電子政務的安全風險匯總十篇
時間:2023-07-14 16:41:10
序論:好文章的創作是一個不斷探索和完善的過程,我們為您推薦十篇電子政務的安全風險范例,希望它們能助您一臂之力,提升您的閱讀品質,帶來更深刻的閱讀感受。
篇(1)
中圖分類號:TP393.08 文獻標志碼:A 文章編號:1006-8228(2016)11-38-03
Analysis of information security risk assessment in E-government
Liu Feifei
(Department of Information, Business College of Shanxi University, Taiyuan, Shanxi 030031, China)
Abstract: In view of the security risk assessment in E-government system, the current situation of E-government system and the related concepts of information security risk assessment are introduced; The characteristics of risk assessment methods are analyzed, including OCTAVE method, SSE-CMM method and adaptive method being commonly used in E-government system; And the problems that need to be solved are discussed in order to provide reference for the security risk assessment of E-government.
Key words: E-government; security risk assessment; OCTAVE; adaptive method
0 引言
隨著計算機與網絡技術的飛速發展,我國各行各業信息化程度提高,電子政務也不例外。電子政務系統能夠及時、動態地對信息進行更新,有利于政府信息的公開與共享;同時,建立一個良好的業務服務平臺和信息互動平臺,可以確保信息和服務的實效性,提高政府服務的效率和質量。電子政務系統涉及政府敏感或秘密信息,系統的穩定性與安全性成為政府工作的必要保障。電子政務系統安全是一項系統工程,傳統的信息安全技術及設備不能帶來真正的安全,因此,對系統進行各階段的信息安全風險評估和管理是十分必要的。
1 電子政務系統現狀
1.1 網絡基本結構
電子政務是一個面向政府職能部門、企業以及民眾的復雜的多層次的服務系統,其結構如圖1所示[1]。內網是政府內部日常辦公網絡,實現內部信息的交流與處理,如文件傳送、郵件收發等;專網主要用于實現政府內轄的職能部門之間的信息的互通,用以協作完成相關的項目申請、審批等主管業務;外網也指公眾信息網是面向社會民眾提供信息和服務的綜合性網站,可以幫助公眾了解最新的政策動態,提供網絡服務等;信息庫,為三網服務提供數據和所需的資源。
1.2 系統安全風險
電子政務系統網絡結構復雜,業務繁多,數據機密性高,同時具有很大的開放性,所以勢必面臨各型各色的安全風險。主要體現在以下幾個方面。
⑴ 物理安全風險
由環境(如水災、火災、濕度等)或系統自身物理特性(如設備線路老化、電磁泄漏干擾等)引起的系統不可用的風險。物理安全是系統安全的前提和保障,應做好相關的隔離與保護工作。
⑵ 網絡安全風險
網絡結構規劃或安全部署不合理會帶來來自內部和外部的安全缺陷;路由器、三層交換機、網關等網絡設備自身配置及安全存在漏洞,會影響系統的安全性;另外,網絡中使用的互連、路由協議的不健全,也會給網絡帶來安全威脅。
⑶ 管理安全風險
管理是防范網絡內部攻擊的主要手段,是電子政務網絡安全的不可或缺的一部分。目前,管理和監管機制還不健全,不規范,缺乏可操作性,都會引起不可避免的安全風險。
2 信息安全風險評估概述
依據國際或國內的標準,使用相關的方法技術,標識系統中的核心資產及業務,識別存在的安全威脅及脆弱性,估算安全事件發生的可能性及帶來的損失,同時,制定安全防護加固策略,這就是信息安全風險評估。其中風險分析計算是關鍵,計算原理如圖2所示[2]。
常見的風險分析的方法有定量分析和定性分析。定量分析利用財務評估等手段來測算核心資產的實際價值,使用可量化的數值來估算系統的損失及風險等級,評估結果直觀有效,但是資產價值的核算和風險計算復雜;常用的定量分析有決策樹、聚類分析等[3]。定性分析通常依據評估者的知識經驗,采用文字或假定的數值范圍來評定風險等級,主觀性強,結論不夠嚴密;典型的分析方法有:德爾菲法、歷史比較法等。通常會在定性分析的基礎上,結合使用定量分析來實施風險的分析評估,如層次分析、概率分析等。
3 電子政務系統風險評估方法
目前,電子政務系統風險評估的方法主要有:OCTAVE方法、SSE-CMM方法及基于免疫的自適應法。
3.1 OCTAVE評估方法
OCTAVE(Operationally Critical Asset and Vulnerability Evaluation)可操作的關鍵資產、威脅評估法,它遵循自主的原則,從被評估組織中選調業務及信息技術人員組建團隊,以定性分析為主,提供一個可操作的、規范的技術框架[4]。它圍繞關鍵資產進行評估,評估人員要充分認識關鍵資產、資產所受威脅及系統存在脆弱性之間的關系。OCTAVE方法實施過程如圖3所示。首先,組建評估團隊,標識關鍵資產及存在威脅;其次,標識與關鍵資產相關的子系統及組件存在的脆弱性;最后,進行風險分析計算,確定風險等級,制定防護策略計劃。
OCTAVE法從組織內部調配人員參與評估,會使得評估的內容更加全面,更具有可操作性,不同的組織根據自身的需求,可以通過多種不同的形式來實踐執行。但是它依賴人為因素,只能粗略評估系統可能遭受的風險。
3.2 SSE-CMM評估方法
SSE-CMM(Systems Security Engineering Capability Maturity Model)系統工程能力成熟度模型,在安全工程中,針對不同的安全目標,定義了相應的模塊化過程,并能夠對組織執行特定過程的能力做出量化的評定,從而幫助尋找實現最終目標的最優途徑。它將信息系統的安全過程分為3個模塊化過程,通過11個過程域PA(Process Area)和5個能力成熟度級別來描述:風險評估過程,分析安全系統中存在的威脅;工程實施過程,利用相關措施解決/處理威脅可能帶來的問題;信任度評估過程,評估執行者解決問題的能力。為了實現風險評估過程目標,SSE-CMM法定義了威脅評估、脆弱性評估、事件影響評估及系統風險評估等四個子過程。
SSE-CMM法指出了系統安全評估過程中的關鍵過程及必需的基本實施,同時能夠量化評定每個過程的可行性,削弱了評估中的主觀性;但是其沒有規定過程的執行流程和步驟,可操作性差。
3.3 自適應評估方法
自適應評估法的關鍵在于系統的安全“免疫”子系統(也就是系統中的實時安全監控系統),它要求“免疫”系統能夠區分無害的自體和有害的非自體,并能夠根據需要及時地清理系統中的非自體;同時可以根據“免疫”系統受到的破壞實時動態地進行風險評估,實施防護。它要在“免疫”系統中定義“免疫”細胞,當出現黑客攻擊、病毒等外來威脅時,“免疫”系統就會根據受侵害的程度發生動態變化,做出具體的響應,如禁止服務、關閉端口、關機等。另外,如果系統中的任意一臺主機被攻擊,都會迅速通知其他主機,使整個系統的安全得到最大的保障。
自適應風險評估法可以快速地識別系統中現有的風險,實施實時防護,并動態調整防護系統,更好地提高系統的安全性,是未來的發展趨勢。但是它的實施難度較大,系統成本較高。
電子政務系統風險評估是一項復雜的大工程,一般采用可操作性較強的OCTAVE方法,但是OCTAVE方法是定性分析的,主觀性較強,評估結果較為粗略。所以,在實際的評估過程中經常將層次分析、模糊數學、熵理論、D-S證據理論及BP神經網絡等應用到OCTAVE方法中,來降低對于人為主觀性的依賴,優化評估的結果[5]。
4 結束語
伴隨各種移動電子政務業務的出現,使得電子政務系統的安全形勢更加嚴峻,針對電子政務系統開展信息安全風險評估,我們可以發現,系統在建設、實施和運行過程中存在的威脅、脆弱性及風險,而部署防護及加固安全策略,可以為電子政務提供安全可靠的網絡環境。
目前,電子政務系統信息安全風險評估還需要在以下方面加強研究:適應電子政務行業需求的風險評估方法及模型的研究;適用于風險評估不同階段的自動化評估工具的開發;動態風險評估方法的設計與應用。
參考文獻(References):
[1] 李煜川.電子政務系統信息安全風險評估研究―以數字檔案
館為例[D].蘇州大學碩士學位論文,2011.
