導言：作為寫作愛好者，不可錯過為您精心挑選的10篇電子政務的安全風險，它們將為您的寫作提供全新的視角，我們衷心期待您的閱讀，并希望這些內容能為您提供靈感和參考。

篇1

一、電子政務信息安全風險的來源

以Internet為代表的計算機網絡本身就存在安全隱患是毋庸置疑的，加之電子政務系統對Internet的依賴性及其自身的特殊性決定了其安全問題的多層次性、重要性和迫切性。

二、電子政務信息安全風險的評估

（一）風險評估的幾種基本方法

第一，定量評估方法。定量的評估方法是指運用數量指標來對風險進行評估。定量方法的優點是，傳遞的信息量大。其缺點是，量化使本來比較復雜的事物簡單化、模糊化了，有的風險因素被量化以后還可能被誤解和曲解。第二，定性評估方法。定性的評估方法主要依據研究者的知識、經驗、歷史教訓、政策走向及特殊變例等非量化資料對系統風險狀況做出判斷的過程。定性評估方法的優點是可以挖掘出一些蘊藏很深的思想，使評估的結論更全面、更深刻；但它的主觀性很強，對評估者本身的要求很高。第三，定性與定量相結合的綜合評估方法。風險評估是一個復雜的過程，需要考慮的因素很多，有些評估要素是可以用量化的形式來表達，而對有些要素的量化又是很困難甚至是不可能的，所以應采用定性與定量相結合的評估方法。定量分析是定性分析的基礎和前提，定性分析則是靈魂，是形成概念、觀點和得出結論所必須依靠的。

三種風險評估的分析方法如下圖所示：

（二）電子政務信息安全風險評估方法

在電子政務風險評估中，OCTAVE方法得到較多應用。然而，OCTAVE是一個相對不太靈活的評估方法。在此方法的實施過程中，只提供一種原則，選擇一個目標，建立一個工作小組。一旦選取了原則，其他的工作組也必須使用已經存在的原則去處理他們所面對的問題。然而每一個小組的運行模式也許是不同的，一些會注重數量，而另一些會注重質量。杜人杰以改進的OCTAVE方法為起點，結合AHP與FTA提出了電子政務信息安全的三元集成方法，對單純的OCTAVE方法進行了改進。湯志偉提出采用“可操作的關鍵威脅、資產和弱點評估”模型作為理論依據，利用層次分析法確定權數，以主觀概率來描述指標的隸屬度，建立了電子政務信息系統風險的模糊綜合評估方法。

此外，應用集成的風險研究方法也被應用到電子政務中。此方法將網絡系統中的安全防護分為兩個方面：一是網絡系統中存儲和傳輸的信息數據；二是網絡系統中的各類設備。這樣，既保證了政務業務的正常運行，同時又防止信息數據被非授權訪問者的竊取、篡改和破壞。應用集成的研究方法只是從微觀上進行了評估，將絕大部分注意力主要集中在來自硬件等技術層面的風險，沒有把重點放在管理上。

三、電子政務信息安全風險的管理策略

（一）樹立政務安全的基本觀念，避免進入“絕對安全”的誤區

安全的界定隨著時間、地點的不同而變化，信息安全是一種沒有底線的風險游戲。對電子政務而言，系統的安全策略總不可能保證絕對的安全，因為對任何技術或安全策略來講，給人足夠的時間都是可以攻破的。因而，我們在進行電子政務安全建設和管理中首先要樹立相對的安全觀，在現有條件下可以保證該保護的系統和信息資源的安全就是最好的安全。盲目追求“絕對的安全”，到頭來既會造成投資的浪費，也會使該保護的沒有保護好，無法發揮安全系統的最好效用。

（二）加強政府部門的管理職能，保障信息安全管理的有效性

政府相關部門應當聯合制訂信息化建設的網絡與信息安全專項資金政策，保證信息安全投資應占總投資的 15%-25%之間；同時由政府制定強制性的網絡與信息安全裝備監督檢查政策并進行監督檢查。要全方面地對信息安全服務商的資質能力制訂相應標準與行政監管措施，推行安全服務資質和進入市場的信息安全產品和集成的信息化項目的強制性安全認證。

（三）全面提高用戶自身管理水平，減少信息風險的入侵

各部門、各行業、各單位等用戶是信息化建設的主體，也是網絡與信息安全保障體系建設的主體，能否全面提高用戶信息安全管理的意識和水平，決定著網絡與信息安全保障體系能否真正建成。要通過政府引導，有關執法部門加強管理和宣傳教育，促進各類用戶建立信息安全管理機構，認真執行國家有關政策法規，推行標準化，采用技術措施，制定規章制度，配備和培養有關人員，選擇合格服務商等，全面提高其安全管理水平。鑒于此，建立高水平的研究教育環境，加強信息安全基礎理論研究，培養大批高素質的信息安全人才顯得尤其重要。

（四）重視安全風險分析評估，做到“早發現早治療”

安全利益與風險是整個網絡與信息安全保障體系的核心。只有了解、分析、評估和確定各部門、各行業、各單位的安全利益與風險，包括確定其安全利益與風險的大小，才能有效合理地配置有關技術、管理、人員等資源去實施保護，才能合理確定所利用資源的多少和保護強度的高低等。因此，網絡與信息安全保障體系中最基礎的工作是建立信息安全利益與風險分析評估體制。

篇2

信息技術的普及與應用推動著當前電子政務蓬勃發展，雖然電子政務有諸多便利，但也承受著巨大的安全威脅，解決威脅其發展的安全風險，對于電子政務更好的發揮服務優勢有積極意義。下面我們在分析電子政務安全風險的基礎上，探討基于分域防護思想安全體系結構的設計與建立。

一.電子政務安全風險分析

電子政務是傳統政務模式的延伸與轉化，事關國家政務信息安全，政務系統運行中容易受到來自外界的各類風險因素的安全威脅，造成有意或無意的破壞，因此必須加強安全體系建設，保障信息安全與應用安全。電子政務的安全風險主要包括通信風險、物理風險、應用風險、管理風險、區域邊界風險及其他風險等。通信風險來自于各類重要數據的泄露與丟失，來自通信傳輸線路上的監聽與阻攔，數據本身完整性、安全性受到攻擊威脅。物理風險是電子政務系統遭受來自自然災害如風雨雷電地震等破壞，硬件設備受損造成數據都是活著損壞，靜電、強磁場與電磁鐳射等損壞存儲介質，數據被偷竊或監聽。應用風險是不斷動態變化的，其所遭受的風險如程序后門、病毒威脅與惡意代碼攻擊等都是動態變化著的。電子政務系統作為一個復雜的集成系統，除去需要安全技術手段予以保駕護航之外，有效得當的管理才能事半功倍，管理不當包括口令、密鑰管理不當，管理制度不完善造成信息無序運行，安全崗位設置及管理不到位，管理環節缺失或遺漏，政務審計系統與制度不到位等，以上這些管理不當都會造成安全風險[1]。區域邊界風險是電子政務系統中不同安全等級區域之間的最易發生危險的區域邊界處，區域邊界不明確會導致高等級數據信息泄露，流向低等級造成泄露，或者邊界防護漏洞導致用戶非法訪問或竊取高等級區域信息，損壞數據完整性、真實性與可用性。其他安全風險諸如安全意識淡漠、系統運行風險、信息安全戰略認識不足等，都會導致電子政務系統運行威脅。

