序論：好文章的創(chuàng)作是一個不斷探索和完善的過程，我們?yōu)槟扑]十篇電子政務(wù)的安全風(fēng)險范例，希望它們能助您一臂之力，提升您的閱讀品質(zhì)，帶來更深刻的閱讀感受。

篇（1）

中圖分類號：TP393.08 文獻標(biāo)志碼：A 文章編號：1006-8228（2016）11-38-03

Analysis of information security risk assessment in E-government

Liu Feifei

（Department of Information， Business College of Shanxi University， Taiyuan， Shanxi 030031， China）

Abstract： In view of the security risk assessment in E-government system， the current situation of E-government system and the related concepts of information security risk assessment are introduced； The characteristics of risk assessment methods are analyzed， including OCTAVE method， SSE-CMM method and adaptive method being commonly used in E-government system； And the problems that need to be solved are discussed in order to provide reference for the security risk assessment of E-government.

Key words： E-government； security risk assessment； OCTAVE； adaptive method

0 引言

隨著計算機與網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，我國各行各業(yè)信息化程度提高，電子政務(wù)也不例外。電子政務(wù)系統(tǒng)能夠及時、動態(tài)地對信息進行更新，有利于政府信息的公開與共享；同時，建立一個良好的業(yè)務(wù)服務(wù)平臺和信息互動平臺，可以確保信息和服務(wù)的實效性，提高政府服務(wù)的效率和質(zhì)量。電子政務(wù)系統(tǒng)涉及政府敏感或秘密信息，系統(tǒng)的穩(wěn)定性與安全性成為政府工作的必要保障。電子政務(wù)系統(tǒng)安全是一項系統(tǒng)工程，傳統(tǒng)的信息安全技術(shù)及設(shè)備不能帶來真正的安全，因此，對系統(tǒng)進行各階段的信息安全風(fēng)險評估和管理是十分必要的。

1 電子政務(wù)系統(tǒng)現(xiàn)狀

1.1 網(wǎng)絡(luò)基本結(jié)構(gòu)

電子政務(wù)是一個面向政府職能部門、企業(yè)以及民眾的復(fù)雜的多層次的服務(wù)系統(tǒng)，其結(jié)構(gòu)如圖1所示[1]。內(nèi)網(wǎng)是政府內(nèi)部日常辦公網(wǎng)絡(luò)，實現(xiàn)內(nèi)部信息的交流與處理，如文件傳送、郵件收發(fā)等；專網(wǎng)主要用于實現(xiàn)政府內(nèi)轄的職能部門之間的信息的互通，用以協(xié)作完成相關(guān)的項目申請、審批等主管業(yè)務(wù)；外網(wǎng)也指公眾信息網(wǎng)是面向社會民眾提供信息和服務(wù)的綜合性網(wǎng)站，可以幫助公眾了解最新的政策動態(tài)，提供網(wǎng)絡(luò)服務(wù)等；信息庫，為三網(wǎng)服務(wù)提供數(shù)據(jù)和所需的資源。

1.2 系統(tǒng)安全風(fēng)險

電子政務(wù)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，業(yè)務(wù)繁多，數(shù)據(jù)機密性高，同時具有很大的開放性，所以勢必面臨各型各色的安全風(fēng)險。主要體現(xiàn)在以下幾個方面。

⑴ 物理安全風(fēng)險

由環(huán)境（如水災(zāi)、火災(zāi)、濕度等）或系統(tǒng)自身物理特性（如設(shè)備線路老化、電磁泄漏干擾等）引起的系統(tǒng)不可用的風(fēng)險。物理安全是系統(tǒng)安全的前提和保障，應(yīng)做好相關(guān)的隔離與保護工作。

⑵ 網(wǎng)絡(luò)安全風(fēng)險

網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃或安全部署不合理會帶來來自內(nèi)部和外部的安全缺陷；路由器、三層交換機、網(wǎng)關(guān)等網(wǎng)絡(luò)設(shè)備自身配置及安全存在漏洞，會影響系統(tǒng)的安全性；另外，網(wǎng)絡(luò)中使用的互連、路由協(xié)議的不健全，也會給網(wǎng)絡(luò)帶來安全威脅。

⑶ 管理安全風(fēng)險

管理是防范網(wǎng)絡(luò)內(nèi)部攻擊的主要手段，是電子政務(wù)網(wǎng)絡(luò)安全的不可或缺的一部分。目前，管理和監(jiān)管機制還不健全，不規(guī)范，缺乏可操作性，都會引起不可避免的安全風(fēng)險。

2 信息安全風(fēng)險評估概述

依據(jù)國際或國內(nèi)的標(biāo)準(zhǔn)，使用相關(guān)的方法技術(shù)，標(biāo)識系統(tǒng)中的核心資產(chǎn)及業(yè)務(wù)，識別存在的安全威脅及脆弱性，估算安全事件發(fā)生的可能性及帶來的損失，同時，制定安全防護加固策略，這就是信息安全風(fēng)險評估。其中風(fēng)險分析計算是關(guān)鍵，計算原理如圖2所示[2]。

常見的風(fēng)險分析的方法有定量分析和定性分析。定量分析利用財務(wù)評估等手段來測算核心資產(chǎn)的實際價值，使用可量化的數(shù)值來估算系統(tǒng)的損失及風(fēng)險等級，評估結(jié)果直觀有效，但是資產(chǎn)價值的核算和風(fēng)險計算復(fù)雜；常用的定量分析有決策樹、聚類分析等[3]。定性分析通常依據(jù)評估者的知識經(jīng)驗，采用文字或假定的數(shù)值范圍來評定風(fēng)險等級，主觀性強，結(jié)論不夠嚴(yán)密；典型的分析方法有：德爾菲法、歷史比較法等。通常會在定性分析的基礎(chǔ)上，結(jié)合使用定量分析來實施風(fēng)險的分析評估，如層次分析、概率分析等。

3 電子政務(wù)系統(tǒng)風(fēng)險評估方法

目前，電子政務(wù)系統(tǒng)風(fēng)險評估的方法主要有：OCTAVE方法、SSE-CMM方法及基于免疫的自適應(yīng)法。

3.1 OCTAVE評估方法

OCTAVE（Operationally Critical Asset and Vulnerability Evaluation）可操作的關(guān)鍵資產(chǎn)、威脅評估法，它遵循自主的原則，從被評估組織中選調(diào)業(yè)務(wù)及信息技術(shù)人員組建團隊，以定性分析為主，提供一個可操作的、規(guī)范的技術(shù)框架[4]。它圍繞關(guān)鍵資產(chǎn)進行評估，評估人員要充分認(rèn)識關(guān)鍵資產(chǎn)、資產(chǎn)所受威脅及系統(tǒng)存在脆弱性之間的關(guān)系。OCTAVE方法實施過程如圖3所示。首先，組建評估團隊，標(biāo)識關(guān)鍵資產(chǎn)及存在威脅；其次，標(biāo)識與關(guān)鍵資產(chǎn)相關(guān)的子系統(tǒng)及組件存在的脆弱性；最后，進行風(fēng)險分析計算，確定風(fēng)險等級，制定防護策略計劃。

OCTAVE法從組織內(nèi)部調(diào)配人員參與評估，會使得評估的內(nèi)容更加全面，更具有可操作性，不同的組織根據(jù)自身的需求，可以通過多種不同的形式來實踐執(zhí)行。但是它依賴人為因素，只能粗略評估系統(tǒng)可能遭受的風(fēng)險。

3.2 SSE-CMM評估方法

SSE-CMM（Systems Security Engineering Capability Maturity Model）系統(tǒng)工程能力成熟度模型，在安全工程中，針對不同的安全目標(biāo)，定義了相應(yīng)的模塊化過程，并能夠?qū)M織執(zhí)行特定過程的能力做出量化的評定，從而幫助尋找實現(xiàn)最終目標(biāo)的最優(yōu)途徑。它將信息系統(tǒng)的安全過程分為3個模塊化過程，通過11個過程域PA（Process Area）和5個能力成熟度級別來描述：風(fēng)險評估過程，分析安全系統(tǒng)中存在的威脅；工程實施過程，利用相關(guān)措施解決/處理威脅可能帶來的問題；信任度評估過程，評估執(zhí)行者解決問題的能力。為了實現(xiàn)風(fēng)險評估過程目標(biāo)，SSE-CMM法定義了威脅評估、脆弱性評估、事件影響評估及系統(tǒng)風(fēng)險評估等四個子過程。

SSE-CMM法指出了系統(tǒng)安全評估過程中的關(guān)鍵過程及必需的基本實施，同時能夠量化評定每個過程的可行性，削弱了評估中的主觀性；但是其沒有規(guī)定過程的執(zhí)行流程和步驟，可操作性差。

3.3 自適應(yīng)評估方法

自適應(yīng)評估法的關(guān)鍵在于系統(tǒng)的安全“免疫”子系統(tǒng)（也就是系統(tǒng)中的實時安全監(jiān)控系統(tǒng)），它要求“免疫”系統(tǒng)能夠區(qū)分無害的自體和有害的非自體，并能夠根據(jù)需要及時地清理系統(tǒng)中的非自體；同時可以根據(jù)“免疫”系統(tǒng)受到的破壞實時動態(tài)地進行風(fēng)險評估，實施防護。它要在“免疫”系統(tǒng)中定義“免疫”細(xì)胞，當(dāng)出現(xiàn)黑客攻擊、病毒等外來威脅時，“免疫”系統(tǒng)就會根據(jù)受侵害的程度發(fā)生動態(tài)變化，做出具體的響應(yīng)，如禁止服務(wù)、關(guān)閉端口、關(guān)機等。另外，如果系統(tǒng)中的任意一臺主機被攻擊，都會迅速通知其他主機，使整個系統(tǒng)的安全得到最大的保障。

自適應(yīng)風(fēng)險評估法可以快速地識別系統(tǒng)中現(xiàn)有的風(fēng)險，實施實時防護，并動態(tài)調(diào)整防護系統(tǒng)，更好地提高系統(tǒng)的安全性，是未來的發(fā)展趨勢。但是它的實施難度較大，系統(tǒng)成本較高。

電子政務(wù)系統(tǒng)風(fēng)險評估是一項復(fù)雜的大工程，一般采用可操作性較強的OCTAVE方法，但是OCTAVE方法是定性分析的，主觀性較強，評估結(jié)果較為粗略。所以，在實際的評估過程中經(jīng)常將層次分析、模糊數(shù)學(xué)、熵理論、D-S證據(jù)理論及BP神經(jīng)網(wǎng)絡(luò)等應(yīng)用到OCTAVE方法中，來降低對于人為主觀性的依賴，優(yōu)化評估的結(jié)果[5]。

4 結(jié)束語

伴隨各種移動電子政務(wù)業(yè)務(wù)的出現(xiàn)，使得電子政務(wù)系統(tǒng)的安全形勢更加嚴(yán)峻，針對電子政務(wù)系統(tǒng)開展信息安全風(fēng)險評估，我們可以發(fā)現(xiàn)，系統(tǒng)在建設(shè)、實施和運行過程中存在的威脅、脆弱性及風(fēng)險，而部署防護及加固安全策略，可以為電子政務(wù)提供安全可靠的網(wǎng)絡(luò)環(huán)境。

目前，電子政務(wù)系統(tǒng)信息安全風(fēng)險評估還需要在以下方面加強研究：適應(yīng)電子政務(wù)行業(yè)需求的風(fēng)險評估方法及模型的研究；適用于風(fēng)險評估不同階段的自動化評估工具的開發(fā)；動態(tài)風(fēng)險評估方法的設(shè)計與應(yīng)用。

參考文獻（References）：

[1] 李煜川.電子政務(wù)系統(tǒng)信息安全風(fēng)險評估研究―以數(shù)字檔案

館為例[D].蘇州大學(xué)碩士學(xué)位論文，2011.

