网站原创摘 要:电子政务系统涉及诸多政府信息,对其加以管理和控制是必要的.文章将COBIT的相关控制理论引入到国家林业局电子政务系统的安全管理指标体系构建中,通过进行基于指标体系的问卷调研分析国家林业局电子政务系统的安全管理状况,指出其存在的问题并提出建议,为完善国家林业局电子政务系统提供参考.
关 键 词:电子政务COBIT安全管理国家林业局
一、COBIT简介
COBIT(ControlObjectiveorInformationandRelatedTechnology,信息及相关技术控制目标集),是国际信息系统审计和控制协会(ISACA)为解决“如何度量信息系统质量”这一信息系统领域的难题而研发的一个标准.COBIT将企业的IT过程划分为四个域:策划与组织、获取与实施、交付与支持、监控与评价;在这四个域中它又定义了34个高层控制目标,这种结构涵盖了信息和相关支持技术的所有方面.通过发布这34个高层控制目标,业务处理者可以确保对IT环境进行适当的控制[1].
COBIT理论对信息系统是普遍适用的,而电子政务系统是一个特殊的信息系统,因此,COBIT对电子政务系统的建设和管理也具有指导意义.将COBIT引入电子政务系统,应用COBIT模型的相关理论对电子政务的管理和运行控制加以指导也是必要的.
目前在我国,为大家广泛接受的电子政务定义是:“电子政务是指公共管理组织在政务活动中,全面应用现代信息技术、网络技术以及办公自动化技术等进行办公、管理和为社会提供各种公共怎么写作的一种治理方式”[2].电子政务系统涉及到政府的诸多信息,所以对系统的安全性和保密性要求较高,而目前我国信息与网络安全的防护能力处于初级阶段,许多应用系统处于不设防状态.因此,我们应该尽快采取各种措施,加大信息技术开发力度,加强对电子政务系统的控制、维护与评估,并重点推动网络安全建设与管理,以保障电子政务的健康、安全运行.
二、COBIT在国家林业局电子政务系统安全管理中的应用
笔者通过咨询专家并查阅相关方面资料,以COBIT控制目标体系为模板,结合国家林业局电子政务系统的实际情况,对COBIT模型中的控制目标进行了增删和修改.比如在COBIT中有“人力资源管理”和“教育并培训客户”两个指标,笔者考虑到“人力资源”主要指国家林业局的IT技术人员,而“客户”指的是电子政务系统的使用者,因此将上述两个指标具体化为“IT技术人员培训(S16)”和“用户培训(S33)”;其他指标的分析过程与此类似,对此不再赘述,具体指标体系如表1[3]所示.
笔者采用问卷调查的方式,调查了国家林业局信息中心的工作人员,让其对表1中各指标分别进行等级评价,评价分为很好、好、中、差和很差五个等级.调查共发放问卷31份,回收有效问卷30份.对所收集的问卷进行整理,将五个评价等级从很好到很差依次赋值5、4、3、2和1,并对调查表中单个指标的30个调查数据求其算术平均数,得评价值如表2所示.
评价值越大,评价指标的等级就越高.从表2的数据可以看出,国家林业局电子政务系统在组织领导重视(S15等于4.33)和遵从相关法规与政策(S43等于4.67)等方面得分较高,说明其做得较好;而在系统安全解决方案(S34等于2.78)方面得分相对较低,说明其存在问题,需要强化.
三、国家林业局电子政务系统安全管理分析
基于上述得出的各项分值,笔者详细分析一下国家林业局电子政务系统安全管理方面的情况.
⒈指标体系构建
对电子政务安全管理体系方面的研究一直是学术界和政府关注的热点之一,目前对安全管理体系的划分也有诸多方法.比如从电子政务的各个构成要素考虑分成环境和硬件、网络层、操作系统、数据库、应用系统、人为因素六个类别[4];将电子政务安全保障体系划分为技术保障体系、运行管理体系、社会怎么写作体系、基础设施平台四个方面[5];将电子政务系统安全体系划分为物理安全、网络安全、数据安全、应用系统安全、安全制度建设、安全教育和培训七个方面[6]等.