[2] 唐作其,陳選文,戴海濤,郭峰.多屬性群決策理論信息安全風
險評估方法研究[J].計算機工程與應用,2011.47(15):104-107
[3] 李增鵬,馬春光,李迎濤.基于層次分析信息系統風險評
估[J].理論研究,2014.3:80-86
[4] 趙磊.電子政務網絡風險評估與安全控制[D].上海交通大學
篇(2)
1.1基礎設施的可用性:運行于內部專網的各主機、數據庫、應用服務器系統的安全運行十分關鍵,網絡安全體系必須保證這些系統不會遭受來自網絡的非法訪問、惡意入侵和破壞。
1.2數據機密性:對于內部網絡,保密數據的泄密將直接帶來政府機構以及國家利益的損失。網絡安全系統應保證內網機密信息在存儲與傳輸時的保密性。
1.3網絡域的可控性:電子政務的網絡應該處于嚴格的控制之下,只有經過認證的設備可以訪問網絡,并且能明確地限定其訪問范圍,這對于電子政務的網絡安全十分重要。
1.4數據備份與容災:任何的安全措施都無法保證數據萬無一失,硬件故障、自然災害以及未知病毒的感染都有可能導致政府重要數據的丟失。因此,在電子政務安全體系中必須包括數據的容災與備份,并且最好是異地備份。
2電子政務信息安全體系模型設計
完整的電子政務安全保障體系從技術層面上來講,必須建立在一個強大的技術支撐平臺之上,同時具有完備的安全管理機制,并針對物理安全,數據存儲安全,數據傳輸安全和應用安全制定完善的安全策略
在技術支撐平臺方面,核心是要解決好權限控制問題。為了解決授權訪問的問題,通常是將基于公鑰證書(PKC)的PKI(PublicKeyInfrastructure)與基于屬性證書(AC)的PMI(PrivilegeManagementInfrastructure)結合起來進行安全性設計,然而由于一個終端用戶可以有許多權限,許多用戶也可能有相同的權限集,這些權限都必須寫入屬性證書的屬性中,這樣就增加了屬性證書的復雜性和存儲空間,從而也增加了屬性證書的頒發和驗證的復雜度。為了解決這個問題,作者建議根據X.509標準建立基于角色PMI的電子政務安全模型。該模型由客戶端、驗證服務器、應用服務器、資源數據庫和LDAP目錄服務器等實體組成,在該模型中:
2.1終端用戶:向驗證服務器發送請求和證書,并與服務器雙向驗證。
2.2驗證服務器:由身份認證模塊和授權驗證模塊組成提供身份認證和訪問控制,是安全模型的關鍵部分。
2.3應用服務器:與資源數據庫連接,根據驗證通過的用戶請求,對資源數據庫的數據進行處理,并把處理結果通過驗證服務器返回給用戶以響應用戶請求。
2.4LDAP目錄服務器:該模型中采用兩個LDAP目錄服務器,一個存放公鑰證書(PKC)和公鑰證書吊銷列表(CRL),另一個LDAP目錄服務器存放角色指派和角色規范屬性證書以及屬性吊銷列表ACRL。
安全管理策略也是電子政務安全體系的重要組成部分。安全的核心實際上是管理,安全技術實際上只是實現管理的一種手段,再好的技術手段都必須配合合理的制度才能發揮作用。需要制訂的制度包括安全行政管理和安全技術管理。安全行政管理應包括組織機構和責任制度等的制定和落實;安全技術管理的內容包括對硬件實體和軟件系統、密鑰的管理。
轉貼于中國論文下載中心www
3電子政務信息安全管理體系中的風險評估
電子政務信息安全等級保護是根據電子政務系統在國家安全、經濟安全、社會穩定和保護公共利益等方面的重要程度。等級保護工作的要點是對電子政務系統進行風險分析,構建電子政務系統的風險因素集。
3.1信息系統的安全定級信息系統的安全等級從低到高依次包括自主保護級、指導保護級、監督保護級、強制保護級、專控保護級五個安全等級。對電子政務的五個安全等級定義,結合系統面臨的風險、系統特定安全保護要求和成本開銷等因素,采取相應的安全保護措施以保障信息和信息系統的安全。
3.2采用全面的風險評估辦法風險評估具有不同的方法。在ISO/IECTR13335-3《信息技術IT安全管理指南:IT安全管理技術》中描述了風險評估方法的例子,其他文獻,例如NISTSP800-30、AS/NZS4360等也介紹了風險評估的步驟及方法,另外,一些組織還提出了自己的風險評估工具,例如OCTAVE、CRAMM等。
電子政務信息安全建設中采用的風險評估方法可以參考ISO17799、OCTAVE、CSE、《信息安全風險評估指南》等標準和指南,從資產評估、威脅評估、脆弱性評估、安全措施有效性評估四個方面建立風險評估模型。其中,資產的評估主要是對資產進行相對估價,其估價準則依賴于對其影響的分析,主要從保密性、完整性、可用性三方面進行影響分析;威脅評估是對資產所受威脅發生可能性的評估,主要從威脅的能力和動機兩個方面進行分析;脆弱性評估是對資產脆弱程度的評估,主要從脆弱性被利用的難易程度、被成功利用后的嚴重性兩方面進行分析;安全措施有效性評估是對保障措施的有效性進行的評估活動,主要對安全措施防范威脅、減少脆弱性的有效狀況進行分析;安全風險評估就是通過綜合分析評估后的資產信息、威脅信息、脆弱性信息、安全措施信息,最終生成風險信息。
在確定風險評估方法后,還應確定接受風險的準則,識別可接受的風險級別。
4結語
電子政務與傳統政務相比有顯著區別,包括:辦公手段不同,信息資源的數字化和信息交換的網絡化是電子政務與傳統政務的最顯著區別;行政業務流程不同,實現行政業務流程的集約化、標準化和高效化是電子政務的核心;與公眾溝通方式不同,直接與公眾溝通是實施電子政務的目的之一,也是與傳統政務的重要區別。在電子政務的信息安全管理中,要抓住其特點,從技術、管理、策略角度設計完整的信息安全模型并通過科學量化的風險評估方法識別風險和制定風險應急預案,這樣才能達到全方位實施信息安全管理的目的。
參考文獻:
[1]范紅,馮國登,吳亞非.信息安全風險評估方法與應用.清華大學出版社.2006.