[2] 唐作其，陳選文，戴海濤，郭峰.多屬性群決策理論信息安全風(fēng)

險評估方法研究[J].計算機工程與應(yīng)用，2011.47（15）：104-107

[3] 李增鵬，馬春光，李迎濤.基于層次分析信息系統(tǒng)風(fēng)險評

估[J].理論研究，2014.3：80-86

[4] 趙磊.電子政務(wù)網(wǎng)絡(luò)風(fēng)險評估與安全控制[D].上海交通大學(xué)

篇（2）

1.1基礎(chǔ)設(shè)施的可用性：運行于內(nèi)部專網(wǎng)的各主機、數(shù)據(jù)庫、應(yīng)用服務(wù)器系統(tǒng)的安全運行十分關(guān)鍵，網(wǎng)絡(luò)安全體系必須保證這些系統(tǒng)不會遭受來自網(wǎng)絡(luò)的非法訪問、惡意入侵和破壞。

1.2數(shù)據(jù)機密性：對于內(nèi)部網(wǎng)絡(luò)，保密數(shù)據(jù)的泄密將直接帶來政府機構(gòu)以及國家利益的損失。網(wǎng)絡(luò)安全系統(tǒng)應(yīng)保證內(nèi)網(wǎng)機密信息在存儲與傳輸時的保密性。

1.3網(wǎng)絡(luò)域的可控性:電子政務(wù)的網(wǎng)絡(luò)應(yīng)該處于嚴(yán)格的控制之下，只有經(jīng)過認(rèn)證的設(shè)備可以訪問網(wǎng)絡(luò)，并且能明確地限定其訪問范圍，這對于電子政務(wù)的網(wǎng)絡(luò)安全十分重要。

1.4數(shù)據(jù)備份與容災(zāi):任何的安全措施都無法保證數(shù)據(jù)萬無一失，硬件故障、自然災(zāi)害以及未知病毒的感染都有可能導(dǎo)致政府重要數(shù)據(jù)的丟失。因此，在電子政務(wù)安全體系中必須包括數(shù)據(jù)的容災(zāi)與備份，并且最好是異地備份。

2電子政務(wù)信息安全體系模型設(shè)計

完整的電子政務(wù)安全保障體系從技術(shù)層面上來講，必須建立在一個強大的技術(shù)支撐平臺之上，同時具有完備的安全管理機制，并針對物理安全，數(shù)據(jù)存儲安全，數(shù)據(jù)傳輸安全和應(yīng)用安全制定完善的安全策略

在技術(shù)支撐平臺方面，核心是要解決好權(quán)限控制問題。為了解決授權(quán)訪問的問題，通常是將基于公鑰證書（PKC）的PKI（PublicKeyInfrastructure）與基于屬性證書（AC）的PMI（PrivilegeManagementInfrastructure)結(jié)合起來進行安全性設(shè)計，然而由于一個終端用戶可以有許多權(quán)限，許多用戶也可能有相同的權(quán)限集，這些權(quán)限都必須寫入屬性證書的屬性中，這樣就增加了屬性證書的復(fù)雜性和存儲空間，從而也增加了屬性證書的頒發(fā)和驗證的復(fù)雜度。為了解決這個問題，作者建議根據(jù)X.509標(biāo)準(zhǔn)建立基于角色PMI的電子政務(wù)安全模型。該模型由客戶端、驗證服務(wù)器、應(yīng)用服務(wù)器、資源數(shù)據(jù)庫和LDAP目錄服務(wù)器等實體組成，在該模型中：

2.1終端用戶：向驗證服務(wù)器發(fā)送請求和證書，并與服務(wù)器雙向驗證。

2.2驗證服務(wù)器：由身份認(rèn)證模塊和授權(quán)驗證模塊組成提供身份認(rèn)證和訪問控制，是安全模型的關(guān)鍵部分。

2.3應(yīng)用服務(wù)器：與資源數(shù)據(jù)庫連接，根據(jù)驗證通過的用戶請求，對資源數(shù)據(jù)庫的數(shù)據(jù)進行處理，并把處理結(jié)果通過驗證服務(wù)器返回給用戶以響應(yīng)用戶請求。

2.4LDAP目錄服務(wù)器：該模型中采用兩個LDAP目錄服務(wù)器，一個存放公鑰證書（PKC）和公鑰證書吊銷列表（CRL），另一個LDAP目錄服務(wù)器存放角色指派和角色規(guī)范屬性證書以及屬性吊銷列表ACRL。

安全管理策略也是電子政務(wù)安全體系的重要組成部分。安全的核心實際上是管理，安全技術(shù)實際上只是實現(xiàn)管理的一種手段，再好的技術(shù)手段都必須配合合理的制度才能發(fā)揮作用。需要制訂的制度包括安全行政管理和安全技術(shù)管理。安全行政管理應(yīng)包括組織機構(gòu)和責(zé)任制度等的制定和落實；安全技術(shù)管理的內(nèi)容包括對硬件實體和軟件系統(tǒng)、密鑰的管理。

轉(zhuǎn)貼于中國論文下載中心www

3電子政務(wù)信息安全管理體系中的風(fēng)險評估

電子政務(wù)信息安全等級保護是根據(jù)電子政務(wù)系統(tǒng)在國家安全、經(jīng)濟安全、社會穩(wěn)定和保護公共利益等方面的重要程度。等級保護工作的要點是對電子政務(wù)系統(tǒng)進行風(fēng)險分析，構(gòu)建電子政務(wù)系統(tǒng)的風(fēng)險因素集。

3.1信息系統(tǒng)的安全定級信息系統(tǒng)的安全等級從低到高依次包括自主保護級、指導(dǎo)保護級、監(jiān)督保護級、強制保護級、專控保護級五個安全等級。對電子政務(wù)的五個安全等級定義，結(jié)合系統(tǒng)面臨的風(fēng)險、系統(tǒng)特定安全保護要求和成本開銷等因素，采取相應(yīng)的安全保護措施以保障信息和信息系統(tǒng)的安全。

3.2采用全面的風(fēng)險評估辦法風(fēng)險評估具有不同的方法。在ISO/IECTR13335-3《信息技術(shù)IT安全管理指南:IT安全管理技術(shù)》中描述了風(fēng)險評估方法的例子，其他文獻，例如NISTSP800-30、AS/NZS4360等也介紹了風(fēng)險評估的步驟及方法，另外，一些組織還提出了自己的風(fēng)險評估工具，例如OCTAVE、CRAMM等。

電子政務(wù)信息安全建設(shè)中采用的風(fēng)險評估方法可以參考ISO17799、OCTAVE、CSE、《信息安全風(fēng)險評估指南》等標(biāo)準(zhǔn)和指南，從資產(chǎn)評估、威脅評估、脆弱性評估、安全措施有效性評估四個方面建立風(fēng)險評估模型。其中，資產(chǎn)的評估主要是對資產(chǎn)進行相對估價，其估價準(zhǔn)則依賴于對其影響的分析，主要從保密性、完整性、可用性三方面進行影響分析;威脅評估是對資產(chǎn)所受威脅發(fā)生可能性的評估，主要從威脅的能力和動機兩個方面進行分析;脆弱性評估是對資產(chǎn)脆弱程度的評估，主要從脆弱性被利用的難易程度、被成功利用后的嚴(yán)重性兩方面進行分析;安全措施有效性評估是對保障措施的有效性進行的評估活動，主要對安全措施防范威脅、減少脆弱性的有效狀況進行分析;安全風(fēng)險評估就是通過綜合分析評估后的資產(chǎn)信息、威脅信息、脆弱性信息、安全措施信息，最終生成風(fēng)險信息。

在確定風(fēng)險評估方法后，還應(yīng)確定接受風(fēng)險的準(zhǔn)則，識別可接受的風(fēng)險級別。

4結(jié)語

電子政務(wù)與傳統(tǒng)政務(wù)相比有顯著區(qū)別，包括:辦公手段不同，信息資源的數(shù)字化和信息交換的網(wǎng)絡(luò)化是電子政務(wù)與傳統(tǒng)政務(wù)的最顯著區(qū)別;行政業(yè)務(wù)流程不同，實現(xiàn)行政業(yè)務(wù)流程的集約化、標(biāo)準(zhǔn)化和高效化是電子政務(wù)的核心;與公眾溝通方式不同，直接與公眾溝通是實施電子政務(wù)的目的之一，也是與傳統(tǒng)政務(wù)的重要區(qū)別。在電子政務(wù)的信息安全管理中，要抓住其特點，從技術(shù)、管理、策略角度設(shè)計完整的信息安全模型并通過科學(xué)量化的風(fēng)險評估方法識別風(fēng)險和制定風(fēng)險應(yīng)急預(yù)案，這樣才能達到全方位實施信息安全管理的目的。

參考文獻：

[1]范紅，馮國登，吳亞非.信息安全風(fēng)險評估方法與應(yīng)用.清華大學(xué)出版社.2006.

篇（3）

中圖分類號：C93文獻標(biāo)識碼： A

一、 電子政務(wù)概述

電子政務(wù)，亦稱電子政府、政府信息化管理,是政府機構(gòu)以計算機為媒介，應(yīng)用現(xiàn)代信息和通信技術(shù)，將政府的管理和服務(wù)工作通過網(wǎng)絡(luò)技術(shù)進行集合，以實現(xiàn)政府部門工作的進行以及組織結(jié)構(gòu)的優(yōu)化重組，從而及時向社會及公眾提供全方位、行之有效的管理和服務(wù)。

電子政務(wù)是政府管理方式的革命，它的運行有助于建立一個開放透明的政府，一個勤政廉潔的政府。電子政務(wù)職能實現(xiàn)的前提是信息安全的有效保障，大量政府公文在政務(wù)信息網(wǎng)絡(luò)上的流轉(zhuǎn)，一旦存在信息安全問題，則直接導(dǎo)致機密數(shù)據(jù)和信息的泄漏，危及到政府的核心政務(wù)。如果電子政務(wù)信息安全得不到保障，電子政務(wù)的效率便無從保證，這將給國家利益帶來嚴(yán)重威脅。所以說，信息安全是制約電子政務(wù)建設(shè)與發(fā)展的首要問題和核心問題。

二、 電子政務(wù)面臨的風(fēng)險

（一） 認(rèn)知層面的風(fēng)險

電子政務(wù)在國內(nèi)建設(shè)與使用時間不長，缺乏深入研究。一些人只是簡單地認(rèn)為電子政務(wù)系統(tǒng)就是信息化，只要實現(xiàn)了網(wǎng)絡(luò)數(shù)字化就可以推行電子政務(wù)，從而出現(xiàn)盲目建設(shè)、脫離現(xiàn)實條件等問題；還有一部分人認(rèn)為電子政務(wù)就是運用計算機代替?zhèn)鹘y(tǒng)手工模式，這就固化了現(xiàn)有政府結(jié)構(gòu)，不利于政府的改造與職能的轉(zhuǎn)變。

（二） 規(guī)劃層面的風(fēng)險

規(guī)劃層面的風(fēng)險主要有：規(guī)劃制定人員、規(guī)劃的范圍和內(nèi)容、規(guī)劃計劃的實施步驟、規(guī)劃中的政策因素等等。

信息技術(shù)的進一步應(yīng)用，使得政府的組織形態(tài)正在由傳統(tǒng)的金字塔垂直模式向錯綜復(fù)雜的網(wǎng)狀結(jié)構(gòu)轉(zhuǎn)變，這就要求政務(wù)機構(gòu)的運行方式作出相應(yīng)轉(zhuǎn)變，進行電子政務(wù)的整體規(guī)劃。電子政務(wù)是整個系統(tǒng)建設(shè)的基礎(chǔ)，是項目成功的基本保障。只有了解了本地區(qū)的發(fā)展現(xiàn)狀，了解地方政府的特點，了解本地區(qū)的政務(wù)工作流程，才能編制出適合本地區(qū)電子政務(wù)的發(fā)展規(guī)劃。但目前，地方政府在電子政務(wù)方面的規(guī)劃明顯不足，缺乏可操作性，這就導(dǎo)致在使用過程中面臨著很大風(fēng)險。

（三） 物理安全層面的風(fēng)險

物理安全層面的風(fēng)險主要指的是網(wǎng)絡(luò)環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路的不可用，從而造成網(wǎng)絡(luò)系統(tǒng)的不可用。例如，線路老化、蓄意破壞、設(shè)備意外故障、自然災(zāi)害等， 這些都屬于物理安全層面的潛在風(fēng)險因素。

