引用本文:张景明,王娟.政务系统信息网络安全的风险评估[J].信息安全与通信保密,2020(9): 99-103.

摘 要

在当今信息时代的大形势下,互联网从普及到飞速发展,政务系统信息网络安全的问题也日益被重视起来。一方面,人们应该了解到政务系统信息网络安全的重要性;另一方面,人们对政务系统信息网络安全风险评估工作有所了解。有利于提高政务系统信息网络的安全性,加强政务系统信息网络建设,保障民众信息资产安全有重要意义。主要介绍政务系统信息网络安全风险评估方法、风险分析、防范风险措施及策略等几个方面。

关键词:政务系统;信息网络;风险分析;策略

内容目录:

0 引 言

1 信息安全风险评估工作的基本内容和原则

2 信息系统风险评估的重要意义

2.1 建设信息安全根基

2.2 信息安全管理“利器”

2.3 寻求适度安全和建设成本的最佳点

2.4 借鉴先进经验与重视预警防范并存

3 电子政务系统安全分析

3.1 非法入侵黑客组织

3.2 计算机病毒威胁

3.3 内网系统本身漏洞

3.4 内部人员泄密

3.5 用户安全意识淡薄

3.6 系统安全软件本身的威胁

4 做好电子政务系统安全风险评估

4.1 明确职责与工作机制

4.2 加强计算机信息网络使用者的安全风险评估意识培养

4.3 加强电子政务信息系统安全风险管理技术

5 结 语

0 引言

随着新时代网络潮流的到来,互联网几乎家喻户晓,给人们的生活带来便利,但是面对互联网的高速发展与人们的认同度的增加,在互联开放的网络时代资源交流便捷的同时也存在着信息泄露的隐患。尤其是政务部门的信息泄露问题更是与民生息息相关,应当得到相关网络安全防护人员与政务人员的足够重视,要知道,政务系统信息网络的安全与否直接对政务信息资产的安全产生着重要影响。因此,对政务系统信息网络安全进行风险评估,能有效的预防和解决潜在的信息安全威胁,进一步对政务系统信息网络安全进行保障,促进政务网络建设的健康发展。

1 信息安全风险评估工作的基本内容和原则

信息安全风险评估是以风险管理角度为出发点,全面有效的运用科学的方法及手段,对网络所面临的一系列威胁进行分析,要知道风险评估工作一旦出现差错,将会影响到整个信息网络的运行,及时有效的采取相应措施,做好网络信息防范工作,将风险尽可能降低,从而保障网络与信息的安全。与此同时,信息安全风险评估有两种形式,分别为自评估、检查评估。自评估是指电脑系统自带的、运营中的、或者单位自行发起的风险评估。检查评估是指国家及系统管理部门遵循法律法规对网络安全实施的风险评估。整体安全风险评估以自主评估为主,自评估为辅,相映相衬。自评估和检查评估可以以自身技术力量为寄托,亦可以向第三方机构寻求技术帮助。其原则是严密组织、规范操作、科学有效。要在运行中贯彻信息系统组织领导,极力采取相应的措施,不断完善其评估体系,以预防为主,同时,要符合国家的法律法规,遵循国家信息安全管理工作的章程,将相关标准规范及评估流程做到实处,确保信息安全风险评估工作的科学有效性。

风险评估的工作原理是对系统所采用的安全策略和管理制度进行评估审核,针对不合理之处,有效采取措施,检查可能存在的漏洞,针对评估的风险指数,采取不同的针对措施,并且根据检查制定出系统化的检查报告,方便系统管理人弥补漏洞,为提高网络安全做进一步保障依据,从而提高整体网络安全水平。

2 信息系统风险评估的重要意义

政务作为国家重要组成结构,对国家的发展具有导向作用,政务系统信息存储着大量有效信息,与广大人民的切身利益息息相关,一旦发生信息安全泄露,会对人民群众以及国家的安全性造成一定程度的威胁。基于此,政务机构应该对系统信息安全风险评估给予高度重视,完善相关评估流程,定期进行系统信息安全风险评估,及时排除相关安全隐患,确保政务网络系统能够安全高效维持正常运作,充分发挥网络技术带来的福音。

