电子政务的安全风险及安全管理对策

所属栏目:计算机网络论文 发布日期:2014-09-03 16:06 热度:

  摘 要:论文针对推行政务信息系统服务外包过程中,电子政务安全管理方面所暴露出的问题进行了分析探讨,并结合实践工作经验,从信息系统运行安全和信息保密的角度,对电子政务服务外包模式下的安全管理提出了参考性建议。

 关键词:电子政务;服务外包;安全管理

  1 引言

  随着我国政务信息化建设的深入,政务信息系统的规模不断扩大、复杂程度日益提高,政府业务更加依赖于政务信息系统。然而,由于人力、财力等因素的制约,信息系统发生故障的情况很难避免,所造成的损失也越来越大,对信息技术管理部门形成严峻挑战。提高技术保障能力,尽可能满足政务业务工作的需要,已成为信息技术管理部门首要考虑的问题。

  当前,解决这一问题的优先选择方案是服务外包,即:在政务信息系统建设前期的规划、咨询、项目实施以及建设完成后的运营和维护的过程中,把专业性较高且非保密的日常事务性工作委托给专业服务商去完成。实践表明,服务外包是提高保障能力和服务质量,降低服务成本的有效途径。根据有关部门统计,服务外包可平均节省9%以上的成本,服务能力与质量则提升15%以上。但由于政务信息系统的重要性和政务数据的敏感性、保密性,在普遍推行服务外包模式的大背景下,电子政务安全管理问题表现得十分突出。为此,本文立足笔者的工作实践,以所在单位系统运维外包情况为例,从信息系统运行安全和信息保密的视角,对外包模式下的安全管理做些探讨。

  2 项目背景

  2006年5月中旬,湖南省高级人民法院按照最高法院的相关要求提前3年完成了作为全国法院涉密专网组成部分的湖南法院系统省、市、县三级信息专网的建设,实现了全省140个人民法院的互联互通。

  随后根据湖南法院系统的实际情况,通过半年时间为所有法院统一安装配置了内网门户网站、内部电子邮件系统、审判流程管理系统、法律支持系统、杀毒软件等业务支持系统,有力推动了全省法院信息化发展。但由于省法院信息中心总共才4名专职工作人员,且职能工作繁多,后期大量的培训、管理、维护、考核等工作很难全部完成。在这种情况下,服务外包模式是我们解决该问题的最佳选择方案。

  3 外包模式下的主要安全与风险问题

  服务外包,是通过发挥服务商的专业优势和规模优势,以提高保障能力,提升服务质量,降低服务成本。但服务商的引入,从当前实践来看,也使电子政务安全管理变得复杂,安全风险有可能加大,主要体现在以下6个方面:一是外包工作范围的正确选择与否,直接决定了外包工作的成败。正确的范围选择可以促进各项信息化工作的顺利开展,而错误的选择则极可能增加维护管理成本,对重要数据和保密信息造成相当的安全隐患。二是部分单位认为“外包等于什么都不用管”,结果导致信息技术管理部门职能弱化,造成项目管理混乱,信息安全得不到保障。三是服务商的引入使接触、了解、掌握政府机关网络结构、参数设置、软件结构、敏感数据或信息的人员增加,可能增加信息系统被攻击的风险和数据或信息丢失泄漏的风险。四是服务商的经营风险可能导致电子政务的安全风险。如公司发生经营困难或技术团队的人才波动时,可能导致保障能力和服务质量的下降,甚至中断,进而对信息系统构成运行风险和泄密风险。五是服务商技术团队人员的职业素质可能影响服务的保障能力和质量,并有可能构成安全威胁。服务商技术人员一般是通过市场化手段招聘而来,如果招聘时把关不严,将职业素质较低的人员招聘进队伍,后期培训和管理又没有跟上的话,可能因责任心不强、工作不到位或操作不当,产生人为的运行故障、数据丢失或系统服务中断,也可能增加被攻击的风险或泄密威胁。六是作为管理者的信息技术管理部门和作为执行者的服务商所处位置不同,追求的工作目标不同,增加了管理工作难度和沟通协调成本,影响服务及时性和双方的合作,进而造成管理困难和安全风险。信息技术管理部门作为政府机关组成部门,追求的目标是以较小的成本和风险,取得最好的对内对外服务效果;而服务商作为企业,追求的目标是在确保服务合同履行的情况下,追求利润的最大化,必然会想方设法提高服务合同金额,降低执行成本。也就是说,信息技术管理部门追求的目标是不断提升服务质量,而服务商追求的目标是不断增加利润率,这必然是一对矛盾。

  4 外包模式下的安全管理措施

  对于外包模式下的安全和风险管理问题,我们必须保持清醒的认识,并因地制宜地采取合适的防范措施。经过一段时期的实践与摸索,我们认为加强以下几个方面的工作能够有效增强服务外包的安全性。

  4.1 准确筛选服务外包所涉及范围

  外包服务工作范围是基于政府机关信息化发展战略需要,通过对自身的实现目标、实施策略、资源及人力资源状况和安全要求的综合分析,所制定的IT战略要明确哪些工作可以交由服务商处理解决,哪些工作必须由自己的工作人员完成,对权限、口令、密钥、重要数据更是要实施专人管理。根据对我省法院相关系统的分析整理,我们将培训工作,维护和监控全省内网门户网站、内部电子邮件系统、审判流程管理系统、法律支持系统、杀毒软件等业务支持系统,排除系统运行中发生的故障,修复存在的BUG,解决操作人员使用中遇到的问题等20项无保密要求、专业性高且具体繁琐的日常事务性工作进行了整体打包并外包。而对敏感程度较高的设备及重要数据维护始终坚持由法院内部工作人员进行,比如:数据库的操作和备份。

文章标题:电子政务的安全风险及安全管理对策

转载请注明来自:http://www.sofabiao.com/fblw/dianxin/wangluo/22566.html

相关问题解答

SCI服务

搜论文知识网的海量职称论文范文仅供广大读者免费阅读使用! 冀ICP备15021333号-3