（四） 應(yīng)用層面的風(fēng)險

應(yīng)用層面的風(fēng)險主要表現(xiàn)為非法訪問，即竊取用戶口令、用戶信息被剽竊或修改等，由于政府網(wǎng)絡(luò)對外提供WWW服務(wù)，Email服務(wù)、DNS服務(wù)等，因此也存在著外網(wǎng)非法用戶對內(nèi)部服務(wù)器的攻擊。

（五） 系統(tǒng)層面的風(fēng)險

當(dāng)前電子政務(wù)網(wǎng)通常采用的操作系統(tǒng)本身在安全方面的考慮較少，服務(wù)器與數(shù)據(jù)庫的安全級別較低，這在很大程度上存在著安全隱患，加之病毒的潛伏，這些都增加了系統(tǒng)在安全方面的脆弱性。

（六） 技術(shù)層面的風(fēng)險

技術(shù)層面的風(fēng)險主要表現(xiàn)為技術(shù)線路、設(shè)備選型、工程質(zhì)量、系統(tǒng)性能等風(fēng)險。技術(shù)層面的風(fēng)險不僅關(guān)系到項目的實施情況，也關(guān)系到項目后期的維護和應(yīng)用。現(xiàn)階段受技術(shù)發(fā)展的制約，我們在技術(shù)方面還存在著很大欠缺，因此存在著一定的技術(shù)風(fēng)險。

（七） 資金層面的風(fēng)險

受利益的驅(qū)使，有些部門在制定規(guī)劃時，將電子政務(wù)的規(guī)模越做越大，虛設(shè)資金越來越多，這就使得電子政務(wù)的建設(shè)變得越來越困難。除此之外，在資金使用方面，由于缺乏對部門資金的有效監(jiān)督，使得資金浪費現(xiàn)象嚴(yán)重。如果不能合理計劃和控制資金的流向，這將直接影響電子政務(wù)的建設(shè)，甚至促使一種新的腐敗的產(chǎn)生。另外，在后期維護上，電子政務(wù)系統(tǒng)也需要運營資金的支持，沒有了運營資金的有效支持，就沒有了電子政務(wù)的內(nèi)容來源。

（八） 管理層面的風(fēng)險

在電子政務(wù)運行過程中需要管理的內(nèi)容主要有規(guī)劃管理、技術(shù)管理、過程管理、運維管理、安全管理等。管理的風(fēng)險不僅體現(xiàn)在單個項目的管理，也體現(xiàn)在根據(jù)規(guī)劃對相關(guān)項目群的管理風(fēng)險。管理風(fēng)險是項目實施過程中最主要的風(fēng)險，是項目成敗與否的關(guān)鍵。隨著信息系統(tǒng)建設(shè)和應(yīng)用規(guī)模的不斷擴大，管理的難度和風(fēng)險還將不斷加大，但與此同時，政府部門缺乏信息化項目管理的專業(yè)人員，缺乏項目管理的風(fēng)險意識，這與快速發(fā)展的電子政務(wù)管理要求不相匹配。

三、 電子政務(wù)管理防范措施

（一）強化信息管理人員的安全意識

電子政務(wù)信息安全是電子政務(wù)正常而高效運轉(zhuǎn)的基礎(chǔ)，是保障國家信息安全的重要前提，電子政務(wù)信息管理人員要正確認(rèn)識并高度重視，及時發(fā)現(xiàn)影響信息安全的現(xiàn)象。政府部門要對信息管理人員進行必要的培訓(xùn)，普及信息安全知識，增強信息管理人員的安全意識；積極開展安全策略研究，明確安全責(zé)任，增強信息管理人員的責(zé)任心；積極組織各種講座和培訓(xùn)班，培養(yǎng)專業(yè)信息安全人才，確保防范手段和技術(shù)措施的先進性和主動性。

（二）實施保障措施，建立系統(tǒng)安全保障體系

電子政務(wù)系統(tǒng)安全風(fēng)險的威脅無處不在，它主要來自于物理環(huán)境、技術(shù)環(huán)境、社會環(huán)境等。建立全方位的電子政務(wù)信息系統(tǒng)安全保障體系是規(guī)避電子政務(wù)安全威脅因素的必要方式。在充分分析系統(tǒng)安全風(fēng)險的基礎(chǔ)上，通過制定系統(tǒng)安全策略和采用先進的安全技術(shù)，才能對系統(tǒng)實施安全防護和監(jiān)控，使其真正成為智能型系統(tǒng)安全體系。具體做法有：

1.實施監(jiān)測系統(tǒng)的運行情況，及時發(fā)現(xiàn)和制止可能對系統(tǒng)出現(xiàn)威脅的各種攻擊；

2.記錄和分析安全審計數(shù)據(jù)，檢查系統(tǒng)中出現(xiàn)的違規(guī)行為，判斷是否違反法律法規(guī)，為改進系統(tǒng)提供充足的依據(jù)；

3.對數(shù)據(jù)恢復(fù)應(yīng)進行應(yīng)急處理和響應(yīng)，及時恢復(fù)信息，降低被攻擊的破壞程度，包括備份、自動恢復(fù)、快速恢復(fù)等。

（三）制定合理資金計劃，確保有序利用

充足的資金是保證電子政務(wù)順利開展的必要條件。前期指定電子政務(wù)建設(shè)的方案中，要根據(jù)本單位、本部門的實際情況制定合理的資金預(yù)算方案，確保不虛報資金預(yù)算，杜絕腐敗滋生；在后期維護過程中，資金也要及時到位，以確保電子政務(wù)信息系統(tǒng)的順利進行。

（四）健全電子政務(wù)法律法規(guī)建設(shè)

法律是保障電子政務(wù)信息安全的最有力手段。政府立法部門應(yīng)加快立法進程，借鑒國外網(wǎng)絡(luò)信息安全立法方面的先進經(jīng)驗，制定完備的信息網(wǎng)絡(luò)安全性法規(guī)，完善我國的網(wǎng)絡(luò)信息安全法律體系，使得電子政務(wù)信息安全管理走上法制化軌道。

電子政務(wù)是實現(xiàn)“電子政府”的有效途徑，在政府推動信息化的同時，也要注意其過程中產(chǎn)生的風(fēng)險，正視風(fēng)險本身，加快制定保障電子政務(wù)健康發(fā)展的政策法規(guī)，才能降低風(fēng)險，從而有力地推動和改進政府的管理方式，才能有助于更好的發(fā)揮其政府職能。

參考文獻：

[1]方德英，李敏強.IT項目風(fēng)險管理理論體系構(gòu)建[J].合肥工業(yè)大學(xué)學(xué)報（自然科學(xué)版），2003，,2（8）：907-908.

篇（4）

2 電子政務(wù)發(fā)展現(xiàn)狀以及概念 

2.1 電子政務(wù)信息安全保密管理階段 

目前，可以將我國電子政務(wù)中的信息安全保密管理分成三個階段：（1）實現(xiàn)全自動化辦公，應(yīng)用的工具主要是Office軟件以及臺式計算機，把原來的手寫形式變成了電子輸入，使辦公操作能夠更加快捷和方便；（2）把Internet當(dāng)做主要客戶端，不同用戶、不同行業(yè)以及不同終端等都可以貫通交互，使信息交換以及資源共用范圍可以更加廣泛，顯著提升了以前的工作效率；（3）以外部網(wǎng)絡(luò)以及內(nèi)部網(wǎng)絡(luò)共同建立的電子政務(wù)信息為中心。 

2.2 電子政務(wù)具體概念和相應(yīng)的保密要求 

所謂電子政務(wù)就是指國家政府機構(gòu)通過現(xiàn)代信息技術(shù)以及通信功能進行政務(wù)信息交流的手段，利用網(wǎng)絡(luò)技術(shù)使管理工作以及服務(wù)在這一領(lǐng)域更加深化，從而產(chǎn)生的一種信息交流方式，就是為了優(yōu)化重組政府內(nèi)部具體工作流程以及組織結(jié)構(gòu)，使其不再受到時間以及部門和空間的分隔限制，讓政府能夠有效地和更加誠信地進行行政管理，使管理環(huán)節(jié)更加精簡，為社會提供更加優(yōu)質(zhì)、透明、規(guī)范、全面的管理以及服務(wù)。我國《保密法》是在2010 年重新修訂并且正式實施的，其中就進行了規(guī)定，以保證國家秘密安全為工作前提，合理應(yīng)用相應(yīng)的電子網(wǎng)絡(luò)信息。和發(fā)達國家相比，我國信息產(chǎn)業(yè)發(fā)展以及信息技術(shù)水平還比較落后，雖然有些安全軟件可以對電子政務(wù)起到一定的防御作用，同時，也必須考慮安全軟件所具有的性能是否與電子政務(wù)的國情相符。 

3 電子政務(wù)信息具體安全保密風(fēng)險和相應(yīng)的防范措施 

3.1 網(wǎng)絡(luò)技術(shù)安全所具有的脆弱性 

篇（5）

模型分析

信度指測量結(jié)果一致性或穩(wěn)定性的程度。運用SPSS16.0對量表的信度進行檢驗，Cronbach’sα為0.844，而各分量表信度分析結(jié)果(表2的Cronbach’sAlpha系數(shù))表明，5個潛在變量的α系數(shù)值均滿足大于0.70的要求,因此，該量表具有較好的信度。結(jié)構(gòu)效度是指量表測量結(jié)果同期望評估內(nèi)容的同構(gòu)程度，運用標(biāo)準(zhǔn)化因子負(fù)荷來檢驗結(jié)構(gòu)效度，表2給出的結(jié)果表明，測量指標(biāo)的標(biāo)準(zhǔn)化因子負(fù)荷（Estimate值）大部分大于0.7，并在99％的置信度下高度顯著(C.R.值>2.58)。表明本研究構(gòu)造的變量效度較好，適合做結(jié)構(gòu)方程模型分析。前文建立的結(jié)構(gòu)方程模型必須通過擬合度檢驗,才能認(rèn)定假設(shè)模型與實際數(shù)據(jù)樣本的一致性。若模型的擬合度高，則代表模型可用性越高，參數(shù)的估計越具有含義。對于擬合度的考核有較多指標(biāo),但不同的指標(biāo)在不同的模型復(fù)雜度、樣本數(shù)量下有著不同的表現(xiàn)特性,必須根據(jù)具體情況同時參考各種擬合度指標(biāo)[4]。本研究利用AMOS7.0進行結(jié)構(gòu)方程模型的分析,主要使用CMIN、RMSEA、CFI、GFI等較為穩(wěn)定的指標(biāo)考核模型擬合度,擬合后的評價結(jié)果及其理想值匯總于表3。從表3中可知假設(shè)模型較好地與樣本數(shù)據(jù)擬合,具有較高擬合度。經(jīng)過對結(jié)構(gòu)方程模型的分析,可以得到各個潛在變量之間的路徑系數(shù)以及可測變量與潛在變量之間的因子負(fù)荷。路徑系數(shù)及因子負(fù)荷量匯總于上表2（Estimate值）。從中可知,潛在變量之間的路徑系數(shù)、可測變量在對應(yīng)的潛在變量中的因子負(fù)荷所對應(yīng)的C.R.值均大于1.95的擬合要求,表明各路徑系數(shù)以及因子負(fù)荷在p=0.05的水平上具有統(tǒng)計顯著性，能夠作為進一步分析的依據(jù)。2.3假設(shè)檢驗結(jié)果從表4可以看出,本文提出的假設(shè)模型中有10個假設(shè)通過了調(diào)查數(shù)據(jù)的驗證(t>1.96),2個假設(shè)（H1和H7）沒有通過調(diào)查數(shù)據(jù)的驗證。