二、基于分域防護思想的電子政務系統安全體系結構設計

圖1電子政務安全體系結構

電子政務系統作為服務于政府公務的重要支持系統，安全防護體系建設必須兼顧到系統本身的應用性、開放性等需求，遵循適度安全原則，解除其面臨安全威脅，將政務系統劃分為不同安全域，并針對各個安全域特點實施針對性安全舉措。分域防護的應用有利于明確安全責任，消除政務互聯網開放顧慮與障礙，便于科學組織與安全建設。基于分域防護思想，電子政務系統可根據系統本身特點、安全需求、環境重要性進行劃分，系統方面可分為政務內網、外網與互聯網，安全需求可分為通信傳輸安全、邊界安全與環境安全，環境重要性可劃分為核心域、重要域與一般域[2]。不同安全區域內，根據防護要求利用身份認證、訪問控制、病毒防護、安全審計等諸多措施保障信息安全，配合軟硬件基礎設施與管理平臺共同打造高效運行的安全體系。電子政務安全體系結構見圖1。

分域防護思想指導下根據政務系統職能特點可劃分為政務內網、外網與互聯網絡三類。政務內網是政府用于辦公的內部局域網，主要處理一些保密等級較高的數據業務和網上辦公事項，與外網鏈接，主要由信息處理、存儲、傳輸設備構成，是政務核心處理區域和主要運行平臺，與外網間實施物理隔離。外網主要服務政府各類政務部門，如法院、檢察院、政府、政協、黨委等，是業務專網，運行主要面對社會公眾，處理一些無需內網處理的低保密等級公物，與互聯網之間實施邏輯隔離。互聯網作為公共性質的開放網站，向公眾提供各類服務，比如政務信息、收集群眾意見反饋及接受公眾監督等。

分域防護安全結構中，根據環境重要性分為核心域、重要域與一般域。核心域是安全等級最高的政務系統核心區域，需要提供最嚴密的安全防護措施以保護機密等級最高的數據，做好其存儲與安全管理。重要域是次安全等級區域，是國家政府部門各類政務信息交雜處理區域，需實施嚴密防護。一般域是安全等級較低的防護區域，公開性顯著，提供各類公開政務信息與數據服務，防護關鍵在于保障數據的公開性、真實性、完整性與可用性。

分域防護安全結構中，安全方面主要以邊界安全、通信傳輸安全和環境安全為主。通信傳輸安全關系到政府內網、外網與互聯網之間的信息傳輸與溝通，安全防護既要保障數據的傳輸通常，又要避免來自外界的惡意攻擊，保證傳輸數據的完整性、真實性與可用性[3]。網絡環境安全則是系統自身計算環境安全域數據安全，即處理各個層次數據時有不被泄露、攻擊和篡改的風險。邊界防護安全則是不同等級安全域之間數據信息交換時不會出現由高向低或者由低向高的安全閥縣漏洞，不會出現數據的泄露、流失與非法訪問。

信息安全管理平臺是安全體系結構中技術得以發揮作用的基礎，關系到整個信息平臺能否順利運轉，是防護關鍵，管理平臺上要配備合適人員，加快標準化制度建設，提供規范制約、法律支持等，配合各類信息安全基礎設施在政務系統保護中發揮作用。

綜上所述，電子政務系統的發展和應用中承受著來自內外的眾多安全威脅，利用分域防護思想可有效劃分不同安全域，針對各個安全域特點實施針對性安全舉措，解除其面臨的安全威脅，有利于明確安全責任，消除政務互聯網開放顧慮與障礙，便于科學組織與安全建設。

參考文獻：

篇3

中圖分類號：C93文獻標識碼： A

一、 電子政務概述

電子政務，亦稱電子政府、政府信息化管理,是政府機構以計算機為媒介，應用現代信息和通信技術，將政府的管理和服務工作通過網絡技術進行集合，以實現政府部門工作的進行以及組織結構的優化重組，從而及時向社會及公眾提供全方位、行之有效的管理和服務。

電子政務是政府管理方式的革命，它的運行有助于建立一個開放透明的政府，一個勤政廉潔的政府。電子政務職能實現的前提是信息安全的有效保障，大量政府公文在政務信息網絡上的流轉，一旦存在信息安全問題，則直接導致機密數據和信息的泄漏，危及到政府的核心政務。如果電子政務信息安全得不到保障，電子政務的效率便無從保證，這將給國家利益帶來嚴重威脅。所以說，信息安全是制約電子政務建設與發展的首要問題和核心問題。

二、 電子政務面臨的風險

（一） 認知層面的風險

電子政務在國內建設與使用時間不長，缺乏深入研究。一些人只是簡單地認為電子政務系統就是信息化，只要實現了網絡數字化就可以推行電子政務，從而出現盲目建設、脫離現實條件等問題；還有一部分人認為電子政務就是運用計算機代替傳統手工模式，這就固化了現有政府結構，不利于政府的改造與職能的轉變。

（二） 規劃層面的風險

規劃層面的風險主要有：規劃制定人員、規劃的范圍和內容、規劃計劃的實施步驟、規劃中的政策因素等等。

信息技術的進一步應用，使得政府的組織形態正在由傳統的金字塔垂直模式向錯綜復雜的網狀結構轉變，這就要求政務機構的運行方式作出相應轉變，進行電子政務的整體規劃。電子政務是整個系統建設的基礎，是項目成功的基本保障。只有了解了本地區的發展現狀，了解地方政府的特點，了解本地區的政務工作流程，才能編制出適合本地區電子政務的發展規劃。但目前，地方政府在電子政務方面的規劃明顯不足，缺乏可操作性，這就導致在使用過程中面臨著很大風險。

（三） 物理安全層面的風險

物理安全層面的風險主要指的是網絡環境和物理特性引起的網絡設備和線路的不可用，從而造成網絡系統的不可用。例如，線路老化、蓄意破壞、設備意外故障、自然災害等， 這些都屬于物理安全層面的潛在風險因素。

（四） 應用層面的風險

應用層面的風險主要表現為非法訪問，即竊取用戶口令、用戶信息被剽竊或修改等，由于政府網絡對外提供WWW服務，Email服務、DNS服務等，因此也存在著外網非法用戶對內部服務器的攻擊。

（五） 系統層面的風險

當前電子政務網通常采用的操作系統本身在安全方面的考慮較少，服務器與數據庫的安全級別較低，這在很大程度上存在著安全隱患，加之病毒的潛伏，這些都增加了系統在安全方面的脆弱性。

（六） 技術層面的風險

技術層面的風險主要表現為技術線路、設備選型、工程質量、系統性能等風險。技術層面的風險不僅關系到項目的實施情況，也關系到項目后期的維護和應用。現階段受技術發展的制約，我們在技術方面還存在著很大欠缺，因此存在著一定的技術風險。

（七） 資金層面的風險

受利益的驅使，有些部門在制定規劃時，將電子政務的規模越做越大，虛設資金越來越多，這就使得電子政務的建設變得越來越困難。除此之外，在資金使用方面，由于缺乏對部門資金的有效監督，使得資金浪費現象嚴重。如果不能合理計劃和控制資金的流向，這將直接影響電子政務的建設，甚至促使一種新的腐敗的產生。另外，在后期維護上，電子政務系統也需要運營資金的支持，沒有了運營資金的有效支持，就沒有了電子政務的內容來源。

（八） 管理層面的風險

在電子政務運行過程中需要管理的內容主要有規劃管理、技術管理、過程管理、運維管理、安全管理等。管理的風險不僅體現在單個項目的管理，也體現在根據規劃對相關項目群的管理風險。管理風險是項目實施過程中最主要的風險，是項目成敗與否的關鍵。隨著信息系統建設和應用規模的不斷擴大，管理的難度和風險還將不斷加大，但與此同時，政府部門缺乏信息化項目管理的專業人員，缺乏項目管理的風險意識，這與快速發展的電子政務管理要求不相匹配。

三、 電子政務管理防范措施

（一）強化信息管理人員的安全意識

電子政務信息安全是電子政務正常而高效運轉的基礎，是保障國家信息安全的重要前提，電子政務信息管理人員要正確認識并高度重視，及時發現影響信息安全的現象。政府部門要對信息管理人員進行必要的培訓，普及信息安全知識，增強信息管理人員的安全意識；積極開展安全策略研究，明確安全責任，增強信息管理人員的責任心；積極組織各種講座和培訓班，培養專業信息安全人才，確保防范手段和技術措施的先進性和主動性。