2.1 建设信息安全根基

政务网络信息系统的构建打破了传统信息收集模式,利用信息技术的高效便捷,进行政务信息的收集以及管理,从而减少相关业务人员的工作压力,大大提高工作的时效性。网络系统信息安全风险评估作为网络系统管理的重要基本举措,在保护政务信息方面发挥着至关重要的作用,只有打好信息安全建设的基础, 我们才能更好地了解政务信息系统的安全现状,做好政务信息的安全工作。

2.2 信息安全管理“利器”

政务信息网络安全风险评估是信息安全管理的“利器”,它能够及时发现政务网络系统可能出现的的信息安全漏洞,对现状下的网络信息系统进行安全性能评估,为信息安全管理提出危险警示,利用模拟化系统攻击的方式对可能出现的安全漏洞进行摸索排查,将网络信息系统危险降到最低,对政务网络安全系统的管理提供强有力的保障。

2.3 寻求适度安全和建设成本的最佳点

信息系统风险评估主要是针对系统可能出现的安全隐患进行分析,消除掉这些安全隐患, 切实保障政务网络信息系统的高效运行。信息系统风险评估花费成本较低,且能起到良好的信息系统安全预防作用,是寻求适度安全和建设成本的最佳点。若政务机构不加以信息系统风险评估,一旦安全漏洞真正发生时,对于政务信息系统的破坏不容小觑,甚至会造成网络信息系统瘫痪,此时再去进行网络信息系统安全修复,需要承担高昂的成本费用,对于政务机构的利益损失较大,不利于贯彻落实国家可持续发展观念的号召。

2.4 借鉴先进经验与重视预警防范并存

在进行网络信息系统安全检测时,既要借鉴先进经验,取其精华弃其糟粕,学习优秀网络信息安全管理措施,又要重视预警防范,加大网络信息安全风险评估的开展,减少网络安全隐患的存在,为政务网络信息系统建立安全良好的网络环境。

3 电子政务系统安全分析

3.1 非法入侵黑客组织

互联网的兴起,不仅带动了网络人才的发展,同时也造就了黑客的诞生,随着网络入侵技术不断提高,一些黑客在金钱与权力的诱惑下非法入侵电子政务网络信息系统,窃取相关数据资料,为政务以及国家带来严重资源损失,甚至威胁到广大群众的个人安全以及切身利益。黑客非法入侵政务网络安全系统属于违法犯罪行为,国家应严厉打击非法黑客组织,加强网络信息系统监管体系,完善相应法律条例,为网络信息系统安全提供坚实的制度保障。

3.2 计算机病毒威胁

计算机是由大量芯片软件组装而成的精密的电子设备,是网络信息系统建立的主要实施对象,现阶段由于网络技术的快速发展,计算机的功能越来越强大,软件开发应用丰富多彩,数据计算更加精准,AI智能模拟操作直观便捷,但实际上很多计算机病毒乘虚而入,攻击网络信息系统,扰乱资料信息的编排,丢失相关资料文献等,对网络信息系统的安全造成了一定的威胁。基于此,相关工作人员应要定期进行计算机体检,修补高危安全漏洞,彻底查杀计算机顽固病毒,保持计算机处于一个健康安全的网络环境中,有效抵御计算机病毒带来的安全隐患。

3.3 内网系统本身漏洞

政务网络信息系统自身出现漏洞亦会导致整个网络系统造成瘫痪,导致重要数据丢失,为政务机构带来损失。政务信息网络系统建立过程中一定要严格把控每一流程步骤,环环相扣,同时进行模拟入侵实验,不断修改强化应用程序,最后在完成内网系统建立后,一定要多次重复进行预试验,减少实验差错,及时纠正系统错误,避免出现系统自身漏洞,给计算机病毒以及非法入侵黑客组织留下可乘之机。

3.4 内部人员泄密

政务相关工作人员职业操守低下,为自身利益,对于工作职责与义务理解不够深化,在日常工作生活中,对于政务网络信息保密工作完成较差,口无遮拦,导致泄密情况的发生。相关政务机构在进行业务人员选拔时,一定要综合多方面因素,选择最适合网络信息安全方面的人才,并且对这些业务人员要定期举行信息安全教育培训,强化自身职业操守,提升个人思想道德建设,不断丰富自身知识储备,提升网络信息系统安全意识,加强内部人员的规范化管理,避免诸如此类的事情再次发生。

