政務(wù)系統(tǒng)信息網(wǎng)絡(luò)安全的風險評估

0引言隨著新時代網(wǎng)絡(luò)潮流的到來，互聯(lián)網(wǎng)幾乎家喻戶曉，給人們的生活帶來便利，但是面對互聯(lián)網(wǎng)的高速發(fā)展與人們的認同度的增加，在互聯(lián)開放的網(wǎng)絡(luò)時代資源交流便捷的同時也存在著信息泄露的隱患。尤其是政務(wù)部門的信息泄露問題更是與民生息息相關(guān)，應(yīng)當?shù)玫较嚓P(guān)網(wǎng)絡(luò)安全防護人員與政務(wù)人員的足夠重視，要知道，政務(wù)系統(tǒng)信息網(wǎng)絡(luò)的安全與否直接對政務(wù)信息資產(chǎn)的安全產(chǎn)生著重要影響。因此，對政務(wù)系統(tǒng)信息網(wǎng)絡(luò)安全進行風險評估，能有效的預防和解決潛在的信息安全威脅，進一步對政務(wù)系統(tǒng)信息網(wǎng)絡(luò)安全進行保障，促進政務(wù)網(wǎng)絡(luò)建設(shè)的健康發(fā)展。1信息安全風險評估工作的基本內(nèi)容和原則信息安全風險評估是以風險管理角度為出發(fā)點，全面有效的運用科學的方法及手段，對網(wǎng)絡(luò)所面臨的一系列威脅進行分析，要知道風險評估工作一旦出現(xiàn)差錯，將會影響到整個信息網(wǎng)絡(luò)的運行，及時有效的采取相應(yīng)措施，做好網(wǎng)絡(luò)信息防范工作，將風險盡可能降低，從而保障網(wǎng)絡(luò)與信息的安全。與此同時，信息安全風險評估有兩種形式，分別為自評估、檢查評估。自評估是指電腦系統(tǒng)自帶的、運營中的、或者單位自行發(fā)起的風險評估。檢查評估是指國家及系統(tǒng)管理部門遵循法律法規(guī)對網(wǎng)絡(luò)安全實施的風險評估。整體安全風險評估以自主評估為主，自評估為輔，相映相襯。自評估和檢查評估可以以自身技術(shù)力量為寄托，亦可以向第三方機構(gòu)尋求技術(shù)幫助。其原則是嚴密組織、規(guī)范操作、科學有效。要在運行中貫徹信息系統(tǒng)組織領(lǐng)導，極力采取相應(yīng)的措施，不斷完善其評估體系，以預防為主，同時，要符合國家的法律法規(guī)，遵循國家信息安全管理工作的章程，將相關(guān)標準規(guī)范及評估流程做到實處，確保信息安全風險評估工作的科學有效性。風險評估的工作原理是對系統(tǒng)所采用的安全策略和管理制度進行評估審核，針對不合理之處，有效采取措施，檢查可能存在的漏洞，針對評估的風險指數(shù)，采取不同的針對措施，并且根據(jù)檢查制定出系統(tǒng)化的檢查報告，方便系統(tǒng)管理人彌補漏洞，為提高網(wǎng)絡(luò)安全做進一步保障依據(jù)，從而提高整體網(wǎng)絡(luò)安全水平。2信息系統(tǒng)風險評估的重要意義政務(wù)作為國家重要組成結(jié)構(gòu)，對國家的發(fā)展具有導向作用，政務(wù)系統(tǒng)信息存儲著大量有效信息，與廣大人民的切身利益息息相關(guān)，一旦發(fā)生信息安全泄露，會對人民群眾以及國家的安全性造成一定程度的威脅?；诖耍?wù)機構(gòu)應(yīng)該對系統(tǒng)信息安全風險評估給予高度重視，完善相關(guān)評估流程，定期進行系統(tǒng)信息安全風險評估，及時排除相關(guān)安全隱患，確保政務(wù)網(wǎng)絡(luò)系統(tǒng)能夠安全高效維持正常運作，充分發(fā)揮網(wǎng)絡(luò)技術(shù)帶來的福音。