时间:2023-07-03 09:40:43
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇电子政务的安全风险,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
0引言
随着电子政务不断推进,社会各阶层对电子政务的依赖程度越来越高,信息安全的重要性日益突出,在电子政务的信息安全管理问题中,基于现实特点的电子政务信息安全体系设计和风险评估[1]模型是突出的热点和难点问题。本文试图就这两个问题给出分析和建议。
1电子政务信息安全的总体要求
随着电子政务应用的不断深入,信息安全问题日益凸显,为了高效安全的进行电子政务,迫切需要搞好信息安全保障工作。电子政务系统采取的网络安全措施[2][3]不仅要保证业务与办公系统和网络的稳定运行,另一方面要保护运行在内部网上的敏感数据与信息的安全,因此应充分保证以下几点:
1.1基础设施的可用性:运行于内部专网的各主机、数据库、应用服务器系统的安全运行十分关键,网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏。
1.2数据机密性:对于内部网络,保密数据的泄密将直接带来政府机构以及国家利益的损失。网络安全系统应保证内网机密信息在存储与传输时的保密性。
1.3网络域的可控性:电子政务的网络应该处于严格的控制之下,只有经过认证的设备可以访问网络,并且能明确地限定其访问范围,这对于电子政务的网络安全十分重要。
1.4数据备份与容灾:任何的安全措施都无法保证数据万无一失,硬件故障、自然灾害以及未知病毒的感染都有可能导致政府重要数据的丢失。因此,在电子政务安全体系中必须包括数据的容灾与备份,并且最好是异地备份。
2电子政务信息安全体系模型设计
完整的电子政务安全保障体系从技术层面上来讲,必须建立在一个强大的技术支撑平台之上,同时具有完备的安全管理机制,并针对物理安全,数据存储安全,数据传输安全和应用安全制定完善的安全策略
在技术支撑平台方面,核心是要解决好权限控制问题。为了解决授权访问的问题,通常是将基于公钥证书(PKC)的PKI(PublicKeyInfrastructure)与基于属性证书(AC)的PMI(PrivilegeManagementInfrastructure)结合起来进行安全性设计,然而由于一个终端用户可以有许多权限,许多用户也可能有相同的权限集,这些权限都必须写入属性证书的属性中,这样就增加了属性证书的复杂性和存储空间,从而也增加了属性证书的颁发和验证的复杂度。为了解决这个问题,作者建议根据X.509标准建立基于角色PMI的电子政务安全模型。该模型由客户端、验证服务器、应用服务器、资源数据库和LDAP目录服务器等实体组成,在该模型中:
2.1终端用户:向验证服务器发送请求和证书,并与服务器双向验证。
2.2验证服务器:由身份认证模块和授权验证模块组成提供身份认证和访问控制,是安全模型的关键部分。
2.3应用服务器:与资源数据库连接,根据验证通过的用户请求,对资源数据库的数据进行处理,并把处理结果通过验证服务器返回给用户以响应用户请求。
2.4LDAP目录服务器:该模型中采用两个LDAP目录服务器,一个存放公钥证书(PKC)和公钥证书吊销列表(CRL),另一个LDAP目录服务器存放角色指派和角色规范属性证书以及属性吊销列表ACRL。
安全管理策略也是电子政务安全体系的重要组成部分。安全的核心实际上是管理,安全技术实际上只是实现管理的一种手段,再好的技术手段都必须配合合理的制度才能发挥作用。需要制订的制度包括安全行政管理和安全技术管理。安全行政管理应包括组织机构和责任制度等的制定和落实;安全技术管理的内容包括对硬件实体和软件系统、密钥的管理。
3电子政务信息安全管理体系中的风险评估
电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度。等级保护工作的要点是对电子政务系统进行风险分析,构建电子政务系统的风险因素集。
3.1信息系统的安全定级信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级。对电子政务的五个安全等级定义,结合系统面临的风险、系统特定安全保护要求和成本开销等因素,采取相应的安全保护措施以保障信息和信息系统的安全。
3.2采用全面的风险评估办法风险评估具有不同的方法。在ISO/IECTR13335-3《信息技术IT安全管理指南:IT安全管理技术》中描述了风险评估方法的例子,其他文献,例如NISTSP800-30、AS/NZS4360等也介绍了风险评估的步骤及方法,另外,一些组织还提出了自己的风险评估工具,例如OCTAVE、CRAMM等。
电子政务信息安全建设中采用的风险评估方法可以参考ISO17799、OCTAVE、CSE、《信息安全风险评估指南》等标准和指南,从资产评估、威胁评估、脆弱性评估、安全措施有效性评估四个方面建立风险评估模型。其中,资产的评估主要是对资产进行相对估价,其估价准则依赖于对其影响的分析,主要从保密性、完整性、可用性三方面进行影响分析;威胁评估是对资产所受威胁发生可能性的评估,主要从威胁的能力和动机两个方面进行分析;脆弱性评估是对资产脆弱程度的评估,主要从脆弱性被利用的难易程度、被成功利用后的严重性两方面进行分析;安全措施有效性评估是对保障措施的有效性进行的评估活动,主要对安全措施防范威胁、减少脆弱性的有效状况进行分析;安全风险评估就是通过综合分析评估后的资产信息、威胁信息、脆弱性信息、安全措施信息,最终生成风险信息。
在确定风险评估方法后,还应确定接受风险的准则,识别可接受的风险级别。
4结语
电子政务与传统政务相比有显著区别,包括:办公手段不同,信息资源的数字化和信息交换的网络化是电子政务与传统政务的最显著区别;行政业务流程不同,实现行政业务流程的集约化、标准化和高效化是电子政务的核心;与公众沟通方式不同,直接与公众沟通是实施电子政务的目的之一,也是与传统政务的重要区别。在电子政务的信息安全管理中,要抓住其特点,从技术、管理、策略角度设计完整的信息安全模型并通过科学量化的风险评估方法识别风险和制定风险应急预案,这样才能达到全方位实施信息安全管理的目的。
参考文献:
[1]范红,冯国登,吴亚非.信息安全风险评估方法与应用.清华大学出版社.2006.