篇(3)
中圖分類號:C93文獻標識碼: A
一、 電子政務概述
電子政務,亦稱電子政府、政府信息化管理,是政府機構以計算機為媒介,應用現代信息和通信技術,將政府的管理和服務工作通過網絡技術進行集合,以實現政府部門工作的進行以及組織結構的優化重組,從而及時向社會及公眾提供全方位、行之有效的管理和服務。
電子政務是政府管理方式的革命,它的運行有助于建立一個開放透明的政府,一個勤政廉潔的政府。電子政務職能實現的前提是信息安全的有效保障,大量政府公文在政務信息網絡上的流轉,一旦存在信息安全問題,則直接導致機密數據和信息的泄漏,危及到政府的核心政務。如果電子政務信息安全得不到保障,電子政務的效率便無從保證,這將給國家利益帶來嚴重威脅。所以說,信息安全是制約電子政務建設與發展的首要問題和核心問題。
二、 電子政務面臨的風險
(一) 認知層面的風險
電子政務在國內建設與使用時間不長,缺乏深入研究。一些人只是簡單地認為電子政務系統就是信息化,只要實現了網絡數字化就可以推行電子政務,從而出現盲目建設、脫離現實條件等問題;還有一部分人認為電子政務就是運用計算機代替傳統手工模式,這就固化了現有政府結構,不利于政府的改造與職能的轉變。
(二) 規劃層面的風險
規劃層面的風險主要有:規劃制定人員、規劃的范圍和內容、規劃計劃的實施步驟、規劃中的政策因素等等。
信息技術的進一步應用,使得政府的組織形態正在由傳統的金字塔垂直模式向錯綜復雜的網狀結構轉變,這就要求政務機構的運行方式作出相應轉變,進行電子政務的整體規劃。電子政務是整個系統建設的基礎,是項目成功的基本保障。只有了解了本地區的發展現狀,了解地方政府的特點,了解本地區的政務工作流程,才能編制出適合本地區電子政務的發展規劃。但目前,地方政府在電子政務方面的規劃明顯不足,缺乏可操作性,這就導致在使用過程中面臨著很大風險。
(三) 物理安全層面的風險
物理安全層面的風險主要指的是網絡環境和物理特性引起的網絡設備和線路的不可用,從而造成網絡系統的不可用。例如,線路老化、蓄意破壞、設備意外故障、自然災害等, 這些都屬于物理安全層面的潛在風險因素。
(四) 應用層面的風險
應用層面的風險主要表現為非法訪問,即竊取用戶口令、用戶信息被剽竊或修改等,由于政府網絡對外提供WWW服務,Email服務、DNS服務等,因此也存在著外網非法用戶對內部服務器的攻擊。
(五) 系統層面的風險
當前電子政務網通常采用的操作系統本身在安全方面的考慮較少,服務器與數據庫的安全級別較低,這在很大程度上存在著安全隱患,加之病毒的潛伏,這些都增加了系統在安全方面的脆弱性。
(六) 技術層面的風險
技術層面的風險主要表現為技術線路、設備選型、工程質量、系統性能等風險。技術層面的風險不僅關系到項目的實施情況,也關系到項目后期的維護和應用。現階段受技術發展的制約,我們在技術方面還存在著很大欠缺,因此存在著一定的技術風險。
(七) 資金層面的風險
受利益的驅使,有些部門在制定規劃時,將電子政務的規模越做越大,虛設資金越來越多,這就使得電子政務的建設變得越來越困難。除此之外,在資金使用方面,由于缺乏對部門資金的有效監督,使得資金浪費現象嚴重。如果不能合理計劃和控制資金的流向,這將直接影響電子政務的建設,甚至促使一種新的腐敗的產生。另外,在后期維護上,電子政務系統也需要運營資金的支持,沒有了運營資金的有效支持,就沒有了電子政務的內容來源。
(八) 管理層面的風險
在電子政務運行過程中需要管理的內容主要有規劃管理、技術管理、過程管理、運維管理、安全管理等。管理的風險不僅體現在單個項目的管理,也體現在根據規劃對相關項目群的管理風險。管理風險是項目實施過程中最主要的風險,是項目成敗與否的關鍵。隨著信息系統建設和應用規模的不斷擴大,管理的難度和風險還將不斷加大,但與此同時,政府部門缺乏信息化項目管理的專業人員,缺乏項目管理的風險意識,這與快速發展的電子政務管理要求不相匹配。
三、 電子政務管理防范措施
(一)強化信息管理人員的安全意識
電子政務信息安全是電子政務正常而高效運轉的基礎,是保障國家信息安全的重要前提,電子政務信息管理人員要正確認識并高度重視,及時發現影響信息安全的現象。政府部門要對信息管理人員進行必要的培訓,普及信息安全知識,增強信息管理人員的安全意識;積極開展安全策略研究,明確安全責任,增強信息管理人員的責任心;積極組織各種講座和培訓班,培養專業信息安全人才,確保防范手段和技術措施的先進性和主動性。
(二)實施保障措施,建立系統安全保障體系
電子政務系統安全風險的威脅無處不在,它主要來自于物理環境、技術環境、社會環境等。建立全方位的電子政務信息系統安全保障體系是規避電子政務安全威脅因素的必要方式。在充分分析系統安全風險的基礎上,通過制定系統安全策略和采用先進的安全技術,才能對系統實施安全防護和監控,使其真正成為智能型系統安全體系。具體做法有:
1.實施監測系統的運行情況,及時發現和制止可能對系統出現威脅的各種攻擊;
2.記錄和分析安全審計數據,檢查系統中出現的違規行為,判斷是否違反法律法規,為改進系統提供充足的依據;
3.對數據恢復應進行應急處理和響應,及時恢復信息,降低被攻擊的破壞程度,包括備份、自動恢復、快速恢復等。
(三)制定合理資金計劃,確保有序利用
充足的資金是保證電子政務順利開展的必要條件。前期指定電子政務建設的方案中,要根據本單位、本部門的實際情況制定合理的資金預算方案,確保不虛報資金預算,杜絕腐敗滋生;在后期維護過程中,資金也要及時到位,以確保電子政務信息系統的順利進行。
(四)健全電子政務法律法規建設
法律是保障電子政務信息安全的最有力手段。政府立法部門應加快立法進程,借鑒國外網絡信息安全立法方面的先進經驗,制定完備的信息網絡安全性法規,完善我國的網絡信息安全法律體系,使得電子政務信息安全管理走上法制化軌道。
電子政務是實現“電子政府”的有效途徑,在政府推動信息化的同時,也要注意其過程中產生的風險,正視風險本身,加快制定保障電子政務健康發展的政策法規,才能降低風險,從而有力地推動和改進政府的管理方式,才能有助于更好的發揮其政府職能。
參考文獻:
[1]方德英,李敏強.IT項目風險管理理論體系構建[J].合肥工業大學學報(自然科學版),2003,,2(8):907-908.
篇(4)
2 電子政務發展現狀以及概念
2.1 電子政務信息安全保密管理階段
目前,可以將我國電子政務中的信息安全保密管理分成三個階段:(1)實現全自動化辦公,應用的工具主要是Office軟件以及臺式計算機,把原來的手寫形式變成了電子輸入,使辦公操作能夠更加快捷和方便;(2)把Internet當做主要客戶端,不同用戶、不同行業以及不同終端等都可以貫通交互,使信息交換以及資源共用范圍可以更加廣泛,顯著提升了以前的工作效率;(3)以外部網絡以及內部網絡共同建立的電子政務信息為中心。
2.2 電子政務具體概念和相應的保密要求
所謂電子政務就是指國家政府機構通過現代信息技術以及通信功能進行政務信息交流的手段,利用網絡技術使管理工作以及服務在這一領域更加深化,從而產生的一種信息交流方式,就是為了優化重組政府內部具體工作流程以及組織結構,使其不再受到時間以及部門和空間的分隔限制,讓政府能夠有效地和更加誠信地進行行政管理,使管理環節更加精簡,為社會提供更加優質、透明、規范、全面的管理以及服務。我國《保密法》是在2010 年重新修訂并且正式實施的,其中就進行了規定,以保證國家秘密安全為工作前提,合理應用相應的電子網絡信息。和發達國家相比,我國信息產業發展以及信息技術水平還比較落后,雖然有些安全軟件可以對電子政務起到一定的防御作用,同時,也必須考慮安全軟件所具有的性能是否與電子政務的國情相符。
3 電子政務信息具體安全保密風險和相應的防范措施