2.1建設(shè)信息安全根基政務(wù)網(wǎng)絡(luò)信息系統(tǒng)的構(gòu)建打破了傳統(tǒng)信息收集模式，利用信息技術(shù)的高效便捷，進行政務(wù)信息的收集以及管理，從而減少相關(guān)業(yè)務(wù)人員的工作壓力，大大提高工作的時效性。網(wǎng)絡(luò)系統(tǒng)信息安全風險評估作為網(wǎng)絡(luò)系統(tǒng)管理的重要基本舉措，在保護政務(wù)信息方面發(fā)揮著至關(guān)重要的作用，只有打好信息安全建設(shè)的基礎(chǔ)，我們才能更好地了解政務(wù)信息系統(tǒng)的安全現(xiàn)狀，做好政務(wù)信息的安全工作。2.2信息安全管理“利器”政務(wù)信息網(wǎng)絡(luò)安全風險評估是信息安全管理的“利器”，它能夠及時發(fā)現(xiàn)政務(wù)網(wǎng)絡(luò)系統(tǒng)可能出現(xiàn)的的信息安全漏洞，對現(xiàn)狀下的網(wǎng)絡(luò)信息系統(tǒng)進行安全性能評估，為信息安全管理提出危險警示，利用模擬化系統(tǒng)攻擊的方式對可能出現(xiàn)的安全漏洞進行摸索排查，將網(wǎng)絡(luò)信息系統(tǒng)危險降到最低，對政務(wù)網(wǎng)絡(luò)安全系統(tǒng)的管理提供強有力的保障。2.3尋求適度安全和建設(shè)成本的最佳點信息系統(tǒng)風險評估主要是針對系統(tǒng)可能出現(xiàn)的安全隱患進行分析，消除掉這些安全隱患，切實保障政務(wù)網(wǎng)絡(luò)信息系統(tǒng)的高效運行。信息系統(tǒng)風險評估花費成本較低，且能起到良好的信息系統(tǒng)安全預防作用，是尋求適度安全和建設(shè)成本的最佳點。若政務(wù)機構(gòu)不加以信息系統(tǒng)風險評估，一旦安全漏洞真正發(fā)生時，對于政務(wù)信息系統(tǒng)的破壞不容小覷，甚至會造成網(wǎng)絡(luò)信息系統(tǒng)癱瘓，此時再去進行網(wǎng)絡(luò)信息系統(tǒng)安全修復，需要承擔高昂的成本費用，對于政務(wù)機構(gòu)的利益損失較大，不利于貫徹落實國家可持續(xù)發(fā)展觀念的號召。2.4借鑒先進經(jīng)驗與重視預警防范并存在進行網(wǎng)絡(luò)信息系統(tǒng)安全檢測時，既要借鑒先進經(jīng)驗，取其精華棄其糟粕，學習優(yōu)秀網(wǎng)絡(luò)信息安全管理措施，又要重視預警防范，加大網(wǎng)絡(luò)信息安全風險評估的開展，減少網(wǎng)絡(luò)安全隱患的存在，為政務(wù)網(wǎng)絡(luò)信息系統(tǒng)建立安全良好的網(wǎng)絡(luò)環(huán)境。3電子政務(wù)系統(tǒng)安全分析3.1非法入侵黑客組織互聯(lián)網(wǎng)的興起，不僅帶動了網(wǎng)絡(luò)人才的發(fā)展，同時也造就了黑客的誕生，隨著網(wǎng)絡(luò)入侵技術(shù)不斷提高，一些黑客在金錢與權(quán)力的誘惑下非法入侵電子政務(wù)網(wǎng)絡(luò)信息系統(tǒng)，竊取相關(guān)數(shù)據(jù)資料，為政務(wù)以及國家?guī)韲乐刭Y源損失，甚至威脅到廣大群眾的個人安全以及切身利益。