電子政務(wù)外包風(fēng)險對績效的作用路徑及效應(yīng)分析

由于篇幅有限，此處僅給出了變量間的總效應(yīng)，如表5所示，而直接效應(yīng)可由表2的Estimate值給出，相應(yīng)的間接效應(yīng)=總效應(yīng)-直接效應(yīng)。圖2顯示了電子政務(wù)外包風(fēng)險因素間的相互作用關(guān)系以及風(fēng)險對績效的作用路徑及效應(yīng)。從表5看出，“外包決策風(fēng)險”對“電子政務(wù)外包績效”的總效應(yīng)是最高的，但是其直接效應(yīng)（0.152）卻是不顯著的，這是由于外包決策主要處于整個外包過程的前期，與其它環(huán)節(jié)的關(guān)系極為密切，其對外包績效的影響主要是通過后續(xù)環(huán)節(jié)的其它風(fēng)險因素間接作用的，對“關(guān)系管理風(fēng)險”、“團隊運作風(fēng)險”、“成本管理風(fēng)險”影響的總效應(yīng)都大于0.6，均較為顯著。外包內(nèi)容、范圍的決策是否合理、服務(wù)商選擇是否正確對團隊運作階段的需求分析、服務(wù)質(zhì)量、項目管理影響都比較大，外包市場不成熟引致的知識產(chǎn)權(quán)保護乏力、涉及核心機密的政務(wù)外包決策失誤、選擇的服務(wù)商商譽不良引起的信息泄漏等方面都對電子政務(wù)的安全構(gòu)成威脅。因此，“外包決策風(fēng)險”的擴散效應(yīng)不可小覷，可能會由于外包決策的一些失誤，導(dǎo)致連鎖反應(yīng)，最終對電子政務(wù)外包造成不可挽回的損失。當(dāng)前，電子政務(wù)外包市場較不成熟，政府部門在制定外包決策過程中，要明確外包應(yīng)該包什么、怎么包，確定具體的任務(wù)和目標(biāo)，對潛在的運營企業(yè)進行評估，選擇商譽良好的運營企業(yè)。在政府部門建立CIO制度，為外包決策提供支持。研究表明，成熟的CIO制度能夠為外包范圍程度、運營企業(yè)評估選擇提供有效的指導(dǎo)與協(xié)調(diào)支持，較好地解決政府部門在外包決策中的信息不對稱現(xiàn)象，防范機會主義風(fēng)險[5]，在外包執(zhí)行過程中進行有效監(jiān)督并給予有力的支持，提高政府部門在關(guān)系管理、知識管理、成本管理等方面的經(jīng)驗與能力。

“關(guān)系管理風(fēng)險”對“電子政務(wù)外包績效”的總效應(yīng)略低于“外包決策風(fēng)險”，居第二位，其直接效應(yīng)（0.236）也僅次于“團隊運作風(fēng)險”，間接效應(yīng)（0.435）非常顯著。“關(guān)系管理風(fēng)險”包含的風(fēng)險因素中，‘合同不完善’、‘外包主體關(guān)系不和諧’以及‘外包主體之間缺乏溝通’都是外包領(lǐng)域較為常見也較難克服的風(fēng)險因素，對電子政務(wù)外包績效的影響較為深重。此外，“關(guān)系管理風(fēng)險”與其它類別的風(fēng)險因素關(guān)系也較為密切，對“知識管理風(fēng)險”、“團隊運作風(fēng)險”的總效應(yīng)均在0.7以上，顯著水平較高。“關(guān)系管理風(fēng)險”中的‘合同不完善’風(fēng)險影響比較大，屬關(guān)鍵風(fēng)險因素，特別要重視這一風(fēng)險因素對“知識管理風(fēng)險”中的‘績效評量體系失效’、‘知識共享不足的影響’。而‘外包主體關(guān)系不和諧’對“團隊運作風(fēng)險”中的‘團隊結(jié)構(gòu)與行為不適應(yīng)’風(fēng)險的影響效應(yīng)也特別大，影響雙方團隊人員之間的溝通協(xié)作及問題的解決。為了防范關(guān)系管理風(fēng)險，應(yīng)制定明確、完善而兼具柔性的合同，加強政府部門與運營企業(yè)之間的伙伴關(guān)系管理。研究發(fā)現(xiàn)，基于滿意、溝通合作、長期互動的關(guān)系能夠改善政府部門與運營企業(yè)之間的信任程度[6]，防止運營企業(yè)采取機會主義行為侵害政府部門的利益，實現(xiàn)雙方共贏、共擔(dān)風(fēng)險、目標(biāo)資源優(yōu)勢互補。在外包關(guān)系的管理上，促進雙方建立長期的合作與信任關(guān)系，并通過短期合同的方式[7]，使運營企業(yè)一直處于競爭的環(huán)境之中，激勵他們提供較高質(zhì)量的服務(wù)。

“知識管理風(fēng)險”對“電子政務(wù)外包績效”的總效應(yīng)為0.441，直接效應(yīng)為0.213，均較為顯著。值得一提的是，“知識管理風(fēng)險”對其它類風(fēng)險的直接效應(yīng)較不顯著，唯獨對“團隊運作風(fēng)險”的效應(yīng)較為顯著，達到0.597，并通過“團隊運作風(fēng)險”間接影響“成本管理風(fēng)險”，這也構(gòu)成了對“電子政務(wù)外包績效”的間接效應(yīng)。這主要由于“知識管理風(fēng)險”潛伏性較強，不易識別，但是對團隊運作的知識流程作用深遠(yuǎn)，對電子政務(wù)外包過程中的知識共享、安全保密控制、績效評量、學(xué)習(xí)與創(chuàng)新能力的培養(yǎng)等方面的影響都較為關(guān)鍵，“知識管理風(fēng)險”對“電子政務(wù)外包績效”中的戰(zhàn)略績效的影響極為顯著。此外，“知識管理風(fēng)險”對“團隊運作風(fēng)險”的總效應(yīng)也達到0.597，運營企業(yè)的知識管理能力與經(jīng)驗不足，在知識共享、安全保密控制、績效評量等方面的工作就會做得不到位，相關(guān)的風(fēng)險就很可能產(chǎn)生，而政府部門一旦缺乏知識管理方面的能力與經(jīng)驗，對知識流程（主要是知識共享、安全控制、評價）的監(jiān)督控制就會大大削弱。電子政務(wù)外包雙方要加強風(fēng)險管理與知識管理的融合，通過對外包過程中的知識管理來控制風(fēng)險，同時，也要通過風(fēng)險管理經(jīng)驗的不斷積累，形成風(fēng)險管理知識并加以共享創(chuàng)新，提高外包過程中的知識管理水平[8]。外包雙方應(yīng)注重相關(guān)風(fēng)險管理知識的存儲、共享、運用與再創(chuàng)造，以提高知識管理與風(fēng)險管理的融合水平。政府部門應(yīng)加強知識轉(zhuǎn)移控制、制定安全防范機制、確定合理的績效評價標(biāo)準(zhǔn)，同時，也要重視組織學(xué)習(xí)與創(chuàng)新能力的培養(yǎng)，適時開展相關(guān)的學(xué)習(xí)培訓(xùn)活動，提高政府工作人員學(xué)習(xí)創(chuàng)新的積極性，注重知識與經(jīng)驗的積累，提高學(xué)習(xí)與創(chuàng)新能力，掌握外包過程中的主動權(quán)；運營企業(yè)應(yīng)合理配置團隊的知識資源，使得團隊人員知識互補、互相協(xié)調(diào)，提高參與人員素質(zhì)，防止信息泄露[9]，及時向政府部門反饋績效信息，完善相關(guān)文檔，做好知識轉(zhuǎn)移工作；監(jiān)理方要嚴(yán)格規(guī)定外包主體責(zé)任，強化服務(wù)質(zhì)量信息披露，充分發(fā)揮其咨詢、監(jiān)督、評估的作用，制定嚴(yán)格的電子政務(wù)外包安全執(zhí)行標(biāo)準(zhǔn)和完備的安全監(jiān)管制度，完善工作流程、加強外包合同約束機制，并協(xié)助政府部門選擇信譽好、具有保密資質(zhì)的運營企業(yè)。#p#分頁標(biāo)題#e#

在所有風(fēng)險類別對“電子政務(wù)外包績效”的直接效應(yīng)中，最大的是“團隊運作風(fēng)險”，達到0.269，顯著性水平較高。在電子政務(wù)外包的執(zhí)行過程中，團隊運作是關(guān)鍵，“團隊運作風(fēng)險”包含的潛在風(fēng)險因素都會直接影響到績效水平，而且影響作用都比較大，屬于關(guān)鍵風(fēng)險因素，特別是‘需求分析不準(zhǔn)確’對后續(xù)工作的影響較為重大，不僅直接影響到團隊運作的順利進行，加大了團隊運作階段的風(fēng)險，也不利于知識管理、成本管理的開展，應(yīng)予以重視。“團隊運作風(fēng)險”對“成本管理風(fēng)險”的總效應(yīng)（0.585）較為顯著，成本預(yù)算控制作為項目管理的關(guān)鍵，也需要雙方具備相應(yīng)的項目管理能力與經(jīng)驗，相應(yīng)的風(fēng)險對成本預(yù)算控制的不良影響也是需要予以重視的，而需求分析不準(zhǔn)確與頻繁變更對隱性成本累積的影響也是不容忽視的，團隊結(jié)構(gòu)與行為不適應(yīng)引起的人員變動、溝通協(xié)調(diào)問題也增加了協(xié)調(diào)成本。研究表明，發(fā)包方與承包方在需求分析以及變更控制方面的風(fēng)險問題，主要由于外包雙方缺乏溝通以及對外包過程的控制不力，這也是團隊運作的其它風(fēng)險因素產(chǎn)生的主要原因。為此，運營企業(yè)應(yīng)就政府部門的電子政務(wù)需求進行系統(tǒng)地調(diào)查分析，與對方加強溝通合作，在團隊運作中重視政府部門人員的參與；政府部門應(yīng)提高自身的管理經(jīng)驗與能力，促進團隊結(jié)構(gòu)與行為的協(xié)調(diào)，主管領(lǐng)導(dǎo)應(yīng)對外包項目予以重視，提供必要的支持。

篇（6）

電子政務(wù)，即各級機關(guān)在實踐管理工作開展過程中需借助電子信息技術(shù)，打造分層結(jié)構(gòu)、集中管理網(wǎng)絡(luò)管理環(huán)境，且推進電子政務(wù)系統(tǒng)由“功能單一”向“綜合政務(wù)網(wǎng)”轉(zhuǎn)變，從而提升整體政府服務(wù)水平，同時借助網(wǎng)絡(luò)平臺加強與公眾間的互動性，并營造雙向信息交流環(huán)境，有效應(yīng)對計算機病毒、黑客攻擊、木馬程序等網(wǎng)絡(luò)安全問題。以下就是對電子政務(wù)系統(tǒng)網(wǎng)絡(luò)安全問題的詳細(xì)闡述，望其能為當(dāng)前政府機構(gòu)職能效用的有效發(fā)揮提供有利參考。

1.電子政務(wù)系統(tǒng)網(wǎng)絡(luò)安全研究

1.1網(wǎng)絡(luò)安全需求

就當(dāng)前的現(xiàn)狀來看，電子政務(wù)系統(tǒng)網(wǎng)絡(luò)在運行過程中基于垃圾郵件攻擊、網(wǎng)絡(luò)蠕蟲、黑客攻擊、網(wǎng)絡(luò)安全威脅等因素的影響下，降低了服務(wù)質(zhì)量。為此，當(dāng)代政務(wù)系統(tǒng)針對網(wǎng)絡(luò)安全問題提出了相應(yīng)的網(wǎng)絡(luò)安全需求：第一，網(wǎng)絡(luò)信息安全，即在電子政務(wù)系統(tǒng)操控過程中為了規(guī)避政務(wù)信息丟失等問題的凸顯，要求管理人員在實踐信息管理過程中應(yīng)從信息分級保護、信息保密、身份鑒別、網(wǎng)絡(luò)信息訪問權(quán)限控制等角度出發(fā)，對可用性網(wǎng)絡(luò)信息實施管理，打造良好的網(wǎng)絡(luò)信息使用環(huán)境；第二，管理控制安全。即由于電子政務(wù)網(wǎng)絡(luò)系統(tǒng)需與Internet連接，因而在內(nèi)部局域網(wǎng)、外部局域網(wǎng)管理過程中，應(yīng)設(shè)置隔離措施，同時針對每個局域網(wǎng)用戶設(shè)定訪問限定資源，并針對用戶身份進行雙向認(rèn)證，由此規(guī)避黑客攻擊等問題的凸顯。而在信息傳輸過程中，亦需針對關(guān)鍵應(yīng)用信息進行加密，且配置網(wǎng)絡(luò)監(jiān)控中心，實時掌控惡意攻擊現(xiàn)象，并做出及時響應(yīng)；第三，統(tǒng)一管理全網(wǎng)，即為了降低網(wǎng)絡(luò)安全風(fēng)險問題，要求當(dāng)代電子政務(wù)網(wǎng)絡(luò)系統(tǒng)在開發(fā)過程中應(yīng)制定VLAN劃分計劃，且針對通信線路、訪問控制體系、網(wǎng)絡(luò)功能模塊等實施統(tǒng)一管理，規(guī)避非法截獲等安全問題[1]。