在COBIT模型“交付与支持”域中有“确保系统安全”这一高级控制目标,其下又细分了11个详细控制目标[7],并对每个目标都进行了定义和描述.虽然这些详细控制目标覆盖面较广,但是也有未涉及到的部分,比如硬件方面.笔者认为在进行电子政务的安全管理时,物理安全也是需要考虑的,综合考虑COBIT理论和其他学者的研究成果,笔者从技术、管理和怎么写作三个方面考虑,提出电子政务系统的安全管理指标体系(如表3所示).
该指标的要点如下:
①物理安全u11:主要包括物理环境安全和网络结构安全两个方面.
②身份认证u12:是否采用较为安全的身份认证技术,如基于口令、智能卡、生物特征等认证方法来保证系统安全.
③用户管理u13:系统管理员及各部门用户在使用系统时都应有其特定的和权限,并定期管理和评审这些和权限.
④数据管理u14:数据备份和恢复方案.
⑤传输安全u15:是否采用数据加密、信息隐藏、数字签名等技术保障信息安全,选用的传输材料和传输方案是否符合安全要求.
⑥安全防护管理u16:是否安装防病毒软件、防火墙、入侵检测系统等保障系统安全,是否定期进行漏洞扫描,消除安全隐患.
⑦安全审计管理u17:是否通过数据库管理系统、网络管理系统等提供的审计模块或其他软件,建立系统使用情况日志记录,实时监控报警,并定期分析统计报告.
⑧建立安全机构u21:建立专门负责电子政务安全的职能机构,统筹安排相关活动.
⑨明确安全责任制度u22:明确各部门安全职责划分,合理配置人员角色,降低安全漏洞.
⑩IT安全计划u23:制定完整的IT安全计划,包括业务信息需求、IT配置、风险评估等.
应急响应管理u31:对于网络中的突发事件能够及时地响应,减少业务停顿的时间.
安全培训管理u32:建立完善的安全教育和培训体系,定期或不定期对电子政务系统涉及的各类用户进行与安全相关的教育和培训.
⒉模型分析
⑴建模目的
模糊数学可以对事物的不确定性质状态作数量描述,其目的是要从模糊中求精确,以能获取与事物本来面目相接近一致的参数.安全管理指标体系中的各指标一般比较综合,其所反映的内涵也相应综合复杂,评价常常用“高-低”、“好-差”一类的形容词作为对各项指标的评价.笔者通过发放调查问卷,收集相关数据,使用模糊数学的方法定量分析国家林业局电子政务系统的安全管理状况.
笔者的调查问卷有两部分:《国家林业局电子政务系统安全管理指标体系权重调查问卷》(简称为“权重调查”)和《国家林业局电子政务系统安全管理指标体系质量等级调查问卷》(简称为“质量等级调查”).在权重调查中,笔者邀请5位对电子政务安全管理情况较为熟悉的专家,让他们对每个因素集中的各评价因素进行成对比较,按照重要程度分别给出相应的优先关系矩阵;在质量等级调查中,笔者调查了国家林业局信息中心的工作人员,被调查者按照问卷要求,分别对各评价指标给出质量等级,共发放问卷32份,回收有效问卷30份.
| 有关论文范文主题研究: | 关于电子政务的论文范文集 | 大学生适用: | 自考论文、高校大学论文 |
|---|---|---|---|
| 相关参考文献下载数量: | 22 | 写作解决问题: | 毕业论文怎么写 |
| 毕业论文开题报告: | 文献综述、论文前言 | 职称论文适用: | 核心期刊、职称评初级 |
| 所属大学生专业类别: | 毕业论文怎么写 | 论文题目推荐度: | 优秀选题 |
⑵建立模型
考虑到指标数目较多,本文采用二级模糊综合评判模型,由低层次向高层次逐步进行,其评判步骤简述如下:
①建立因素集
根据表3的指标体系,建立如下因素集:
U等于{技术性要求(U1),管理性要求(U2),怎么写作性要求(U3)}
U1等于{u11,u12,u13,u14,u15,u16,u17}
U2等于{u21,u22,u23}
U3等于{u31,u32}
其中u11为物理安全,u12为身份认证等u32为安全培训管理.