（二）實施保障措施，建立系統安全保障體系

電子政務系統安全風險的威脅無處不在，它主要來自于物理環境、技術環境、社會環境等。建立全方位的電子政務信息系統安全保障體系是規避電子政務安全威脅因素的必要方式。在充分分析系統安全風險的基礎上，通過制定系統安全策略和采用先進的安全技術，才能對系統實施安全防護和監控，使其真正成為智能型系統安全體系。具體做法有：

1.實施監測系統的運行情況，及時發現和制止可能對系統出現威脅的各種攻擊；

2.記錄和分析安全審計數據，檢查系統中出現的違規行為，判斷是否違反法律法規，為改進系統提供充足的依據；

3.對數據恢復應進行應急處理和響應，及時恢復信息，降低被攻擊的破壞程度，包括備份、自動恢復、快速恢復等。

（三）制定合理資金計劃，確保有序利用

充足的資金是保證電子政務順利開展的必要條件。前期指定電子政務建設的方案中，要根據本單位、本部門的實際情況制定合理的資金預算方案，確保不虛報資金預算，杜絕腐敗滋生；在后期維護過程中，資金也要及時到位，以確保電子政務信息系統的順利進行。

（四）健全電子政務法律法規建設

法律是保障電子政務信息安全的最有力手段。政府立法部門應加快立法進程，借鑒國外網絡信息安全立法方面的先進經驗，制定完備的信息網絡安全性法規，完善我國的網絡信息安全法律體系，使得電子政務信息安全管理走上法制化軌道。

電子政務是實現“電子政府”的有效途徑，在政府推動信息化的同時，也要注意其過程中產生的風險，正視風險本身，加快制定保障電子政務健康發展的政策法規，才能降低風險，從而有力地推動和改進政府的管理方式，才能有助于更好的發揮其政府職能。

參考文獻：

[1]方德英，李敏強.IT項目風險管理理論體系構建[J].合肥工業大學學報（自然科學版），2003，,2（8）：907-908.

篇4

電子政務的網絡層安全風險主要體現在數據傳輸風險、網絡邊界風險以及網絡設備安全風險等方面。在數據傳輸風險中，往往存在業務數據泄露以及數據被破壞的情況。利用上下級網絡或同級局域網絡進行數據傳輸過程中由于包含相關的敏感信息或其他登錄通行字且缺乏專門控制數據的軟件與硬件，不法分子會采用不同的攻擊手段竊取或直接破壞數據信息。在網絡邊界風險方面，由于電子政務中的網絡節點多為不可信任域，入侵者很可能利用Sniffe等程序對系統中的安全漏洞進行探測，并在此基礎上竊取內部網中的用戶名或口令等信息，導致系統癱瘓的情況發生。同時內網與外網的互通也是產生網絡邊界風險的重要原因。在網絡設備安全風險方面，主要體現在如路由器或交換機等設備方面，其安全性關乎電子政務系統的運行。

2、從物理層、系統層與應用層角度。

電子政務系統中的物理層風險主要指周邊環境對網絡或線路所造成的影響，如設備的毀壞、設備被盜或線路老化等情況，也存在自然災害等對設備造成的破壞。通?？衫梦锢砀綦x技術解決物理層風險。而系統層的風險主要指電子政務中的數據庫、操作系統以及其他相關產品使用中存在的病毒威脅以及安全漏洞等，是影響系統安全的重要因素。另外，應用層安全風險集中體現在非法訪問政務系統；業務信息被修改；用戶口令的被盜取以及用戶的事后抵賴行為等方面，尤其電子政務系統對外開放的E-mail或DNS等服務都可能成為補發分子侵入的渠道。

3、從管理層安全風險角度。

電子政務網絡安全的實現很大程度上依托于良好的管理方式。許多部門在進行安全管理過程中存在的管理混亂、權責不明以及可操作性的缺乏都可能產生管理層面的安全風險。另外管理過程中許多機房重地允許外來人員的自由出入，很可能使其中重要信息被泄露，其原因在于管理制度的匱乏。

二、電子政務網絡安全的完善措施

1、對安全服務設施的完善。

作為電子政務網絡安全的基礎，安全服務設施應逐漸完善。其作用主要體現在能夠為系統的運行提供可信任的網絡環境以及安全技術應用的參考依據。因此需對其中的信任問題如可信的身份、網絡信任域、可信的數據以及可信的時間服務等存在的問題進行解決。

2、安全技術平臺的構建。

在網絡信任問題被解決的基礎上還需采取相應的安全策略如通訊加密、掃描漏洞、檢測病毒與入侵、訪問控制等，以此使網絡安全環境得以保障。然而網絡環境安全的實現又需構建安全技術平臺，其應將電子政務中內網、外網以及專網間的數據交換、對信任域的訪問控制、對內部網Internet訪問策略、身份識別等內容囊括其中，確保其能夠為安全技術提供支撐平臺，解決信息泄密與網絡空寂的問題。

3、響應與恢復機制的建立。

由于電子政務系統中往往包含許多信息，在面對網絡攻擊、系統故障或自然災害等情況下很容易出現丟失或損壞的情況，因此需構建響應與恢復機制，確保電子政務系統能夠在備份與恢復、大容量存儲、自動恢復機制以及存儲介質等方面進行完善。這樣才可將因數據信息丟失或被破壞所造成的損失降至最低程度。

篇5

在電子政務系統設的實施過程，主要分為規劃與設計階段、建設與實施階段、運行與管理階段等三個階段。其中，安全風險分析主要作用于規劃與設計階段，安全等級評估主要作用于建設與施工階段，安全檢查評估主要作用于運行與管理階段。安全風險分析，主要是利用風險評估工具對系統的安全問題進行分析。對于信息資產的風險等級的確定，以及其風險的優先控制順序，可以通過根據電子政務系統的需求，采用定性和定量的方法，制定相關的安全保障方案。安全等級評估，主要由自評估和他評估兩種評估方式構成。被評估電子政務系統的擁有者，通過結合其自身的力量和相關的等級保護標準，進行安全等級評估的方式，稱為自評估。而他評估則是指通過第三方權威專業評估機構，依據已頒布的標準或法規進行評估。通過定期或隨機的安全等級評估，掌握系統動態、業務調整、網絡威脅等動向，能夠及時預防和處理系統中存在的安全漏洞、隱患，提高系統的防御能力，并給予合理的安全防范措施等。若電子政務網絡系統需要進行較大程度上的更新或變革，則需要重新對系統進行安全等級評估工作。安全檢查評估，主要是在對漏洞掃描、模擬攻擊，以及對安全隱患的檢查等方面，對電子政務網絡系統的運行狀態進行監測，并給予解決問題的安全防范措施。

1.2安全風險分析的應用模型。

在政府網絡安全風險評估工作中，主要是借助安全風險評測工具和第三方權威機構，對安全風險分析、安全等級評估和安全檢查評估等三方面進行評估工作。在此，本文重點要講述的是安全風險分析的應用模型。在安全風險分析的應用模型中，著重需要考慮到的是其主要因素、基本流程和專家評判法。

（1）主要因素。

在資產上，政府的信息資源不但具有經濟價值，還擁有者重要的政治因素。因此，要從關鍵和敏感度出發，確定信息資產。在不足上，政府電子政務網絡系統，存在一定的脆弱性和被利用的潛在性。在威脅上，政府電子政務網絡系統受到來自內、外部的威脅。在影響上，可能致使信息資源泄露，嚴重時造成重大的資源損失。

