值汇总于表4。从表4中分析可知假设模型较好地与样本数据拟合,具有较高的拟合度。
b.路径与因素分析。经过对结构方程模型的分析,可以得到各个潜在变量之间的路径系数以及可测变量与潜在变量之间的因素负荷。从模型运行结果中可知,潜在变量之间的路径系数、可测变量与潜在变量之间的因素负荷对应的C.R.值绝大多数大于1.95的拟合要求,表明各路径系数以及因素负荷在p=0.05的水平上具有统计显著性,能够作为进一步分析的依据。
3电子政务服务外包潜在风险对外包模式的影响分析
综合分析4个风险潜在变量对各外包模式潜在变量影响的路径系数及间接效应、各个风险因素的因子负荷以及对各外包模式关键成功因素的作用路径,为下文外包模式选择的建议提供依据。
3.1“决策与合同管理风险”对外包模式的影响
“决策与合同管理风险”对各外包模式的直接影响程度从大到小依次是:BOT>BOO>BT>ASP,其中,对BT模式和ASP模式的直接影响不显著,但通过另三类风险间接影响这两种模式的程度较大,分别累计为0.364、0.337。在“决策与合同管理风险”中,合同不完善风险所占因子负荷最大、影响最为显著。研究表明,完善电子政务服务外包合同,对外包市场不成熟风险、机会主义风险都具有较强的规避作用[4]。“决策与合同管理风险”中,合同不完善、承包商选择失误风险因素对BOT模式的关键成功因素———承包商运营期间的服务质量以及移交后的系统价值的不良影响均比较显著;合同不完善对BOO模式的作用主要体现在影响技术应用先进性的保持,而机会主义风险的存在对政府部门的监督约束是一大不利因素;BT模式、ASP模式的各自关键成功因素———选择商誉好的承包商、承包商拥有完善可靠的基础结构设施均会受到承包商选择失误这一风险因素的影响。
3.2“开发与运营管理风险”对外包模式的影响
相比其他类别的风险而言,“开发与运营管理风险”对各个外包模式的影响程度是最大的,对各外包模式的直接影响程度从大到小依次是:BOT>BOO>BT>ASP,且影响均较为显著。此外,“开发与运营管理风险”也受到了其他风险的影响,承载着其他风险对外包模式的间接效应。因此,“开发与运营管理风险”所属的各个风险因素应给予重视,特别是政府部门缺乏规划与需求分析能力、双方的项目管理经验与能力不足、外包主体之间缺乏沟通这几种风险因素在电子政务服务外包实践中引起的问题较为显著,属于关键风险因素,研究表明,控制好这些风险因素,做好规划与需求分析工作、提升相应的项目经验与能力、加强沟通协作,对电子政务外包的系统开发效果、外包服务质量、双方关系维护的作用是十分显著的[5]。“开发与运营管理风险”对各个外包模式的影响在其对应的关键成功因素都有显著的体现,其中,对BOT模式,主要影响政府部门规划协调能力、承包商运营期间的服务质量;对BOO模式,主要影响政府部门的监督约束能力、承包商经营的稳定性及技术应用先进性的保持;对BT模式,主要影响双方的系统开发项目管理能力;对ASP模式,主要影响政府部门需求分析的准确性及预见性、承包商对个性化服务需求的响应。
3.3“资金与成本管理风险”对外包模式的影响
“资金与成本管理风险”对各外包模式的直接影响程度从大到小依次是:BOO>BOT>ASP>BT,其中,承包商的资金支持、项目的成本管理方面的风险对外包模式的影响尤为显著,在实践中,很多电子政务服务外包项目正是由于资金、成本控制问题而不得不搁浅甚至失败。此外,“资金与成本管理风险”也会通过“开发与运营管理风险”间接影响各个外包模式,因此,在外包过程的开发运营阶段,应重视项目预算管理,保障资金流的通畅。“资金与成本管理风险”对BOO模式的作用主要体现在影响政府部门付费使用模式、承包商经营的稳定性;对BOT模式的作用体现在影响承包商的运营获利能力及其服务质量;对于ASP模式,影响着政府部门的付费模式与承包商的经济效益两者之间的权衡;对BT模式,主要影响着政府部门的资金保障能力。
3.4“知识与战略管理风险”对外包模式的影响
“知识与战略管理风险”对各外包模式的直接影响程度从大到小依次是:BOO>ASP>BOT>BT,其中安全保密控制风险是外包领域备受关注的风险因素,也是外包模式选择需要着重考虑的一大因素,而学习与创新能力的培养对电子政务服务外包的战略效益能否实现尤为关键[6],却也是一个经常被忽视的风险。此外,知识共享不足、绩效评量体系失效、政府部门信息化控制力不足等风险因素对开发运营风险的作用也较为显著,对外包模式的间接效应不容小觑。因此,“知识与战略管理风险”对电子政务服务外包的影响是极为深远的,在外包模式选择决策中,应予以重视,既要考虑到安全保密控制,也要考虑到政府部门持续学习与创新能力的培养。“知识与战略管理风险”中,安全保密控制不力与绩效评量体系失效分别影响着BOO模式的关键成功因素———承包商对系统安全性的保护、技术应用先进性的保持;在ASP模式中,安全保密控制不力风险影响着政府部门应用与数据的安全性;与绩效评量体系失效相关联的激励效果不良,影响着BOT模式运营期间的服务质量和移交后的系统价值;若采用BT模式,知识共享不足与政府部门信息化控制力不足风险将主要影响着双方移交系统的知识管理能力以及移交后政府部门的系统维护能力[7]。