黑客非法入侵政務(wù)網(wǎng)絡(luò)安全系統(tǒng)屬于違法犯罪行為，國家應(yīng)嚴厲打擊非法黑客組織，加強網(wǎng)絡(luò)信息系統(tǒng)監(jiān)管體系，完善相應(yīng)法律條例，為網(wǎng)絡(luò)信息系統(tǒng)安全提供堅實的制度保障。3.2計算機病毒威脅計算機是由大量芯片軟件組裝而成的精密的電子設(shè)備，是網(wǎng)絡(luò)信息系統(tǒng)建立的主要實施對象，現(xiàn)階段由于網(wǎng)絡(luò)技術(shù)的快速發(fā)展，計算機的功能越來越強大，軟件開發(fā)應(yīng)用豐富多彩，數(shù)據(jù)計算更加精準，AI智能模擬操作直觀便捷，但實際上很多計算機病毒乘虛而入，攻擊網(wǎng)絡(luò)信息系統(tǒng)，擾亂資料信息的編排，丟失相關(guān)資料文獻等，對網(wǎng)絡(luò)信息系統(tǒng)的安全造成了一定的威脅。基于此，相關(guān)工作人員應(yīng)要定期進行計算機體檢，修補高危安全漏洞，徹底查殺計算機頑固病毒，保持計算機處于一個健康安全的網(wǎng)絡(luò)環(huán)境中，有效抵御計算機病毒帶來的安全隱患。3.3內(nèi)網(wǎng)系統(tǒng)本身漏洞政務(wù)網(wǎng)絡(luò)信息系統(tǒng)自身出現(xiàn)漏洞亦會導致整個網(wǎng)絡(luò)系統(tǒng)造成癱瘓，導致重要數(shù)據(jù)丟失，為政務(wù)機構(gòu)帶來損失。政務(wù)信息網(wǎng)絡(luò)系統(tǒng)建立過程中一定要嚴格把控每一流程步驟，環(huán)環(huán)相扣，同時進行模擬入侵實驗，不斷修改強化應(yīng)用程序，最后在完成內(nèi)網(wǎng)系統(tǒng)建立后，一定要多次重復進行預試驗，減少實驗差錯，及時糾正系統(tǒng)錯誤，避免出現(xiàn)系統(tǒng)自身漏洞，給計算機病毒以及非法入侵黑客組織留下可乘之機。3.4內(nèi)部人員泄密政務(wù)相關(guān)工作人員職業(yè)操守低下，為自身利益，對于工作職責與義務(wù)理解不夠深化，在日常工作生活中，對于政務(wù)網(wǎng)絡(luò)信息保密工作完成較差，口無遮攔，導致泄密情況的發(fā)生。相關(guān)政務(wù)機構(gòu)在進行業(yè)務(wù)人員選拔時，一定要綜合多方面因素，選擇最適合網(wǎng)絡(luò)信息安全方面的人才，并且對這些業(yè)務(wù)人員要定期舉行信息安全教育培訓，強化自身職業(yè)操守，提升個人思想道德建設(shè)，不斷豐富自身知識儲備，提升網(wǎng)絡(luò)信息系統(tǒng)安全意識，加強內(nèi)部人員的規(guī)范化管理，避免諸如此類的事情再次發(fā)生。3.5用戶安全意識淡薄用戶在運行電子政務(wù)系統(tǒng)時，對于網(wǎng)絡(luò)系統(tǒng)安全意識較為淡薄，即使計算機桌面彈出危險預警，一些用戶不以為然，認為這就是小問題，不需要花費時間精力去處理這些安全隱患，進而導致政務(wù)網(wǎng)絡(luò)系統(tǒng)服務(wù)器出現(xiàn)故障，整個系統(tǒng)處于癱瘓狀態(tài)，無法保障正常運作，對政務(wù)工作高效開展造成了一定程度影響。因此用戶在執(zhí)行系統(tǒng)運作過程中，一定要加強網(wǎng)絡(luò)安全意識，不放過每一個系統(tǒng)安全預警，積極進行系統(tǒng)漏洞修復，遇到無法修復情況時，要立即尋求幫助，在最短的時間內(nèi)盡可能降低系統(tǒng)損傷導致的資源流失。