3.1 網絡技術安全所具有的脆弱性
篇(5)
模型分析
信度指測量結果一致性或穩定性的程度。運用SPSS16.0對量表的信度進行檢驗,Cronbach’sα為0.844,而各分量表信度分析結果(表2的Cronbach’sAlpha系數)表明,5個潛在變量的α系數值均滿足大于0.70的要求,因此,該量表具有較好的信度。結構效度是指量表測量結果同期望評估內容的同構程度,運用標準化因子負荷來檢驗結構效度,表2給出的結果表明,測量指標的標準化因子負荷(Estimate值)大部分大于0.7,并在99%的置信度下高度顯著(C.R.值>2.58)。表明本研究構造的變量效度較好,適合做結構方程模型分析。前文建立的結構方程模型必須通過擬合度檢驗,才能認定假設模型與實際數據樣本的一致性。若模型的擬合度高,則代表模型可用性越高,參數的估計越具有含義。對于擬合度的考核有較多指標,但不同的指標在不同的模型復雜度、樣本數量下有著不同的表現特性,必須根據具體情況同時參考各種擬合度指標[4]。本研究利用AMOS7.0進行結構方程模型的分析,主要使用CMIN、RMSEA、CFI、GFI等較為穩定的指標考核模型擬合度,擬合后的評價結果及其理想值匯總于表3。從表3中可知假設模型較好地與樣本數據擬合,具有較高擬合度。經過對結構方程模型的分析,可以得到各個潛在變量之間的路徑系數以及可測變量與潛在變量之間的因子負荷。路徑系數及因子負荷量匯總于上表2(Estimate值)。從中可知,潛在變量之間的路徑系數、可測變量在對應的潛在變量中的因子負荷所對應的C.R.值均大于1.95的擬合要求,表明各路徑系數以及因子負荷在p=0.05的水平上具有統計顯著性,能夠作為進一步分析的依據。2.3假設檢驗結果從表4可以看出,本文提出的假設模型中有10個假設通過了調查數據的驗證(t>1.96),2個假設(H1和H7)沒有通過調查數據的驗證。
電子政務外包風險對績效的作用路徑及效應分析
由于篇幅有限,此處僅給出了變量間的總效應,如表5所示,而直接效應可由表2的Estimate值給出,相應的間接效應=總效應-直接效應。圖2顯示了電子政務外包風險因素間的相互作用關系以及風險對績效的作用路徑及效應。從表5看出,“外包決策風險”對“電子政務外包績效”的總效應是最高的,但是其直接效應(0.152)卻是不顯著的,這是由于外包決策主要處于整個外包過程的前期,與其它環節的關系極為密切,其對外包績效的影響主要是通過后續環節的其它風險因素間接作用的,對“關系管理風險”、“團隊運作風險”、“成本管理風險”影響的總效應都大于0.6,均較為顯著。外包內容、范圍的決策是否合理、服務商選擇是否正確對團隊運作階段的需求分析、服務質量、項目管理影響都比較大,外包市場不成熟引致的知識產權保護乏力、涉及核心機密的政務外包決策失誤、選擇的服務商商譽不良引起的信息泄漏等方面都對電子政務的安全構成威脅。因此,“外包決策風險”的擴散效應不可小覷,可能會由于外包決策的一些失誤,導致連鎖反應,最終對電子政務外包造成不可挽回的損失。當前,電子政務外包市場較不成熟,政府部門在制定外包決策過程中,要明確外包應該包什么、怎么包,確定具體的任務和目標,對潛在的運營企業進行評估,選擇商譽良好的運營企業。在政府部門建立CIO制度,為外包決策提供支持。研究表明,成熟的CIO制度能夠為外包范圍程度、運營企業評估選擇提供有效的指導與協調支持,較好地解決政府部門在外包決策中的信息不對稱現象,防范機會主義風險[5],在外包執行過程中進行有效監督并給予有力的支持,提高政府部門在關系管理、知識管理、成本管理等方面的經驗與能力。
“關系管理風險”對“電子政務外包績效”的總效應略低于“外包決策風險”,居第二位,其直接效應(0.236)也僅次于“團隊運作風險”,間接效應(0.435)非常顯著。“關系管理風險”包含的風險因素中,‘合同不完善’、‘外包主體關系不和諧’以及‘外包主體之間缺乏溝通’都是外包領域較為常見也較難克服的風險因素,對電子政務外包績效的影響較為深重。此外,“關系管理風險”與其它類別的風險因素關系也較為密切,對“知識管理風險”、“團隊運作風險”的總效應均在0.7以上,顯著水平較高。“關系管理風險”中的‘合同不完善’風險影響比較大,屬關鍵風險因素,特別要重視這一風險因素對“知識管理風險”中的‘績效評量體系失效’、‘知識共享不足的影響’。而‘外包主體關系不和諧’對“團隊運作風險”中的‘團隊結構與行為不適應’風險的影響效應也特別大,影響雙方團隊人員之間的溝通協作及問題的解決。為了防范關系管理風險,應制定明確、完善而兼具柔性的合同,加強政府部門與運營企業之間的伙伴關系管理。研究發現,基于滿意、溝通合作、長期互動的關系能夠改善政府部門與運營企業之間的信任程度[6],防止運營企業采取機會主義行為侵害政府部門的利益,實現雙方共贏、共擔風險、目標資源優勢互補。在外包關系的管理上,促進雙方建立長期的合作與信任關系,并通過短期合同的方式[7],使運營企業一直處于競爭的環境之中,激勵他們提供較高質量的服務。
“知識管理風險”對“電子政務外包績效”的總效應為0.441,直接效應為0.213,均較為顯著。值得一提的是,“知識管理風險”對其它類風險的直接效應較不顯著,唯獨對“團隊運作風險”的效應較為顯著,達到0.597,并通過“團隊運作風險”間接影響“成本管理風險”,這也構成了對“電子政務外包績效”的間接效應。這主要由于“知識管理風險”潛伏性較強,不易識別,但是對團隊運作的知識流程作用深遠,對電子政務外包過程中的知識共享、安全保密控制、績效評量、學習與創新能力的培養等方面的影響都較為關鍵,“知識管理風險”對“電子政務外包績效”中的戰略績效的影響極為顯著。此外,“知識管理風險”對“團隊運作風險”的總效應也達到0.597,運營企業的知識管理能力與經驗不足,在知識共享、安全保密控制、績效評量等方面的工作就會做得不到位,相關的風險就很可能產生,而政府部門一旦缺乏知識管理方面的能力與經驗,對知識流程(主要是知識共享、安全控制、評價)的監督控制就會大大削弱。電子政務外包雙方要加強風險管理與知識管理的融合,通過對外包過程中的知識管理來控制風險,同時,也要通過風險管理經驗的不斷積累,形成風險管理知識并加以共享創新,提高外包過程中的知識管理水平[8]。外包雙方應注重相關風險管理知識的存儲、共享、運用與再創造,以提高知識管理與風險管理的融合水平。政府部門應加強知識轉移控制、制定安全防范機制、確定合理的績效評價標準,同時,也要重視組織學習與創新能力的培養,適時開展相關的學習培訓活動,提高政府工作人員學習創新的積極性,注重知識與經驗的積累,提高學習與創新能力,掌握外包過程中的主動權;運營企業應合理配置團隊的知識資源,使得團隊人員知識互補、互相協調,提高參與人員素質,防止信息泄露[9],及時向政府部門反饋績效信息,完善相關文檔,做好知識轉移工作;監理方要嚴格規定外包主體責任,強化服務質量信息披露,充分發揮其咨詢、監督、評估的作用,制定嚴格的電子政務外包安全執行標準和完備的安全監管制度,完善工作流程、加強外包合同約束機制,并協助政府部門選擇信譽好、具有保密資質的運營企業。#p#分頁標題#e#
