版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、电子政务网信息安全风险评估研究 内容摘要:电子政务网对提高政府行政效能具有重要意义,其网络信息安全要求更高;目前国内外在风险评估的标准和方法上都有大量研究成果;在评估标准不断完善的基础上,未来研究应更加在改进评估模型上进行创新。 关键词:电子政务网;信息安全评估;研究综述 一、研究的意义 伴随着计算机通信技术的广泛应用,信息化时代迅速到来。社会信息化给政府事务管理提出了新的要求,行政管理的现代化迫在眉睫。电子政务在发达国家取得长足进展,为了提高政府的行政效能和行政管理水平,我国正在加快对电子政务网的建设。在新的时代条件下,开放和互联的发展带来信息流动的极大便利,同时,也带来了新的问题和挑战。电
2、子政务系统上所承载的信息的特殊性,在网络开放的条件下,尤其是公共部门电子政务信息与资产,如果受到不法攻击、利用,则有可能给国家带来损失,也可能危及政府、企业和居民的安全。作为政府信息化工作的基本手段,电子政务网在稳定性、安全性方面,比普通信息网要求更高。对信息安全风险进行评估,是确定与衡量电子政务安全的重要方式。研究确定科学的安全风险评估标准和评估方法及模型,不仅有助于维护政府信息安全,也有助于防止现实与潜在的风险。 二、国内外研究状况 当前,国内外尚未形成系统化的电子政务网络信息安全的评估体系与方法。目前主要有风险分析、系统安全工程能力成熟度模型、安全测评和安全审计等四类。 (一)国外研究现
3、状。在风险评估标准方面,1993年,美、英、德等国国家标准技术研究所与各国国家安全局制定并签署了信息技术安全通用评估准则。1997年形成了信息安全通用准则20版,1999年形成了CC21版,并被当作国际标准(150/IEC15408)。CC分为EALI到EAL7共7个评估等级,对相关领域的研究与应用影响深远。之后,风险评估和管理被国际标准组织高度重视,作为防止安全风险的手段,他们更加关注信息安全管理和技术措施,并体现在相继于1996年和2000年发布的信息技术安全管理指南(150/IECT13335标准)和信息技术信息安全管理实用规则(150/IEC177799)中。与此同时,全球在信息技术应
4、用和研究方面较为发达的国家也纷纷研发符合本国实际的风险管理标准。如美国国家标准与技术局自1990年以来,制定了十几个相关的风险管理标准。进入二十一世纪初,美国又制定发布了IT系统风险管理指南,细致入微地提出风险处理的步骤和方法。2002年与2003年,美国防部相继公布了信息(安全)保障指示(8500l)及更加完备的信息(安全)保障实现)指令(55002),为国家防务系统的安全评估提供了标准和依据。随着信息安全标准的广泛实施,风险评估服务市场应运而生。继政府、社会研究机构之后,市场敏锐的产业界也投入资金出台适应市场需求风险评估评估体系和标准。例如美国卡内基梅隆大学的OCTAVE方法等。在风险评估
5、方法方面,目前许多国内外的学者运用神经网络、灰色理论、层次分析法、贝叶斯网络、模糊数学、决策树法等多种方法,系统研究并制定与开发了不同类型、不同用途的风险评估模型,这些模型与方法虽然具备一定的科学依据,在不用范围和层面的应用中取得一定成果,但也存在不同程度的不足,比如计算复杂,成本高,难以广泛推广。 (二)国内相关研究现状。我国的研究较之国外起步稍晚,尽管信息化浪潮对各国的挑战程度不同,但都深受影响。20世纪90年代末,我国信息安全标准和风险评估模型的研究已广泛开展。但在电子政务网上的应用却是近几年才开始引发政府、公众及研究机构的关注。任何国家政府都十分重视对信息安全保障体系的宏观管理。但政府
6、依托什么来宏观控制和管理呢?实际上就是信息安全标准。所以在股价战略层面看,用哪个国家的标准,就会带动那个国家的相关产业,关系到该国的经济发展利益。标准的竞争、争夺、保护,也就成为各国信息技术战场的重要领域。但要建立国内通行、国际认可的技术标准,却是一项艰巨而长期的任务。我国从20世纪80年代开始,就组织力量学习、吸收国际标准,并逐步转化了一批国际信息安全基础技术标准,为国家安全技术工作的发展作出了重要贡献。信息安全技术标准的具体研究应用,首先从最直接的公共安全领域开始的。公安部首先根据实际需要组织制定和颁布了信息安全标准。1999年颁布了计算机信息系统安全保护等级划分准则(GB17859一19
7、99);2001年援引CC的GB/T18336一2001,作为我国安全产品测评的标准;在此基础上,2003年完成了风险评估规范第1部分:安全风险评估程序、风险评估规范第2部分:安全风险评估操作指南。同时,公安部以上述国家标准为依据,开展安全产品功能测评工作,以及安全产品的性能评测、安全性评测。在公安部的带动下,我国政府科研计划和各个行业的科技项目中,都列出一些风险评估研究项目,带动行业技术人员和各部门研究人员加入研究行列,并取得一些成果。这些成果又为风险评估标准的制定提供了丰富的材料和实践的依据。同时,国家测评认证机构也扩展自己的工作范围,开展信息系统的安全评测业务。2002年4月15日,全国