（2）基本流程。

根據安全需求，確定政府電子政務網絡系統的安全風險等級和目標。根據政府電子政務網絡系統的結構和應用需求，實行區域和安全邊界的劃分。識別并估價安全區域內的信息資產。識別與評價安全區域內的環境對資產的威脅。識別與分析安全區域內的威脅所對應的資產或組織存在的薄弱點。建立政府電子政務網絡系統的安全風險評估方法和安全風險等級評價原則，并確定其大小與等級。結合相關的系統安全需求和等級保護，以及費用應當與風險相平衡的原則，對風險控制方法加以探究，從而制定出有效的安全風險控制措施和解決方案。

（3）專家評判法。

在建設政府電子政務網絡系統的前期決策中，由于缺少相關的數據和資料，因此，可以通過專家評判的方法，為政府電子政務網絡系統提供一個大概的參考數值和結果，作為決策前期的基礎。在安全區域內，根據網絡拓撲結構（即物理層、網絡層、系統層、應用層、數據層、用戶層），應用需求和安全需求劃分的安全邊界和安全區域，建立起風險值計算模型。通過列出從物理層到用戶層之間結構所存在的薄弱點，分析其可能為資產所帶來的影響，以及這些薄弱點對系統薄弱環節外部可能產生的威脅程度大小，進而通過安全風險評估專家進行評判，得到系統的風險值及排序。在不同的安全層次中，每個薄弱環節都存在著不同程度的潛在威脅。若是采用多嵌套的計算方法，能夠幫助計算出特定安全區域下的資產在這些薄弱環節中的風險值。

篇6

電子政務，即各級機關在實踐管理工作開展過程中需借助電子信息技術，打造分層結構、集中管理網絡管理環境，且推進電子政務系統由“功能單一”向“綜合政務網”轉變，從而提升整體政府服務水平，同時借助網絡平臺加強與公眾間的互動性，并營造雙向信息交流環境，有效應對計算機病毒、黑客攻擊、木馬程序等網絡安全問題。以下就是對電子政務系統網絡安全問題的詳細闡述，望其能為當前政府機構職能效用的有效發揮提供有利參考。

1.電子政務系統網絡安全研究

1.1網絡安全需求

就當前的現狀來看，電子政務系統網絡在運行過程中基于垃圾郵件攻擊、網絡蠕蟲、黑客攻擊、網絡安全威脅等因素的影響下，降低了服務質量。為此，當代政務系統針對網絡安全問題提出了相應的網絡安全需求：第一，網絡信息安全，即在電子政務系統操控過程中為了規避政務信息丟失等問題的凸顯，要求管理人員在實踐信息管理過程中應從信息分級保護、信息保密、身份鑒別、網絡信息訪問權限控制等角度出發，對可用性網絡信息實施管理，打造良好的網絡信息使用環境；第二，管理控制安全。即由于電子政務網絡系統需與Internet連接，因而在內部局域網、外部局域網管理過程中，應設置隔離措施，同時針對每個局域網用戶設定訪問限定資源，并針對用戶身份進行雙向認證，由此規避黑客攻擊等問題的凸顯。而在信息傳輸過程中，亦需針對關鍵應用信息進行加密，且配置網絡監控中心，實時掌控惡意攻擊現象，并做出及時響應；第三，統一管理全網，即為了降低網絡安全風險問題，要求當代電子政務網絡系統在開發過程中應制定VLAN劃分計劃，且針對通信線路、訪問控制體系、網絡功能模塊等實施統一管理，規避非法截獲等安全問題[1]。

1.2網絡安全風險

（1）系統安全風險。就當前的現狀來看，我國UNIX、Windows、NETWARE等操作系統本身存有安全隱患問題，因而網絡侵襲者在對系統進行操控過程中，可借助系統漏洞，登錄服務器或破解靜態口令身份驗證密碼，訪問服務器信息，造成政務信息泄露問題。同時，在電子政務系統網絡管理過程中，部分管理人員缺乏安全管理意識，從而未及時修補系統漏洞，且缺乏硬件服務器等安全評定環節，繼而誘發了系統安全風險。此外，基于電子政務網絡系統運行的基礎上，侵襲者通常在公用網上搭線竊取口令字，同時冒充管理人員，向系統內部局域網直入嗅探程序，從而截獲口令字，獲取網絡管理權限，造成電子政務系統信息損失。為此，為了規避信息截獲等網絡安全問題的凸顯，要求管理人員在實踐管理工作開展過程中應針對操作系統、硬件平臺安全性進行檢測，且健全登錄過程認證環節，打造良好的電子政務系統服務空間，滿足系統運行條件，同時實現對登陸者操作的嚴格把控。（2）應用安全風險。電子政務系統網絡運行中應用安全風險主要體現在以下幾個方面：第一，網絡資源共享風險，即各級政府機構在網絡辦公環境下，為了提升整體工作效率，注重運用網絡平臺共享機關機構組成、政務新聞、政務管理程序等信息。而若某工作人員將政務信息存儲于硬盤中，將基于缺少訪問控制手段的基礎上，造成信息竊取行為；第二，電子郵件風險，即某些不法分子為了獲取政務信息，將特洛伊木馬、病毒等程序植入到郵件中，并發送至電子政務系統，從而通過程序跟蹤，威脅電子政務系統網絡安全性。為此，管理人員在對電子政務系統進行操控過程中應提高對此問題的重視程度，同時強調對垃圾郵件的及時清理[2]；第三，用戶使用風險，即在電子政務系統平臺建構過程中，為了規避網絡安全風險問題，設置了“用戶名+口令”身份認證，但由于部分用戶缺乏安全意識，繼而將生日、身份證號、電話號碼等作為口令字，從而遭到非法用戶竊取，引發政務信息泄露或攻擊事件。為此，在系統操控過程中應針對此問題展開行之有效的處理。

2.電子政務系統網絡安全設計應用

2.1系統安全

在電子政務系統應用過程中，為了打造良好的網絡運行空間，在系統設計過程中應融合防火墻隔離、VLAN劃分、HA和負載均衡、動態路由等技術，并在電子政務網絡結構部署過程中，將功能區域劃分為若干個子網結構，同時合理布設出入口，并實時清理故障清單，從根本上規避網絡安全風險問題。同時，在操作系統安全設置過程中，應針對安全配置安全性進行檢測，并限定etc/host、passwd、shadow、group、SAM、LMHOST等關鍵文件使用權限，且加強“用戶名+口令”身份認證設置的復雜性，避免操作風險的凸顯[3]。此外，在電子政務系統操控過程中，為了確保系統安全性，亦應針對系統運行狀況做好打補丁操作環節，并及時升級網絡配置，營造安全、穩定的系統運行空間。

2.2訪問控制

在電子政務系統網絡安全應用過程中加強訪問控制工作的開展是非常必要的，為此，首先要求管理人員在系統操控過程中應結合政務信息的特殊性，建構《用戶授權實施細則》、《口令字及賬戶管理規范》等條例，并嚴格遵從管理制度要求，實現對網絡環境的有效操控。同時，在網絡出入口等網絡內部環境操控過程中，應設置防火墻設備。例如，在Switch、Router安全網絡域連接過程中，即需在二者間設置防火墻，繼而利用防火墻IP、TCP信息過濾功能，如，拒絕、允許、監測等，對政務信息形成保護，同時在網絡入侵行為發生時，及時發出警告信號，且針對用戶身份進行S/Key的驗證，達到網絡訪問控制目的[4]。其次，在網絡訪問控制作業環節開展過程中，為了規避電子政務網內部服務器、WWW、Mail等攻擊現象，應注重應用防火墻應用功能，對安全問題進行有效防控。

2.3數據保護

電子政務數據屬于機密性信息，因而在此基礎上，為了規避數據泄露問題的凸顯影響到社會的發展，要求我國政府部門在電子政務系統運行過程中，應擴大對《上網數據的審批規定》、《數據管理管理辦法》等制度的宣傳，同時在PC機管理過程中，增設文件加密系統，并對訪問者進行限制，最終實現對數據的高效保護。其次，在對SYBASE等通用數據庫進行保護過程中，應增設訪問/存取控制手段，同時完善身份驗證、訪問控制、密碼機制、文件管理等功能模塊，從而通過角色控制、強制控制等方法，對數據形成雙層保護，并加強假冒、泄露、篡改等現象的管理，保障系統網絡安全性[5]。再次，在政務數據使用、傳輸過程中，應定期檢測服務器內容完整性，例如，WWW服務器、FTP、DNS服務器等信息，滿足政務信息使用需求，同時提升政府服務水平。

3.結論

綜上可知，傳統電子政務系統網絡管理工作實施過程中逐漸凸顯出信息截獲、信息泄露等問題，影響到了各級政府機關服務水平。因而在此基礎上，為了實現對網絡安全風險問題的有效處理，要求管理人員在實際工作開展過程中應注重加強安全管理工作，同時從數據保護、訪問控制、系統安全等角度入手，對政務系統網絡環境形成保護，滿足電子政務網絡系統應用需求。

作者:韓戴鴻 鄔顯豪 徐彬凌 胡大川 錢誠 單位:常州市科技信息中心

參考文獻:

[1]王淼,凌捷,郝彥軍.電子政務系統安全域劃分技術的研究與應用[J].計算機工程與科學,2010,12(8):52-55.