在所有風險類別對“電子政務外包績效”的直接效應中,最大的是“團隊運作風險”,達到0.269,顯著性水平較高。在電子政務外包的執行過程中,團隊運作是關鍵,“團隊運作風險”包含的潛在風險因素都會直接影響到績效水平,而且影響作用都比較大,屬于關鍵風險因素,特別是‘需求分析不準確’對后續工作的影響較為重大,不僅直接影響到團隊運作的順利進行,加大了團隊運作階段的風險,也不利于知識管理、成本管理的開展,應予以重視。“團隊運作風險”對“成本管理風險”的總效應(0.585)較為顯著,成本預算控制作為項目管理的關鍵,也需要雙方具備相應的項目管理能力與經驗,相應的風險對成本預算控制的不良影響也是需要予以重視的,而需求分析不準確與頻繁變更對隱性成本累積的影響也是不容忽視的,團隊結構與行為不適應引起的人員變動、溝通協調問題也增加了協調成本。研究表明,發包方與承包方在需求分析以及變更控制方面的風險問題,主要由于外包雙方缺乏溝通以及對外包過程的控制不力,這也是團隊運作的其它風險因素產生的主要原因。為此,運營企業應就政府部門的電子政務需求進行系統地調查分析,與對方加強溝通合作,在團隊運作中重視政府部門人員的參與;政府部門應提高自身的管理經驗與能力,促進團隊結構與行為的協調,主管領導應對外包項目予以重視,提供必要的支持。
篇(6)
電子政務,即各級機關在實踐管理工作開展過程中需借助電子信息技術,打造分層結構、集中管理網絡管理環境,且推進電子政務系統由“功能單一”向“綜合政務網”轉變,從而提升整體政府服務水平,同時借助網絡平臺加強與公眾間的互動性,并營造雙向信息交流環境,有效應對計算機病毒、黑客攻擊、木馬程序等網絡安全問題。以下就是對電子政務系統網絡安全問題的詳細闡述,望其能為當前政府機構職能效用的有效發揮提供有利參考。
1.電子政務系統網絡安全研究
1.1網絡安全需求
就當前的現狀來看,電子政務系統網絡在運行過程中基于垃圾郵件攻擊、網絡蠕蟲、黑客攻擊、網絡安全威脅等因素的影響下,降低了服務質量。為此,當代政務系統針對網絡安全問題提出了相應的網絡安全需求:第一,網絡信息安全,即在電子政務系統操控過程中為了規避政務信息丟失等問題的凸顯,要求管理人員在實踐信息管理過程中應從信息分級保護、信息保密、身份鑒別、網絡信息訪問權限控制等角度出發,對可用性網絡信息實施管理,打造良好的網絡信息使用環境;第二,管理控制安全。即由于電子政務網絡系統需與Internet連接,因而在內部局域網、外部局域網管理過程中,應設置隔離措施,同時針對每個局域網用戶設定訪問限定資源,并針對用戶身份進行雙向認證,由此規避黑客攻擊等問題的凸顯。而在信息傳輸過程中,亦需針對關鍵應用信息進行加密,且配置網絡監控中心,實時掌控惡意攻擊現象,并做出及時響應;第三,統一管理全網,即為了降低網絡安全風險問題,要求當代電子政務網絡系統在開發過程中應制定VLAN劃分計劃,且針對通信線路、訪問控制體系、網絡功能模塊等實施統一管理,規避非法截獲等安全問題[1]。
1.2網絡安全風險
(1)系統安全風險。就當前的現狀來看,我國UNIX、Windows、NETWARE等操作系統本身存有安全隱患問題,因而網絡侵襲者在對系統進行操控過程中,可借助系統漏洞,登錄服務器或破解靜態口令身份驗證密碼,訪問服務器信息,造成政務信息泄露問題。同時,在電子政務系統網絡管理過程中,部分管理人員缺乏安全管理意識,從而未及時修補系統漏洞,且缺乏硬件服務器等安全評定環節,繼而誘發了系統安全風險。此外,基于電子政務網絡系統運行的基礎上,侵襲者通常在公用網上搭線竊取口令字,同時冒充管理人員,向系統內部局域網直入嗅探程序,從而截獲口令字,獲取網絡管理權限,造成電子政務系統信息損失。為此,為了規避信息截獲等網絡安全問題的凸顯,要求管理人員在實踐管理工作開展過程中應針對操作系統、硬件平臺安全性進行檢測,且健全登錄過程認證環節,打造良好的電子政務系統服務空間,滿足系統運行條件,同時實現對登陸者操作的嚴格把控。(2)應用安全風險。電子政務系統網絡運行中應用安全風險主要體現在以下幾個方面:第一,網絡資源共享風險,即各級政府機構在網絡辦公環境下,為了提升整體工作效率,注重運用網絡平臺共享機關機構組成、政務新聞、政務管理程序等信息。而若某工作人員將政務信息存儲于硬盤中,將基于缺少訪問控制手段的基礎上,造成信息竊取行為;第二,電子郵件風險,即某些不法分子為了獲取政務信息,將特洛伊木馬、病毒等程序植入到郵件中,并發送至電子政務系統,從而通過程序跟蹤,威脅電子政務系統網絡安全性。為此,管理人員在對電子政務系統進行操控過程中應提高對此問題的重視程度,同時強調對垃圾郵件的及時清理[2];第三,用戶使用風險,即在電子政務系統平臺建構過程中,為了規避網絡安全風險問題,設置了“用戶名+口令”身份認證,但由于部分用戶缺乏安全意識,繼而將生日、身份證號、電話號碼等作為口令字,從而遭到非法用戶竊取,引發政務信息泄露或攻擊事件。為此,在系統操控過程中應針對此問題展開行之有效的處理。
2.電子政務系統網絡安全設計應用
2.1系統安全
在電子政務系統應用過程中,為了打造良好的網絡運行空間,在系統設計過程中應融合防火墻隔離、VLAN劃分、HA和負載均衡、動態路由等技術,并在電子政務網絡結構部署過程中,將功能區域劃分為若干個子網結構,同時合理布設出入口,并實時清理故障清單,從根本上規避網絡安全風險問題。同時,在操作系統安全設置過程中,應針對安全配置安全性進行檢測,并限定etc/host、passwd、shadow、group、SAM、LMHOST等關鍵文件使用權限,且加強“用戶名+口令”身份認證設置的復雜性,避免操作風險的凸顯[3]。此外,在電子政務系統操控過程中,為了確保系統安全性,亦應針對系統運行狀況做好打補丁操作環節,并及時升級網絡配置,營造安全、穩定的系統運行空間。
2.2訪問控制
在電子政務系統網絡安全應用過程中加強訪問控制工作的開展是非常必要的,為此,首先要求管理人員在系統操控過程中應結合政務信息的特殊性,建構《用戶授權實施細則》、《口令字及賬戶管理規范》等條例,并嚴格遵從管理制度要求,實現對網絡環境的有效操控。同時,在網絡出入口等網絡內部環境操控過程中,應設置防火墻設備。例如,在Switch、Router安全網絡域連接過程中,即需在二者間設置防火墻,繼而利用防火墻IP、TCP信息過濾功能,如,拒絕、允許、監測等,對政務信息形成保護,同時在網絡入侵行為發生時,及時發出警告信號,且針對用戶身份進行S/Key的驗證,達到網絡訪問控制目的[4]。其次,在網絡訪問控制作業環節開展過程中,為了規避電子政務網內部服務器、WWW、Mail等攻擊現象,應注重應用防火墻應用功能,對安全問題進行有效防控。
2.3數據保護
電子政務數據屬于機密性信息,因而在此基礎上,為了規避數據泄露問題的凸顯影響到社會的發展,要求我國政府部門在電子政務系統運行過程中,應擴大對《上網數據的審批規定》、《數據管理管理辦法》等制度的宣傳,同時在PC機管理過程中,增設文件加密系統,并對訪問者進行限制,最終實現對數據的高效保護。其次,在對SYBASE等通用數據庫進行保護過程中,應增設訪問/存取控制手段,同時完善身份驗證、訪問控制、密碼機制、文件管理等功能模塊,從而通過角色控制、強制控制等方法,對數據形成雙層保護,并加強假冒、泄露、篡改等現象的管理,保障系統網絡安全性[5]。再次,在政務數據使用、傳輸過程中,應定期檢測服務器內容完整性,例如,WWW服務器、FTP、DNS服務器等信息,滿足政務信息使用需求,同時提升政府服務水平。
3.結論
綜上可知,傳統電子政務系統網絡管理工作實施過程中逐漸凸顯出信息截獲、信息泄露等問題,影響到了各級政府機關服務水平。因而在此基礎上,為了實現對網絡安全風險問題的有效處理,要求管理人員在實際工作開展過程中應注重加強安全管理工作,同時從數據保護、訪問控制、系統安全等角度入手,對政務系統網絡環境形成保護,滿足電子政務網絡系統應用需求。
作者:韓戴鴻 鄔顯豪 徐彬凌 胡大川 錢誠 單位:常州市科技信息中心
參考文獻:
[1]王淼,凌捷,郝彥軍.電子政務系統安全域劃分技術的研究與應用[J].計算機工程與科學,2010,12(8):52-55.
[2]魏武華.電子政務系統的網絡架構及其應用研究[J].計算機時代,2013,12(7):13-16.