8、信息安全标准化技术委员会正式成立。为进一步推进工作,尽快启动一批信息安全关键性标准的研究工作,委员会制定了全国信息安全标准化技术委员会工作组章程(草案),并先后成立了信息安全标准体系与协调工作组(WG1)、内容安全分级及标识工作组(WG2)等10个工作组。经过我国各部门和行业的长期研究和实践,积累了大量的成果和经验,在现实需求下,制定我国自己的风险评估国家标准的条件初步成熟。2004年,国信办启动了我国风险评估国家标准的制定工作。该项工作由信息安全风险评估课题组牵头制定工作计划,将我国风险评估国家标准系列分为三个标准,即信息安全风险管理指南、信息安全风险评估指南和信息安全风险评估框架。每个标准
9、的内容和规定各不相同,共同组成国家标准系列。信息安全风险管理指南主要规定了风险管理的基本内容和主要过程,其中对本单位管理层的职责予以特别明确,管理层有权根据本单位风险评估和风险处理的结果,判断信息系统是否运行。信息安全风险评估指南规定,风险评估包括的特定技术性内容、评估方法和风险判断准则,适用于信息系统的使用单位进行自我风险评估及机构的评估。信息安全风险评估框架则规定,风险评估本身特定的概念与流程。 三、研究的难点及趋势 电子政务网的用户与管理层不一定具备计算机专业的技能与知识,其操作行为与管理方式可能造成安全漏洞,容易构成网络安全风险问题。目前存在的风险评估体系难以适应电子政务安全运行的基本
10、要求,因此结合电子政务网涉密性需求,需要设计一种由内部提出的相应的评估方法和评估准则,制定风险评估模型。当前存在的难点主要有:一是如何建立风险评估模型体系来解决风险评估中因素众多,关系错综复杂,主观性强等诸多问题,是当前电子政务网络信息安全评估研究的重点和难点。二是评估工作存在评估误差,也是目前研究的难点和不足之处。误差的不可避免性,以及其出现的随机性和不确定性,使得风险评估中风险要素的确定更加复杂,评估本身就具有了不确定性。从未来研究趋势看,一是要不断改进风险评估方法和风险评估模型。有研究者认为,要充分借鉴和利用模糊数学的方法,建立OCTAVE电子政务系统风险评估模型。它可以有效顾及评估中的
11、各项因素,较为简易地获得评估结果,并消除其中存在的主观偏差。二是由静态风险评估转向动态风险评估。动态的风险评估能够对电子政务信息安全评估进行较为准确的判断,同时可以及时制止风险进一步发生。在动态模型运用中,研究者主要提出了基于主成分的BP人工神经网络算法,通过对人工神经网络算法的进一步改进,实现定性与定量的有效结合。 参考文献: 1陈涛,冯平,朱多刚基于威胁分析的电子政务信息安全风险评估模型研究J情报杂志,2011,8:9498 2雷战波,胡安阳电子政务信息安全风险评估方法研究J中国信息界,2010,6 3余洋电子政务系统风险评估模型设计与研究D成都理工大学,2008 4周伟良,朱方洲,电子政务系统安全风险评估研究J电子政务,2007,29:6768 5赵磊电子政务网络风险评估与安全控制D上海交通大
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2024房屋买卖全款购房合同范本模板
- 2024年度劳动合同员工岗位及工资待遇
- 2024公立医院与医疗设备供应商之间的采购合同
- 2024丙丁双方就服务器租赁及维护合同
- 2024年度医药产品研发与生产承包合同
- 2024年度船舶租赁合同
- 2024年度股权投资投资人与目标公司股权转让合同
- 2024年修订版:知识产权许可使用合同标的规范
- 2024年度KTV装修设计服务合同
- 赛船音乐课件教学课件
- DZ∕T 0261-2014 滑坡崩塌泥石流灾害调查规范(1:50000)(正式版)
- DZ∕T 0011-2015 地球化学普查规范(1:50000)(正式版)
- 学生体育学情分析报告
- “枫桥经验”课件
- 第15课 列强入侵与中国人民的反抗斗争 教学设计-2023-2024学年中职高一上学期高教版(2023)中国历史全一册
- 2024年广西玉林北流市镇街道社区残疾人专职委员招聘笔试冲刺题(带答案解析)
- 2024年营养指导员理论知识考试题库及答案
- 2024年四川成都青白江蓉欧园区运营管理有限公司招聘笔试参考题库含答案解析
- MOOC 国家安全概论-西安交通大学 中国大学慕课答案
- 《1+X幼儿照护(中级)》课件-6.1.身高的测量与评估
- 团队协作与冲突解决技巧训练
评论
0/150
提交评论