随着电子政务应用的不断深入,信息安全问题日益凸显,为了高效安全的进行电子政务,迫切需要搞好信息安全保障工作。电子政务系统采取的网络安全措施[2][3]不仅要保证业务与办公系统和网络的稳定运行,另一方面要保护运行在内部网上的敏感数据与信息的安全,因此应充分保证以下几点:
1.1基础设施的可用性:运行于内部专网的各主机、数据库、应用服务器系统的安全运行十分关键,网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏。
1.2数据机密性:对于内部网络,保密数据的泄密将直接带来政府机构以及国家利益的损失。网络安全系统应保证内网机密信息在存储与传输时的保密性。
1.3网络域的可控性:电子政务的网络应该处于严格的控制之下,只有经过认证的设备可以访问网络,并且能明确地限定其访问范围,这对于电子政务的网络安全十分重要。
1.4数据备份与容灾:任何的安全措施都无法保证数据万无一失,硬件故障、自然灾害以及未知病毒的感染都有可能导致政府重要数据的丢失。因此,在电子政务安全体系中必须包括数据的容灾与备份,并且最好是异地备份。
2电子政务信息安全体系模型设计
完整的电子政务安全保障体系从技术层面上来讲,必须建立在一个强大的技术支撑平台之上,同时具有完备的安全管理机制,并针对物理安全,数据存储安全,数据传输安全和应用安全制定完善的安全策略
在技术支撑平台方面,核心是要解决好权限控制问题。为了解决授权访问的问题,通常是将基于公钥证书(PKC)的PKI(PublicKeyInfrastructure)与基于属性证书(AC)的PMI(PrivilegeManagementInfrastructure)结合起来进行安全性设计,然而由于一个终端用户可以有许多权限,许多用户也可能有相同的权限集,这些权限都必须写入属性证书的属性中,这样就增加了属性证书的复杂性和存储空间,从而也增加了属性证书的颁发和验证的复杂度。为了解决这个问题,作者建议根据X.509标准建立基于角色PMI的电子政务安全模型。该模型由客户端、验证服务器、应用服务器、资源数据库和LDAP目录服务器等实体组成,在该模型中:
2.1终端用户:向验证服务器发送请求和证书,并与服务器双向验证。
2.2验证服务器:由身份认证模块和授权验证模块组成提供身份认证和访问控制,是安全模型的关键部分。
2.3应用服务器:与资源数据库连接,根据验证通过的用户请求,对资源数据库的数据进行处理,并把处理结果通过验证服务器返回给用户以响应用户请求。
2.4LDAP目录服务器:该模型中采用两个LDAP目录服务器,一个存放公钥证书(PKC)和公钥证书吊销列表(CRL),另一个LDAP目录服务器存放角色指派和角色规范属性证书以及属性吊销列表ACRL。
安全管理策略也是电子政务安全体系的重要组成部分。安全的核心实际上是管理,安全技术实际上只是实现管理的一种手段,再好的技术手段都必须配合合理的制度才能发挥作用。需要制订的制度包括安全行政管理和安全技术管理。安全行政管理应包括组织机构和责任制度等的制定和落实;安全技术管理的内容包括对硬件实体和软件系统、密钥的管理。
转贴于中国论文下载中心www
3电子政务信息安全管理体系中的风险评估
电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度。等级保护工作的要点是对电子政务系统进行风险分析,构建电子政务系统的风险因素集。
3.1信息系统的安全定级信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级。对电子政务的五个安全等级定义,结合系统面临的风险、系统特定安全保护要求和成本开销等因素,采取相应的安全保护措施以保障信息和信息系统的安全。
3.2采用全面的风险评估办法风险评估具有不同的方法。在ISO/IECTR13335-3《信息技术IT安全管理指南:IT安全管理技术》中描述了风险评估方法的例子,其他文献,例如NISTSP800-30、AS/NZS4360等也介绍了风险评估的步骤及方法,另外,一些组织还提出了自己的风险评估工具,例如OCTAVE、CRAMM等。
电子政务信息安全建设中采用的风险评估方法可以参考ISO17799、OCTAVE、CSE、《信息安全风险评估指南》等标准和指南,从资产评估、威胁评估、脆弱性评估、安全措施有效性评估四个方面建立风险评估模型。其中,资产的评估主要是对资产进行相对估价,其估价准则依赖于对其影响的分析,主要从保密性、完整性、可用性三方面进行影响分析;威胁评估是对资产所受威胁发生可能性的评估,主要从威胁的能力和动机两个方面进行分析;脆弱性评估是对资产脆弱程度的评估,主要从脆弱性被利用的难易程度、被成功利用后的严重性两方面进行分析;安全措施有效性评估是对保障措施的有效性进行的评估活动,主要对安全措施防范威胁、减少脆弱性的有效状况进行分析;安全风险评估就是通过综合分析评估后的资产信息、威胁信息、脆弱性信息、安全措施信息,最终生成风险信息。
在确定风险评估方法后,还应确定接受风险的准则,识别可接受的风险级别。
4结语
电子政务与传统政务相比有显著区别,包括:办公手段不同,信息资源的数字化和信息交换的网络化是电子政务与传统政务的最显著区别;行政业务流程不同,实现行政业务流程的集约化、标准化和高效化是电子政务的核心;与公众沟通方式不同,直接与公众沟通是实施电子政务的目的之一,也是与传统政务的重要区别。在电子政务的信息安全管理中,要抓住其特点,从技术、管理、策略角度设计完整的信息安全模型并通过科学量化的风险评估方法识别风险和制定风险应急预案,这样才能达到全方位实施信息安全管理的目的。
参考文献:
[1]范红,冯国登,吴亚非.信息安全风险评估方法与应用.清华大学出版社.2006.
[2]李波杰,张绪国,张世永.一种多层取证的电子商务安全审计系统微型电脑应用.2007年05期.