1.2網(wǎng)絡(luò)安全風(fēng)險

（1）系統(tǒng)安全風(fēng)險。就當(dāng)前的現(xiàn)狀來看，我國UNIX、Windows、NETWARE等操作系統(tǒng)本身存有安全隱患問題，因而網(wǎng)絡(luò)侵襲者在對系統(tǒng)進行操控過程中，可借助系統(tǒng)漏洞，登錄服務(wù)器或破解靜態(tài)口令身份驗證密碼，訪問服務(wù)器信息，造成政務(wù)信息泄露問題。同時，在電子政務(wù)系統(tǒng)網(wǎng)絡(luò)管理過程中，部分管理人員缺乏安全管理意識，從而未及時修補系統(tǒng)漏洞，且缺乏硬件服務(wù)器等安全評定環(huán)節(jié)，繼而誘發(fā)了系統(tǒng)安全風(fēng)險。此外，基于電子政務(wù)網(wǎng)絡(luò)系統(tǒng)運行的基礎(chǔ)上，侵襲者通常在公用網(wǎng)上搭線竊取口令字，同時冒充管理人員，向系統(tǒng)內(nèi)部局域網(wǎng)直入嗅探程序，從而截獲口令字，獲取網(wǎng)絡(luò)管理權(quán)限，造成電子政務(wù)系統(tǒng)信息損失。為此，為了規(guī)避信息截獲等網(wǎng)絡(luò)安全問題的凸顯，要求管理人員在實踐管理工作開展過程中應(yīng)針對操作系統(tǒng)、硬件平臺安全性進行檢測，且健全登錄過程認(rèn)證環(huán)節(jié)，打造良好的電子政務(wù)系統(tǒng)服務(wù)空間，滿足系統(tǒng)運行條件，同時實現(xiàn)對登陸者操作的嚴(yán)格把控。（2）應(yīng)用安全風(fēng)險。電子政務(wù)系統(tǒng)網(wǎng)絡(luò)運行中應(yīng)用安全風(fēng)險主要體現(xiàn)在以下幾個方面：第一，網(wǎng)絡(luò)資源共享風(fēng)險，即各級政府機構(gòu)在網(wǎng)絡(luò)辦公環(huán)境下，為了提升整體工作效率，注重運用網(wǎng)絡(luò)平臺共享機關(guān)機構(gòu)組成、政務(wù)新聞、政務(wù)管理程序等信息。而若某工作人員將政務(wù)信息存儲于硬盤中，將基于缺少訪問控制手段的基礎(chǔ)上，造成信息竊取行為；第二，電子郵件風(fēng)險，即某些不法分子為了獲取政務(wù)信息，將特洛伊木馬、病毒等程序植入到郵件中，并發(fā)送至電子政務(wù)系統(tǒng)，從而通過程序跟蹤，威脅電子政務(wù)系統(tǒng)網(wǎng)絡(luò)安全性。為此，管理人員在對電子政務(wù)系統(tǒng)進行操控過程中應(yīng)提高對此問題的重視程度，同時強調(diào)對垃圾郵件的及時清理[2]；第三，用戶使用風(fēng)險，即在電子政務(wù)系統(tǒng)平臺建構(gòu)過程中，為了規(guī)避網(wǎng)絡(luò)安全風(fēng)險問題，設(shè)置了“用戶名+口令”身份認(rèn)證，但由于部分用戶缺乏安全意識，繼而將生日、身份證號、電話號碼等作為口令字，從而遭到非法用戶竊取，引發(fā)政務(wù)信息泄露或攻擊事件。為此，在系統(tǒng)操控過程中應(yīng)針對此問題展開行之有效的處理。

2.電子政務(wù)系統(tǒng)網(wǎng)絡(luò)安全設(shè)計應(yīng)用

2.1系統(tǒng)安全

在電子政務(wù)系統(tǒng)應(yīng)用過程中，為了打造良好的網(wǎng)絡(luò)運行空間，在系統(tǒng)設(shè)計過程中應(yīng)融合防火墻隔離、VLAN劃分、HA和負(fù)載均衡、動態(tài)路由等技術(shù)，并在電子政務(wù)網(wǎng)絡(luò)結(jié)構(gòu)部署過程中，將功能區(qū)域劃分為若干個子網(wǎng)結(jié)構(gòu)，同時合理布設(shè)出入口，并實時清理故障清單，從根本上規(guī)避網(wǎng)絡(luò)安全風(fēng)險問題。同時，在操作系統(tǒng)安全設(shè)置過程中，應(yīng)針對安全配置安全性進行檢測，并限定etc/host、passwd、shadow、group、SAM、LMHOST等關(guān)鍵文件使用權(quán)限，且加強“用戶名+口令”身份認(rèn)證設(shè)置的復(fù)雜性，避免操作風(fēng)險的凸顯[3]。此外，在電子政務(wù)系統(tǒng)操控過程中，為了確保系統(tǒng)安全性，亦應(yīng)針對系統(tǒng)運行狀況做好打補丁操作環(huán)節(jié)，并及時升級網(wǎng)絡(luò)配置，營造安全、穩(wěn)定的系統(tǒng)運行空間。

2.2訪問控制

在電子政務(wù)系統(tǒng)網(wǎng)絡(luò)安全應(yīng)用過程中加強訪問控制工作的開展是非常必要的，為此，首先要求管理人員在系統(tǒng)操控過程中應(yīng)結(jié)合政務(wù)信息的特殊性，建構(gòu)《用戶授權(quán)實施細(xì)則》、《口令字及賬戶管理規(guī)范》等條例，并嚴(yán)格遵從管理制度要求，實現(xiàn)對網(wǎng)絡(luò)環(huán)境的有效操控。同時，在網(wǎng)絡(luò)出入口等網(wǎng)絡(luò)內(nèi)部環(huán)境操控過程中，應(yīng)設(shè)置防火墻設(shè)備。例如，在Switch、Router安全網(wǎng)絡(luò)域連接過程中，即需在二者間設(shè)置防火墻，繼而利用防火墻IP、TCP信息過濾功能，如，拒絕、允許、監(jiān)測等，對政務(wù)信息形成保護，同時在網(wǎng)絡(luò)入侵行為發(fā)生時，及時發(fā)出警告信號，且針對用戶身份進行S/Key的驗證，達到網(wǎng)絡(luò)訪問控制目的[4]。其次，在網(wǎng)絡(luò)訪問控制作業(yè)環(huán)節(jié)開展過程中，為了規(guī)避電子政務(wù)網(wǎng)內(nèi)部服務(wù)器、WWW、Mail等攻擊現(xiàn)象，應(yīng)注重應(yīng)用防火墻應(yīng)用功能，對安全問題進行有效防控。

2.3數(shù)據(jù)保護

電子政務(wù)數(shù)據(jù)屬于機密性信息，因而在此基礎(chǔ)上，為了規(guī)避數(shù)據(jù)泄露問題的凸顯影響到社會的發(fā)展，要求我國政府部門在電子政務(wù)系統(tǒng)運行過程中，應(yīng)擴大對《上網(wǎng)數(shù)據(jù)的審批規(guī)定》、《數(shù)據(jù)管理管理辦法》等制度的宣傳，同時在PC機管理過程中，增設(shè)文件加密系統(tǒng)，并對訪問者進行限制，最終實現(xiàn)對數(shù)據(jù)的高效保護。其次，在對SYBASE等通用數(shù)據(jù)庫進行保護過程中，應(yīng)增設(shè)訪問/存取控制手段，同時完善身份驗證、訪問控制、密碼機制、文件管理等功能模塊，從而通過角色控制、強制控制等方法，對數(shù)據(jù)形成雙層保護，并加強假冒、泄露、篡改等現(xiàn)象的管理，保障系統(tǒng)網(wǎng)絡(luò)安全性[5]。再次，在政務(wù)數(shù)據(jù)使用、傳輸過程中，應(yīng)定期檢測服務(wù)器內(nèi)容完整性，例如，WWW服務(wù)器、FTP、DNS服務(wù)器等信息，滿足政務(wù)信息使用需求，同時提升政府服務(wù)水平。

3.結(jié)論

綜上可知，傳統(tǒng)電子政務(wù)系統(tǒng)網(wǎng)絡(luò)管理工作實施過程中逐漸凸顯出信息截獲、信息泄露等問題，影響到了各級政府機關(guān)服務(wù)水平。因而在此基礎(chǔ)上，為了實現(xiàn)對網(wǎng)絡(luò)安全風(fēng)險問題的有效處理，要求管理人員在實際工作開展過程中應(yīng)注重加強安全管理工作，同時從數(shù)據(jù)保護、訪問控制、系統(tǒng)安全等角度入手，對政務(wù)系統(tǒng)網(wǎng)絡(luò)環(huán)境形成保護，滿足電子政務(wù)網(wǎng)絡(luò)系統(tǒng)應(yīng)用需求。

作者:韓戴鴻 鄔顯豪 徐彬凌 胡大川 錢誠 單位:常州市科技信息中心

參考文獻:

[1]王淼,凌捷,郝彥軍.電子政務(wù)系統(tǒng)安全域劃分技術(shù)的研究與應(yīng)用[J].計算機工程與科學(xué),2010,12(8):52-55.

[2]魏武華.電子政務(wù)系統(tǒng)的網(wǎng)絡(luò)架構(gòu)及其應(yīng)用研究[J].計算機時代,2013,12(7):13-16.