[2]魏武華.電子政務系統的網絡架構及其應用研究[J].計算機時代,2013,12(7):13-16.

篇7

中圖分類號：TP311 文獻標識碼：A 文章編號：1009-3044（2014）05-1150-02

時代的發展促進了科技的發達，而科技的發達加速了社會的進步，2010年我國出臺了基于互聯網的電子政務建設指導意見，這一標準的出臺給縣級電子政務建設帶來極大的推動力量，使得我國縣級電子政務建設出現了嶄新的局面，然而，值得關注的是良好的電子政務建設必須有全面、科學的統一規劃，高素質的操作人員和安全保障體系，因此，面臨當前縣級電子政務發展階段對安全管理的需求，深入探索有效的解決策略和創新方法具有十分重要的現實意義。

1 電子政務安全風險特征分析

當前電子政務安全風險主要表現在兩方面：一是關于資產價值，二是互聯網的運行環境。根據這兩個主要因素可以分析當前縣級電子政務安全風險特征主要有以下幾點：

1）資產價值信息少

建立縣級電子政務體系，目的是保證政府職能部門政務公開，拓展政務公開渠道，然而在實際操作中公開信息多，而信息少，政務公開的目的是為廣大企業和公眾提供廣闊的信息渠道，然而實際上保密信息的內容不多，起不到實際的價值和作用。

2）安全等級比較低

由于互聯網的大量使用，在電子政務安全管理中有害程序事件、互聯網攻擊事件、信息破壞事件、設備故障事件等多有可能隨時發生，但是由于縣級電子政務建設中安全管理措施還不完備，遇到這些問題缺乏相應的處理經驗和處理措施，往往會危害國家社會秩序和公眾利益，給電子政務建設帶來巨大影響。

3）安全需求性提高

對于縣級電子政務建設中，服務于民眾，為企業和公眾帶來便捷性的服務是重點，同時應用是關鍵，只有合理而科學的應用電子政務系統，才能真正實現電子政務建設的出發點和最終目標，不能良好的應用成為電子政務風險的主要特征。

4）管理策略不完善

縣級電子政務管理中人員因素最為關鍵，電子政務的使用人員、計算機管理人員等，他們的專業水平和整體素質極其相應的安全管理意識等，都直接影響著安全管理結果，因此，人員的素質是影響著管理策略的主要因素。

5）安全威脅在增加

由于互聯網本身安全機制比較薄弱，為了獲得某種利益有些人假冒身份，竊取口令，或者利用木馬或者病毒竊取信息，或者篡改主頁，造成網站信息混亂，有的竊取數據，導致信息大量流失，或者服務窗口被劫持，在網站上出現的大量非法信息，給社會的安全穩定帶來嚴重的影響，因此，縣級電子政務安全管理中，互聯網安全信息管理也是十分重要的因素。

2 縣級電子政務安全管理管理優化策略

面對各種的安全風險因素，電子政務安全保證是一個十分復雜而又重要的任務，因此，不僅需要各個部門內部進行統一規劃，實施有效的配合管理，而且需要整個領域中形成良好的管理策略，探索先進的技術方法。

1）提高認證力度，實現安全監督

對于電子政務系統來說，身份的識別十分關鍵，需要加強身份認證服務，建立健全電子政務業務實體定義的唯一電子身份標識，只有通過這一標識之后才能實現身份的認證，這樣可以避免各種假冒身份者的侵入；其次，必須保證數據的完整，利用信息技術保證信息在收發雙方的一致性，保證信息的一致性目的是為了避免中途信息被修改的現象發生；另外，為第三方驗證信息的真實性和信息的完整性提供必要的證據，這樣的規范是為了面對電子政務糾紛中法律證據提供必要的保證，利用第三方平臺來實現信息管理的完整性和嚴密性，當然，第三方平臺由誰來管理，怎樣管理等都需要進行更深入的探討，認證中心建立必要的立項和審批需要公安信息網絡的審核，保證合法性。

2）提高人員素質，實現安全管理

對于電子政務維護中心來說，應用程序的開發和利用，系統的運行和日常維護等都涉及到大量信息的安全性問題，其中主要涉及兩方面：一是信息技術的加強，一是信息人員的管理。尤其是人員的管理中，當前電子政務建設雖然逐步走上正軌，但是操作人員信息技術水平不高，大專院校的信息技術專業畢業生較少，整體來看應用系統利用不完善，人員技術水平較低，尤其是遇到一些關于安全領域較深層次的問題，操作人員常常束手無策，嚴重的影響了電子政務安全管理水平的提高和發展，因此，加強信息技術人才的引進和培養，是提高縣級電子政務安全管理的主要途徑。

3）完善安全制度，加強行政管理

為了提高縣級電子政務安全行政管理，需要從多方面加強機構的組建和制度的完善，首先建立安全小組機構，通過組織機構來實現統一的規劃管理，體制網絡系統不安全因素，完善各種安全策略和措施，進行多方面安全事件的協調等，如人事的審查和任用，崗位職責的制定，工作情況的評價，各種培訓事務等；同時，要建立健全安全責任制度，如系統運行管理責任制度、計算機控制管理制度、信息資料管理制度、監督制度、病毒防護制度等，通過建立這些制度不斷加強工作人員的責任心和使命感，提高行政管理力度，不斷促進電子政務建設的健康發展。

4）加強基礎建設，提升技術管理

信息安全技術管理在縣級電子政務安全管理中具有十分重要的作用，可以從三方面進行完善和加強。首先是加強硬件建設，加強對計算機、網絡等設備的常規管理和保護，避免因為火災、水災等自然災害造成設備的損壞，保證設備的安全是加強電子政務安全管理的必要前提；其次，加強軟件管理，對于軟件應用系統要注意升級與管理，避免被偽造、破壞和篡改等，保證儲存和操作的安全性；另外，對于系統的使用較強密鑰管理，對系統的備份、初裝、恢復等均采用科學而嚴密的操作，避免出現信息泄露現象發生。

3 結束語

總之，縣級電子政務安全管理工作十分重要，不僅關系到政府職能部門能否扮演好可以為社會當好家、服好務的形象，同時也關系到企業和廣大民眾的切身利益，因此，必須加強縣級電子政務的安全管理，從人員、設備、應用等多角度出發，優化管理措施，加強管理力度，促進電子政務建設的良性發展。

參考文獻：

篇8

中圖分類號：TP393.08

在新的發展環境下，開放和互聯的網絡時代給各種信息資源的流通帶來了便利的同時，也帶來了安全隱患。尤其是政府部門的電子政務信息資產，若是受到非法使用，不但會對政府部門造成資源損失，甚至會威脅到國家、單位部門和個人的安全。因此，對政府網絡系統進行安全風險評估，不但能夠有效地預防和解決潛在的威脅，而且能夠保障整個政府網絡系統的安全，促進政府網絡建設的發展。