【关键词】电子政务系统;安全体系结构;分域防护
信息技术的普及与应用推动着当前电子政务蓬勃发展,虽然电子政务有诸多便利,但也承受着巨大的安全威胁,解决威胁其发展的安全风险,对于电子政务更好的发挥服务优势有积极意义。下面我们在分析电子政务安全风险的基础上,探讨基于分域防护思想安全体系结构的设计与建立。
一.电子政务安全风险分析
电子政务是传统政务模式的延伸与转化,事关国家政务信息安全,政务系统运行中容易受到来自外界的各类风险因素的安全威胁,造成有意或无意的破坏,因此必须加强安全体系建设,保障信息安全与应用安全。电子政务的安全风险主要包括通信风险、物理风险、应用风险、管理风险、区域边界风险及其他风险等。通信风险来自于各类重要数据的泄露与丢失,来自通信传输线路上的监听与阻拦,数据本身完整性、安全性受到攻击威胁。物理风险是电子政务系统遭受来自自然灾害如风雨雷电地震等破坏,硬件设备受损造成数据都是活着损坏,静电、强磁场与电磁镭射等损坏存储介质,数据被偷窃或监听。应用风险是不断动态变化的,其所遭受的风险如程序后门、病毒威胁与恶意代码攻击等都是动态变化着的。电子政务系统作为一个复杂的集成系统,除去需要安全技术手段予以保驾护航之外,有效得当的管理才能事半功倍,管理不当包括口令、密钥管理不当,管理制度不完善造成信息无序运行,安全岗位设置及管理不到位,管理环节缺失或遗漏,政务审计系统与制度不到位等,以上这些管理不当都会造成安全风险[1]。区域边界风险是电子政务系统中不同安全等级区域之间的最易发生危险的区域边界处,区域边界不明确会导致高等级数据信息泄露,流向低等级造成泄露,或者边界防护漏洞导致用户非法访问或窃取高等级区域信息,损坏数据完整性、真实性与可用性。其他安全风险诸如安全意识淡漠、系统运行风险、信息安全战略认识不足等,都会导致电子政务系统运行威胁。
二、基于分域防护思想的电子政务系统安全体系结构设计
图1电子政务安全体系结构
电子政务系统作为服务于政府公务的重要支持系统,安全防护体系建设必须兼顾到系统本身的应用性、开放性等需求,遵循适度安全原则,解除其面临安全威胁,将政务系统划分为不同安全域,并针对各个安全域特点实施针对性安全举措。分域防护的应用有利于明确安全责任,消除政务互联网开放顾虑与障碍,便于科学组织与安全建设。基于分域防护思想,电子政务系统可根据系统本身特点、安全需求、环境重要性进行划分,系统方面可分为政务内网、外网与互联网,安全需求可分为通信传输安全、边界安全与环境安全,环境重要性可划分为核心域、重要域与一般域[2]。不同安全区域内,根据防护要求利用身份认证、访问控制、病毒防护、安全审计等诸多措施保障信息安全,配合软硬件基础设施与管理平台共同打造高效运行的安全体系。电子政务安全体系结构见图1。
分域防护思想指导下根据政务系统职能特点可划分为政务内网、外网与互联网络三类。政务内网是政府用于办公的内部局域网,主要处理一些保密等级较高的数据业务和网上办公事项,与外网链接,主要由信息处理、存储、传输设备构成,是政务核心处理区域和主要运行平台,与外网间实施物理隔离。外网主要服务政府各类政务部门,如法院、检察院、政府、政协、党委等,是业务专网,运行主要面对社会公众,处理一些无需内网处理的低保密等级公物,与互联网之间实施逻辑隔离。互联网作为公共性质的开放网站,向公众提供各类服务,比如政务信息、收集群众意见反馈及接受公众监督等。
分域防护安全结构中,根据环境重要性分为核心域、重要域与一般域。核心域是安全等级最高的政务系统核心区域,需要提供最严密的安全防护措施以保护机密等级最高的数据,做好其存储与安全管理。重要域是次安全等级区域,是国家政府部门各类政务信息交杂处理区域,需实施严密防护。一般域是安全等级较低的防护区域,公开性显著,提供各类公开政务信息与数据服务,防护关键在于保障数据的公开性、真实性、完整性与可用性。
分域防护安全结构中,安全方面主要以边界安全、通信传输安全和环境安全为主。通信传输安全关系到政府内网、外网与互联网之间的信息传输与沟通,安全防护既要保障数据的传输通常,又要避免来自外界的恶意攻击,保证传输数据的完整性、真实性与可用性[3]。网络环境安全则是系统自身计算环境安全域数据安全,即处理各个层次数据时有不被泄露、攻击和篡改的风险。边界防护安全则是不同等级安全域之间数据信息交换时不会出现由高向低或者由低向高的安全阀县漏洞,不会出现数据的泄露、流失与非法访问。
信息安全管理平台是安全体系结构中技术得以发挥作用的基础,关系到整个信息平台能否顺利运转,是防护关键,管理平台上要配备合适人员,加快标准化制度建设,提供规范制约、法律支持等,配合各类信息安全基础设施在政务系统保护中发挥作用。
综上所述,电子政务系统的发展和应用中承受着来自内外的众多安全威胁,利用分域防护思想可有效划分不同安全域,针对各个安全域特点实施针对性安全举措,解除其面临的安全威胁,有利于明确安全责任,消除政务互联网开放顾虑与障碍,便于科学组织与安全建设。
参考文献:
[1]吕欣.信息通信新技术环境下电子政务安全保障[J].信息网络安全.2010(02).