篇(7)
中圖分類號:TP399-C2
當前,計算機網絡技術迅猛發展,社會網絡信息化進程基本得到普及。在世界各國逐漸實現電子政務系統的大背景下,我國政府機構各部門實現電子化、網絡化和信息化后,有利于政府提高行政管理效率和辦公效率,改善公共服務。然而,電子政務系統中的一部分信息涉及到國家安全和機密,另外系統本身對開展工作都有很重要的作用,在電子政務為政府工作帶來高效和便利同時,信息化系統中所潛在安全風險也越來越高。
當前我國電子政務系統在整體管理機制、技術防范體系、全面集中安全管理策略平臺定制等方面,都有很多不足之處,迫切需要進行系統風險評估來發現弱點彌補不足。
1 電子政務系統概述
一般而言,電子政務系統包括三個組成部分:第一政府部門內部辦公職能的電子化和網絡化:第二政府職能部門之間通過計算機網絡實現有權限的實時互通的信息共享;第三政府部門通過網絡與公眾和企業間開展雙向的信息交流與決策。目前各級政府部門所廣泛使用的辦公自動化系統,屬于第一類電子政務的范疇。政府部門通過自己的互聯網站政務信息,以及進行網上招標、網上招聘、接受網上投訴等,則屬于第三類電子政務的范疇。一個完整的電子政務系統,應當是上述這三類系統的有機結合。
2 電子政務系統技術的安全風險
2.1 計算機系統硬軟件物理局限性
計算機系統硬軟件本身具有脆弱性的特點,在各種自然災害、人為破壞下容易受到損害。比如計算機系統遭遇過高或過多的溫濕度、磁場、碰撞、污染,或者硬件設備故障,或者被突然斷電、電壓不穩,或者遭遇火災、地震、洪水的破壞,這些危害會不同程度地損害計算機操作系統的硬軟件設備,嚴重時會使丟失或破壞計算機系統數據,甚至摧毀整個計算機系統硬軟件設備。
2.2 網絡本身存在難以彌補的缺陷問題
電子政務系統在網絡運行過程中會存在以下幾個方面的安全風險:一是黑客對電子政務系統進行偽裝后,騙取用戶賬號、密碼;二是電子政務系統用戶提交業務信息后被黑客非法監聽,修改;三是電子政務系統用戶在成功提交業務后出現抵賴行為,有時沒有憑證;四是黑客對電子政務系統進行非法訪問;五是電子政務系統運行離不開網絡,使得網絡方面是一個重要風險點,主要存在于網絡層、系統層、應用層等。
3 電子政務系統管理的安全風險
據有關對電子政務系統網絡入侵、攻擊事件的調查數據顯示:歐美政府電子政務系統被入侵的安全風險指數達21%,其中政府內部不滿職工入侵安全風險指數是89%、競爭對手入侵安全風險指數是72%、黑客入侵安全風險指數是48%。事實表明,電子政務系統的信息安全不只是單純的技術安全問題,還應該從工作管理制度、職工管理上建立有效的安全防范機制。如果沒有有效的安全保護機制做保障,再完善的技術和設備也很難保證電子政務系統正常運行。
3.1 用戶安全意識薄弱
網絡用戶的安全意識屬于非技術層面的、是隱性的,它比表面的技術難題更難克服。主要表現在人們對信息安全保密的認識不足,潛意識里對安全的理解和關注不足,單位領導層對安全基礎設施的利用和資金投入不足等。
3.2 管理制度不完善
在電子政務系統管理過程中經常出現的不當情況有:機房重地沒設沒卡無人看守,非工作人員能隨意進出;工作人員在機房開機狀態下離開崗位,有關重要的敏感信息被臨時存放在本地的磁盤上,且未設置保護狀態。這些行為會導致機房或電子政務系統被外部入侵,更為系統內部破壞埋下長期隱患。一般來說,來自內部的安全威脅會更大些,原因在于內部工作人員更了解系統內部網絡、主機、應用系統的結構功能;更了解內部管理員的工作漏洞和工作習慣,有時,甚至破壞者自身就是一名內部管理人員;內部工作人員一般都擁有系統的一定訪問權限,能很順利地規避正常的訪問監控機制;內部工作人員對內部系統能有更多的機會進行網絡偵查,容易進行有針對性地系統登錄、密碼破解行為。
3.3 缺乏應急機制
當網絡出現攻擊行為或網絡受到其它一些安全威脅時(如內部人員的違規操作等),無法進行實時的檢測、監控、報告與預警。同時,當事故發生后,也無法提供黑客攻擊行為的追蹤線索及破案依據,即缺乏對網絡的可控性與可審查性。
4 針對電子政務系統風險的解決方案
4.1 加強硬軟件建設,確保電子政務系統安全
要保障計算機電子政務網絡系統的安全,前提是要確保計算機信息系統有關運行設備的物理安全。設備的物理安全主要包括線路安全、設備安全、環境安全三個方面。確保設備的物理安全是要保護計算機網絡設備、設施遠離火災、水災、地震等自然災害事故,遠離人為操作錯誤,遠離各種損害計算機系統的行為。
為確保電子政務系統的安全,通常情況還應把不同密級的網絡進行有效隔離,可以采用隔離技術將核心密級、普通密級在物理上進行有效隔離,同時要通過技術手段在邏輯上將兩個網絡進行有效連通。
電子政務網絡系統是通常由省、市、縣政府三級網絡組成的體系結構,從網絡安全角度層面上看,三級網絡結構存在于不同的網絡安全域,應該在各級的網絡邊界、政務網、Internet邊界設置安裝有效的防火墻,并進行相對應的安全策略控制。同時,根據滿足對外信息查詢等服務的要求,可把對外公開服務器集合起來劃分出專門的服務器子網,設置防火墻策略來保護對客戶的訪問。網絡邊界安全的防范可采用防火墻等成熟產品和技術實現網絡的訪問控制,采用安全檢測手段防范黑客入侵。
4.2 加強管理,保障電子政務系統安全運行
針對網絡安全的脆弱性,我們可在網絡設計上增加安全服務功能,完善系統的安全保密措施,同時,要制定有效的安全管理制度,加強網絡的安全管理。實施安全管理做好以下幾個原則:一是堅持職責分離原則。禁止工作人員了解、參與職責以外的任何安全操作行為;二是堅持多人負責原則。對每項與安全有關的操作都要求有多人在場,相互監督。這些人都應忠誠可靠。三是堅持任期有限原則。對涉及安全的工作人員不能長期兼任,要適當根據年限和表現進行調整。
5 總結
對電子政務系統的描述,讓我們了解到電子政務系統給我們的生活帶來的極大便利,同時分析出存在的風險,進而在技術上克服難關,確保系統的安全。另外,人在工作中的不確定性操作也會造成很大的安全威脅,所以也要求對工作人員進行嚴格管理,培養安全意識。這樣我們做到了既從技術上解決各種威脅,又從人員管理上盡量減少意外事故發生的幾率,從而保證了電子政務系統的安全,相信電子政務系統會給我們的生活帶來巨大的改變,發揮出更大的作用。
參考文獻:
[1]黃志澄.電子政務的內涵及發展[J].中國信息導報,2010(4).
[2]楊義先,林曉東,邢育森.信息安全綜論[J].電信科學,2009(12).
[3]謝健全.信息系統安全防護技術[M].中國宇航出版社,2006,07.
[4]聶曉偉,張玉清,楊鼎才.基于BS7799標準風險評估方法的設計與應用[J].計算機工程,2005,31(19):70-72.
