电子政务系统安全风险评估研究

摘要:关键词：电子政务 信息安全 风险评估 评估流程

一、引言

电子政务是指政府运用现代计算机和网络技术，将其承担的公共管理和服务职能转移到网络上进行，同时实现政府组织结构和工作流程的重组优化，超越时间、空间和部门分隔的制约，向社会提供高效优质、规范透明和全方位的管理与服务。电子政务的实施使得政府事务变得公开、高效、透明、廉洁，并实现全方位的信息共享。与此同时，政务信息系统的安全问题也变得非常重要。政务信息系统的安全一旦发生问题，就会影响其功能的发挥，甚至对政府部门和社会公众产生危害，严重的还将对国家信息安全乃至国家安全产生威胁。

目前，电子政务系统的安全风险问题越来越受到重视，因此有必要对电子政务系统的安全性进行评估。对电子政务系统的风险评估，就是对信息系统的脆弱性、信息系统面临的威胁及其发生的可能性，以及脆弱性被威胁源利用后所产生的负面影响的评估。信息系统安全的风险评估结果，对组织机构在信息安全措施的选择、信息安全保障体系的建设等问题做出合理的决策有着重要的指导作用。

本文主要是根据英国标准协会（British Standard Institute）制定的信息安全标准BS7799，基于大量的安全行业经验，借助漏洞扫描等先进的技术，从内部和外部两个角度，对电子政务系统存在的安全威胁和脆弱性进行分析，对系统面临的风险进行全面的评估，并通过制定相应措施消除、减少、监控脆弱性以求降低风险性，从而保障信息系统的机密性、完整性和可用性。

二、电子政务系统安全风险评估的关系模型及分析方法

电子政务系统安全风险评估是依据国家有关的政策法规及信息技术标准，对系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学、公正的综合评估的活动过程。风险评估要求对信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响进行评估，并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。

⒈电子政务风险评估的关系模型

风险评估的出发点是对与风险有关的各因素的确认和分析，各因素之间的关系可以用图1所示的模型来表示。图1中的箭头及标示信息对信息安全风险相关的各类因素之间的关系做出了说明，这些因素之间的主要关系对风险评估的实施方法是很重要的，概述如下：

――威胁和薄弱点因素都将导致安全风险增加，资产拥有的价值越大，其可能存在的安全风险也越大，而风险控制则用来降低安全风险；

――威胁因素产生和增加安全风险的过程是：利用系统中的薄弱点实施攻击（或其他破坏），从而对资产的价值造成不利影响，导致产生和增加安全风险；

――薄弱点对风险的增加只能通过威胁对其利用的过程来完成；

――安全要求的引出来自于安全风险，这体现了认识和确定风险的意义所在。

由此可以看出，威胁和薄弱点增加风险的方式是不同的。对于信息系统内的资产来说，威胁是外部因素，而脆弱性则为系统自身所有，它们相当于矛盾的外因和内因。

风险评估的过程就是将这些因素间的关系体现出来，查看组织机构是否属于以下三种情况之一：

――当风险在可以接受的情况下，即使系统面临威胁，也不需要采取安全措施；

――系统存在某些脆弱点，但还没有被威胁所利用，这时需要安全措施能够监控威胁环境，以防止利用该脆弱点的威胁的发生；

――被采取的安全措施保护资产、减少威胁发生所造成的影响，将残余风险降低到可接受的程度。

研究表明，组织机构的信息系统的安全程度应该要满足组织机构现在的应用需求；如果显示组织机构的信息系统存在不可接受的风险，那么就应该对该信息系统的安全措施进行改进，以达到第三种情况的要求。

⒉电子政务系统的常用风险分析方法及其比较

目前，由于我国信息系统风险的安全评估才刚刚起步，因此我国现在所做的评估工作主要以定性评估为主，而定量分析尚处于研究阶段。在风险评估过程中，可以采用多种操作方法，包括基于知识的分析方法、基于模型的分析方法、定性分析和定量分析，等等。无论采用何种方法，其共同的目标都是找出组织机构的信息系统面临的风险及其影响，以及目前该信息系统安全水平与组织机构安全需求之间的差距。

⑴定量分析方法

定量分析方法的思想是，对构成风险的各个要素和潜在损失的水平赋以数值或货币的金额，当度量风险的所有要素（资产价值、威胁可能性、弱点利用程度、安全措施的效率和成本等）都被赋值，风险评估的整个过程和结果就可以量化。

从定量分析的过程中可以发现，最为关键的是对威胁事件发生的可能性和威胁事件可能引起的损失的量化。从理论上看，通过定量分析可以对安全风险进行准确的分级，能够获得很好的风险评估结果。但是，对安全风险进行准确分级的前提是保证可供参考的数据指标正确，而对于信息系统日益复杂多变的今天，这个前提是很难得到保证的。由于数据统计缺乏长期性，计算过程又极易出错，定量分析的细化非常困难，所以目前风险评估分析很少完全只用定量的分析方法进行分析。