关键词:电子政务风险 电子政务项目 应对建议
一、现状
电子政务建设作为国民经济信息化的重要组成部分,在现阶段对于带动国民经济和社会信息化,提高国民信息化意识,进一步扩大信息化需求,推动信息技术在全社会各个领域的普及应用,都具有十分重要的现实意义。随着对电子政务投资的增加以及应用的深入。信息系统的规划、建设和运行的难度和风险因素剧增。通常,信息化项目都存在高风险,成功率平均只有30%左右,电子政务更不例外,而且相对一般信息化(如企业信息化)项目,电子政务项目更复杂,不确定性更大,经验更少。如果对潜在的困难和风险估计不足,或不能有效化解这些风险,将可能造成损失。因此应充分估计风险和困难,并通过加强全过程的管理来化解电子政务风险,提高项目的成功率。
二、电子政务风险简析
风险是指预期结果偏离期望值的可能性。风险一般可分为外部风险和内部风险。外部风险主要是指与项目本身没有直接关系,但又会影响到项目实施效果的客观因素即环境因素造成的风险;内部风险是指与项目本身直接相关的人或事对项目产生的影响所造成的风险。
(一)外部风险
外部风险作用于项目全过程,充分认识和正确处理外部风险是电子政务项目成功的重要前提。
首先,政策和法律风险是电子政务外部风险的基础性风险。在政策方面,政府可能颁布与为项目提供支持依据的条文产生冲突的法规、文件,或者为项目提供支持依据的条文失效;在法律方面,项目实施单位与政府部门在签订合同时未仔细审核合同条文、明确责权,或在一些涉及技术部分的条文方面存在信息不对称的情况,致使合作双方在许可权、专利等方面发生合同失效、诉讼等情况。
其次,转变和调整的风险,即部门发展战略的改变也会给电子政务带来风险。如果遇到大的人动或者大的政策变化,一个部门的整体战略会因此而受到影响,从而可能会要求电子政务系统的建设发生变化。
再次,领导特别是高层领导主要关注系统的表现,为确保系统表现稳定准确,一些隐蔽工程就可能放在上线后实施。由于需求变化的不可控性,会使项目不能在预期的时间内完成。我们把这样的风险称为进度风险。
最后,自然灾害、电信故障等不可抗力所引起的风险也是电子政务不可忽视的风险。
(二)内部风险
内部风险是可控风险,对电子政务项目能否成功具有决定性作用。按风险的来源分析,内部风险主要包括三个维度:协调性风险,技术性风险,实施与运行风险。
第一,协调性风险。协调性风险是合作主体即电子政务实施单位和政府部门之间的矛盾所造成的。对目标的期望和认识不一致,责任与信息不对称,文化意识差异和沟通矛盾等问题都是这种风险存在的原因。由于国内电子政务建设实践时间不长,加上缺少深入研究和经验不足。难以真正把握其本质和发展规律。一些人简单地认为只有加大信息化投资就可以实现跨越式发展,只有建设业务系统就是信息化,只要实现了网络化、数字化就可以开展电子政务。这种对信息化和电子政务的片面认识,会导致忽视行政改革、盲目建设等问题。系统设计时未充分考虑政府部门间的相互影响,在实施过程中受到其它强力部门以不符合某方面规划等理由而提出系统更改要求;需要多部门配合的系统可能会涉及到某个或某几个部门的既得利益,在建设和推广过程中,项目可能会受到阻挠。实施单位与政府部门之间缺乏有效沟通而造成的理解偏差所引起的风险,实质上是文化意识差异或不同沟通方式矛盾的外在表现。
第二,技术性风险。技术性风险是由对实施方案、软件开发工具和技术的选择及对软件和硬件设备的采购等涉及技术层面的问题所引起的风险。规划是电子政务建设的基础和主要工作,但由于对电子政务认识的局限性以及目前的行政体制和投融资体制等原因,很多项目在没有总体规划的情况下,临时策划并建设,出现了项目目标模糊、贪大求全、急于求成、脱离需求等问题。即使制定了规划,也可能是多个项目的简单罗列,不能切实针对电子政务的阶段要求,结合区域经济社会发展需要,紧密配合行政业务改革,有系统、有层次、有选择地规划电子政务项目。不能统筹各类信息化资源,致使已建成项目的相关性、集成度存在不足,效率低下。另外,系统设计时,对一些问题没有预见,使得设计错误影响项目的实施。开发软件环境没有准备好或与实际环境不同,导致产品无法装载到运行环境,或因为运行环境和产品开发环境的差异,尤其是开发机器与服务器硬件配置存在差异,从而造成部署困难。
由于政府采购需要一定的时间周期,当系统需要上线时必需的设备、软件不能按时到货,采购的产品不能满足系统升级或兼容其他政务平台的要求,或在选择开发工具时没有考虑技术的发展趋势与其它开发工具的协作性,从而导致信息孤岛的出现。项目建设中,涉及到对旧有异构数据和系统的整合时,由于在实施前没有做充分调查,不了解相关技术细节、采用比较成熟和稳定的整合方案,并制定接口规范,使得整合后系统不能正常使用或运行不稳定。
第三,实施与运行风险。人员组合不恰当与变动造成团队涣散,项目审批与监理存在问题,实施与运营没有很好交接,双方的信息沟通不畅等问题,都会影响电子政务的建设与应用。在资金使用方面,由于缺乏对部门资金的有效监督,使得浪费严重,建设成本不断攀升,并出现了不断攀比建设规模的现象;另外,如果没有合理的成本分析,或没有考虑到优化开发或创新管理以减少成本,会使项目缺少后续资金;项目在建设和运行阶段资金被挪用,造成进一步建设和运行困难。电子政务项目的效益主要体现在内部办公效率、对外服务能力等社会效益方面,并且缺少有效的测评指标及办法,因而难以量化考评。由于上述原因,电子政务项目在应用效益、资金使用与控制方面产生了潜在的风险。在建设和实施电子政务的时候,可能会需要再造旧有的政务运作模式,组织架构业绩考评体系。如果不对政务流程进行优化、简化,可能造成已建成的电子政务平台得不到很好应用,甚至完全不能使用。项目组成人员流动比较频繁,交接不顺利或管理不到位,使项目的进度和质量受到影响。开发团队内部或多个开发团队之间沟通与协调不够,导致程序员对系统设计的理解上出现偏差。实施方与政府部门交接时,开发人员与维护人员没有全而细致的工作沟通,造成一定时期内的维护困难。当电子政务平台进入使用阶段后,不少项目存在稳定性、安全性、可靠性等方面的不足,随着部分业务广泛且深度地利用信息系统,系统的任何不稳定、不安全、不可靠运行,都可能造成损失。对信息资源没有有效开发,对政务信息没有