篇(8)
1 引言
隨著政府信息化系統的完善,各行業與政務軟件銜接的問題也越來越突出,政府通過電子政務軟件來保證對各部門信息的共享,及下屬企業信息的收集、數據處理等工作。而下屬企業為了實現辦公自動化必須引入相關的管理軟件,這時就會產生不同系統之間數據的管理及共享問題。電子政務軟件采用SOA的架構是比較適合的架構,因為分布于各部門和社會各單位中的系統是各自獨立的也是千差萬別的,當執行數據處理任務的時候,又需要這些系統進行協同操作,此時SOA就有了優勢。本文從多個角度探討了SOA架構下電子政務及項目管理軟件之間的接口銜接問題。
2 SOA架構的概念
SOA面向服務的體系結構(Service-OrientedArchitecture)是一個組件模型。SOA與其它的標準不同的是,SOA的標準是基于分布式的、松耦合的,具有良好的夸平臺性。它將應用程序的不同功能單元通過這些單元之間定義良好的接口和契約聯系起來,接口是采用中立的方式進行定義的,它獨立于實現服務的硬件平臺、操作系統和編程語言。這使得構建在各種這樣的系統中的各個單元可以用一種統一和通用的方式進行交互。
3 電子政務軟件面臨的問題
目前,我國的電子政務正在逐步實現由“政績導向”向“服務導向”的轉變。以服務為中心,使得使用者能夠更廣泛的、更快捷的獲得需要的信息。但是目前電子政務軟件的獨立性很強,很難和其他軟件進行交互,這使得各行業之間在上報資質等問題上需要2次登記,在企業內部的信息系統上登記相關的信息后再到政務軟件上進行登記。同時,在項目管理上,項目組織機構人員的劃分是需要嚴格的按照國家設計管理人員資質的等級劃分的。企業內部系統與政務系統可能存在信息不一致的情況也會導致違背項目管理標準規范的現象。
因此,數據的完整性和唯一性的問題越來越突出。在這種環境下,利用信息化的手段,達成自上而下的政府業務標準和企業生產管理的統一,實現數據自底向上的快速準確匯集和業務自上而下的高度協同就顯得十分重要。
4 如何完成電子政務軟件與項目管理軟件接口的銜接
由于電子政務軟件的安全級別較高,出于安全性的角度,企業的其他軟件只能讀取政務軟件的數據。
在具體實施SOA架構的電子政務與項目管理軟件接口銜接時,注意從以下幾個方面 :
1) 安全管理。
以SOA架構規劃的電子政務的應用程序是比較繁雜的。對其進行保護也更為困難。因此需要專門的安全人員進行接口的開發,通過訪問者的權限進行安全性的劃分。本地用戶通過登入項目管理系統,來獲得對電子政務信息的訪問權限。開發人員應該透徹的了解軟件體系結構和安全性方面的知識,應同時了解SOA的相關知識。團隊中的安全架構師將負責創建系統的安全模型。同時,安全架構師將與項目架構師配合工作,確保SOA實現符合安全性的要求,對電子政務系統及項目管理業務分析人員和系統工程師進行安全性指導。
2) 需求策略制定
在建立需求模型時,務必選擇正確的工具,以便團隊進行協作和方便地記錄SOA的安全需求和創建SOA電子政務安全接口模型。正確的需求與分析工具將幫助團隊了解問題領域、捕獲和管理不斷發展的需求、建模用戶交互、在整個電子政務項目生命周期中包含參與者反饋,而最為重要的是進行協作。良好的安全需求與分析實踐將極大地減少系統安全風險。
3) 風險評估
由于信息系統的重要性、計算機網絡的開放性、信息系統組成部分的脆弱性以及用戶有意、無意的不正當操作或惡意的破壞企圖,使信息系統面臨很多的風險。因此,對于企業要求電子政務開放的接口進行風險評估。在風險控制的過程中,企業是否具備適當的控制能力,以確保符合相關的管理規定。
5 總結
篇(9)
1.1分析電子政務服務外包主要模式及其關鍵成功因素
當前,各地政府部門主要采用BOT、BOO、BT、ASP這4種模式開展電子政務服務外包。a.BOT模式(Build-Own-Transfer,即建設-運營-轉讓)。政府部門和承包商以協議為基礎,由政府部門向承包商頒布特許權,允許其籌集資金建設某電子政務系統,在特許權規定期限內管理和經營該系統及其相應的產品與服務,并在特許權期滿后,無償將系統移交給政府部門接管。b.BOO模式(Build-Own-Operate,即建設-擁有-運營。承包商投資并承擔電子政務系統的設計、建設、運行、維護和培訓等工作,硬件設備及軟件系統的產權歸屬承包商,政府部門負責宏觀協調、創建環境和提出需求,政府部門每年需要向承包商支付系統使用費獲取硬件設備和軟件系統的使用權。
c.BT模式(Build-Transfer,即建設-轉讓)。政府部門通過特許協議授權承包商負責某電子政務系統的建設,按合同規定的期限按時移交系統,政府部門按期支付該系統的建設費用。d.ASP模式(ApplicationServiceProvider,即應用服務提供商)。在ASP外包模式中,應用服務提供商擁有基礎結構設施并負責所有系統和網絡的配置、管理、調整,甚至應用管理,政府部門按照需求向應用服務提供商定制所需的電子政務服務,并向其支付相應的費用。在比較分析以上各種模式的內涵、特點、優缺點的基礎上,分析研究其實際運用的案例,共總結了影響這4種電子政務服務外包模式成功運作與否的75個因素,運用專家評分法,提取各種模式的關鍵成功因素,如表1所示,這些也是各種模式選擇決策的主要考慮因素。
1.2識別潛在風險因素
在分析電子政務服務外包、IT外包風險研究相關文獻的基礎上,基于電子政務服務外包運作與管理流程,從各個階段總結了98項風險因素,結合上述電子政務服務外包主要模式的關鍵成功因素,采用李克特七分制評分標準設計量表,1分表示風險影響程度最低,7分表示風險影響程度最高,1-7分表示影響程度逐次增高,邀請被調查者(包括參與電子政務服務外包的政府部門、承包商的管理人員以及相關領域的專家學者)對量表進行評分。共發放問卷387份,回收問卷212份,剔除不合格答卷后,最后得到有效答卷共202份。根據搜集的數據,通過因子分析的方法提煉了20項具有統計、管理意義的關鍵風險因素,如表2所示。
采用主成分因子分析法對這20項風險因素(也是結構方程模型中的可測變量)進行進一步的劃分,提取4個公共因子作為結構方程模型的潛在變量,并根據其包含的可測變量的含義進行命名,潛在變量及相應的可測變量如下:“決策與合同管理風險”:外包市場不成熟x1、外包決策不合理x2、承包商選擇失誤x3、機會主義風險x4、合同不完善x5;“開發與運營管理風險”:外包主體之間缺乏溝通x6、外包主體關系不和諧x7、政府部門缺乏規劃與需求分析能力x8、政府項目管理經驗與能力不足x9、承包商專業能力及管理經驗不足x10、承包商服務質量不理想x11;“資金與成本管理風險”:交易成本控制不力x12、隱性成本的累積風險x13、承包商成本預算控制失效x14、承包商資金支持不足x15;“知識與戰略管理風險”:知識共享不足x16、安全保密控制不力x17、績效評量體系失效x18、忽視學習與創新能力的培養x19、政府部門失去信息化控制力x20。
2模型建立與分析擬合
2.1建立電子政務服務外包潛在風險對外包模式影響的結構方程模型
基于現有研究文獻及實際案例,分析電子政務服務外包的潛在風險因素對各種模式的影響關系,構建電子政務服務外包潛在風險對外包模式影響的結構方程模型,如圖1所示。其中,風險的4項潛在變量及其各自的可測變量如上文所述,而各種外包模式潛在變量對應的可測變量分別是其關鍵成功因素(見表1,表中的序號與圖1的序號一致)。
2.2信度與效度分析
a.信度分析。信度指測量結果一致性或穩定性的程度。運用SPSS16.0對量表的信度進行檢驗,Cronbach’sα值為0.835,而各分量表信度分析結果表明,8個潛在變量的α系數值均滿足大于0.70的要求,因此,該量表具有較好的信度。
b.效度分析。結構效度是指量表測量結果同期望評估內容的同構程度,運用標準化因素負荷來檢驗結構效度。結果顯示,測量指標的標準化因素負荷大部分大于0.7,并在99%的置信度下高度顯著(C.R.值>2.58),潛在變量之間的標準化路徑系數及C.R.值(如表3所示)也大部分符合擬合要求。表明本研究構造的變量效度較好,適合做結構方程模型分析。
2.3結構方程模型檢驗與分析
a.擬合度檢驗。前文建立的結構方程模型必須通過擬合度檢驗,才能認定假設模型與實際數據樣本的一致性。若模型的擬合度高,則代表模型可用性越高,參數的估計越具有含義。對于擬合度的考核有較多指標,但不同的指標在不同的模型復雜度、樣本數量下有著不同的表現特性,必須根據具體情況同時參考各種擬合度指標[3]。本研究利用AMOS軟件7.0版進行結構方程模型的分析,主要使用CMIN、RMSEA、CFI、GFI等較為穩定的指標考核模型擬合度,擬合后的評價結果及其理想值匯總于表4。從表4中分析可知假設模型較好地與樣本數據擬合,具有較高的擬合度。