1 政府網絡安全風險評估的方法

在電子政務信息系統的建設和運行過程中，需要進行網絡安全防御的相關措施，以防止系統中存在的漏洞、隱患，以及人為或非人為因素引起的風險對系統的影響。因此，采取安全風險評估的方法，通過安全風險評估的相關技術的支持，對系統的設備及數據進行分析、確定等級和檢查，是有效防范這些情況發生的重要措施。

政府網絡安全風險評估的方法主要有安全風險分析、安全等級評估和安全檢查評估等三種。

1.1 安全風險分析。在進行政府網絡安全風險評估的前期工作中，主要是通過建立評估數據模型的方式進行安全風險分析。其中，主要是根據概率分布、外推法、矩陣圖分析、風險發展趨勢評價方法、假設前提評價及數據準確度評估等方法，并通過專家評估預測和相關歷史數據對指標的選取和數據的采集，估算政府網絡安全系統所存在的風險。

1.2 安全等級評估。在此階段，主要是在政府的電子政務系統建成或是運行的過程中，由第三方權威機構采取強制或非強制的方式，對政府網絡安全進行定期安全等級評估，從而確定政府網絡系統在建成后，或是在系統更新后是否達到防范風險的可靠級別。

1.3 安全檢查評估。在此階段，主要采用專門的模擬攻擊、漏洞掃描等方式，對政府電子政務（包括網絡設備、服務器、客戶機、數據庫和應用系統等）進行安全檢查，找出其中可能存在的安全隱患并提供掃描后的相關數據，給予政府電子政務安全檢查評估。在安全檢查評估中，主要運用到基于主機的（硬件系統）和基于網絡的（軟件系統）兩種技術。通過安全檢查評估，能夠起到預防網絡系統中存在的隱患的作用，并提供科學有效的解決措施，從而更進一步提高網絡安全的整體水平。

2 政府網絡安全風險評估的模型與應用

2.1 安全風險評估應用模型三階段。在電子政務系統建設的實施過程，主要分為規劃與設計階段、建設與實施階段、運行與管理階段等三個階段。其中，安全風險分析主要作用于規劃與設計階段，安全等級評估主要作用于建設與施工階段，安全檢查評估主要作用于運行與管理階段。

安全風險分析，主要是利用風險評估工具對系統的安全問題進行分析。對于信息資產的風險等級的確定，以及其風險的優先控制順序，可以通過根據電子政務系統的需求，采用定性和定量的方法，制定相關的安全保障方案。

安全等級評估，主要由自評估和他評估兩種評估方式構成。被評估電子政務系統的擁有者，通過結合其自身的力量和相關的等級保護標準，進行安全等級評估的方式，稱為自評估。而他評估則是指通過第三方權威專業評估機構，依據已頒布的標準或法規進行評估。通過定期或隨機的安全等級評估，掌握系統動態、業務調整、網絡威脅等動向，能夠及時預防和處理系統中存在的安全漏洞、隱患，提高系統的防御能力，并給予合理的安全防范措施等。若電子政務網絡系統需要進行較大程度上的更新或變革，則需要重新對系統進行安全等級評估工作。

安全檢查評估，主要是在對漏洞掃描、模擬攻擊，以及對安全隱患的檢查等方面，對電子政務網絡系統的運行狀態進行監測，并給予解決問題的安全防范措施。

2.2 安全風險分析的應用模型。在政府網絡安全風險評估工作中，主要是借助安全風險評測工具和第三方權威機構，對安全風險分析、安全等級評估和安全檢查評估等三方面進行評估工作。在此，本文重點要講述的是安全風險分析的應用模型。在安全風險分析的應用模型中，著重需要考慮到的是其主要因素、基本流程和專家評判法。

（1）主要因素

在資產上，政府的信息資源不但具有經濟價值，還擁有者重要的政治因素。因此，要從關鍵和敏感度出發，確定信息資產。在不足上，政府電子政務網絡系統，存在一定的脆弱性和被利用的潛在性。在威脅上，政府電子政務網絡系統受到來自內、外部的威脅。在影響上，可能致使信息資源泄露，嚴重時造成重大的資源損失。

（2）基本流程

根據安全需求，確定政府電子政務網絡系統的安全風險等級和目標。

根據政府電子政務網絡系統的結構和應用需求，實行區域和安全邊界的劃分。

識別并估價安全區域內的信息資產。

識別與評價安全區域內的環境對資產的威脅。

識別與分析安全區域內的威脅所對應的資產或組織存在的薄弱點。

建立政府電子政務網絡系統的安全風險評估方法和安全風險等級評價原則，并確定其大小與等級。

結合相關的系統安全需求和等級保護，以及費用應當與風險相平衡的原則，對風險控制方法加以探究，從而制定出有效的安全風險控制措施和解決方案。

（3）專家評判法

在建設政府電子政務網絡系統的前期決策中，由于缺少相關的數據和資料，因此，可以通過專家評判的方法，為政府電子政務網絡系統提供一個大概的參考數值和結果，作為決策前期的基礎。

在安全區域內，根據網絡拓撲結構（即物理層、網絡層、系統層、應用層、數據層、用戶層），應用需求和安全需求劃分的安全邊界和安全區域，建立起風險值計算模型。通過列出從物理層到用戶層之間結構所存在的薄弱點，分析其可能為資產所帶來的影響，以及這些薄弱點對系統薄弱環節外部可能產生的威脅程度大小，進而通過安全風險評估專家進行評判，得到系統的風險值及排序。

在不同的安全層次中，每個薄弱環節都存在著不同程度的潛在威脅。若是采用多嵌套的計算方法，能夠幫助計算出特定安全區域下的資產在這些薄弱環節中的風險值。

3 結語

本文主要通過對政府電子政務網絡系統的建設中，所進行的安全風險評估進行研究，分析和探討在規劃與設計階段、建設與實施階段、運行與管理階段三個階段中政府網絡安全建設的相關問題。并在各階段分別采用安全風險分析、系統建設完成后的安全等級評估。在系統建成后的運行和管理階段，采用的安全檢查評估等方法，保障政府電子政務網絡系統的安全。此外，在安全風險分析中，可操作的方法并不多，需要有關部門加強力度，加以研究和探析。在等級安全評估和安全檢查評估兩個階段，可以充分利用第三方權威機構的評測工具，來加強政府網絡的安全性。

參考文獻：

[1]楊志新.政府網絡安全風險評估[J].系統工程，2005，4.

[2]王繼曄.政府信息網絡的安全措施及技術手段[J].交通與計算機，2003，2.

[3]黃煒.我國政府保護網絡經濟信息安全的現狀和對策[J].華南理工大學，2010，5，6.