篇（7）

中圖分類號：TP399-C2

當(dāng)前，計算機網(wǎng)絡(luò)技術(shù)迅猛發(fā)展，社會網(wǎng)絡(luò)信息化進程基本得到普及。在世界各國逐漸實現(xiàn)電子政務(wù)系統(tǒng)的大背景下，我國政府機構(gòu)各部門實現(xiàn)電子化、網(wǎng)絡(luò)化和信息化后，有利于政府提高行政管理效率和辦公效率，改善公共服務(wù)。然而，電子政務(wù)系統(tǒng)中的一部分信息涉及到國家安全和機密，另外系統(tǒng)本身對開展工作都有很重要的作用，在電子政務(wù)為政府工作帶來高效和便利同時，信息化系統(tǒng)中所潛在安全風(fēng)險也越來越高。

當(dāng)前我國電子政務(wù)系統(tǒng)在整體管理機制、技術(shù)防范體系、全面集中安全管理策略平臺定制等方面，都有很多不足之處，迫切需要進行系統(tǒng)風(fēng)險評估來發(fā)現(xiàn)弱點彌補不足。

1 電子政務(wù)系統(tǒng)概述

一般而言，電子政務(wù)系統(tǒng)包括三個組成部分：第一政府部門內(nèi)部辦公職能的電子化和網(wǎng)絡(luò)化：第二政府職能部門之間通過計算機網(wǎng)絡(luò)實現(xiàn)有權(quán)限的實時互通的信息共享；第三政府部門通過網(wǎng)絡(luò)與公眾和企業(yè)間開展雙向的信息交流與決策。目前各級政府部門所廣泛使用的辦公自動化系統(tǒng)，屬于第一類電子政務(wù)的范疇。政府部門通過自己的互聯(lián)網(wǎng)站政務(wù)信息，以及進行網(wǎng)上招標(biāo)、網(wǎng)上招聘、接受網(wǎng)上投訴等，則屬于第三類電子政務(wù)的范疇。一個完整的電子政務(wù)系統(tǒng)，應(yīng)當(dāng)是上述這三類系統(tǒng)的有機結(jié)合。

2 電子政務(wù)系統(tǒng)技術(shù)的安全風(fēng)險

2.1 計算機系統(tǒng)硬軟件物理局限性

計算機系統(tǒng)硬軟件本身具有脆弱性的特點，在各種自然災(zāi)害、人為破壞下容易受到損害。比如計算機系統(tǒng)遭遇過高或過多的溫濕度、磁場、碰撞、污染，或者硬件設(shè)備故障，或者被突然斷電、電壓不穩(wěn)，或者遭遇火災(zāi)、地震、洪水的破壞，這些危害會不同程度地?fù)p害計算機操作系統(tǒng)的硬軟件設(shè)備，嚴(yán)重時會使丟失或破壞計算機系統(tǒng)數(shù)據(jù)，甚至摧毀整個計算機系統(tǒng)硬軟件設(shè)備。

2.2 網(wǎng)絡(luò)本身存在難以彌補的缺陷問題

電子政務(wù)系統(tǒng)在網(wǎng)絡(luò)運行過程中會存在以下幾個方面的安全風(fēng)險：一是黑客對電子政務(wù)系統(tǒng)進行偽裝后，騙取用戶賬號、密碼；二是電子政務(wù)系統(tǒng)用戶提交業(yè)務(wù)信息后被黑客非法監(jiān)聽，修改；三是電子政務(wù)系統(tǒng)用戶在成功提交業(yè)務(wù)后出現(xiàn)抵賴行為，有時沒有憑證；四是黑客對電子政務(wù)系統(tǒng)進行非法訪問；五是電子政務(wù)系統(tǒng)運行離不開網(wǎng)絡(luò)，使得網(wǎng)絡(luò)方面是一個重要風(fēng)險點，主要存在于網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等。

3 電子政務(wù)系統(tǒng)管理的安全風(fēng)險

據(jù)有關(guān)對電子政務(wù)系統(tǒng)網(wǎng)絡(luò)入侵、攻擊事件的調(diào)查數(shù)據(jù)顯示：歐美政府電子政務(wù)系統(tǒng)被入侵的安全風(fēng)險指數(shù)達21%，其中政府內(nèi)部不滿職工入侵安全風(fēng)險指數(shù)是89%、競爭對手入侵安全風(fēng)險指數(shù)是72%、黑客入侵安全風(fēng)險指數(shù)是48%。事實表明，電子政務(wù)系統(tǒng)的信息安全不只是單純的技術(shù)安全問題，還應(yīng)該從工作管理制度、職工管理上建立有效的安全防范機制。如果沒有有效的安全保護機制做保障，再完善的技術(shù)和設(shè)備也很難保證電子政務(wù)系統(tǒng)正常運行。

3.1 用戶安全意識薄弱

網(wǎng)絡(luò)用戶的安全意識屬于非技術(shù)層面的、是隱性的，它比表面的技術(shù)難題更難克服。主要表現(xiàn)在人們對信息安全保密的認(rèn)識不足，潛意識里對安全的理解和關(guān)注不足，單位領(lǐng)導(dǎo)層對安全基礎(chǔ)設(shè)施的利用和資金投入不足等。

3.2 管理制度不完善

在電子政務(wù)系統(tǒng)管理過程中經(jīng)常出現(xiàn)的不當(dāng)情況有：機房重地沒設(shè)沒卡無人看守，非工作人員能隨意進出；工作人員在機房開機狀態(tài)下離開崗位，有關(guān)重要的敏感信息被臨時存放在本地的磁盤上，且未設(shè)置保護狀態(tài)。這些行為會導(dǎo)致機房或電子政務(wù)系統(tǒng)被外部入侵，更為系統(tǒng)內(nèi)部破壞埋下長期隱患。一般來說，來自內(nèi)部的安全威脅會更大些，原因在于內(nèi)部工作人員更了解系統(tǒng)內(nèi)部網(wǎng)絡(luò)、主機、應(yīng)用系統(tǒng)的結(jié)構(gòu)功能；更了解內(nèi)部管理員的工作漏洞和工作習(xí)慣，有時，甚至破壞者自身就是一名內(nèi)部管理人員；內(nèi)部工作人員一般都擁有系統(tǒng)的一定訪問權(quán)限，能很順利地規(guī)避正常的訪問監(jiān)控機制；內(nèi)部工作人員對內(nèi)部系統(tǒng)能有更多的機會進行網(wǎng)絡(luò)偵查，容易進行有針對性地系統(tǒng)登錄、密碼破解行為。

3.3 缺乏應(yīng)急機制

當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時（如內(nèi)部人員的違規(guī)操作等），無法進行實時的檢測、監(jiān)控、報告與預(yù)警。同時，當(dāng)事故發(fā)生后，也無法提供黑客攻擊行為的追蹤線索及破案依據(jù)，即缺乏對網(wǎng)絡(luò)的可控性與可審查性。

4 針對電子政務(wù)系統(tǒng)風(fēng)險的解決方案

4.1 加強硬軟件建設(shè)，確保電子政務(wù)系統(tǒng)安全

要保障計算機電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全，前提是要確保計算機信息系統(tǒng)有關(guān)運行設(shè)備的物理安全。設(shè)備的物理安全主要包括線路安全、設(shè)備安全、環(huán)境安全三個方面。確保設(shè)備的物理安全是要保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施遠(yuǎn)離火災(zāi)、水災(zāi)、地震等自然災(zāi)害事故，遠(yuǎn)離人為操作錯誤，遠(yuǎn)離各種損害計算機系統(tǒng)的行為。

為確保電子政務(wù)系統(tǒng)的安全，通常情況還應(yīng)把不同密級的網(wǎng)絡(luò)進行有效隔離，可以采用隔離技術(shù)將核心密級、普通密級在物理上進行有效隔離，同時要通過技術(shù)手段在邏輯上將兩個網(wǎng)絡(luò)進行有效連通。

電子政務(wù)網(wǎng)絡(luò)系統(tǒng)是通常由省、市、縣政府三級網(wǎng)絡(luò)組成的體系結(jié)構(gòu)，從網(wǎng)絡(luò)安全角度層面上看，三級網(wǎng)絡(luò)結(jié)構(gòu)存在于不同的網(wǎng)絡(luò)安全域，應(yīng)該在各級的網(wǎng)絡(luò)邊界、政務(wù)網(wǎng)、Internet邊界設(shè)置安裝有效的防火墻，并進行相對應(yīng)的安全策略控制。同時，根據(jù)滿足對外信息查詢等服務(wù)的要求，可把對外公開服務(wù)器集合起來劃分出專門的服務(wù)器子網(wǎng)，設(shè)置防火墻策略來保護對客戶的訪問。網(wǎng)絡(luò)邊界安全的防范可采用防火墻等成熟產(chǎn)品和技術(shù)實現(xiàn)網(wǎng)絡(luò)的訪問控制，采用安全檢測手段防范黑客入侵。

4.2 加強管理，保障電子政務(wù)系統(tǒng)安全運行

針對網(wǎng)絡(luò)安全的脆弱性，我們可在網(wǎng)絡(luò)設(shè)計上增加安全服務(wù)功能，完善系統(tǒng)的安全保密措施，同時，要制定有效的安全管理制度，加強網(wǎng)絡(luò)的安全管理。實施安全管理做好以下幾個原則：一是堅持職責(zé)分離原則。禁止工作人員了解、參與職責(zé)以外的任何安全操作行為；二是堅持多人負(fù)責(zé)原則。對每項與安全有關(guān)的操作都要求有多人在場，相互監(jiān)督。這些人都應(yīng)忠誠可靠。三是堅持任期有限原則。對涉及安全的工作人員不能長期兼任，要適當(dāng)根據(jù)年限和表現(xiàn)進行調(diào)整。

5 總結(jié)

對電子政務(wù)系統(tǒng)的描述，讓我們了解到電子政務(wù)系統(tǒng)給我們的生活帶來的極大便利，同時分析出存在的風(fēng)險，進而在技術(shù)上克服難關(guān)，確保系統(tǒng)的安全。另外，人在工作中的不確定性操作也會造成很大的安全威脅，所以也要求對工作人員進行嚴(yán)格管理，培養(yǎng)安全意識。這樣我們做到了既從技術(shù)上解決各種威脅，又從人員管理上盡量減少意外事故發(fā)生的幾率，從而保證了電子政務(wù)系統(tǒng)的安全，相信電子政務(wù)系統(tǒng)會給我們的生活帶來巨大的改變，發(fā)揮出更大的作用。

參考文獻：

[1]黃志澄.電子政務(wù)的內(nèi)涵及發(fā)展[J].中國信息導(dǎo)報，2010（4）.

[2]楊義先，林曉東，邢育森.信息安全綜論[J].電信科學(xué)，2009（12）.

[3]謝健全.信息系統(tǒng)安全防護技術(shù)[M].中國宇航出版社，2006，07.

[4]聶曉偉，張玉清，楊鼎才.基于BS7799標(biāo)準(zhǔn)風(fēng)險評估方法的設(shè)計與應(yīng)用[J].計算機工程，2005，31（19）：70-72.

篇（8）

1 引言

隨著政府信息化系統(tǒng)的完善，各行業(yè)與政務(wù)軟件銜接的問題也越來越突出，政府通過電子政務(wù)軟件來保證對各部門信息的共享，及下屬企業(yè)信息的收集、數(shù)據(jù)處理等工作。而下屬企業(yè)為了實現(xiàn)辦公自動化必須引入相關(guān)的管理軟件，這時就會產(chǎn)生不同系統(tǒng)之間數(shù)據(jù)的管理及共享問題。電子政務(wù)軟件采用SOA的架構(gòu)是比較適合的架構(gòu)，因為分布于各部門和社會各單位中的系統(tǒng)是各自獨立的也是千差萬別的，當(dāng)執(zhí)行數(shù)據(jù)處理任務(wù)的時候，又需要這些系統(tǒng)進行協(xié)同操作，此時SOA就有了優(yōu)勢。本文從多個角度探討了SOA架構(gòu)下電子政務(wù)及項目管理軟件之間的接口銜接問題。

2 SOA架構(gòu)的概念

SOA面向服務(wù)的體系結(jié)構(gòu)(Service-OrientedArchitecture)是一個組件模型。SOA與其它的標(biāo)準(zhǔn)不同的是，SOA的標(biāo)準(zhǔn)是基于分布式的、松耦合的，具有良好的夸平臺性。它將應(yīng)用程序的不同功能單元通過這些單元之間定義良好的接口和契約聯(lián)系起來，接口是采用中立的方式進行定義的，它獨立于實現(xiàn)服務(wù)的硬件平臺、操作系統(tǒng)和編程語言。這使得構(gòu)建在各種這樣的系統(tǒng)中的各個單元可以用一種統(tǒng)一和通用的方式進行交互。

3 電子政務(wù)軟件面臨的問題

目前，我國的電子政務(wù)正在逐步實現(xiàn)由“政績導(dǎo)向”向“服務(wù)導(dǎo)向”的轉(zhuǎn)變。以服務(wù)為中心，使得使用者能夠更廣泛的、更快捷的獲得需要的信息。但是目前電子政務(wù)軟件的獨立性很強，很難和其他軟件進行交互，這使得各行業(yè)之間在上報資質(zhì)等問題上需要2次登記，在企業(yè)內(nèi)部的信息系統(tǒng)上登記相關(guān)的信息后再到政務(wù)軟件上進行登記。同時，在項目管理上，項目組織機構(gòu)人員的劃分是需要嚴(yán)格的按照國家設(shè)計管理人員資質(zhì)的等級劃分的。企業(yè)內(nèi)部系統(tǒng)與政務(wù)系統(tǒng)可能存在信息不一致的情況也會導(dǎo)致違背項目管理標(biāo)準(zhǔn)規(guī)范的現(xiàn)象。