按照信息标准的要求或不及时,都会造成不良影响。在电子政务建设中。由于资金规模膨胀对部门有利,且缺少项目评价办法,造成项目评价越来越模糊,责任无从分清,更无法追究。结果,电子政务项目规模越来越大,而效益问题却越来越模糊。这种“大投入、软约束、轻责任”,权利和责任不对称的情况将进一步增加电子政务建设的风险。
三、应对措施
(一)主管部门应加强宣传,使政府部门工作人员树立“用电子、重政务”的观念,对电子政务的本质有准确把握,明白在电子政务中,电子是工具,政务是目的。在选择电子政务方案时,要以“重政务”的态度,采用效果评估的方式,对到底要通过电子政务压缩多少流程,提高多少服务以及如何调整下属各部门的职能等方面进行摸底,认真分析。
(二)将电子政务曲建设和实施制度化、流程化。建立项目沟通机制,做好电子政务项目的前期咨询工作,对项目做专业的前期评估,认真分析功能需求及经费需求。电子政务主要是政府的事情,要充分发挥政府在电子政务项目建设过程中的积极作用。
(三)制定严密的操作程序,确定项目审核标准,加强监理。规范采购行为,对实施企业的选择实行透明化操作,鼓励竞争,提高财政资金的使用效率。
(四)鼓励合理的政务运作模式,转变政府职能,不断完善和提高政府内部管理水平,促进建设责任政府、法制政府、服务型政府以及洁、高效、公正、透明的政府。
研究表明,并非所有的风险因素都直接显著作用于电子政务外包绩效,有些风险因素是通过对其他风险因素的作用间接影响外包绩效的,并且影响作用也有显著与不显著的区别,这些直接、间接作用关系以及影响作用是否显著都是研究电子政务外包风险因素对其绩效的作用路径与效应所要重点考察的内容。
模型分析
信度指测量结果一致性或稳定性的程度。运用SPSS16.0对量表的信度进行检验,Cronbach’sα为0.844,而各分量表信度分析结果(表2的Cronbach’sAlpha系数)表明,5个潜在变量的α系数值均满足大于0.70的要求,因此,该量表具有较好的信度。结构效度是指量表测量结果同期望评估内容的同构程度,运用标准化因子负荷来检验结构效度,表2给出的结果表明,测量指标的标准化因子负荷(Estimate值)大部分大于0.7,并在99%的置信度下高度显著(C.R.值>2.58)。表明本研究构造的变量效度较好,适合做结构方程模型分析。前文建立的结构方程模型必须通过拟合度检验,才能认定假设模型与实际数据样本的一致性。若模型的拟合度高,则代表模型可用性越高,参数的估计越具有含义。对于拟合度的考核有较多指标,但不同的指标在不同的模型复杂度、样本数量下有着不同的表现特性,必须根据具体情况同时参考各种拟合度指标[4]。本研究利用AMOS7.0进行结构方程模型的分析,主要使用CMIN、RMSEA、CFI、GFI等较为稳定的指标考核模型拟合度,拟合后的评价结果及其理想值汇总于表3。从表3中可知假设模型较好地与样本数据拟合,具有较高拟合度。经过对结构方程模型的分析,可以得到各个潜在变量之间的路径系数以及可测变量与潜在变量之间的因子负荷。路径系数及因子负荷量汇总于上表2(Estimate值)。从中可知,潜在变量之间的路径系数、可测变量在对应的潜在变量中的因子负荷所对应的C.R.值均大于1.95的拟合要求,表明各路径系数以及因子负荷在p=0.05的水平上具有统计显著性,能够作为进一步分析的依据。2.3假设检验结果从表4可以看出,本文提出的假设模型中有10个假设通过了调查数据的验证(t>1.96),2个假设(H1和H7)没有通过调查数据的验证。
电子政务外包风险对绩效的作用路径及效应分析
由于篇幅有限,此处仅给出了变量间的总效应,如表5所示,而直接效应可由表2的Estimate值给出,相应的间接效应=总效应-直接效应。图2显示了电子政务外包风险因素间的相互作用关系以及风险对绩效的作用路径及效应。从表5看出,“外包决策风险”对“电子政务外包绩效”的总效应是最高的,但是其直接效应(0.152)却是不显著的,这是由于外包决策主要处于整个外包过程的前期,与其它环节的关系极为密切,其对外包绩效的影响主要是通过后续环节的其它风险因素间接作用的,对“关系管理风险”、“团队运作风险”、“成本管理风险”影响的总效应都大于0.6,均较为显著。外包内容、范围的决策是否合理、服务商选择是否正确对团队运作阶段的需求分析、服务质量、项目管理影响都比较大,外包市场不成熟引致的知识产权保护乏力、涉及核心机密的政务外包决策失误、选择的服务商商誉不良引起的信息泄漏等方面都对电子政务的安全构成威胁。因此,“外包决策风险”的扩散效应不可小觑,可能会由于外包决策的一些失误,导致连锁反应,最终对电子政务外包造成不可挽回的损失。当前,电子政务外包市场较不成熟,政府部门在制定外包决策过程中,要明确外包应该包什么、怎么包,确定具体的任务和目标,对潜在的运营企业进行评估,选择商誉良好的运营企业。在政府部门建立CIO制度,为外包决策提供支持。研究表明,成熟的CIO制度能够为外包范围程度、运营企业评估选择提供有效的指导与协调支持,较好地解决政府部门在外包决策中的信息不对称现象,防范机会主义风险[5],在外包执行过程中进行有效监督并给予有力的支持,提高政府部门在关系管理、知识管理、成本管理等方面的经验与能力。