篇9

1．1分析電子政務服務外包主要模式及其關鍵成功因素

當前，各地政府部門主要采用BOT、BOO、BT、ASP這4種模式開展電子政務服務外包。a．BOT模式(Build－Own－Transfer，即建設－運營－轉讓)。政府部門和承包商以協議為基礎，由政府部門向承包商頒布特許權，允許其籌集資金建設某電子政務系統，在特許權規定期限內管理和經營該系統及其相應的產品與服務，并在特許權期滿后，無償將系統移交給政府部門接管。b．BOO模式(Build－Own－Operate，即建設－擁有－運營。承包商投資并承擔電子政務系統的設計、建設、運行、維護和培訓等工作，硬件設備及軟件系統的產權歸屬承包商，政府部門負責宏觀協調、創建環境和提出需求，政府部門每年需要向承包商支付系統使用費獲取硬件設備和軟件系統的使用權。

c．BT模式(Build－Transfer，即建設－轉讓)。政府部門通過特許協議授權承包商負責某電子政務系統的建設，按合同規定的期限按時移交系統，政府部門按期支付該系統的建設費用。d．ASP模式(ApplicationServiceProvider，即應用服務提供商)。在ASP外包模式中，應用服務提供商擁有基礎結構設施并負責所有系統和網絡的配置、管理、調整，甚至應用管理，政府部門按照需求向應用服務提供商定制所需的電子政務服務，并向其支付相應的費用。在比較分析以上各種模式的內涵、特點、優缺點的基礎上，分析研究其實際運用的案例，共總結了影響這4種電子政務服務外包模式成功運作與否的75個因素，運用專家評分法，提取各種模式的關鍵成功因素，如表1所示，這些也是各種模式選擇決策的主要考慮因素。

1．2識別潛在風險因素

在分析電子政務服務外包、IT外包風險研究相關文獻的基礎上，基于電子政務服務外包運作與管理流程，從各個階段總結了98項風險因素，結合上述電子政務服務外包主要模式的關鍵成功因素，采用李克特七分制評分標準設計量表，1分表示風險影響程度最低，7分表示風險影響程度最高，1－7分表示影響程度逐次增高，邀請被調查者(包括參與電子政務服務外包的政府部門、承包商的管理人員以及相關領域的專家學者)對量表進行評分。共發放問卷387份，回收問卷212份，剔除不合格答卷后，最后得到有效答卷共202份。根據搜集的數據，通過因子分析的方法提煉了20項具有統計、管理意義的關鍵風險因素，如表2所示。

采用主成分因子分析法對這20項風險因素(也是結構方程模型中的可測變量)進行進一步的劃分，提取4個公共因子作為結構方程模型的潛在變量，并根據其包含的可測變量的含義進行命名，潛在變量及相應的可測變量如下:“決策與合同管理風險”:外包市場不成熟x1、外包決策不合理x2、承包商選擇失誤x3、機會主義風險x4、合同不完善x5;“開發與運營管理風險”:外包主體之間缺乏溝通x6、外包主體關系不和諧x7、政府部門缺乏規劃與需求分析能力x8、政府項目管理經驗與能力不足x9、承包商專業能力及管理經驗不足x10、承包商服務質量不理想x11;“資金與成本管理風險”:交易成本控制不力x12、隱性成本的累積風險x13、承包商成本預算控制失效x14、承包商資金支持不足x15;“知識與戰略管理風險”:知識共享不足x16、安全保密控制不力x17、績效評量體系失效x18、忽視學習與創新能力的培養x19、政府部門失去信息化控制力x20。

2模型建立與分析擬合

2．1建立電子政務服務外包潛在風險對外包模式影響的結構方程模型

基于現有研究文獻及實際案例，分析電子政務服務外包的潛在風險因素對各種模式的影響關系，構建電子政務服務外包潛在風險對外包模式影響的結構方程模型，如圖1所示。其中，風險的4項潛在變量及其各自的可測變量如上文所述，而各種外包模式潛在變量對應的可測變量分別是其關鍵成功因素(見表1，表中的序號與圖1的序號一致)。

2．2信度與效度分析

a．信度分析。信度指測量結果一致性或穩定性的程度。運用SPSS16．0對量表的信度進行檢驗，Cronbach’sα值為0．835，而各分量表信度分析結果表明，8個潛在變量的α系數值均滿足大于0．70的要求，因此，該量表具有較好的信度。

b．效度分析。結構效度是指量表測量結果同期望評估內容的同構程度，運用標準化因素負荷來檢驗結構效度。結果顯示，測量指標的標準化因素負荷大部分大于0．7，并在99%的置信度下高度顯著(C．R．值＞2．58)，潛在變量之間的標準化路徑系數及C．R．值(如表3所示)也大部分符合擬合要求。表明本研究構造的變量效度較好，適合做結構方程模型分析。

2．3結構方程模型檢驗與分析

a．擬合度檢驗。前文建立的結構方程模型必須通過擬合度檢驗，才能認定假設模型與實際數據樣本的一致性。若模型的擬合度高，則代表模型可用性越高，參數的估計越具有含義。對于擬合度的考核有較多指標，但不同的指標在不同的模型復雜度、樣本數量下有著不同的表現特性，必須根據具體情況同時參考各種擬合度指標［3］。本研究利用AMOS軟件7．0版進行結構方程模型的分析，主要使用CMIN、RMSEA、CFI、GFI等較為穩定的指標考核模型擬合度，擬合后的評價結果及其理想值匯總于表4。從表4中分析可知假設模型較好地與樣本數據擬合，具有較高的擬合度。

b．路徑與因素分析。經過對結構方程模型的分析，可以得到各個潛在變量之間的路徑系數以及可測變量與潛在變量之間的因素負荷。從模型運行結果中可知，潛在變量之間的路徑系數、可測變量與潛在變量之間的因素負荷對應的C．R．值絕大多數大于1．95的擬合要求，表明各路徑系數以及因素負荷在p=0．05的水平上具有統計顯著性，能夠作為進一步分析的依據。

3電子政務服務外包潛在風險對外包模式的影響分析

綜合分析4個風險潛在變量對各外包模式潛在變量影響的路徑系數及間接效應、各個風險因素的因子負荷以及對各外包模式關鍵成功因素的作用路徑，為下文外包模式選擇的建議提供依據。

3．1“決策與合同管理風險”對外包模式的影響

“決策與合同管理風險”對各外包模式的直接影響程度從大到小依次是:BOT＞BOO＞BT＞ASP，其中，對BT模式和ASP模式的直接影響不顯著，但通過另三類風險間接影響這兩種模式的程度較大，分別累計為0.364、0．337。在“決策與合同管理風險”中，合同不完善風險所占因子負荷最大、影響最為顯著。研究表明，完善電子政務服務外包合同，對外包市場不成熟風險、機會主義風險都具有較強的規避作用［4］?！皼Q策與合同管理風險”中，合同不完善、承包商選擇失誤風險因素對BOT模式的關鍵成功因素———承包商運營期間的服務質量以及移交后的系統價值的不良影響均比較顯著;合同不完善對BOO模式的作用主要體現在影響技術應用先進性的保持，而機會主義風險的存在對政府部門的監督約束是一大不利因素;BT模式、ASP模式的各自關鍵成功因素———選擇商譽好的承包商、承包商擁有完善可靠的基礎結構設施均會受到承包商選擇失誤這一風險因素的影響。

3．2“開發與運營管理風險”對外包模式的影響

相比其他類別的風險而言，“開發與運營管理風險”對各個外包模式的影響程度是最大的，對各外包模式的直接影響程度從大到小依次是:BOT＞BOO＞BT＞ASP，且影響均較為顯著。此外，“開發與運營管理風險”也受到了其他風險的影響，承載著其他風險對外包模式的間接效應。因此，“開發與運營管理風險”所屬的各個風險因素應給予重視，特別是政府部門缺乏規劃與需求分析能力、雙方的項目管理經驗與能力不足、外包主體之間缺乏溝通這幾種風險因素在電子政務服務外包實踐中引起的問題較為顯著，屬于關鍵風險因素，研究表明，控制好這些風險因素，做好規劃與需求分析工作、提升相應的項目經驗與能力、加強溝通協作，對電子政務外包的系統開發效果、外包服務質量、雙方關系維護的作用是十分顯著的［5］?！伴_發與運營管理風險”對各個外包模式的影響在其對應的關鍵成功因素都有顯著的體現，其中，對BOT模式，主要影響政府部門規劃協調能力、承包商運營期間的服務質量;對BOO模式，主要影響政府部門的監督約束能力、承包商經營的穩定性及技術應用先進性的保持;對BT模式，主要影響雙方的系統開發項目管理能力;對ASP模式，主要影響政府部門需求分析的準確性及預見性、承包商對個性化服務需求的響應。