因此，數(shù)據(jù)的完整性和唯一性的問題越來越突出。在這種環(huán)境下，利用信息化的手段，達成自上而下的政府業(yè)務(wù)標(biāo)準(zhǔn)和企業(yè)生產(chǎn)管理的統(tǒng)一，實現(xiàn)數(shù)據(jù)自底向上的快速準(zhǔn)確匯集和業(yè)務(wù)自上而下的高度協(xié)同就顯得十分重要。

4 如何完成電子政務(wù)軟件與項目管理軟件接口的銜接

由于電子政務(wù)軟件的安全級別較高，出于安全性的角度，企業(yè)的其他軟件只能讀取政務(wù)軟件的數(shù)據(jù)。

在具體實施SOA架構(gòu)的電子政務(wù)與項目管理軟件接口銜接時，注意從以下幾個方面 ：

1） 安全管理。

以SOA架構(gòu)規(guī)劃的電子政務(wù)的應(yīng)用程序是比較繁雜的。對其進行保護也更為困難。因此需要專門的安全人員進行接口的開發(fā)，通過訪問者的權(quán)限進行安全性的劃分。本地用戶通過登入項目管理系統(tǒng)，來獲得對電子政務(wù)信息的訪問權(quán)限。開發(fā)人員應(yīng)該透徹的了解軟件體系結(jié)構(gòu)和安全性方面的知識，應(yīng)同時了解SOA的相關(guān)知識。團隊中的安全架構(gòu)師將負(fù)責(zé)創(chuàng)建系統(tǒng)的安全模型。同時，安全架構(gòu)師將與項目架構(gòu)師配合工作，確保SOA實現(xiàn)符合安全性的要求，對電子政務(wù)系統(tǒng)及項目管理業(yè)務(wù)分析人員和系統(tǒng)工程師進行安全性指導(dǎo)。

2） 需求策略制定

在建立需求模型時，務(wù)必選擇正確的工具，以便團隊進行協(xié)作和方便地記錄SOA的安全需求和創(chuàng)建SOA電子政務(wù)安全接口模型。正確的需求與分析工具將幫助團隊了解問題領(lǐng)域、捕獲和管理不斷發(fā)展的需求、建模用戶交互、在整個電子政務(wù)項目生命周期中包含參與者反饋，而最為重要的是進行協(xié)作。良好的安全需求與分析實踐將極大地減少系統(tǒng)安全風(fēng)險。

3） 風(fēng)險評估

由于信息系統(tǒng)的重要性、計算機網(wǎng)絡(luò)的開放性、信息系統(tǒng)組成部分的脆弱性以及用戶有意、無意的不正當(dāng)操作或惡意的破壞企圖，使信息系統(tǒng)面臨很多的風(fēng)險。因此，對于企業(yè)要求電子政務(wù)開放的接口進行風(fēng)險評估。在風(fēng)險控制的過程中，企業(yè)是否具備適當(dāng)?shù)目刂颇芰Γ源_保符合相關(guān)的管理規(guī)定。

5 總結(jié)

篇（9）

1．1分析電子政務(wù)服務(wù)外包主要模式及其關(guān)鍵成功因素

當(dāng)前，各地政府部門主要采用BOT、BOO、BT、ASP這4種模式開展電子政務(wù)服務(wù)外包。a．BOT模式(Build－Own－Transfer，即建設(shè)－運營－轉(zhuǎn)讓)。政府部門和承包商以協(xié)議為基礎(chǔ)，由政府部門向承包商頒布特許權(quán)，允許其籌集資金建設(shè)某電子政務(wù)系統(tǒng)，在特許權(quán)規(guī)定期限內(nèi)管理和經(jīng)營該系統(tǒng)及其相應(yīng)的產(chǎn)品與服務(wù)，并在特許權(quán)期滿后，無償將系統(tǒng)移交給政府部門接管。b．BOO模式(Build－Own－Operate，即建設(shè)－擁有－運營。承包商投資并承擔(dān)電子政務(wù)系統(tǒng)的設(shè)計、建設(shè)、運行、維護和培訓(xùn)等工作，硬件設(shè)備及軟件系統(tǒng)的產(chǎn)權(quán)歸屬承包商，政府部門負(fù)責(zé)宏觀協(xié)調(diào)、創(chuàng)建環(huán)境和提出需求，政府部門每年需要向承包商支付系統(tǒng)使用費獲取硬件設(shè)備和軟件系統(tǒng)的使用權(quán)。

c．BT模式(Build－Transfer，即建設(shè)－轉(zhuǎn)讓)。政府部門通過特許協(xié)議授權(quán)承包商負(fù)責(zé)某電子政務(wù)系統(tǒng)的建設(shè)，按合同規(guī)定的期限按時移交系統(tǒng)，政府部門按期支付該系統(tǒng)的建設(shè)費用。d．ASP模式(ApplicationServiceProvider，即應(yīng)用服務(wù)提供商)。在ASP外包模式中，應(yīng)用服務(wù)提供商擁有基礎(chǔ)結(jié)構(gòu)設(shè)施并負(fù)責(zé)所有系統(tǒng)和網(wǎng)絡(luò)的配置、管理、調(diào)整，甚至應(yīng)用管理，政府部門按照需求向應(yīng)用服務(wù)提供商定制所需的電子政務(wù)服務(wù)，并向其支付相應(yīng)的費用。在比較分析以上各種模式的內(nèi)涵、特點、優(yōu)缺點的基礎(chǔ)上，分析研究其實際運用的案例，共總結(jié)了影響這4種電子政務(wù)服務(wù)外包模式成功運作與否的75個因素，運用專家評分法，提取各種模式的關(guān)鍵成功因素，如表1所示，這些也是各種模式選擇決策的主要考慮因素。

1．2識別潛在風(fēng)險因素

在分析電子政務(wù)服務(wù)外包、IT外包風(fēng)險研究相關(guān)文獻的基礎(chǔ)上，基于電子政務(wù)服務(wù)外包運作與管理流程，從各個階段總結(jié)了98項風(fēng)險因素，結(jié)合上述電子政務(wù)服務(wù)外包主要模式的關(guān)鍵成功因素，采用李克特七分制評分標(biāo)準(zhǔn)設(shè)計量表，1分表示風(fēng)險影響程度最低，7分表示風(fēng)險影響程度最高，1－7分表示影響程度逐次增高，邀請被調(diào)查者(包括參與電子政務(wù)服務(wù)外包的政府部門、承包商的管理人員以及相關(guān)領(lǐng)域的專家學(xué)者)對量表進行評分。共發(fā)放問卷387份，回收問卷212份，剔除不合格答卷后，最后得到有效答卷共202份。根據(jù)搜集的數(shù)據(jù)，通過因子分析的方法提煉了20項具有統(tǒng)計、管理意義的關(guān)鍵風(fēng)險因素，如表2所示。

采用主成分因子分析法對這20項風(fēng)險因素(也是結(jié)構(gòu)方程模型中的可測變量)進行進一步的劃分，提取4個公共因子作為結(jié)構(gòu)方程模型的潛在變量，并根據(jù)其包含的可測變量的含義進行命名，潛在變量及相應(yīng)的可測變量如下:“決策與合同管理風(fēng)險”:外包市場不成熟x1、外包決策不合理x2、承包商選擇失誤x3、機會主義風(fēng)險x4、合同不完善x5;“開發(fā)與運營管理風(fēng)險”:外包主體之間缺乏溝通x6、外包主體關(guān)系不和諧x7、政府部門缺乏規(guī)劃與需求分析能力x8、政府項目管理經(jīng)驗與能力不足x9、承包商專業(yè)能力及管理經(jīng)驗不足x10、承包商服務(wù)質(zhì)量不理想x11;“資金與成本管理風(fēng)險”:交易成本控制不力x12、隱性成本的累積風(fēng)險x13、承包商成本預(yù)算控制失效x14、承包商資金支持不足x15;“知識與戰(zhàn)略管理風(fēng)險”:知識共享不足x16、安全保密控制不力x17、績效評量體系失效x18、忽視學(xué)習(xí)與創(chuàng)新能力的培養(yǎng)x19、政府部門失去信息化控制力x20。

2模型建立與分析擬合

2．1建立電子政務(wù)服務(wù)外包潛在風(fēng)險對外包模式影響的結(jié)構(gòu)方程模型

基于現(xiàn)有研究文獻及實際案例，分析電子政務(wù)服務(wù)外包的潛在風(fēng)險因素對各種模式的影響關(guān)系，構(gòu)建電子政務(wù)服務(wù)外包潛在風(fēng)險對外包模式影響的結(jié)構(gòu)方程模型，如圖1所示。其中，風(fēng)險的4項潛在變量及其各自的可測變量如上文所述，而各種外包模式潛在變量對應(yīng)的可測變量分別是其關(guān)鍵成功因素(見表1，表中的序號與圖1的序號一致)。

2．2信度與效度分析

a．信度分析。信度指測量結(jié)果一致性或穩(wěn)定性的程度。運用SPSS16．0對量表的信度進行檢驗，Cronbach’sα值為0．835，而各分量表信度分析結(jié)果表明，8個潛在變量的α系數(shù)值均滿足大于0．70的要求，因此，該量表具有較好的信度。

b．效度分析。結(jié)構(gòu)效度是指量表測量結(jié)果同期望評估內(nèi)容的同構(gòu)程度，運用標(biāo)準(zhǔn)化因素負(fù)荷來檢驗結(jié)構(gòu)效度。結(jié)果顯示，測量指標(biāo)的標(biāo)準(zhǔn)化因素負(fù)荷大部分大于0．7，并在99%的置信度下高度顯著(C．R．值＞2．58)，潛在變量之間的標(biāo)準(zhǔn)化路徑系數(shù)及C．R．值(如表3所示)也大部分符合擬合要求。表明本研究構(gòu)造的變量效度較好，適合做結(jié)構(gòu)方程模型分析。

2．3結(jié)構(gòu)方程模型檢驗與分析

a．?dāng)M合度檢驗。前文建立的結(jié)構(gòu)方程模型必須通過擬合度檢驗，才能認(rèn)定假設(shè)模型與實際數(shù)據(jù)樣本的一致性。若模型的擬合度高，則代表模型可用性越高，參數(shù)的估計越具有含義。對于擬合度的考核有較多指標(biāo)，但不同的指標(biāo)在不同的模型復(fù)雜度、樣本數(shù)量下有著不同的表現(xiàn)特性，必須根據(jù)具體情況同時參考各種擬合度指標(biāo)［3］。本研究利用AMOS軟件7．0版進行結(jié)構(gòu)方程模型的分析，主要使用CMIN、RMSEA、CFI、GFI等較為穩(wěn)定的指標(biāo)考核模型擬合度，擬合后的評價結(jié)果及其理想值匯總于表4。從表4中分析可知假設(shè)模型較好地與樣本數(shù)據(jù)擬合，具有較高的擬合度。

b．路徑與因素分析。經(jīng)過對結(jié)構(gòu)方程模型的分析，可以得到各個潛在變量之間的路徑系數(shù)以及可測變量與潛在變量之間的因素負(fù)荷。從模型運行結(jié)果中可知，潛在變量之間的路徑系數(shù)、可測變量與潛在變量之間的因素負(fù)荷對應(yīng)的C．R．值絕大多數(shù)大于1．95的擬合要求，表明各路徑系數(shù)以及因素負(fù)荷在p=0．05的水平上具有統(tǒng)計顯著性，能夠作為進一步分析的依據(jù)。

3電子政務(wù)服務(wù)外包潛在風(fēng)險對外包模式的影響分析

綜合分析4個風(fēng)險潛在變量對各外包模式潛在變量影響的路徑系數(shù)及間接效應(yīng)、各個風(fēng)險因素的因子負(fù)荷以及對各外包模式關(guān)鍵成功因素的作用路徑，為下文外包模式選擇的建議提供依據(jù)。