b.路徑與因素分析。經過對結構方程模型的分析,可以得到各個潛在變量之間的路徑系數以及可測變量與潛在變量之間的因素負荷。從模型運行結果中可知,潛在變量之間的路徑系數、可測變量與潛在變量之間的因素負荷對應的C.R.值絕大多數大于1.95的擬合要求,表明各路徑系數以及因素負荷在p=0.05的水平上具有統計顯著性,能夠作為進一步分析的依據。
3電子政務服務外包潛在風險對外包模式的影響分析
綜合分析4個風險潛在變量對各外包模式潛在變量影響的路徑系數及間接效應、各個風險因素的因子負荷以及對各外包模式關鍵成功因素的作用路徑,為下文外包模式選擇的建議提供依據。
3.1“決策與合同管理風險”對外包模式的影響
“決策與合同管理風險”對各外包模式的直接影響程度從大到小依次是:BOT>BOO>BT>ASP,其中,對BT模式和ASP模式的直接影響不顯著,但通過另三類風險間接影響這兩種模式的程度較大,分別累計為0.364、0.337。在“決策與合同管理風險”中,合同不完善風險所占因子負荷最大、影響最為顯著。研究表明,完善電子政務服務外包合同,對外包市場不成熟風險、機會主義風險都具有較強的規避作用[4]。“決策與合同管理風險”中,合同不完善、承包商選擇失誤風險因素對BOT模式的關鍵成功因素———承包商運營期間的服務質量以及移交后的系統價值的不良影響均比較顯著;合同不完善對BOO模式的作用主要體現在影響技術應用先進性的保持,而機會主義風險的存在對政府部門的監督約束是一大不利因素;BT模式、ASP模式的各自關鍵成功因素———選擇商譽好的承包商、承包商擁有完善可靠的基礎結構設施均會受到承包商選擇失誤這一風險因素的影響。
3.2“開發與運營管理風險”對外包模式的影響
相比其他類別的風險而言,“開發與運營管理風險”對各個外包模式的影響程度是最大的,對各外包模式的直接影響程度從大到小依次是:BOT>BOO>BT>ASP,且影響均較為顯著。此外,“開發與運營管理風險”也受到了其他風險的影響,承載著其他風險對外包模式的間接效應。因此,“開發與運營管理風險”所屬的各個風險因素應給予重視,特別是政府部門缺乏規劃與需求分析能力、雙方的項目管理經驗與能力不足、外包主體之間缺乏溝通這幾種風險因素在電子政務服務外包實踐中引起的問題較為顯著,屬于關鍵風險因素,研究表明,控制好這些風險因素,做好規劃與需求分析工作、提升相應的項目經驗與能力、加強溝通協作,對電子政務外包的系統開發效果、外包服務質量、雙方關系維護的作用是十分顯著的[5]。“開發與運營管理風險”對各個外包模式的影響在其對應的關鍵成功因素都有顯著的體現,其中,對BOT模式,主要影響政府部門規劃協調能力、承包商運營期間的服務質量;對BOO模式,主要影響政府部門的監督約束能力、承包商經營的穩定性及技術應用先進性的保持;對BT模式,主要影響雙方的系統開發項目管理能力;對ASP模式,主要影響政府部門需求分析的準確性及預見性、承包商對個性化服務需求的響應。
3.3“資金與成本管理風險”對外包模式的影響
“資金與成本管理風險”對各外包模式的直接影響程度從大到小依次是:BOO>BOT>ASP>BT,其中,承包商的資金支持、項目的成本管理方面的風險對外包模式的影響尤為顯著,在實踐中,很多電子政務服務外包項目正是由于資金、成本控制問題而不得不擱淺甚至失敗。此外,“資金與成本管理風險”也會通過“開發與運營管理風險”間接影響各個外包模式,因此,在外包過程的開發運營階段,應重視項目預算管理,保障資金流的通暢。“資金與成本管理風險”對BOO模式的作用主要體現在影響政府部門付費使用模式、承包商經營的穩定性;對BOT模式的作用體現在影響承包商的運營獲利能力及其服務質量;對于ASP模式,影響著政府部門的付費模式與承包商的經濟效益兩者之間的權衡;對BT模式,主要影響著政府部門的資金保障能力。
3.4“知識與戰略管理風險”對外包模式的影響
“知識與戰略管理風險”對各外包模式的直接影響程度從大到小依次是:BOO>ASP>BOT>BT,其中安全保密控制風險是外包領域備受關注的風險因素,也是外包模式選擇需要著重考慮的一大因素,而學習與創新能力的培養對電子政務服務外包的戰略效益能否實現尤為關鍵[6],卻也是一個經常被忽視的風險。此外,知識共享不足、績效評量體系失效、政府部門信息化控制力不足等風險因素對開發運營風險的作用也較為顯著,對外包模式的間接效應不容小覷。因此,“知識與戰略管理風險”對電子政務服務外包的影響是極為深遠的,在外包模式選擇決策中,應予以重視,既要考慮到安全保密控制,也要考慮到政府部門持續學習與創新能力的培養。“知識與戰略管理風險”中,安全保密控制不力與績效評量體系失效分別影響著BOO模式的關鍵成功因素———承包商對系統安全性的保護、技術應用先進性的保持;在ASP模式中,安全保密控制不力風險影響著政府部門應用與數據的安全性;與績效評量體系失效相關聯的激勵效果不良,影響著BOT模式運營期間的服務質量和移交后的系統價值;若采用BT模式,知識共享不足與政府部門信息化控制力不足風險將主要影響著雙方移交系統的知識管理能力以及移交后政府部門的系統維護能力[7]。
4結論與建議
基于上文的分析,政府部門在選擇電子政務服務外包模式時,需要結合自身的規劃與需求、優勢與劣勢、經驗與能力等因素,綜合考慮各個潛在風險因素對外包模式如何影響及影響程度,從中選擇合理的外包模式并防范潛在風險。為此,提出以下4點建議供參考:
a.當外包市場不成熟,缺乏統一、可操作的行業標準及規范的法律環境,而外包的電子政務服務內容的復雜性使得不能夠通過采用明細的合同來規避承包商的機會主義,并且政府部門管理合同的經驗與能力不足時,盡量避免采用BOT、BOO模式,主要是因為這兩種模式的必須以協議為基礎且合同期限較長,能否制定明確、完善而兼具柔性的合同尤為關鍵;若政府部門受評估能力缺乏、信息不對稱等主客觀不利因素的影響,選擇不合適的承包商或選擇的承包商商譽不良的風險很可能加大,此時BT模式與ASP模式不是首選,因為這兩種模式對承包商商譽與實力有較高的要求。
篇(10)
不過,我們不可否認,互聯網作為一個開放的網絡環境,在安全方面確實存在著先天不足和諸多的隱患,基于互聯網的電子政務建設面臨著政務信息失泄密、非法篡改、身份假冒等安全威脅。所以濟源在電子政務建設中,高度重視信息安全的問題,明確規定信息不能上網,而且通過密碼技術來保證基于互聯網的電子政務的信息安全。
雖然濟源在電子政務網絡的建設中,包括信息安全的建設中,都沒有拉一條專線,沒有建一個專網,完全是基于互聯網,但他們通過采用商用密碼技術和VPN技術,合理配置了具有防火墻功能的、不同檔次的VPN安全網關和VPN客戶端,實現了整個網絡在安全條件下的互聯互通和信息共享。
由于完全是基于互聯網的電子政務,安全變得至關重要,但是,保障信息安全并不是安全措施越多越好,不能為了安全而安全,而是應該根據系統安全等級采用適度的安全措施,更重要的是從實際應用出發,保證適度安全,使得電子政務系統能夠既安全又好用。
如何在堅持適度安全的基礎上建設基于互聯網的電子政務安全保障體系呢?
濟源同樣選擇了等級保護的方法,把安全辦公與開放服務有機地統一起來,在風險分析的前提下合理定級,并進行了分域防控和分級防護。
同樣是由于基于互聯網,安全隱患多而復雜,所以在風險分析中就面臨了更大的和更嚴峻的挑戰。作為政府政務辦公的“內部”網和面向公眾開放服務的“外部”網都是在互聯網上的,互聯網上的身份假冒、口令竊取等威脅很大,所以身份鑒別是網絡安全的基礎;存儲或傳輸的信息在互聯網上容易被竊取或篡改,所以信息堅決不能上網;系統遭到攻擊的風險很大,所以必須提高抗攻擊的能力;互聯網上病毒傳播和擴散很廣很快,所以要防止其影響到終端和服務器的正常運行。
針對由于互聯網帶來的這些風險,濟源將電子政務應用系統分為了公開信息處理區和敏感信息處理區,根據其不同的特點分別進行防護。比如,公開信息處理區主要是面向廣大公眾的服務系統和完全公開的信息,由于廣大互聯網用戶都可以訪問,所以就要采取網頁防篡改措施。
而在分級防護方面,將信息分為了完全公開、內部公開和內部受控三類,也是根據不同類別的不同特點采取不同的安全措施。比如對于在互聯網上完全公開的信息,用戶無須身份認證和加密傳輸就可以直接訪問;而對于內部公開信息則用了商用密碼進行傳輸加密,要通過口令進行身份認證后才能訪問。
當然作為基于互聯網開展電子政務的惟一一家試點單位,濟源進行了一些有益的嘗試,也取得了初步的成效,但要進一步拓展服務模式、擴大使用范圍、提高服務質量,甚至是在全國進行推廣,都還有很長的路要走。
實施效果