⑵定性分析方法

定性分析方法是目前采用最为广泛的一种方法，它需要凭借评估分析者的经验、知识和直觉，结合标准和惯例，为风险评估要素的大小或高低程度定性分级，带有很强的主观性。定性分析的操作方法可以多种多样，包括小组讨论（如Delphi方法）、检查列表、问卷、人员访谈、调查等。定性分析操作起来相对容易，但可能会因为评估分析者在经验和直觉上的偏差而使分析结果失准。

⑶定量和定性分析方法的比较

与定量分析相比，定性分析的准确性较好但精确性不够，而定量分析则相反；定性分析没有定量分析的计算负担，但要求分析者具备一定的经验和能力；定量分析依赖大量的统计数据，定性分析则没有这方面的要求；定性分析较为主观，定量分析基于客观；定量分析的结果很直观，容易理解，而定性分析的结果则很难统一。由于定量分析和定性分析两种方法各有其优缺点，现在的风险评估大都采用两者相结合的方法进行分析，在不容易获得准确数据的情况下采用定性分析方法，在定性分析的基础上使用定量方法进行计算以减少其主观性。

三、电子政务系统安全风险评估要素的提取原则、方法及量化

电子政务系统安全的风险评估是一个复杂的过程，它涉及系统中物理环境、管理体系、主机安全、网络安全和应急体系等方面。要在这么广泛的范围内对一个复杂的系统进行一个全面的风险评估，就需要对系统有一个非常全面的了解，对系统构架和运行模式有一个清醒的认识。可见，要做到这一点就需要进行广泛的调研和实践调查，深入系统内部，运用多种科学手段来获得信息。

⒈评估要素提取的原则

评估要素提取是指通过各种方式获取风险评估所需要的信息。评估要素提取是保证风险评估得以正常运行的基础和前提。评估要素提取得成功与否，直接关系到整个风险评估工作和安全信息管理工作的质量。为了保证所获取信息的质量，应坚持以下原则：

⑴准确性原则。该原则要求所收集到的信息要真实、可靠，这是信息收集工作的最基本要求；

⑵全面性原则。该原则要求所搜集到的信息要广泛、全面完整；

⑶时效性原则。信息的利用价值取决于该信息是否能及时地提供，即具备时效性。

⒉评估要素提取的方法

信息系统风险评估中涉及到的多种因素包括资产、威胁、漏洞和安全措施。

信息系统的资产包括数据资产、软件、人员、硬件和服务资产等（参见表1）。资产的价值由固有价值、它所受伤害的近期影响和长期结果所组成。

目前使用的风险评估方法大多需要对多种形式资产进行综合评估，所获取的信息范围应包含全部的上述内容，只有这样，其结果才是有效全面的。同时，资产评估时还要考虑以下方面：

――业务中最重要的部分是什么？如何通过使用或处理信息而使它们得到支持？这种支持的重要程度如何？

――哪些关于资产的重要决定取决于信息的准确度、完整性或可用性？

――哪些资产信息需要加以保护？

――安全事件对业务或者对该组织的资产影响是什么？

在考虑安全事件对组织资产的影响时，可以参考以下4个方面：

――信息资产的购买价值；

――信息资产的损毁对组织业务的影响；

――信息资产的损毁对政府形象的负面影响；

――信息资产的损毁对政府长期规划和远景发展的影响。

在进行资产、威胁和漏洞信息获取时，需要整体考虑以下的对应关系：

――每一项资产可能存在多个威胁；

――威胁的来源可能不止一个，应从人员（包括内部和外部）、环境（如自然灾害）、资产本身（如设备故障）等方面加以考虑；

――每一个威胁可能利用一个或是数个薄弱点；

――每个薄弱点对系统的威胁程度和等级有很大的不同，有的威胁不能消除，只能采取降低威胁程度的策略；

――要考虑各种威胁之间的相互依赖关系和交叉关系；

――考虑威胁薄弱点等随时间和信息系统的进化而变化的特点，对其要以发展的观点进行分析。

⒊评估要素量化

对每个安全要素的危害性采取风险模式影响及危害性分析法进行分析，最终得到被评估系统的风险状况。

风险影响等级的划分见表2。

为了计算方便，对（v1，v2，v3，v4 ，v5）用（0，0.2，0.5，0.8，1）表示。同时为了讨论方便，在这里定义如表3所示的表示符号。

根据信息安全管理体系BS7799的结构特点，对安全要素风险事件的分析主要建立在前三层上。

标准中的第一层是十大管理要项，它标识了被评估系统在各个资产上的重要程度。λi表示系统资产权重分配情况，此时有=1。

标准中的第二层是管理目标层，根据BS7799标准的结构特点，对该层安全要素的风险分析主要是确立其危害程度。该危害程度由评估专家和系统用户参照表2制定。这里采用Ei,j表示第i个管理要项下的第j个管理目标风险的安全要素危害程度。

标准中的第三层是控制措施层，对该层安全要素的风险分析主要考虑安全要素风险发生的重要程度。用λi,j,k代表第i个管理要项下的第j个管理目标下的第k个控制措施的安全要素风险权重系数。此时，有=1（第j个管理目标下有m个控制措施）。