3.5 用户安全意识淡薄

用户在运行电子政务系统时,对于网络系统安全意识较为淡薄,即使计算机桌面弹出危险预警,一些用户不以为然,认为这就是小问题,不需要花费时间精力去处理这些安全隐患,进而导致政务网络系统服务器出现故障,整个系统处于瘫痪状态,无法保障正常运作,对政务工作高效开展造成了一定程度影响。因此用户在执行系统运作过程中,一定要加强网络安全意识,不放过每一个系统安全预警,积极进行系统漏洞修复,遇到无法修复情况时,要立即寻求帮助,在最短的时间内尽可能降低系统损伤导致的资源流失。

3.6 系统安全软件本身的威胁

系统安全软件本身有时候也会对电子政务系统进行攻击,造成系统损伤,无法正常进行运转。即使是系统安全软件自身也会对政务系统造成一定威胁,由于网络与相关软件越来越复杂,系统维护阶段的安全漏洞也就是安全攻击的重要目标,这就要求相关人员明确分辨系统安全软件本身带来的威胁,不断提升自身技术水平,探索不同情境下政务系统面临的攻击,把握特点,逐一击破,为政务网络系统的发展贡献自己的一份力量。

4 做好电子政务系统安全风险评估

4.1 明确职责与工作机制

明确职责和工作机制,提升应急处置能力,合力提高国家网络安全保障水平电子政务面临的主要威胁来自高级黑客或者有组织的网络犯罪集团以及敌对国家机构和组织,各机构现有的技术力量普遍难以应对上述威胁。建议在继续做好基本安全加固工作的基础上,对现有国家级信息安全力量进行梳理,统筹规划和发展,明确各机构职责和各机构之间的协调合作机制,加强技术力量建设。在安全态势感知、威胁监测、漏洞分析等环节上下细功夫,加强威胁和漏洞预警及信息共享。加强对重要网络安全域和业务系统的全面信息安全风险评估,识别安全隐患,并评估对重要信息系统的影响。完善应急预案,建立综合应急指挥平台和体系,加强突发事件应急演练,增加应急人员能力培训,提升综合应急处置能力。建设国家级网络安全防护体系,形成强大的国家网络安全保障能力,集中优势资源保障国家重要信息系统安全稳定。

4.2 加强计算机信息网络使用者的安全风险评估意识培养

日常使用过程中,宣传工作要做好,并加强对计算机使用者进行再教育。强化计算机使用者的安全风险评估意识培养,积极参与到部门培养的教育进程中,同时,正确引导社会上使用计算机的高技术人员,让他们认识到安全风险评估的重要性,减少社会中黑客的存在。与此同时,应加强国家相关制度保障工作,设立专门的安全管理机构。分工到人,每一个人都有各自的职责,这样更能有效地保障网络安全。

4.3 加强电子政务信息系统安全风险管理技术

适应社会发展的进程,完善电子政务信息系统安全风险管理机制,首先是要知道信息系统不安全因素是什么,然后采取相应的手段,将信息系统安全风险控制作为其中的重点手段之一,在实施的过程中突出其优势,运用不同种管理方式进行有效的网络防护,责任到人,确保网络和计算机科学安全工作的运行。与此同时,建立健全信息系统评估风险管理制度,亦是计算机信息管理部门所要考虑的重点。实事求是,深入贯彻国家的相应政策及法律法规,加强网络信息管理技术的应用,同时,掌握管理制度、内容、时间等,做好后期记录与审查工作,并及时了解故障出现的原因,帮助政务进一步完善安全管理体系。

5 结语

现阶段,我国政务信息网络风险评估尚处于发展阶段,网络的盛行进一步促进了人类思维与文化的发展,面对网络系统安全创新的挑战,我们要迎难而上,积极面对,不断进行合理化的改革,使其孕育新的事物,充分发挥作用,促进我国互联网事业发展蒸蒸日上。

作者简介

张景明(1987—),男,硕士,中级工程师,主要研究方向为网络安全;

王娟(1980—),女,硕士,工程师,主要研究方向为信息系统和网络安全、密码应用安全性、测评管理体系、测评方法和流程等。

选自《信息安全与通信保密》2020年第9期(为便于排版,已省去原文参考文献)

声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。