②建立评语集
笔者按电子政务系统安全管理状况从好到差评价,总共分为v1,v2,v3,v4,v5五个等级.于是得到评语集为:V等于{v1,v2,v3,v4,v5}
其中v1等于很好,v2等于好,v3等于中,v4等于差,v5等于很差,本文规定评语集V对应的分数v1等于5,v2等于4,v3等于3,v4等于2,v5等于1.
③建立权重集
权重集是各指标重要程度的关系集.由于各因素在评价中的重要程度不同,因此,它们的权重也不应该相同.当前许多权向量的确定往往都是人为制定的,这样难免有较多的人为因素,不能比较客观地反映实际,因此,在确定指标权重时笔者选用模糊层次分析法,具体步骤省略.
整理权重问卷的调查结果,并综合计算各专家的指标权重,得到最终的指标排序权重向量A、A1、A2和A3,其结果为:
A等于(0.1667,0.3333,0.5)
A1等于(0.1616,0.0961,0.1318,0.1914,0.0901,0.1378,0.1914)
A2等于(0.4584,0.375,0.1667)
A3等于(0.5,0.5)
④单因素评价
整理质量等级问卷调查结果,按单组数据统计方法的加法汇总法公式来计算,得到技术、管理和怎么写作三个方面每一个因素的单因素向量,据此构造该指标的矩阵R1、R2和R3:
⑤一级模糊综合评判
将矩阵R1、R2、R3与对应指标集的权重向量A1、A2、A3进行模糊矩阵运算,即可计算出一级模糊综合评价集:Bi等于Ai*Ri,“*”表示广义模糊合成运算,其结果如下:
B1等于(0.1198,0.4914,0.2948,0.0846,0.0096)
B2等于(0.1653,0.4417,0.387,0.0111,0)
B3等于(0.1667,0.45,0.3834,0,0)
⑥二级模糊综合评判
二级模糊综合评判是在各类因素之间进行综合评判.由Bi构造二级综合评判矩阵为:
那么二级综合评价集为:B等于A*R,结果如下:
B等于(0.1584,0.4541,0.3703,0.0178,0.0016).
⑦计算结果
评判结果p的计算公式为p等于BVT等于B(5,4,3,2,1)T.通过计算,得到最终评判结果p为3.7565.
⑶结果分析
在模型中,p应该是一个1~5之间的代数值.p越接近5,说明安全管理的质量越高;p越接近1,说明安全管理的质量越低.本文中p等于3.7565,说明国家林业局电子政务系统在安全管理方面(主要参考表3的指标体系)做得较好,但是也存在一些疏漏之处需要改进,具体不足之处可以参考质量等级调查问卷的整理结果.
⒊具体情况分析
笔者参考表3中的相关指标,并结合国家林业局电子政务系统实际情况,主要从以下几个方面进行分析.
⑴物理安全
①物理环境
物理环境安全是整个系统安全的前提和基本保障,用于保证计算机网络设备、设施等免遭地震、水灾、火灾等环境事故,以及人为操作失误、各种计算机犯罪行为导致的破坏.国家也出台了相关的标准来加以保障,在设计过程中可以参考《电子计算机机房设计规范》、《计算站场地技术条件》和《计算站场地安全要求》等.
国家林业局信息中心机房面积400多平方米,目前正在对原机房存在安全隐患的方面进行重新设计和施工,包括改造原机房的地板、吊顶、灯光、门禁系统、空气清洁系统等.另外在网络改造工程中,国家林业局对布线系统进行了重新设计,选用现在流行的结构化布线系统,在传输材料和传输方案上都进行了改进.网络改造相关方面的施工都严格按照国家相关标准来进行,物理环境的安全性将大大加强.
②网络结构安全
根据国家信息主管部门的相关要求,电子政务信息系统平台一般采用政务内网、政务外网和政务专网三网模式.2002年8月5日由、国务院转发的《国家信息化领导小组关于我国电子政务建设指导意见》文件中明确指出:“电子政务网络由政务内网和政务外网构成,两网之间物理隔离,政务外网与互联网之间逻辑隔离.”