3．3“資金與成本管理風險”對外包模式的影響

“資金與成本管理風險”對各外包模式的直接影響程度從大到小依次是:BOO＞BOT＞ASP＞BT，其中，承包商的資金支持、項目的成本管理方面的風險對外包模式的影響尤為顯著，在實踐中，很多電子政務服務外包項目正是由于資金、成本控制問題而不得不擱淺甚至失敗。此外，“資金與成本管理風險”也會通過“開發與運營管理風險”間接影響各個外包模式，因此，在外包過程的開發運營階段，應重視項目預算管理，保障資金流的通暢?！百Y金與成本管理風險”對BOO模式的作用主要體現在影響政府部門付費使用模式、承包商經營的穩定性;對BOT模式的作用體現在影響承包商的運營獲利能力及其服務質量;對于ASP模式，影響著政府部門的付費模式與承包商的經濟效益兩者之間的權衡;對BT模式，主要影響著政府部門的資金保障能力。

3．4“知識與戰略管理風險”對外包模式的影響

“知識與戰略管理風險”對各外包模式的直接影響程度從大到小依次是:BOO＞ASP＞BOT＞BT，其中安全保密控制風險是外包領域備受關注的風險因素，也是外包模式選擇需要著重考慮的一大因素，而學習與創新能力的培養對電子政務服務外包的戰略效益能否實現尤為關鍵［6］，卻也是一個經常被忽視的風險。此外，知識共享不足、績效評量體系失效、政府部門信息化控制力不足等風險因素對開發運營風險的作用也較為顯著，對外包模式的間接效應不容小覷。因此，“知識與戰略管理風險”對電子政務服務外包的影響是極為深遠的，在外包模式選擇決策中，應予以重視，既要考慮到安全保密控制，也要考慮到政府部門持續學習與創新能力的培養。“知識與戰略管理風險”中，安全保密控制不力與績效評量體系失效分別影響著BOO模式的關鍵成功因素———承包商對系統安全性的保護、技術應用先進性的保持;在ASP模式中，安全保密控制不力風險影響著政府部門應用與數據的安全性;與績效評量體系失效相關聯的激勵效果不良，影響著BOT模式運營期間的服務質量和移交后的系統價值;若采用BT模式，知識共享不足與政府部門信息化控制力不足風險將主要影響著雙方移交系統的知識管理能力以及移交后政府部門的系統維護能力［7］。

4結論與建議

基于上文的分析，政府部門在選擇電子政務服務外包模式時，需要結合自身的規劃與需求、優勢與劣勢、經驗與能力等因素，綜合考慮各個潛在風險因素對外包模式如何影響及影響程度，從中選擇合理的外包模式并防范潛在風險。為此，提出以下4點建議供參考:

a．當外包市場不成熟，缺乏統一、可操作的行業標準及規范的法律環境，而外包的電子政務服務內容的復雜性使得不能夠通過采用明細的合同來規避承包商的機會主義，并且政府部門管理合同的經驗與能力不足時，盡量避免采用BOT、BOO模式，主要是因為這兩種模式的必須以協議為基礎且合同期限較長，能否制定明確、完善而兼具柔性的合同尤為關鍵;若政府部門受評估能力缺乏、信息不對稱等主客觀不利因素的影響，選擇不合適的承包商或選擇的承包商商譽不良的風險很可能加大，此時BT模式與ASP模式不是首選，因為這兩種模式對承包商商譽與實力有較高的要求。

篇10

doi：10.3969/j.issn.1673 - 0194.2016.20.093

[中圖分類號]D630 [文獻標識碼]A [文章編號]1673-0194（2016）20-0-01

信息技術的發展給人類社會生活帶來了翻天覆地的變化，也開啟了政府公共管理與服務的新模式，“電子政務”成為受到政府部門追捧的新工作平臺，從概念上講，“電子政務是政府公共事務管理方式的革新，是政府等公共事業部門運用計算機、網絡和通信、互聯網等多種IT信息技術手段的業務管理模式?！彪娮诱障啾扔趥鹘y的政務管理模式具有多方面的優勢，是現代政府管理信息化、網絡化、透明化、民主化與服務性實現的重要手段和方式，公開、透明、有效與互動是電子政務的主要特點。

當然，電子政務在改變政府工作模式，提高政府工作效率和公共服務效果的同時，也面臨著新問題和新挑戰。因為政府工作通過數字化、信息化的手段處理和表現出來，信息安全就成為了首先被關注到的問題。“信息安全指的是在信息技術的應用過程中對信息技術和數據進行的安全和保護，防止計算機內的數據因遭受惡意軟件的侵襲而造成泄露或者更改，維持計算及系統正常的運行?！毙畔踩珜τ陔娮诱盏闹匾饬x是不言自明的，因而，本文著重討論電子政務中的信息安全問題，并針對這些問題提出相應的策略。

1 電子政務中的信息安全問題

1.1 電子信息技術本身存在的問題

電子信息技術本身存在著一些難以避免的安全漏洞?！败浖┒?、網絡數據系統漏洞等各個方面的漏洞還是給電子政務安全帶來了很多難以根除的安全缺陷?！边@些微不足道的瑕疵和漏洞，在政府電子政務數據庫系統和信息平臺中，可能就會造成不可估量的損失和傷害。應該說，正是這些漏洞給了不法分子盜取、篡改數據信息的機會，由此帶來的風險是政府內部機密信息、文件的泄露或損失，為電子政務安全帶來極大的威脅和風險。

當然，僅僅是這些漏洞本身并不會造成重大安全事故，因內部漏洞本身所帶來的系統脆弱性所給外部不法分子帶來的入侵的機會，才是信息安全問題產生的最直接原因?！罢娮游募藝一蚍切畔?，當電子文件在網絡上傳輸時，特別是通過開放的因特網傳輸，很容易被他人非法截取，可能導致國家信息的泄漏、被刪除、被篡改，對國家的政治、經濟、軍事、安全等相關利益造成損失?！?/p>

1.2 政府工作人員的信息安全意識欠缺

事實上，大多數政府工作人員對電子信息系統本身的安全問題和安全漏洞的了解并不深入，信息安全意識也不強，在日常工作行為上就會經常出現一些安全失誤，或者由此增大電子政務中的信息安全風險。例如：政府保密信息在網絡傳輸過程中不進行加密，U盤、移動硬盤等設備在存有政府機密數據信息的電腦上使用，或者不對輸入的數據信息進行加密備份，因誤刪數據導致信息缺失、不完整等。尤其是應用政府內部電腦登錄外網，給整個電子政務網絡信息平臺帶來巨大的安全風險。而這些問題，普遍不是政府工作人員蓄意所為，都是因信息安全意識的薄弱而造成的“不注意”“不小心”，卻可能導致嚴重的后果。

1.3 政府工作人員的技術能力尚待提高

應該說，當前，電子政務在中國已經被廣泛使用和普及，但政府工作人員構成卻依舊保持原狀。絕大多數政府工作人員都不具備足夠應對信息安全風險，處理緊急信息安全事故的專業知識和技術能力。政府工作人員是電子政務信息平臺中數據信息的輸入者、傳播者，卻不是信息系統的監控者和維護者，大多數人的水平也只是停留在辦公系統應用上，人員的專業素質和技術水平還不能支撐起政府信息安全的維護。

2 應對信息安全問題的策略分析

2.1 加強信息安全意識培養

第一，加強管理人員的信息安全意識培養。在政府中“上行下效”是非常重要的，管理人員的意識和行為對整個系統中的工作人員都有很大的影響。因而，加強管理人員的信息安全意識培養才有利于政府內部相關工作開展的順利進行。第二，加大宣傳教育力度。在政府中，應用電子政務系統進行工作最多的還是基層的工作人員，他們負責信息的錄入、保存、傳輸等具體細致的工作，很多電子政務中的信息安全問題就是由這些工作人員的意識不強，經?！安蛔⒁狻薄安恍⌒摹保J為沒關系導致的。這些基層工作人員的意識欠缺，很多是由于認知不足造成的，因而，加強宣傳教育就顯得十分重要。

2.2 注重技術能力的提升