确立每一层安全要素风险评价如下：

假设第i个管理要项下的第j个管理目标下的第k个控制措施风险发生的概率是αi,j,k，则有：

第i个管理要项下的第j个管理目标的风险发生概率是：

Vi,j=（假设第j个管理目标下有m个控制措施）

第i个管理要项的风险评价是：

Vi=（假设第i个管理要项下有n个管理目标）

最终的风险评价是：V=

综合可得系统风险评价表达式：

V==

式中：λi由被评估系统的用户或评估发起者在填写评估任务时分配。λi,j,k、Ei,j可以通过风险评估数据库中的权重系数表和危害程度表获取。

最后通过判断V落在预先定义好风险评价集的哪一部分，即可判断被评估系统的风险等级。参照相应的风险等级的描述，从而可以得到被评估系统的总体风险状况及具体改进意见。

四、电子政务系统安全风险评估的流程

电子政务系统安全的风险评估是组织机构确定信息安全需求的过程，包括环境特性评估、资产识别与评价、威胁和弱点评估、控制措施评估、风险认定等在内的一系列活动（风险评估的流程详见图2）。

五、电子政务系统安全风险评估的实施

电子政务系统安全的风险评估是一项复杂的工程，除了应遵循一定的流程外，选择合理的方法也很重要。为了使风险评估全面、准确、真实地反映系统的安全状态，在实施风险评估过程中需要采用多种方法。通过对安徽行政学院开发的电子政务模拟教学系统的风险评估,证明这样的评估流程是正确可行的，其实施过程如下：

⒈参与系统实践

系统实践是获得信息系统真实可靠信息的最重要手段。系统实践是指深入信息系统内部，亲自参与系统的运行，并运用观察、操作等方法直接从信息系统中了解情况，收集资料和数据的活动。

⒉建立问卷调查表

问卷调查表是通过问题表的形式，事先将需要了解的问题列举出来，通过让信息系统相关人员回答相关问题而获取信息的一种有效方式。现在的信息获取经常利用这种方式，它具有实施方便，操作方便，所需费用少，分析简洁、明快等特点，所以得到了广泛的应用。但是它的灵活性较少，得到的信息有时不太清楚，具有一定的模糊性，信息深度不够等；还需要其他的方式来配合和补充。

⒊实用辅助工具的使用

在信息系统中，网络安全状况、主机安全状况等难以用眼睛观察出来，需要借助优秀的网络和系统检测工具来监测。辅助工具能够发现系统的某些内在的弱点，以及在配置上可能存在的威胁系统安全的错误，这些因素很可能就是破坏目标主机安全性的关键性因素。辅助工具能帮助发现系统中的安全隐患，但并不能完全代替人做所有的工作，而且扫描的结果往往是不全面的。

⒋从文献档案中获取信息

文献和档案记录了关于信息系统的许多重要的参数和特性。通过文档和资料的查阅，可以获取比较完整的系统信息，获得系统的历史经验。在风险评估过程中，这也是十分重要的一种信息获取方式。

总之，在进行全面问卷调查和现场测试的基础上，经过集中分析研究，可以得出《电子政务系统安全分析报告》，报告应该包括以下内容：关键资产清单、安全威胁和脆弱性清单、分类和概率分布、实施的保护措施清单、风险等级和分类、保护措施建议、整体安全风险评价及应急处理议案，等等。

六、结论

随着信息安全工作的重要性和紧迫性得到越来越广泛的认同，对风险评估的研究也在不断地深入。风险评估是一个从理论到实践,再从实践到理论的过程,在不断的往复循环中得以逐步完善。经过几年的探索,我国有关方面已经在信息安全风险评估方面做了大量工作，积累了一些宝贵的经验,然而由于起步晚,也存在以下一些亟待解决的问题：

⑴国内外风险评估方法的研究有待于在实践中检验；

⑵风险评估的工作流程和技术标准有待完善；

⑶自动化的风险评估工具有待加大研发投入和推广。

参考文献：

朱方洲，李旭军.电子政务安全保障体系的研究[J].电脑学习，2006（3）：42-43

马立钢，夏军利.信息系统安全风险评估[J].现代计算机：专业版，2006（1）：49-53

王大虎，杨维，柳艳红.移动通信信息系统安全风险评估的研究[J].中国安全科学学报，2005，15（7）：74-78

聂晓伟，张玉清，杨鼎才，等.基于BS7799标准风险评估方法的设计与应用[J].计算机工程，2005，31（19）：70-72

科飞管理咨询公司.信息安全管理概论―理解与实施[M].北京：机械工业出版社，2002

闫强，陈钟，段云所，等.信息安全评估标准、技术及其进展[J].计算机工程，2003（6）

作者简介：

周伟良，1967年生，湖南长沙人，安徽行政学院(安徽经济管理学院)信息管理系主任，副教授，博士，主要研究方向为电子政务、管理信息系统。

朱方洲，1975年生，安徽定远人，安徽行政学院(安徽经济管理学院)信息管理系讲师，主要研究方向为网络安全、电子政务。

（本文责编：孙晓霞）