4结论与建议
基于上文的分析,政府部门在选择电子政务服务外包模式时,需要结合自身的规划与需求、优势与劣势、经验与能力等因素,综合考虑各个潜在风险因素对外包模式如何影响及影响程度,从中选择合理的外包模式并防范潜在风险。为此,提出以下4点建议供参考:
a.当外包市场不成熟,缺乏统一、可操作的行业标准及规范的法律环境,而外包的电子政务服务内容的复杂性使得不能够通过采用明细的合同来规避承包商的机会主义,并且政府部门管理合同的经验与能力不足时,尽量避免采用BOT、BOO模式,主要是因为这两种模式的必须以协议为基础且合同期限较长,能否制定明确、完善而兼具柔性的合同尤为关键;若政府部门受评估能力缺乏、信息不对称等主客观不利因素的影响,选择不合适的承包商或选择的承包商商誉不良的风险很可能加大,此时BT模式与ASP模式不是首选,因为这两种模式对承包商商誉与实力有较高的要求。
篇10
doi:10.3969/j.issn.1673 - 0194.2016.20.093
[中图分类号]D630 [文献标识码]A [文章编号]1673-0194(2016)20-0-01
信息技术的发展给人类社会生活带来了翻天覆地的变化,也开启了政府公共管理与服务的新模式,“电子政务”成为受到政府部门追捧的新工作平台,从概念上讲,“电子政务是政府公共事务管理方式的革新,是政府等公共事业部门运用计算机、网络和通信、互联网等多种IT信息技术手段的业务管理模式。”电子政务相比于传统的政务管理模式具有多方面的优势,是现代政府管理信息化、网络化、透明化、民主化与服务性实现的重要手段和方式,公开、透明、有效与互动是电子政务的主要特点。
当然,电子政务在改变政府工作模式,提高政府工作效率和公共服务效果的同时,也面临着新问题和新挑战。因为政府工作通过数字化、信息化的手段处理和表现出来,信息安全就成为了首先被关注到的问题。“信息安全指的是在信息技术的应用过程中对信息技术和数据进行的安全和保护,防止计算机内的数据因遭受恶意软件的侵袭而造成泄露或者更改,维持计算及系统正常的运行。”信息安全对于电子政务的重要意义是不言自明的,因而,本文着重讨论电子政务中的信息安全问题,并针对这些问题提出相应的策略。
1 电子政务中的信息安全问题
1.1 电子信息技术本身存在的问题
电子信息技术本身存在着一些难以避免的安全漏洞。“软件漏洞、网络数据系统漏洞等各个方面的漏洞还是给电子政务安全带来了很多难以根除的安全缺陷。”这些微不足道的瑕疵和漏洞,在政府电子政务数据库系统和信息平台中,可能就会造成不可估量的损失和伤害。应该说,正是这些漏洞给了不法分子盗取、篡改数据信息的机会,由此带来的风险是政府内部机密信息、文件的泄露或损失,为电子政务安全带来极大的威胁和风险。
当然,仅仅是这些漏洞本身并不会造成重大安全事故,因内部漏洞本身所带来的系统脆弱性所给外部不法分子带来的入侵的机会,才是信息安全问题产生的最直接原因。“政府电子文件包含了国家或非信息,当电子文件在网络上传输时,特别是通过开放的因特网传输,很容易被他人非法截取,可能导致国家信息的泄漏、被删除、被篡改,对国家的政治、经济、军事、安全等相关利益造成损失。”
1.2 政府工作人员的信息安全意识欠缺
事实上,大多数政府工作人员对电子信息系统本身的安全问题和安全漏洞的了解并不深入,信息安全意识也不强,在日常工作行为上就会经常出现一些安全失误,或者由此增大电子政务中的信息安全风险。例如:政府保密信息在网络传输过程中不进行加密,U盘、移动硬盘等设备在存有政府机密数据信息的电脑上使用,或者不对输入的数据信息进行加密备份,因误删数据导致信息缺失、不完整等。尤其是应用政府内部电脑登录外网,给整个电子政务网络信息平台带来巨大的安全风险。而这些问题,普遍不是政府工作人员蓄意所为,都是因信息安全意识的薄弱而造成的“不注意”“不小心”,却可能导致严重的后果。
1.3 政府工作人员的技术能力尚待提高
应该说,当前,电子政务在中国已经被广泛使用和普及,但政府工作人员构成却依旧保持原状。绝大多数政府工作人员都不具备足够应对信息安全风险,处理紧急信息安全事故的专业知识和技术能力。政府工作人员是电子政务信息平台中数据信息的输入者、传播者,却不是信息系统的监控者和维护者,大多数人的水平也只是停留在办公系统应用上,人员的专业素质和技术水平还不能支撑起政府信息安全的维护。
2 应对信息安全问题的策略分析
2.1 加强信息安全意识培养
第一,加强管理人员的信息安全意识培养。在政府中“上行下效”是非常重要的,管理人员的意识和行为对整个系统中的工作人员都有很大的影响。因而,加强管理人员的信息安全意识培养才有利于政府内部相关工作开展的顺利进行。第二,加大宣传教育力度。在政府中,应用电子政务系统进行工作最多的还是基层的工作人员,他们负责信息的录入、保存、传输等具体细致的工作,很多电子政务中的信息安全问题就是由这些工作人员的意识不强,经常“不注意”“不小心”,认为没关系导致的。这些基层工作人员的意识欠缺,很多是由于认知不足造成的,因而,加强宣传教育就显得十分重要。
2.2 注重技术能力的提升