“关系管理风险”对“电子政务外包绩效”的总效应略低于“外包决策风险”,居第二位,其直接效应(0.236)也仅次于“团队运作风险”,间接效应(0.435)非常显著。“关系管理风险”包含的风险因素中,‘合同不完善’、‘外包主体关系不和谐’以及‘外包主体之间缺乏沟通’都是外包领域较为常见也较难克服的风险因素,对电子政务外包绩效的影响较为深重。此外,“关系管理风险”与其它类别的风险因素关系也较为密切,对“知识管理风险”、“团队运作风险”的总效应均在0.7以上,显著水平较高。“关系管理风险”中的‘合同不完善’风险影响比较大,属关键风险因素,特别要重视这一风险因素对“知识管理风险”中的‘绩效评量体系失效’、‘知识共享不足的影响’。而‘外包主体关系不和谐’对“团队运作风险”中的‘团队结构与行为不适应’风险的影响效应也特别大,影响双方团队人员之间的沟通协作及问题的解决。为了防范关系管理风险,应制定明确、完善而兼具柔性的合同,加强政府部门与运营企业之间的伙伴关系管理。研究发现,基于满意、沟通合作、长期互动的关系能够改善政府部门与运营企业之间的信任程度[6],防止运营企业采取机会主义行为侵害政府部门的利益,实现双方共赢、共担风险、目标资源优势互补。在外包关系的管理上,促进双方建立长期的合作与信任关系,并通过短期合同的方式[7],使运营企业一直处于竞争的环境之中,激励他们提供较高质量的服务。
“知识管理风险”对“电子政务外包绩效”的总效应为0.441,直接效应为0.213,均较为显著。值得一提的是,“知识管理风险”对其它类风险的直接效应较不显著,唯独对“团队运作风险”的效应较为显著,达到0.597,并通过“团队运作风险”间接影响“成本管理风险”,这也构成了对“电子政务外包绩效”的间接效应。这主要由于“知识管理风险”潜伏性较强,不易识别,但是对团队运作的知识流程作用深远,对电子政务外包过程中的知识共享、安全保密控制、绩效评量、学习与创新能力的培养等方面的影响都较为关键,“知识管理风险”对“电子政务外包绩效”中的战略绩效的影响极为显著。此外,“知识管理风险”对“团队运作风险”的总效应也达到0.597,运营企业的知识管理能力与经验不足,在知识共享、安全保密控制、绩效评量等方面的工作就会做得不到位,相关的风险就很可能产生,而政府部门一旦缺乏知识管理方面的能力与经验,对知识流程(主要是知识共享、安全控制、评价)的监督控制就会大大削弱。电子政务外包双方要加强风险管理与知识管理的融合,通过对外包过程中的知识管理来控制风险,同时,也要通过风险管理经验的不断积累,形成风险管理知识并加以共享创新,提高外包过程中的知识管理水平[8]。外包双方应注重相关风险管理知识的存储、共享、运用与再创造,以提高知识管理与风险管理的融合水平。政府部门应加强知识转移控制、制定安全防范机制、确定合理的绩效评价标准,同时,也要重视组织学习与创新能力的培养,适时开展相关的学习培训活动,提高政府工作人员学习创新的积极性,注重知识与经验的积累,提高学习与创新能力,掌握外包过程中的主动权;运营企业应合理配置团队的知识资源,使得团队人员知识互补、互相协调,提高参与人员素质,防止信息泄露[9],及时向政府部门反馈绩效信息,完善相关文档,做好知识转移工作;监理方要严格规定外包主体责任,强化服务质量信息披露,充分发挥其咨询、监督、评估的作用,制定严格的电子政务外包安全执行标准和完备的安全监管制度,完善工作流程、加强外包合同约束机制,并协助政府部门选择信誉好、具有保密资质的运营企业。#p#分页标题#e#
在所有风险类别对“电子政务外包绩效”的直接效应中,最大的是“团队运作风险”,达到0.269,显著性水平较高。在电子政务外包的执行过程中,团队运作是关键,“团队运作风险”包含的潜在风险因素都会直接影响到绩效水平,而且影响作用都比较大,属于关键风险因素,特别是‘需求分析不准确’对后续工作的影响较为重大,不仅直接影响到团队运作的顺利进行,加大了团队运作阶段的风险,也不利于知识管理、成本管理的开展,应予以重视。“团队运作风险”对“成本管理风险”的总效应(0.585)较为显著,成本预算控制作为项目管理的关键,也需要双方具备相应的项目管理能力与经验,相应的风险对成本预算控制的不良影响也是需要予以重视的,而需求分析不准确与频繁变更对隐性成本累积的影响也是不容忽视的,团队结构与行为不适应引起的人员变动、沟通协调问题也增加了协调成本。研究表明,发包方与承包方在需求分析以及变更控制方面的风险问题,主要由于外包双方缺乏沟通以及对外包过程的控制不力,这也是团队运作的其它风险因素产生的主要原因。为此,运营企业应就政府部门的电子政务需求进行系统地调查分析,与对方加强沟通合作,在团队运作中重视政府部门人员的参与;政府部门应提高自身的管理经验与能力,促进团队结构与行为的协调,主管领导应对外包项目予以重视,提供必要的支持。
“成本管理风险”对“电子政务外包绩效”的直接效应虽略低于其它类别的风险因素,却是政府部门比较重视的一类风险,因为成本的降低始终是电子政务外包的主要动力因素之一。特别是‘交易成本控制不力’、‘隐性成本的累积’、‘成本预算控制失效’等风险因素不仅直接影响着“电子政务外包绩效”中的经济效益,而且还能通过作用于“外包决策风险”、“团队运作风险”而对整个外包过程产生较大的不利影响,甚至会由于成本控制不力、资金紧张等问题而导致外包项目的搁浅直至失败[10]。能否科学地估计电子政务外包成本,成为政府部门面临的一个难题,此外,由于对电子政务外包成本的约束力不足,成本预算机制尚未建立起来,这就有可能产生一定程度的浪费,腐败问题也将会出现。较高的交易成本主要源自于电子政务外包市场的不成熟,针对这个问题,应规范电子政务外包市场,对运营企业的选择条件和选择过程做到公开、公正,逐步建立起规范化的资质管理和公平竞争的准入制度。此外,政府部门作为发包方,应该加强对合同成本、监控协调成本、转向成本的控制[11],应重视隐性成本的累积风险,监督控制运营企业的服务质量,重视电子政务服务的可扩充性,以适应今后技术进步对电子政务提出的新要求;运营企业为了与政府部门发展长期的业务关系、建立良好的商誉,也应选用合适的技术手段及优质的软硬件设施,切实提高服务质量,减低隐性成本,此外,也要在外包执行过程中强化成本预算控制,提高资金使用效率,既能提高自身的收益,也提高了政府部门的电子政务外包经济效益。
1.1安全风险评估应用模型三阶段。