3.6系統(tǒng)安全軟件本身的威脅系統(tǒng)安全軟件本身有時候也會對電子政務(wù)系統(tǒng)進行攻擊，造成系統(tǒng)損傷，無法正常進行運轉(zhuǎn)。即使是系統(tǒng)安全軟件自身也會對政務(wù)系統(tǒng)造成一定威脅，由于網(wǎng)絡(luò)與相關(guān)軟件越來越復雜，系統(tǒng)維護階段的安全漏洞也就是安全攻擊的重要目標，這就要求相關(guān)人員明確分辨系統(tǒng)安全軟件本身帶來的威脅，不斷提升自身技術(shù)水平，探索不同情境下政務(wù)系統(tǒng)面臨的攻擊，把握特點，逐一擊破，為政務(wù)網(wǎng)絡(luò)系統(tǒng)的發(fā)展貢獻自己的一份力量。4做好電子政務(wù)系統(tǒng)安全風險評估4.1明確職責與工作機制明確職責和工作機制，提升應(yīng)急處置能力，合力提高國家網(wǎng)絡(luò)安全保障水平電子政務(wù)面臨的主要威脅來自高級黑客或者有組織的網(wǎng)絡(luò)犯罪集團以及敵對國家機構(gòu)和組織，各機構(gòu)現(xiàn)有的技術(shù)力量普遍難以應(yīng)對上述威脅。建議在繼續(xù)做好基本安全加固工作的基礎(chǔ)上，對現(xiàn)有國家級信息安全力量進行梳理，統(tǒng)籌規(guī)劃和發(fā)展，明確各機構(gòu)職責和各機構(gòu)之間的協(xié)調(diào)合作機制，加強技術(shù)力量建設(shè)。在安全態(tài)勢感知、威脅監(jiān)測、漏洞分析等環(huán)節(jié)上下細功夫，加強威脅和漏洞預警及信息共享。加強對重要網(wǎng)絡(luò)安全域和業(yè)務(wù)系統(tǒng)的全面信息安全風險評估，識別安全隱患，并評估對重要信息系統(tǒng)的影響。完善應(yīng)急預案，建立綜合應(yīng)急指揮平臺和體系，加強突發(fā)事件應(yīng)急演練，增加應(yīng)急人員能力培訓，提升綜合應(yīng)急處置能力。建設(shè)國家級網(wǎng)絡(luò)安全防護體系，形成強大的國家網(wǎng)絡(luò)安全保障能力，集中優(yōu)勢資源保障國家重要信息系統(tǒng)安全穩(wěn)定。4.2加強計算機信息網(wǎng)絡(luò)使用者的安全風險評估意識培養(yǎng)日常使用過程中，宣傳工作要做好，并加強對計算機使用者進行再教育。強化計算機使用者的安全風險評估意識培養(yǎng)，積極參與到部門培養(yǎng)的教育進程中，同時，正確引導社會上使用計算機的高技術(shù)人員，讓他們認識到安全風險評估的重要性，減少社會中黑客的存在。與此同時，應(yīng)加強國家相關(guān)制度保障工作，設(shè)立專門的安全管理機構(gòu)。分工到人，每一個人都有各自的職責，這樣更能有效地保障網(wǎng)絡(luò)安全。4.3加強電子政務(wù)信息系統(tǒng)安全風險管理技術(shù)適應(yīng)社會發(fā)展的進程，完善電子政務(wù)信息系統(tǒng)安全風險管理機制，首先是要知道信息系統(tǒng)不安全因素是什么，然后采取相應(yīng)的手段，將信息系統(tǒng)安全風險控制作為其中的重點手段之一，在實施的過程中突出其優(yōu)勢，運用不同種管理方式進行有效的網(wǎng)絡(luò)防護，責任到人，確保網(wǎng)絡(luò)和計算機科學安全工作的運行。與此同時，建立健全信息系統(tǒng)評估風險管理制度，亦是計算機信息管理部門所要考慮的重點。實事求是，深入貫徹國