3．1“決策與合同管理風(fēng)險”對外包模式的影響

“決策與合同管理風(fēng)險”對各外包模式的直接影響程度從大到小依次是:BOT＞BOO＞BT＞ASP，其中，對BT模式和ASP模式的直接影響不顯著，但通過另三類風(fēng)險間接影響這兩種模式的程度較大，分別累計為0.364、0．337。在“決策與合同管理風(fēng)險”中，合同不完善風(fēng)險所占因子負(fù)荷最大、影響最為顯著。研究表明，完善電子政務(wù)服務(wù)外包合同，對外包市場不成熟風(fēng)險、機會主義風(fēng)險都具有較強的規(guī)避作用［4］。“決策與合同管理風(fēng)險”中，合同不完善、承包商選擇失誤風(fēng)險因素對BOT模式的關(guān)鍵成功因素———承包商運營期間的服務(wù)質(zhì)量以及移交后的系統(tǒng)價值的不良影響均比較顯著;合同不完善對BOO模式的作用主要體現(xiàn)在影響技術(shù)應(yīng)用先進性的保持，而機會主義風(fēng)險的存在對政府部門的監(jiān)督約束是一大不利因素;BT模式、ASP模式的各自關(guān)鍵成功因素———選擇商譽好的承包商、承包商擁有完善可靠的基礎(chǔ)結(jié)構(gòu)設(shè)施均會受到承包商選擇失誤這一風(fēng)險因素的影響。

3．2“開發(fā)與運營管理風(fēng)險”對外包模式的影響

相比其他類別的風(fēng)險而言，“開發(fā)與運營管理風(fēng)險”對各個外包模式的影響程度是最大的，對各外包模式的直接影響程度從大到小依次是:BOT＞BOO＞BT＞ASP，且影響均較為顯著。此外，“開發(fā)與運營管理風(fēng)險”也受到了其他風(fēng)險的影響，承載著其他風(fēng)險對外包模式的間接效應(yīng)。因此，“開發(fā)與運營管理風(fēng)險”所屬的各個風(fēng)險因素應(yīng)給予重視，特別是政府部門缺乏規(guī)劃與需求分析能力、雙方的項目管理經(jīng)驗與能力不足、外包主體之間缺乏溝通這幾種風(fēng)險因素在電子政務(wù)服務(wù)外包實踐中引起的問題較為顯著，屬于關(guān)鍵風(fēng)險因素，研究表明，控制好這些風(fēng)險因素，做好規(guī)劃與需求分析工作、提升相應(yīng)的項目經(jīng)驗與能力、加強溝通協(xié)作，對電子政務(wù)外包的系統(tǒng)開發(fā)效果、外包服務(wù)質(zhì)量、雙方關(guān)系維護的作用是十分顯著的［5］。“開發(fā)與運營管理風(fēng)險”對各個外包模式的影響在其對應(yīng)的關(guān)鍵成功因素都有顯著的體現(xiàn)，其中，對BOT模式，主要影響政府部門規(guī)劃協(xié)調(diào)能力、承包商運營期間的服務(wù)質(zhì)量;對BOO模式，主要影響政府部門的監(jiān)督約束能力、承包商經(jīng)營的穩(wěn)定性及技術(shù)應(yīng)用先進性的保持;對BT模式，主要影響雙方的系統(tǒng)開發(fā)項目管理能力;對ASP模式，主要影響政府部門需求分析的準(zhǔn)確性及預(yù)見性、承包商對個性化服務(wù)需求的響應(yīng)。

3．3“資金與成本管理風(fēng)險”對外包模式的影響

“資金與成本管理風(fēng)險”對各外包模式的直接影響程度從大到小依次是:BOO＞BOT＞ASP＞BT，其中，承包商的資金支持、項目的成本管理方面的風(fēng)險對外包模式的影響尤為顯著，在實踐中，很多電子政務(wù)服務(wù)外包項目正是由于資金、成本控制問題而不得不擱淺甚至失敗。此外，“資金與成本管理風(fēng)險”也會通過“開發(fā)與運營管理風(fēng)險”間接影響各個外包模式，因此，在外包過程的開發(fā)運營階段，應(yīng)重視項目預(yù)算管理，保障資金流的通暢。“資金與成本管理風(fēng)險”對BOO模式的作用主要體現(xiàn)在影響政府部門付費使用模式、承包商經(jīng)營的穩(wěn)定性;對BOT模式的作用體現(xiàn)在影響承包商的運營獲利能力及其服務(wù)質(zhì)量;對于ASP模式，影響著政府部門的付費模式與承包商的經(jīng)濟效益兩者之間的權(quán)衡;對BT模式，主要影響著政府部門的資金保障能力。

3．4“知識與戰(zhàn)略管理風(fēng)險”對外包模式的影響

“知識與戰(zhàn)略管理風(fēng)險”對各外包模式的直接影響程度從大到小依次是:BOO＞ASP＞BOT＞BT，其中安全保密控制風(fēng)險是外包領(lǐng)域備受關(guān)注的風(fēng)險因素，也是外包模式選擇需要著重考慮的一大因素，而學(xué)習(xí)與創(chuàng)新能力的培養(yǎng)對電子政務(wù)服務(wù)外包的戰(zhàn)略效益能否實現(xiàn)尤為關(guān)鍵［6］，卻也是一個經(jīng)常被忽視的風(fēng)險。此外，知識共享不足、績效評量體系失效、政府部門信息化控制力不足等風(fēng)險因素對開發(fā)運營風(fēng)險的作用也較為顯著，對外包模式的間接效應(yīng)不容小覷。因此，“知識與戰(zhàn)略管理風(fēng)險”對電子政務(wù)服務(wù)外包的影響是極為深遠(yuǎn)的，在外包模式選擇決策中，應(yīng)予以重視，既要考慮到安全保密控制，也要考慮到政府部門持續(xù)學(xué)習(xí)與創(chuàng)新能力的培養(yǎng)。“知識與戰(zhàn)略管理風(fēng)險”中，安全保密控制不力與績效評量體系失效分別影響著BOO模式的關(guān)鍵成功因素———承包商對系統(tǒng)安全性的保護、技術(shù)應(yīng)用先進性的保持;在ASP模式中，安全保密控制不力風(fēng)險影響著政府部門應(yīng)用與數(shù)據(jù)的安全性;與績效評量體系失效相關(guān)聯(lián)的激勵效果不良，影響著BOT模式運營期間的服務(wù)質(zhì)量和移交后的系統(tǒng)價值;若采用BT模式，知識共享不足與政府部門信息化控制力不足風(fēng)險將主要影響著雙方移交系統(tǒng)的知識管理能力以及移交后政府部門的系統(tǒng)維護能力［7］。

4結(jié)論與建議

基于上文的分析，政府部門在選擇電子政務(wù)服務(wù)外包模式時，需要結(jié)合自身的規(guī)劃與需求、優(yōu)勢與劣勢、經(jīng)驗與能力等因素，綜合考慮各個潛在風(fēng)險因素對外包模式如何影響及影響程度，從中選擇合理的外包模式并防范潛在風(fēng)險。為此，提出以下4點建議供參考:

a．當(dāng)外包市場不成熟，缺乏統(tǒng)一、可操作的行業(yè)標(biāo)準(zhǔn)及規(guī)范的法律環(huán)境，而外包的電子政務(wù)服務(wù)內(nèi)容的復(fù)雜性使得不能夠通過采用明細(xì)的合同來規(guī)避承包商的機會主義，并且政府部門管理合同的經(jīng)驗與能力不足時，盡量避免采用BOT、BOO模式，主要是因為這兩種模式的必須以協(xié)議為基礎(chǔ)且合同期限較長，能否制定明確、完善而兼具柔性的合同尤為關(guān)鍵;若政府部門受評估能力缺乏、信息不對稱等主客觀不利因素的影響，選擇不合適的承包商或選擇的承包商商譽不良的風(fēng)險很可能加大，此時BT模式與ASP模式不是首選，因為這兩種模式對承包商商譽與實力有較高的要求。

篇（10）

不過，我們不可否認(rèn)，互聯(lián)網(wǎng)作為一個開放的網(wǎng)絡(luò)環(huán)境，在安全方面確實存在著先天不足和諸多的隱患，基于互聯(lián)網(wǎng)的電子政務(wù)建設(shè)面臨著政務(wù)信息失泄密、非法篡改、身份假冒等安全威脅。所以濟源在電子政務(wù)建設(shè)中，高度重視信息安全的問題，明確規(guī)定信息不能上網(wǎng)，而且通過密碼技術(shù)來保證基于互聯(lián)網(wǎng)的電子政務(wù)的信息安全。

雖然濟源在電子政務(wù)網(wǎng)絡(luò)的建設(shè)中，包括信息安全的建設(shè)中，都沒有拉一條專線，沒有建一個專網(wǎng)，完全是基于互聯(lián)網(wǎng)，但他們通過采用商用密碼技術(shù)和VPN技術(shù)，合理配置了具有防火墻功能的、不同檔次的VPN安全網(wǎng)關(guān)和VPN客戶端，實現(xiàn)了整個網(wǎng)絡(luò)在安全條件下的互聯(lián)互通和信息共享。

由于完全是基于互聯(lián)網(wǎng)的電子政務(wù)，安全變得至關(guān)重要，但是，保障信息安全并不是安全措施越多越好，不能為了安全而安全，而是應(yīng)該根據(jù)系統(tǒng)安全等級采用適度的安全措施，更重要的是從實際應(yīng)用出發(fā)，保證適度安全，使得電子政務(wù)系統(tǒng)能夠既安全又好用。

如何在堅持適度安全的基礎(chǔ)上建設(shè)基于互聯(lián)網(wǎng)的電子政務(wù)安全保障體系呢？

濟源同樣選擇了等級保護的方法，把安全辦公與開放服務(wù)有機地統(tǒng)一起來，在風(fēng)險分析的前提下合理定級，并進行了分域防控和分級防護。

同樣是由于基于互聯(lián)網(wǎng)，安全隱患多而復(fù)雜，所以在風(fēng)險分析中就面臨了更大的和更嚴(yán)峻的挑戰(zhàn)。作為政府政務(wù)辦公的“內(nèi)部”網(wǎng)和面向公眾開放服務(wù)的“外部”網(wǎng)都是在互聯(lián)網(wǎng)上的，互聯(lián)網(wǎng)上的身份假冒、口令竊取等威脅很大，所以身份鑒別是網(wǎng)絡(luò)安全的基礎(chǔ)；存儲或傳輸?shù)男畔⒃诨ヂ?lián)網(wǎng)上容易被竊取或篡改，所以信息堅決不能上網(wǎng)；系統(tǒng)遭到攻擊的風(fēng)險很大，所以必須提高抗攻擊的能力；互聯(lián)網(wǎng)上病毒傳播和擴散很廣很快，所以要防止其影響到終端和服務(wù)器的正常運行。

針對由于互聯(lián)網(wǎng)帶來的這些風(fēng)險，濟源將電子政務(wù)應(yīng)用系統(tǒng)分為了公開信息處理區(qū)和敏感信息處理區(qū)，根據(jù)其不同的特點分別進行防護。比如，公開信息處理區(qū)主要是面向廣大公眾的服務(wù)系統(tǒng)和完全公開的信息，由于廣大互聯(lián)網(wǎng)用戶都可以訪問，所以就要采取網(wǎng)頁防篡改措施。

而在分級防護方面，將信息分為了完全公開、內(nèi)部公開和內(nèi)部受控三類，也是根據(jù)不同類別的不同特點采取不同的安全措施。比如對于在互聯(lián)網(wǎng)上完全公開的信息，用戶無須身份認(rèn)證和加密傳輸就可以直接訪問；而對于內(nèi)部公開信息則用了商用密碼進行傳輸加密，要通過口令進行身份認(rèn)證后才能訪問。

當(dāng)然作為基于互聯(lián)網(wǎng)開展電子政務(wù)的惟一一家試點單位，濟源進行了一些有益的嘗試，也取得了初步的成效，但要進一步拓展服務(wù)模式、擴大使用范圍、提高服務(wù)質(zhì)量，甚至是在全國進行推廣，都還有很長的路要走。

實施效果