在电子政务系统设的实施过程,主要分为规划与设计阶段、建设与实施阶段、运行与管理阶段等三个阶段。其中,安全风险分析主要作用于规划与设计阶段,安全等级评估主要作用于建设与施工阶段,安全检查评估主要作用于运行与管理阶段。安全风险分析,主要是利用风险评估工具对系统的安全问题进行分析。对于信息资产的风险等级的确定,以及其风险的优先控制顺序,可以通过根据电子政务系统的需求,采用定性和定量的方法,制定相关的安全保障方案。安全等级评估,主要由自评估和他评估两种评估方式构成。被评估电子政务系统的拥有者,通过结合其自身的力量和相关的等级保护标准,进行安全等级评估的方式,称为自评估。而他评估则是指通过第三方权威专业评估机构,依据已颁布的标准或法规进行评估。通过定期或随机的安全等级评估,掌握系统动态、业务调整、网络威胁等动向,能够及时预防和处理系统中存在的安全漏洞、隐患,提高系统的防御能力,并给予合理的安全防范措施等。若电子政务网络系统需要进行较大程度上的更新或变革,则需要重新对系统进行安全等级评估工作。安全检查评估,主要是在对漏洞扫描、模拟攻击,以及对安全隐患的检查等方面,对电子政务网络系统的运行状态进行监测,并给予解决问题的安全防范措施。
1.2安全风险分析的应用模型。
在政府网络安全风险评估工作中,主要是借助安全风险评测工具和第三方权威机构,对安全风险分析、安全等级评估和安全检查评估等三方面进行评估工作。在此,本文重点要讲述的是安全风险分析的应用模型。在安全风险分析的应用模型中,着重需要考虑到的是其主要因素、基本流程和专家评判法。
(1)主要因素。
在资产上,政府的信息资源不但具有经济价值,还拥有者重要的政治因素。因此,要从关键和敏感度出发,确定信息资产。在不足上,政府电子政务网络系统,存在一定的脆弱性和被利用的潜在性。在威胁上,政府电子政务网络系统受到来自内、外部的威胁。在影响上,可能致使信息资源泄露,严重时造成重大的资源损失。
(2)基本流程。
根据安全需求,确定政府电子政务网络系统的安全风险等级和目标。根据政府电子政务网络系统的结构和应用需求,实行区域和安全边界的划分。识别并估价安全区域内的信息资产。识别与评价安全区域内的环境对资产的威胁。识别与分析安全区域内的威胁所对应的资产或组织存在的薄弱点。建立政府电子政务网络系统的安全风险评估方法和安全风险等级评价原则,并确定其大小与等级。结合相关的系统安全需求和等级保护,以及费用应当与风险相平衡的原则,对风险控制方法加以探究,从而制定出有效的安全风险控制措施和解决方案。
(3)专家评判法。
在建设政府电子政务网络系统的前期决策中,由于缺少相关的数据和资料,因此,可以通过专家评判的方法,为政府电子政务网络系统提供一个大概的参考数值和结果,作为决策前期的基础。在安全区域内,根据网络拓扑结构(即物理层、网络层、系统层、应用层、数据层、用户层),应用需求和安全需求划分的安全边界和安全区域,建立起风险值计算模型。通过列出从物理层到用户层之间结构所存在的薄弱点,分析其可能为资产所带来的影响,以及这些薄弱点对系统薄弱环节外部可能产生的威胁程度大小,进而通过安全风险评估专家进行评判,得到系统的风险值及排序。在不同的安全层次中,每个薄弱环节都存在着不同程度的潜在威胁。若是采用多嵌套的计算方法,能够帮助计算出特定安全区域下的资产在这些薄弱环节中的风险值。
2结语
一.一钻研违景及意义
在网络愈来愈普及的今天,信息传布的效力愈来愈高,人们足不出户便能随时患上知外界即时产生的首要事件,网络的优势愈来愈显明。为了知足人民的需求,适应高速发展的信息化时期,提高办公效力,迅速处理政务事务,各政府已经经建成或者正在建设电子政务系统。各电子政务系统通过网络进行连接,构成了庞大的电子政务网络。电子政务网络的建成,有益于建立政府的威信,对于社会的繁华以及经济发展都拥有重大意义。电子政务网络是各党政机关办公、传递文件、处理事件的网络,是社会最症结的机构的首要工具,因其特殊性所以极容易受到不法份子的袭击。电子政务系统遭到袭击,不管是作用规模仍是严重程度上都会遭遇极大的影响。例如武汉市电子政务内网遭病毒沾染,整个网络瘫痪二四小时,对于社会造成为了严重影响。又例如英美等国家的情报人员通过截获网络数据的方式获取政府下达的首要决策及施行方案,对于国家安全造成为了严重的要挟。以上种种,都表明了对于电子政务网络安全性的保证,是电子政务建设的重中之重。电子政务网络的结构必需加以完美,这样才能保证系统运行的高效性以及持久性;数据传输进程必需釆用安全高效的加密方式,才能在传输速度不受显明影响的情况下,即便网络数据包被非法获取,有效信息也不会暴露。不仅要对于现有的网络进行改良,在不断发展以及建设的新型网络结构中,也要树立相应的安全规范,只有依照公道的规范进行网络建设,方能在方方面面从根本上保证电子政务网络的安全。
一.二国内外钻研现状
目前,国内外都组建了比较成型的电子政务网络,其中每一个子网络包含电子办公系统、数据存储系统、门户网站等等系统,各个子网络均拥有必定的安全措施,总体的政务网络也有相应的安全标准。自从一九九三年-1美国首先提出电子政务的概念,一九九六年美国率先开始建设电子政务系统以来,欧洲的英国、法国,美洲的加拿大、巴西,亚洲的日本、新加坡等经济发达国家接踵启动了建设电子政务网络的规划。电子政务网络的树立赐与上的1些国家不管从经济上仍是事务管理上都带来了优势,我国也对于电子政务网络也逐步注重起来。于是,在一九九九年一月,由中国电信与多家党政机关、部委进行联合,共同协商,开始建设电子政务网络,早期目标是实现各级政府在网络长进行互联,实现公然信息、官民互动、网上报税、远程服务等项目。仅仅1年时间,在全国规模内的各级党政机关、部委申请的域名就到达二四00多个,办公效力大大晋升,可见电子政务网络对于提高政务处理能力、实现管理水平现代化都拥有重大意义。对于屯子政务网络采用的安全措施是其高效持久运转的根本保证。每一个独立的系统,都拥有完全的安全部系;电子政务网络的总体,也拥有相应的安全技术。其中安全部系包含物理环境安全、网络环境安全、操作系统安全、利用系统安全以及系统的安全管理等。物理环境安全是指承载电子政务系统的装备所在物理环境的安全情况,包含路线铺设、机房防火情况等。网络环境安全是指系统所处的网络种别的安全性,分为单独布网以及共用同1网络等。操作系统安全是指承载装备所运行的操作系统的安全机能。利用系统安全是电子政务系统安全性的核心,它的安全性抉择了电子政务系统总体的安全机能。安全管理包含人员管理、数据管理、操作规范管理和相应法律法规的束缚等。安全技术包含身份认证、防火墙、入侵防护、网络隔离等。身份认证能够对于用户公道分类,不同级别的用户拥有不同的权限,保证走访安全。防火墙能够过滤病毒以及木马等拥有损坏性的歹意程序。入侵防护能够分析用户行动,对于正常操作进行维护而过滤掉歹意行动,如网络渗入、歹意重复走访等。网络隔离可以将不同安全级别的网络环境进行物理或者逻辑上的隔离,使安全级别较高的数据患上到更为严密的维护。