国家林业局目前正在原局域网基础上进行双网改造,近期可以实现内、外网物理隔离,从而使国家林业局的计算机信息网络系统更加完善,以确保信息系统的安全和信息系统的正常运行.
⑵身份认证和访问控制
身份认证一般涉及两个方面的内容:识别身份和验证身份.认证方式有多种,有些学者认为可以分为三类:基于秘密信息的身份认证方法、基于物理器件的身份认证方法和基于生物学信息的身份认证方法[8].
国家林业局内网办公系统可以提供用户身份认证和访问控制管理,有权限的管理人员可以随时动态地调整人员组成及其权限.在国家林业局网络办公系统中,每个部门内部的用户拥有统一的身份,在使用特定业务时不必每次都进行验证.通过身份验证后,进入门户界面,所有该用户有权访问的应用系统都列在用户页面之中.这样做一方面提高了办公效率,规范了办公流程,另一方面也防止了越权操作.但这种身份验证也存在一定的缺陷,因为它只提供一种软件保护机制,一旦身份标识泄露或被猜测到,就会危害系统安全.为此笔者建议在要求用户提交身份标识的基础上,同时要进行硬件验证,比如为工作人员配备智能卡.
⑶数据备份与容灾
任何的安全措施都无法保证数据万无一失,硬件故障、自然灾害以及未知病毒的感染都有可能导致政府重要数据的丢失.因此,在电子政务安全体系中必须包括数据的容灾与备份,并且最好是异地备份.
2007年6月国家林业局出台了新的网络实施方案,其中对数据备份工作又提出了新的要求:要求备份系统能够提供数据快速恢复的机制和手段,缩短数据恢复过程对业务系统的影响;要求对关键的系统、数据库及应用实现数据的自动备份外,还提出要利用磁带介质实现数据级的备份.
另外,对于林业信息监管中的重要数据,为保证其安全可靠性,国家林业局在山东济南建立异地存储备份中心,对其进行备份存储.
⑷传输安全
在网络中传输的数据,可以采用时间戳加盖与验证、数据摘 要与验证、数据加密与解密等安全措施来保障安全性,必要时可以采用交叉认证的方式,甚至可以部署加密机等硬件设施.
国家林业局严格按照国家对涉密文件传输的有关规定与要求,对公文传输系统建立起一套完整的安全手段,各单位收发公文处室也安装了门认可的加密设备.其具体措施有印章加密、传输和存贮加密、屏幕模糊处理、控制打印输出、控制打印份数等[9].
在电子政务系统设计时,为了防止信息在传输过程中的非法截获,确保信息的安全传输,应依据不同信息的安全要求,采用不同特性的传输材料和传输方案.比如,对于交互信息的传输,就应该采用专用的通信线路,甚至可以选用没有电磁泄露的光缆传输,以提高安全保密性能.
四、结论和建议
本文前面提到,根据模型计算,评价结果p等于3.7565,说明国家林业局电子政务系统在安全管理方面存在一些疏漏之处.笔者参考质量等级调查问卷的整理结果,指出在安全防范和安全措施等方面需要加以改进的地方,具体建议如下:
⑴在防范外部入侵的同时加强对内部人员的管理.国家林业局电子政务系统在防范外部入侵方面,设置了防火墙、防病毒软件系统和入侵检测设备等,笔者建议也要加强对内部破坏问题的关注.如果有熟知电子政务系统结构和运行方式,或者是掌握了重要的内部人士,为了销毁某些记录或者其他私人原因,改变某些程序的设置,那么就有可能引发大的混乱.因此,建议加强对工作人员的管理、规范和监督,设定专人定期检查是否有影响网络安全和正常运行的行为,并严格限定用户权限,及时处理应用系统用户权限的变更(如人员调离单位未注销账户)等安全隐患.
⑵数据备份管理员应定期对长期保存的备份数据进行校验,以防止在需要时备份数据不可用的情况发生.
⑶除了要考虑防火墙和防病毒等基本技术安全措施外,建议要提高到管理的角度考虑问题,重视安全管理安全防范,建立一个实际的安全管理组织,并制定相应的管理措施,对日常操作、运行维护、应急响应和灾难恢复等进行统一管理,将具体的安全管理任务落实到具体的责任人,并明确其责权.