第2章电子政务内网网络结构分析
二.一电子政务网络整体框架分析
网络袭击手腕包含网络窃听、入侵窃密以及木马“摆渡”等法子。网络窃听是在未授权的情况下,侦听或者栏截网络通讯传输信道或者服务器、路由器等网络装备中转发的通讯信息,用于窃听的嗅探器安装于主要网络节点上。入侵窃密是应用系统的漏洞或者安全防护的薄弱环节,应用木马以及口令破解等手腕进入内部网络,栏截网络上传输的信息、袭击目标计算机或者盗取其中存储的信息。木马“摆渡”是1种比较隐蔽的非法获守信息手腕。将木马暗藏并植入挪动存储装备,在与计算机进行数据交流时沾染目标,然后在计算机中也会隐秘行迹,扫描系统症结文件并传送至挪动存储装备中或者通过网络发送到袭击人的地址。计算机硬件风险包含终端硬件风险以及网络互联装备风险。终端硬件风险是计算机在制造以及使用进程中,因为技术或者人为缘由,存在必定安全漏洞。软件病毒应用计算机硬件的漏洞可以直接损坏计算机硬件系统,比如1度獗的CIH病毒就是比较典型的例子。CIH应用主板设计时留下的漏洞,通过向BIOS写入垃圾信息,致使某个型号主板完整破坏,造成为了硬件的损坏。网络连装备风险有播送风暴现象危及网络安全、安全保密度不高、网络互连装备的转发策略引发数据丢失、动态路由风险、IP冒用风险、远程保护漏洞。
关键词:SOA;电子政务
1 引言
随着政府信息化系统的完善,各行业与政务软件衔接的问题也越来越突出,政府通过电子政务软件来保证对各部门信息的共享,及下属企业信息的收集、数据处理等工作。而下属企业为了实现办公自动化必须引入相关的管理软件,这时就会产生不同系统之间数据的管理及共享问题。电子政务软件采用SOA的架构是比较适合的架构,因为分布于各部门和社会各单位中的系统是各自独立的也是千差万别的,当执行数据处理任务的时候,又需要这些系统进行协同操作,此时SOA就有了优势。本文从多个角度探讨了SOA架构下电子政务及项目管理软件之间的接口衔接问题。
2 SOA架构的概念
SOA面向服务的体系结构(Service-OrientedArchitecture)是一个组件模型。SOA与其它的标准不同的是,SOA的标准是基于分布式的、松耦合的,具有良好的夸平台性。它将应用程序的不同功能单元通过这些单元之间定义良好的接口和契约联系起来,接口是采用中立的方式进行定义的,它独立于实现服务的硬件平台、操作系统和编程语言。这使得构建在各种这样的系统中的各个单元可以用一种统一和通用的方式进行交互。
3 电子政务软件面临的问题
目前,我国的电子政务正在逐步实现由“政绩导向”向“服务导向”的转变。以服务为中心,使得使用者能够更广泛的、更快捷的获得需要的信息。但是目前电子政务软件的独立性很强,很难和其他软件进行交互,这使得各行业之间在上报资质等问题上需要2次登记,在企业内部的信息系统上登记相关的信息后再到政务软件上进行登记。同时,在项目管理上,项目组织机构人员的划分是需要严格的按照国家设计管理人员资质的等级划分的。企业内部系统与政务系统可能存在信息不一致的情况也会导致违背项目管理标准规范的现象。
因此,数据的完整性和唯一性的问题越来越突出。在这种环境下,利用信息化的手段,达成自上而下的政府业务标准和企业生产管理的统一,实现数据自底向上的快速准确汇集和业务自上而下的高度协同就显得十分重要。
4 如何完成电子政务软件与项目管理软件接口的衔接
由于电子政务软件的安全级别较高,出于安全性的角度,企业的其他软件只能读取政务软件的数据。
在具体实施SOA架构的电子政务与项目管理软件接口衔接时,注意从以下几个方面 :
1) 安全管理。
以SOA架构规划的电子政务的应用程序是比较繁杂的。对其进行保护也更为困难。因此需要专门的安全人员进行接口的开发,通过访问者的权限进行安全性的划分。本地用户通过登入项目管理系统,来获得对电子政务信息的访问权限。开发人员应该透彻的了解软件体系结构和安全性方面的知识,应同时了解SOA的相关知识。团队中的安全架构师将负责创建系统的安全模型。同时,安全架构师将与项目架构师配合工作,确保SOA实现符合安全性的要求,对电子政务系统及项目管理业务分析人员和系统工程师进行安全性指导。
2) 需求策略制定
在建立需求模型时,务必选择正确的工具,以便团队进行协作和方便地记录SOA的安全需求和创建SOA电子政务安全接口模型。正确的需求与分析工具将帮助团队了解问题领域、捕获和管理不断发展的需求、建模用户交互、在整个电子政务项目生命周期中包含参与者反馈,而最为重要的是进行协作。良好的安全需求与分析实践将极大地减少系统安全风险。
3) 风险评估
由于信息系统的重要性、计算机网络的开放性、信息系统组成部分的脆弱性以及用户有意、无意的不正当操作或恶意的破坏企图,使信息系统面临很多的风险。因此,对于企业要求电子政务开放的接口进行风险评估。在风险控制的过程中,企业是否具备适当的控制能力,以确保符合相关的管理规定。
5 总结
本文比较系统的分析了电子政务软件面临的问题,并总结了在SOA架构下安全实的各项特点和优势,提出电子政务系统与项目管理软件接口的衔接的方法。在文章中为电子政务与其他软件进行交互的安全运营提供安全管理制度规划、策略制定、风险评估等一系列服务,通过SOA服务型的管理平台,建立统一的安全策略,从而将有效提升电子政务的可扩充性,满足日益变更的需求。